Video: Hvordan opprette avtalegiro 2025
Du må kanskje organisere sikkerhetsprosessens sikkerhetsinformasjon i et formelt dokument for ledelse eller for din klient. Dette er ikke alltid tilfelle, men det er ofte den profesjonelle tingen å gjøre og viser at du tar jobben din på alvor. Gjør ut de kritiske funnene og dokumenter dem slik at andre parter kan forstå dem.
Grafer og diagrammer er et pluss. Skjermfanger av funnene dine - spesielt når det er vanskelig å lagre dataene i en fil - legg til en fin berøring til rapportene dine og vis praktisk bevis for at problemet eksisterer.
Dokumentere sårbarhetene på en kort, ikke-teknisk måte. Hver rapport skal inneholde følgende opplysninger:
-
Dato (er) testen ble utført
-
Tester som ble utført
-
Sammendrag av de oppdagede sårbarhetene
-
Prioriterte liste over sårbarheter som må tas opp
-
Anbefalinger og spesifikke trinn på hvordan du kobler sikkerhetshullene som er funnet
Det legger alltid til verdi hvis du kan utføre en operativ vurdering av IT / sikkerhetsprosesser. Legg til en liste over generelle observasjoner rundt svake forretningsprosesser, ledelsens støtte til IT og sikkerhet, og så videre, sammen med anbefalinger for å løse hvert problem. Du kan se på dette som en slags årsaksanalyse.
De fleste vil at sluttrapporten inneholder en oppsummering av funnene - ikke alt. Det siste de fleste ønsker å gjøre er å sile gjennom en 600-siders PDF-fil som inneholder teknisk sjargong som betyr lite for dem. Mange konsulentfirmaer har vært kjent for å lade megabucks for denne typen rapport. Og de kommer unna med det. Men det gjør det ikke riktig.
Administratorer og utviklere trenger de raske datahistoriene fra sikkerhetsverktøyene. På den måten kan de referere til dataene senere når de trenger å se bestemte HTTP-forespørsler / svar, detaljer om manglende oppdateringer og så videre.
Som en del av sluttrapporten, vil du kanskje dokumentere atferd du observerer når du utfører dine sikkerhetstester. For eksempel er ansatte helt uvitende eller enda krigsførende når du utfører et åpenbart samfunnsteknisk angrep? Blir IT- eller sikkerhetspersonalet helt glipp av tekniske tips, for eksempel ytelsen til nettverket som forringes under testingen eller ulike angrep som vises i systemloggfiler?
Du kan også dokumentere andre sikkerhetsproblemer du observerer, for eksempel hvor raskt IT-personale eller administrerte tjenesteleverandører svarer på testene dine eller om de reagerer i det hele tatt. Ved å følge grunnlagsanalysens tilnærming må eventuelle manglende, ufullstendige eller ikke fulgte prosedyrer dokumenteres.
Vakt sluttrapporten for å holde den sikker fra personer som ikke er autorisert til å se den. En sikkerhetsvurderingsrapport og tilhørende data og støttende filer i hendene på en konkurrent, hacker eller ondsinnet insider kan stave problemer for organisasjonen. Her er noen måter å forhindre at dette skjer på:
-
Lever rapporten og tilhørende dokumentasjon og filer bare til de som har en bedrift, trenger å vite.
-
Hvis du sender den endelige rapporten elektronisk, krypterer du alle vedlegg, for eksempel dokumentasjon og testresultater ved hjelp av et kryptert Zip-format eller sikker sky fildelingstjeneste.
