Video: DOELEN STELLEN ???? | Podcast #057 2024
Je testplan heeft doelen nodig. Het belangrijkste doel van ethisch hacken is om kwetsbaarheden in uw systemen te vinden vanuit het perspectief van de slechteriken, zodat u uw omgeving veiliger kunt maken. Je kunt dan een stap verder gaan:
-
Meer specifieke doelen definiëren. Richt deze doelen op uw bedrijfsdoelstellingen. Wat probeert u en het management van dit proces te krijgen? Welke prestatiecriteria zult u gebruiken om ervoor te zorgen dat u het meeste uit uw tests haalt?
-
Maak een specifiek schema met start- en einddatums en de tijdstippen waarop uw tests moeten plaatsvinden. Deze datums en tijden zijn cruciale onderdelen van uw algehele plan.
Voordat u begint met testen, heeft u absoluut alles positief schriftelijk nodig en goedgekeurd. Document alles en betrek het management bij dit proces. Uw beste bondgenoot in uw testinspanningen is een manager die ondersteunt wat u doet.
De volgende vragen kunnen de bal aan het rollen brengen wanneer u de doelen definieert voor uw ethische hackplan:
-
Ondersteunt uw testen de missie van het bedrijf en zijn IT- en beveiligingsafdelingen?
-
Aan welke bedrijfsdoelen wordt voldaan door ethisch hacken uit te voeren? Deze doelen kunnen het volgende omvatten:
-
Werken met Statement for Standards for Attestation Engagements (SSAE) 16 audits
-
Voldoen aan federale regelgeving zoals de Health Insurance Portability and Accountability Act (HIPAA) en de Payment Card Industry Data Security Standard (PCI DSS)
-
Voldoen aan contractuele vereisten van klanten of zakenpartners
-
Het imago van het bedrijf behouden
-
Prepping voor de internationaal aanvaarde beveiligingsnorm van ISO / IEC 27001: 2013
-
-
Hoe zullen deze testen de veiligheid, IT en het bedrijf als geheel verbeteren?
-
Welke informatie beschermt u? Dit kunnen persoonlijke gezondheidsinformatie, intellectueel eigendom, vertrouwelijke klantinformatie of persoonlijke informatie van werknemers zijn.
-
Hoeveel geld, tijd en moeite zijn u en uw organisatie bereid te besteden aan beveiligingsbeoordelingen?
-
Welke specifieke deliverables zullen er zijn? Deliverables kunnen alles omvatten, van uitvoerbare rapporten op hoog niveau tot gedetailleerde technische rapporten en uitwerkingen van wat u hebt getest, samen met de resultaten van uw tests. U kunt specifieke informatie leveren die tijdens uw tests wordt verzameld, zoals wachtwoorden en andere vertrouwelijke informatie.
-
Welke specifieke resultaten wilt u? Gewenste resultaten omvatten de rechtvaardiging voor het inhuren of uitbesteden van beveiligingspersoneel, het verhogen van uw beveiligingsbudget, het voldoen aan nalevingsvereisten of het verbeteren van beveiligingssystemen.
Nadat u uw doelen kent, documenteert u de stappen om daar te komen. Als een van de doelen bijvoorbeeld is een concurrentievoordeel te ontwikkelen om bestaande klanten te behouden en nieuwe klanten aan te trekken, moet u het antwoord op deze vragen bepalen:
-
Wanneer gaat u testen?
-
Zal uw testmethode blind zijn, waarin u niets weet over de systemen die u test, of op kennis gebaseerde, waarin u specifieke informatie over de systemen die u test, zoals IP-adressen, hostnamen en zelfs gebruikersnamen en wachtwoorden?
-
Zullen uw testen technisch van aard zijn, fysieke beveiligingsbeoordelingen omvatten of zelfs gebruik maken van social engineering?
-
Maak je deel uit van een groter ethisch hackteam, ook wel een tijgerteam of rood team genoemd?
-
Brengt u de betrokken partijen op de hoogte van wat u doet en wanneer u het doet? Zo ja, hoe?
Kennisgeving van klanten is een kritiek probleem. Veel klanten stellen het op prijs dat u stappen onderneemt om hun informatie te beschermen. Benader de testen op een positieve manier. Zeg niet: "Wij breken ons eigen systeem in om te zien welke informatie kwetsbaar is voor hackers", zelfs als dat is wat u doet. Stel in plaats daarvan dat u de algemene beveiliging van uw netwerkomgeving evalueert, zodat de informatie zo veilig mogelijk is.
-
Hoe weet u of klanten er zelfs om geven wat u doet?
-
Hoe kunt u klanten laten weten dat de organisatie stappen onderneemt om de beveiliging van hun gegevens te verbeteren?
-
Welke metingen kunnen ervoor zorgen dat deze inspanningen vruchten afwerpen?
Het vaststellen van uw doelen kost tijd, maar u zult er geen spijt van krijgen. Deze doelen zijn je routekaart. Als u zich zorgen maakt, raadpleegt u deze doelen om ervoor te zorgen dat u op het goede spoor blijft.