Hvordan å trekke sikkerhetstestresultater sammen for rapportering - dummies

Når du har gobs av sikkerhetstestdata - fra skjermbilder og manuelle observasjoner du dokumentert til detaljerte rapporter generert av de ulike sårbarhetsskannerne du brukte - hva gjør du med det hele? Du må gå gjennom dokumentasjonen din med en fintandet kam og markere alle områdene som skiller seg ut. Baser dine beslutninger på følgende:

• Sårbarhetsrangering fra dine vurderingsverktøy

• Din kunnskap som IT / sikkerhetsprofessor

• Konteksten av sikkerhetsproblemet og hvordan det faktisk påvirker virksomheten

For å finne ut mer informasjon om sikkerhetsproblemet, Rike sikkerhetsverktøy gir hver sårbarhet en rangering (basert på den generelle risikoen), forklarer sikkerhetsproblemet, gir mulige løsninger og inkludere relevante lenker til følgende: leverandørwebsteder, nettsiden for felles sikkerhetsproblemer og eksponeringer og den nasjonale sikkerhetsdatabasen. For videre forskning, må du kanskje også referere leverandørens nettsted, andre støttesider og nettfora for å se om sikkerhetsproblemet påvirker ditt system og situasjon. Samlet forretningsrisiko er hovedfokuset ditt.

I det endelige rapportdokumentet, vil du kanskje organisere sikkerhetsproblemene som vist i følgende liste:

• Ikke-tekniske funn

  • Sårbarhetsproblemer med sosialteknologi

  • Sårbarheter i fysisk sikkerhet

  • IT og sikkerhetsoperasjoner sårbarheter

• Tekniske funn

  • Nettverksinfrastruktur

  • Operativsystemer

  • Brannmurregelbaser

  • Databaser

  • Nettapplikasjoner

  • Mobilapper

  • Mobil enheter

For ytterligere klarhet kan du opprette separate seksjoner i rapporten for intern og ekstern sikkerhet sårbarheter samt høy og moderat prioritet. En siste notat: Det er generelt en god ide å vite at funnene dine med systemeierne først for å sikre at de faktisk er gyldige.