Como estabelecer metas para um plano de hacking ético
Seu plano de teste precisa de metas. O principal objetivo do hacking ético é encontrar vulnerabilidades em seus sistemas a partir da perspectiva dos bandidos para que você possa fazer o seu ambiente mais seguro. Você pode então levar isso um passo além:
Conteúdo
Video: Como definir e alcançar metas para 2017
Definir objetivos mais específicos. Alinhar essas metas com seus objetivos de negócios. O que você e a gerência tentando obter a partir deste processo? Quais os critérios de desempenho que você vai usar para garantir que você está recebendo o máximo proveito do seu teste?
Video: Faça Acontecer: Crie Seu Mês Com Este Plano de Metas Mensal ✨
Criar uma programação específica com datas de início e fim, bem como as vezes o seu teste é para ocorrer. Estas datas e horários são componentes críticos de seu plano global.
Antes de começar qualquer teste, você absolutamente, precisa positivamente tudo por escrito e aprovado. Documentar tudo e envolvem a gestão neste processo. O seu melhor aliado em seus esforços de teste é um gerente que suporta o que está fazendo.
As seguintes perguntas podem começar a bola rolar quando você definir as metas para o seu plano de hacking ético:
Será que o seu teste de apoiar a missão da empresa e seu TI e departamentos de segurança?
Que objetivos de negócios sejam atendidas através da realização de hacking ético? Esses objetivos podem incluir o seguinte:
Trabalhando através de Declaração sobre Normas de Certificação acoplamentos (SSAE) 16 auditorias
Atender às regulamentações federais, como o Health Insurance Portability e Accountability Act (HIPAA) e do Cartão de Pagamento Padrão de Segurança de Dados da Indústria (PCI DSS)
Atender aos requisitos contratuais de clientes ou parceiros de negócios
Manter a imagem da empresa
Preparar para o padrão de segurança internacionalmente aceites da ISO / IEC 27001: 2013
Como este teste melhorar a segurança, TI e do negócio como um todo?
Que informação você está protegendo? Esta poderia ser informações pessoais de saúde, propriedade intelectual, informações confidenciais de clientes, ou informações confidenciais dos funcionários.
Video: 3 ПРОСТЫХ ЛАЙФХАКА
Quanto dinheiro, tempo e esforço são você e sua organização disposto a gastar em avaliações de segurança?
Que resultados específicos haverá? entregas pode incluir qualquer coisa de relatórios executivos de alto nível para relatórios técnicos detalhados e write-ups sobre o que você testou, juntamente com os resultados de seus testes. Você pode entregar a informação específica que é adquirida durante o teste, como senhas e outras informações confidenciais.
Que resultados específicos que você quer? resultados desejados incluem a justificativa para a contratação ou terceirização pessoal de segurança, aumentando seu orçamento de segurança, atendendo aos requisitos de conformidade, ou melhorar sistemas de segurança.
Video: 5 Simple Life hacks & Ideas
Depois que você sabe seus objetivos, documentar os passos para chegar lá. Por exemplo, se um objetivo é desenvolver uma vantagem competitiva para manter os clientes existentes e atrair novos, determinar as respostas a estas perguntas:
Quando você vai começar o seu teste?
Será que a sua abordagem de teste ser cego, em que você não sabe nada sobre os sistemas que você está testando, ou Baseada no conhecimento, em que você está dado informações específicas sobre os sistemas que você está testando, como endereços IP, nomes de host, e até mesmo nomes de usuários e senhas?
Será que o seu teste ser de natureza técnica, envolver avaliações de segurança física, ou mesmo usar a engenharia social?
você será parte de uma equipe de hacking ético maior, às vezes chamado de equipe de tigre ou Equipa vermelha?
você vai notificar as partes afetadas do que você está fazendo e quando você está fazendo isso? Se sim, como?
notificação do cliente é uma questão crítica. Muitos clientes apreciam que você está tomando medidas para proteger suas informações. Aproximamos do teste de uma forma positiva. Não diga: “Estamos quebrando em nossos próprios sistemas para ver que informação é vulnerável a hackers,” mesmo se é isso que você está fazendo. Em vez disso, dizer que você está avaliando a segurança geral do seu ambiente de rede assim que a informação será o mais seguro possível.
Como você vai saber se os clientes sequer se preocupam com o que você está fazendo?
Como é que vai notificar os clientes de que a organização está tomando medidas para aumentar a segurança de suas informações?
Que medidas podem garantir que esses esforços estão valendo a pena?
Estabelecer seus objetivos leva tempo, mas você não vai se arrepender. Estes objetivos são o seu roteiro. Se você tiver alguma dúvida, consulte estes objetivos para certificar-se de que você permanecer na pista.