Hvordan du oppretter mål for en etisk hackingsplan - dummies

Din testplan trenger mål. Hovedmålet med etisk hacking er å finne sårbarheter i systemene dine fra de dårlige gutta, slik at du kan gjøre ditt miljø tryggere. Du kan da ta dette et skritt videre:

• Definer mer spesifikke mål. Juster disse målene med dine forretningsmål. Hva er du og ledelsen prøver å få fra denne prosessen? Hvilke ytelseskriterier vil du bruke for å sikre at du får mest mulig ut av testingen din?

• Lag en bestemt tidsplan med start- og sluttdatoer, samt tidspunktene testene dine skal finne sted. Disse datoene og tider er kritiske komponenter i din overordnede plan.

Før du begynner en test, trenger du absolutt alt du trenger skriftlig og godkjent. Dokumentere alt og involvere ledelse i denne prosessen. Din beste allierte i testingen din er en leder som støtter det du gjør.

Følgende spørsmål kan starte ballen som ruller når du definerer målene for din etiske hackingplan:

• Støtter testingen din virksomhetens oppgaver og IT- og sikkerhetsavdelinger?

• Hvilke forretningsmål oppfylles ved å utføre etisk hacking? Disse målene kan omfatte følgende:

  • Gjennomføring av erklæring om standarder for attestasjonsforpliktelser (SSAE) 16 revisjoner

  • Møtforbundsforskrifter som HIPAA og Betalingskort Industri Datasikkerhetsstandard (PCI DSS)

  • Møt kontraktsbehov hos kunder eller samarbeidspartnere

  • Vedlikehold av selskapets image

  • Forberedelse for den internasjonalt aksepterte sikkerhetsstandarden ISO / IEC 27001: 2013

• Hvordan forbedrer denne testen sikkerhet, IT og virksomheten som helhet?

• Hvilken informasjon beskytter du? Dette kan være personlig helseinformasjon, immaterielle rettigheter, konfidensiell klientinformasjon eller medarbeideres private opplysninger.

• Hvor mye penger, tid og innsats er du og din organisasjon villig til å bruke på sikkerhetsvurderinger?

• Hvilke konkrete leveranser vil det være? Leveranser kan inkludere alt fra utøvende rapporter fra høyt nivå til detaljerte tekniske rapporter og oppskrifter på det du testet, sammen med resultatene av testene dine. Du kan levere spesifikk informasjon som blir oppsamlet under testingen, for eksempel passord og annen konfidensiell informasjon.

• Hvilke konkrete utfall vil du ha? Ønskede resultater inkluderer begrunnelsen for å ansette eller outsource sikkerhetspersonell, øke sikkerhetsbudsjettet, møte krav til overholdelse eller forbedre sikkerhetssystemene.

Når du vet målene dine, dokumenterer du trinnene for å komme dit. For eksempel, hvis ett mål er å utvikle en konkurransefortrinn for å beholde eksisterende kunder og tiltrekke seg nye, bestem svarene på disse spørsmålene:

• Når skal du starte testingen?

• Vil testmetoden din være blind, der du ikke vet noe om systemene du prøver, eller kunnskapsbasert, hvor du får spesifikk informasjon om systemer du tester, for eksempel IP-adresser, vertsnavn og til og med brukernavn og passord?

• Vil testingen være teknisk i naturen, involvere fysiske sikkerhetsvurderinger, eller til og med bruke sosialteknikk?

• Vil du være en del av et større etisk hackingsteam, noen ganger kalt et tigerlag eller rødt lag?

• Vil du varsle de berørte partene om hva du gjør og når du gjør det? Hvis ja, hvordan?

  Kundevarsling er et kritisk problem. Mange kunder setter pris på at du tar skritt for å beskytte deres informasjon. Tilnærming testingen på en positiv måte. Ikke si, "Vi bryter inn i våre egne systemer for å se hvilken informasjon som er sårbar for hackere," selv om det er det du gjør. I stedet, si at du vurderer den generelle sikkerheten til nettverksmiljøet ditt, slik at informasjonen blir så sikker som mulig.

• Hvordan vil du vite om kundene selv bryr seg om hva du gjør?

• Hvordan vil du varsle kundene om at organisasjonen tar skritt for å forbedre sikkerheten til informasjonen deres?

• Hvilke målinger kan sikre at disse anstrengelsene lønner seg?

Etablering av mål tar tid, men du vil ikke angre på det. Disse målene er ditt veikart. Hvis du har noen bekymringer, se disse målene for å sikre at du holder deg på sporet.