Exemple audit de sécurité

Les certifications ne garantissent pas la compétence technique. Au cours des trente dernières années, les applications et composants logiciels commerciaux (COTS) et les micro-ordinateurs ont graduellement remplacé les logiciels et le matériel personnalisés par des solutions de gestion d`entreprise plus rentables. Une fois que vous avez défini votre périmètre de sécurité, vous devez créer une liste de menaces auxquelles vos données font face. Toutefois, il devrait être clair que la santé de la sécurité du système vérifié est bonne et ne dépend pas des recommandations. Les outils manquent de perspicacité analytique et donnent souvent de faux positifs. N`oubliez pas d`inclure les résultats de l`évaluation de la performance de sécurité actuelle (étape #3) lors de la notation des menaces pertinentes. Cette variation de format parmi des milliers d`applications instrumentées permet d`analyser les enregistrements d`événements d`audit par des outils d`analyse (tels que le produit Novell Sentinel, par exemple) difficiles et sujettes aux erreurs. Un autre avantage de Nice est que les audits de sécurité interne causent moins de perturbations pour le flux de travail des employés. Les institutions financières, par exemple, sont tenues d`avoir des vérificateurs externes certifiant la conformité aux règlements tels que la loi Gramm-Leach-Bliley (GLBA). Personne n`aime les surprises. Toute œuvre publiée devrait être incluse pour démontrer l`expertise de l`auditeur. L`expérience du monde réel mettant en œuvre et soutenant la technologie de sécurité donne à un auditeur un aperçu des questions subtiles qui pourraient révéler de graves risques de sécurité.

Bien que certains scanners de vulnérabilités commerciales disposent d`excellents mécanismes de signalement, le vérificateur doit prouver ses compétences à valeur ajoutée en interprétant les résultats en fonction de votre environnement et en révisant les politiques de votre organisation. Ça peut être dangereux. Par exemple, le vérificateur peut avoir été dit tous les serveurs sont sur les plates-formes Linux ou Solaris, mais un examen montre certains serveurs Microsoft. Examinez les contrôles qui sont en place et concevoir un moyen de les améliorer, ou implémenter des processus qui sont manquants. L`information de ce genre devrait être dans les détails du rapport pour examen par le personnel technique et devrait préciser le niveau de risque. Les 4 étapes simples mentionnées ci-dessus, – définissant la portée d`un audit, définissant les menaces, évaluant les risques associés à chaque menace individuelle, ainsi que l`évaluation des contrôles de sécurité existants et l`élaboration des nouveaux contrôles et mesures à mettre en œuvre, – sont tout ce que vous devez faire pour effectuer un audit de sécurité. Les données de cette auto-vérification sont utilisées pour contribuer à l`établissement d`une ligne de base de sécurité, ainsi que pour la formulation de la stratégie de sécurité de votre entreprise. Donner aux vérificateurs une déclaration d`indemnisation les autorisant à sonder le réseau.