Domanda:
Gli aggiornamenti della sicurezza di Windows vengono controllati?
Nav
2010-12-15 12:07:37 UTC
view on stackexchange narkive permalink

Un addetto IT ha detto che nella sua azienda gli aggiornamenti di Windows (piccoli aggiornamenti di sicurezza che vengono scaricati automaticamente dall'autoupdate di Windows) vengono controllati dal revisore. vale a dire: l'auditor controlla se ogni sistema dell'azienda ha questi aggiornamenti installati. Non potevo credere che i revisori controllassero effettivamente questi dettagli. Davvero?

Tre risposte:
ReinstateMonica Larry Osterman
2010-12-15 13:11:46 UTC
view on stackexchange narkive permalink

A quanto ho capito (non sono un avvocato e non sono un responsabile della conformità, quindi prendi ciò che dico con le pinze), ci sono interpretazioni della conformità SOX che richiedono che un'azienda disponga di meccanismi per garantire che tutte le macchine sono aggiornate con le patch. Quindi non mi sorprenderebbe affatto se fossero controllati.

AviD
2010-12-15 17:11:01 UTC
view on stackexchange narkive permalink

Ci sono sicuramente alcune normative che richiedono questo controllo.
Ad esempio, PCI-DSS richiede (richiesto? Non hai ancora esaminato la v2 ..) che tutte le patch di sicurezza siano installate entro un certo periodo di tempo. E sì, anche i QSA devono verificare questo.

Questo è davvero il motivo per cui il software di controllo / protezione dell'accesso alla rete verifica se i sistemi sono corretti. La "gestione delle vulnerabilità" è una vendita difficile, rispetto alle "multe per conformità".
@Graham, che ovviamente richiama la canonica [* AviD's Law of Compliance *] (http://security.stackexchange.com/q/622/33#631): "" La conformità PCI riduce il rischio di sanzioni in caso di non conformità "`
Rory Alsop
2010-12-15 13:47:32 UTC
view on stackexchange narkive permalink

Da una serie di organizzazioni di cui mi occupavo dal punto di vista dell'audit IT, il termine "audit" qui di solito significava "controllare l'elenco degli aggiornamenti installati rispetto all'elenco pubblicato" non approfondire ciò che ciascuno di essi conteneva . ad esempio, se fosse un "critico" da parte del fornitore, l'audit si preoccuperebbe se non fosse stato implementato in modo tempestivo o, in caso contrario, avrebbe una buona ragione per l'eccezione.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...