Un test di penetrazione standard è il processo della valutazione di misure di sicurezza informazioni attivamente. Ci sono un numerosi modi che questo può essere fatto. La procedura più comune è che le misure di sicurezza sono attivamente analizzate per le debolezze di progettazione, difetti tecnici e vulnerabilità. Queste aree fondamentali la comprensione è essenziale per la creazione di un sistema efficace e di successo. Dopo il test i risultati sono dato esaurientemente in un rapporto al pubblico appropriato sia esecutivo, gestione o il gruppo IT.
Ci sono diverse ragioni perché le organizzazioni scelgono di effettuare un test di penetrazione standard; vanno dal tecnico al commerciale. I motivi più comuni sono da identificare eventuali minacce sulle informazioni dell'organizzazione, in modo che è possibile quantificare il rischio di informazioni e fornire una protezione adeguata. Un altro motivo è quello di ridurre l'organizzazione di costi di sicurezza IT e fornire un migliore ritorno su qualsiasi investimento di sicurezza IT di identificare le vulnerabilità e debolezze.
Questi possono essere conosciuti vulnerabilità nelle tecnologie sottostanti o debolezze nella progettazione o attuazione. Altri motivi includono semplicemente fornendo l'organizzazione con garanzia. Una valutazione completa ed esauriente della sicurezza organizzativa, copertura politica, procedura, progettazione e implementazione porterà fiducia. Infine molte organizzazioni scelgono di effettuare un test di penetrazione standard al fine di ottenere e mantenere la certificazione speciale per una regolazione di settore. Un test di penetrazione standard comporterà l'analisi sistematica di tutte le misure di sicurezza nel luogo. Un progetto completo dovrebbe includere alcune delle seguenti aree.
Ogni test sarà diverso a seconda delle esigenze dell'organizzazione. Tutte le mansioni sono scritte e preparate prima dell'inizio della prova penetrometrica standard. C'è un sacco di lavoro coinvolti prima della prova. Tuttavia, il vero valore di un test di penetrazione è nella relazione che si riceve alla fine. Se i risultati non sono chiari e facili da capire, quindi l'intero esercizio è di poco valore. Idealmente la relazione dovrebbe essere suddiviso in sezioni che sono specificamente mirate al loro pubblico. I membri del Consiglio, bisogno, ad esempio, i rischi e le possibili soluzioni descritte in termini semplici.
Responsabili tecnici serve un'ampia panoramica della situazione senza ottenere sepolto nei dettagli, e gli amministratori di sistema hanno bisogno di un elenco delle vulnerabilità tecniche all'indirizzo. In sostanza, un test di penetrazione standard è solo buono come le relazioni che sono indicate alla fine. Se non è chiaramente compresa da ciascuno dei partecipanti previsto è di poco valore. Con molti che ora le aziende che forniscono servizi di test di penetrazione, la qualità delle relazioni varia enormemente; tutto da una pagina di punti elenco, trecento pagine della mente paralizzante ripetizione. Entrambi questi tipi sono inutili. A seguito di questa ampia variazione, è saggio chiedere per un report di esempio prima di procedere con qualsiasi nuovo fornitore di servizi di test di penetrazione.
Inoltre, alcuni fornitori di servizio verranno addebitato separatamente per presentare i risultati del rapporto alla tua squadra; chiarire questo prima di fare una scelta definitiva. La qualità del vostro standard penetration test sarà la diretta conseguenza della qualità dei consulenti che verranno forniti per il progetto.
Assicurarsi che essi sono qualificati e con esperienza. Altrettanto importante è che sono di bell'aspetto e un buon comunicatore. Come discusso in precedenza, se le informazioni per il test non sono facilmente compreso il test è uno spreco di tempo.
No comments:
Post a Comment