O documento descreve os passos de uma auditoria tecnológica de acordo com a ISO 27001, incluindo o levantamento de ativos, varredura de pragas virtuais, verificação de softwares e licenças, varredura de vulnerabilidades de rede e geração de relatórios.
2. Segue o passo a passo de uma auditoria
tecnológica
Iniciamos com o levantamento de todos os
ativos (Sistema Operacional, Hardware,
Softwares,
Logins,
Proteções,
Atualizações,
Licenças,
Conexões locais,
Portas, etc).
3. O Belarc Advisor constrói um perfil detalhado
de seu software e hardware instalados, hotfixes
da Microsoft, condição do anti-virus,
benchmarks de segurança e mostra todos os
resultados no seu navegador Web. Toda a
informação do perfil de seu PC é mantida com
privacidade no seu PC e não é transmitida a
nenhum servidor na Internet.
4. Após a coleta dos dados gerados no levantamento de todos os ativos, podemos
prosseguir varrendo as pragas virtuais nos ativos, neste caso eu utilizo uma
distro linux modificada pela Kaspersky para melhor verificação. Pois o sistema
operacional instalado nos ativos não são iniciados, tornando a varredura mais
eficaz.
Kaspersky Rescue Disk é projetado para escanear, desinfectar e restaurar
sistemas operacionais infectados. Ele deve ser utilizado quando não é possível
iniciar o sistema operacional.
DICA:
Sempre que puder, observe nos locais próximo dos ativos se há vestígios de
vulnerabilidades, como Anotações (post-it) com login/senhas, Dados privativos
da corporação expostos, Documentos oficiais elimidados sem o prévio cuidado
em destruí-lo, Equipamentos pessoais em uso corporativo e entre outros casos.
5. Caso haja infecções, colete os dados e limpe as pragas virtuais. Anexe o relatório
de infecções ao relatórios de ativos e analise a fonte do problema.
Solicite aos gestores os documentos que certificam a compra dos softwares
proprietários, compare se os softwares encontrados na auditoria são os mesmos
adquiridos e na mesma quantidade.
Se possível indique softwares livre equivalentes para substituição dos
programas pirata, para homologação e uso definitivo.
Network Scan - Utilizado para avaliar os ativos, redes ou aplicações
vulneráveis. Há inúmeros scanners de vulnerabilidade disponíveis hoje, que se
distinguem uma da outra por um foco em alvos específicos. Enquanto a
funcionalidade varia entre diferentes tipos de scanners de vulnerabilidade, eles
compartilham um objetivo comum, enumerar as vulnerabilidades presentes em
um ou mais alvos
Este é mais um item a ser executado na rede e avaliado junto aos relatórios já
desenvolvidos.
6. É uma estrutura de vários serviços e ferramentas que oferecem uma análise de
vulnerabilidade abrangente e poderosa solução de gerenciamento e
vulnerabilidade. O scanner de segurança é acompanhado com uma alimentação
diária atualizada (NVTs) mais de 25 mil no total.
Com toda essas informações em mãos, verifique se o processo administrativo
não há falhas para melhor compreensão leia os principais tópicos da ISO 27001,
ao qual também possui pontos de referências de como documentar a auditoria.