In de wereld van hacking kunt u niet beveiligen wat u niet erkent. Dit geldt voor de eenvoudigste kwetsbaarheden op het netwerk, zoals een zwak Windows-domeinwachtwoordbeleid voor ingewikkeldere gebieden met toepassingsbeveiliging en mobiele apparaten. Als u alle juiste stappen hebt ondernomen om beveiligingszwakheden in uw netwerkomgeving te vinden, bent u goed op weg om de problemen op te lossen en uw informatierisico's te minimaliseren.
Hier is het ding: je moet je momentum aanhouden. Een van de meest voorkomende fouten die mensen maken in hun informatiebeveiligingsprogramma is te veronderstellen dat ze "geslaagd" zijn omdat ze grote beveiligingsfouten in hun omgeving hebben ontdekt. Ze geloven dat, omdat de zwakke punten zijn erkend, dat alles is wat nodig is om ervoor te zorgen dat alles onder controle blijft. Ze laten hun hoede vallen. Ze laten andere projecten voorrang krijgen.
Het ergste van allemaal is dat ze geloven dat iets ergs niet met ze zal gebeuren. Ze zijn tenslotte maar een saai, oud productiebedrijf of een kleine moeder-en-pop-startup die niet op de radar staat van mensen met slechte bedoelingen.
Het is deze fase in een informatiebeveiligingsprogramma waarin kwetsbaarheden worden misbruikt, bedrijfsrisico's toenemen en dingen uiteindelijk uit elkaar vallen. Om uw inspanningen op het gebied van beveiligingstests optimaal te benutten, moet u absoluut zorgen dat u uw inspanningen voor beveiligingsbeoordeling uitvoert. Dit houdt in:
-
Een formeel rapport maken met uw geprioriteerde bevindingen en dit delen met de juiste mensen binnen en buiten uw organisatie
-
Doen wat nodig is om de problemen op te lossen die worden blootgelegd, vaak via beleid, technische controles om te zorgen voor handhaving en aanpassing van bedrijfsprocessen
-
Uw informatiebeveiligingsbeheerprocessen aanpassen, zodat u sneller betere informatie kunt krijgen
-
De interesse van het management voor uw beveiligingsinitiatieven behouden (hopelijk heeft u al een aankoop gedaan -in!)
Informatiebeveiligingstests zijn een momentopname van waar uw netwerkomgeving nu staat. Het mag echter geen eenmalige gebeurtenis zijn. De enige echte manier om succesvol te zijn in informatiebeveiliging is om uw beveiligingstests periodiek en consistent te herhalen. Nieuwe kwetsbaarheden zullen worden ontdekt, uw hulpmiddelen zullen verbeteren en, het belangrijkste, u zult beter worden in het doen van dit werk.
Terwijl u deze reis aflegt, ziet u dat het testen van informatiebeveiliging niet zo moeilijk of duur hoeft te zijn, maar in plaats daarvan enorme uitbetalingen kan hebben op de lange termijn.