Como estabelecer metas para um plano de hacking ético

Seu plano de teste precisa de metas. O principal objetivo do hacking ético é encontrar vulnerabilidades em seus sistemas a partir da perspectiva dos bandidos para que você possa fazer o seu ambiente mais seguro. Você pode então levar isso um passo além:

Video: Como definir e alcançar metas para 2017

  • Definir objetivos mais específicos. Alinhar essas metas com seus objetivos de negócios. O que você e a gerência tentando obter a partir deste processo? Quais os critérios de desempenho que você vai usar para garantir que você está recebendo o máximo proveito do seu teste?

    Video: Faça Acontecer: Crie Seu Mês Com Este Plano de Metas Mensal ✨

  • Criar uma programação específica com datas de início e fim, bem como as vezes o seu teste é para ocorrer. Estas datas e horários são componentes críticos de seu plano global.

Antes de começar qualquer teste, você absolutamente, precisa positivamente tudo por escrito e aprovado. Documentar tudo e envolvem a gestão neste processo. O seu melhor aliado em seus esforços de teste é um gerente que suporta o que está fazendo.

As seguintes perguntas podem começar a bola rolar quando você definir as metas para o seu plano de hacking ético:

Será que o seu teste de apoiar a missão da empresa e seu TI e departamentos de segurança?

  • Que objetivos de negócios sejam atendidas através da realização de hacking ético? Esses objetivos podem incluir o seguinte:

  • Trabalhando através de Declaração sobre Normas de Certificação acoplamentos (SSAE) 16 auditorias

  • Atender às regulamentações federais, como o Health Insurance Portability e Accountability Act (HIPAA) e do Cartão de Pagamento Padrão de Segurança de Dados da Indústria (PCI DSS)

  • Atender aos requisitos contratuais de clientes ou parceiros de negócios

  • Manter a imagem da empresa

  • Preparar para o padrão de segurança internacionalmente aceites da ISO / IEC 27001: 2013

  • Como este teste melhorar a segurança, TI e do negócio como um todo?

  • Que informação você está protegendo? Esta poderia ser informações pessoais de saúde, propriedade intelectual, informações confidenciais de clientes, ou informações confidenciais dos funcionários.

    Video: 3 ПРОСТЫХ ЛАЙФХАКА



  • Quanto dinheiro, tempo e esforço são você e sua organização disposto a gastar em avaliações de segurança?

  • Que resultados específicos haverá? entregas pode incluir qualquer coisa de relatórios executivos de alto nível para relatórios técnicos detalhados e write-ups sobre o que você testou, juntamente com os resultados de seus testes. Você pode entregar a informação específica que é adquirida durante o teste, como senhas e outras informações confidenciais.

  • Que resultados específicos que você quer? resultados desejados incluem a justificativa para a contratação ou terceirização pessoal de segurança, aumentando seu orçamento de segurança, atendendo aos requisitos de conformidade, ou melhorar sistemas de segurança.

    Video: 5 Simple Life hacks & Ideas

    • Depois que você sabe seus objetivos, documentar os passos para chegar lá. Por exemplo, se um objetivo é desenvolver uma vantagem competitiva para manter os clientes existentes e atrair novos, determinar as respostas a estas perguntas:

    • Quando você vai começar o seu teste?

    • Será que a sua abordagem de teste ser cego, em que você não sabe nada sobre os sistemas que você está testando, ou Baseada no conhecimento, em que você está dado informações específicas sobre os sistemas que você está testando, como endereços IP, nomes de host, e até mesmo nomes de usuários e senhas?

    • Será que o seu teste ser de natureza técnica, envolver avaliações de segurança física, ou mesmo usar a engenharia social?

    • você será parte de uma equipe de hacking ético maior, às vezes chamado de equipe de tigre ou Equipa vermelha?

    • você vai notificar as partes afetadas do que você está fazendo e quando você está fazendo isso? Se sim, como?

      notificação do cliente é uma questão crítica. Muitos clientes apreciam que você está tomando medidas para proteger suas informações. Aproximamos do teste de uma forma positiva. Não diga: “Estamos quebrando em nossos próprios sistemas para ver que informação é vulnerável a hackers,” mesmo se é isso que você está fazendo. Em vez disso, dizer que você está avaliando a segurança geral do seu ambiente de rede assim que a informação será o mais seguro possível.

    • Como você vai saber se os clientes sequer se preocupam com o que você está fazendo?

    • Como é que vai notificar os clientes de que a organização está tomando medidas para aumentar a segurança de suas informações?

    • Que medidas podem garantir que esses esforços estão valendo a pena?

    Estabelecer seus objetivos leva tempo, mas você não vai se arrepender. Estes objetivos são o seu roteiro. Se você tiver alguma dúvida, consulte estes objetivos para certificar-se de que você permanecer na pista.


    Publicações relacionadas
    Avaliar a sua infra-estrutura de segurança para evitar hacks
    Trazendo sua ti avaliações de segurança círculo completo
    Criar padrões de teste para seus hacks éticos
    Execução dos vários testes que segurança em seu próprio ambiente
    Mandamentos de hackers éticos
    Hacking a internet das coisas
    Como atacantes maliciosos gerar hackers éticos
    Como usar a análise da árvore ataque para se preparar para um corte ético
    Obedecendo os dez mandamentos de hacking ético
    A seleção de ferramentas para o trabalho de hackers
    Definir o cenário para testes de segurança
    Dez razões de hackers é a melhor maneira de garantir a segurança da empresa
    Dez maneiras de obter management buy-in superior para cortar o seu negócio
    O processo de hacking ético
    Coisas a considerar quando procuram um fornecedor de hacking ético
    Dicas para avaliações de segurança bem sucedido
    Compreender hacking e que você deve fazer para proteger seus sistemas
    Compreendendo a necessidade de cortar seus próprios sistemas
    O que é hacking ético?
    Por que você deve cortar seus próprios sistemas