¿Cómo comunicar los resultados de evaluación de seguridad

Es posible que necesite para organizar su información de vulnerabilidad en un documento formal para la gestión o su cliente para que puedan evaluar el riesgo de piratería en su propia empresa. Esto no es siempre el caso, pero a menudo lo profesional para hacer y muestra que se toma su trabajo en serio. Descubrir a los hallazgos críticos y documentar de manera que otras partes puedan entenderlos.

Gráficos y tablas son un plus. Las capturas de pantalla de sus hallazgos - especialmente cuando es difícil de guardar los datos en un archivo - pueden añadir un toque agradable a sus informes y mostrar evidencia tangible de que el problema existe.

Documentar las vulnerabilidades de una manera concisa, no técnico. Cada informe deberá contener la siguiente información:

  • Fecha (s) se llevó a cabo la prueba

  • Las pruebas que se realizaron

  • Resumen de las vulnerabilidades descubiertas

  • lista priorizada de las vulnerabilidades que deben abordarse

  • Recomendaciones y medidas específicas sobre cómo tapar los agujeros de seguridad encontrados

Si va a añadir valor a la gestión o su cliente (y lo hace a menudo), puede agregar una lista de observaciones generales en torno a los procesos de negocio débiles, soporte de gestión de TI y seguridad, y así sucesivamente junto con recomendaciones para abordar cada tema.

La mayoría de las personas quieren que el informe final que incluya una resumen de los resultados - no todo. La última cosa que la mayoría de la gente quiere hacer es tamizar a través de un 5 pulgadas de espesor pila de papeles que contienen jerga técnica que significa muy poco para ellos. Muchas empresas de consultoría se han conocido a cobrar un brazo y una pierna para este mismo tipo de informe, pero eso no significa que sea la manera correcta de informar.

Muchos gerentes y clientes como la recepción de informes de datos en bruto de las herramientas de seguridad. De esta manera, se puede hacer referencia a los datos más adelante si quieren, pero no están sumidos en cientos de páginas impresas de jerigonza técnica. Sólo asegúrese de incluir los datos en bruto en el apéndice de su informe o en otro lugar y remite al lector a la misma.

Su lista de elementos de acción en su informe podría incluir lo siguiente:

  • Habilitar la auditoría de seguridad de Windows en todos los servidores - especialmente para los inicios de sesión y cierres de sesión.

  • Poner un cierre de seguridad en la puerta de la sala de servidores.

  • Harden sistemas operativos basados ​​en sólidas prácticas de seguridad de la Base de datos de vulnerabilidades y el Center for Internet Security Puntos de referencia Herramientas / Scoring.

  • Utilice una trituradora de papel de corte transversal para la destrucción de información confidencial impresa.

  • Requerir PIN fuertes o frases de acceso en todos los dispositivos móviles y los usuarios de la fuerza para cambiar periódicamente.

  • Instalar el software de servidor de seguridad personal / IPS en todos los portátiles.

  • Validar la entrada en todas las aplicaciones Web para eliminar cross-site scripting y la inyección de SQL.

  • Aplicar los últimos parches del fabricante con el servidor de base de datos.

Como parte del informe final, es posible que desee documentar las reacciones de los empleados que observa al llevar a cabo sus pruebas de hacking ético. Por ejemplo, los empleados son completamente ajenos o incluso beligerante cuando lleva a cabo un ataque obvia la ingeniería social? ¿El personal de seguridad de TI o completamente señorita soplos técnicas, tales como el rendimiento de la red degradantes durante las pruebas o varios ataques que aparecen en los archivos de registro del sistema?

También puede documentar otros problemas de seguridad que observa, como la rapidez con que los proveedores de servicios del personal de TI o de dirigentes responden a las pruebas o si responden en absoluto.

Custodiar el informe final para mantenerlo a salvo de personas que no están autorizadas para verlo. Un informe de la piratería ética y la documentación asociada y los archivos en las manos de un competidor, pirata informático, o información privilegiada maliciosos podrían significar un problema para la organización. Aquí hay algunas maneras de evitar que esto suceda:

  • Entregar el informe y la documentación y los archivos asociados sólo a aquellos que tienen una necesidad comercial de conocer.

  • Cuando se envía el informe final, cifrar todos los archivos adjuntos, tales como la documentación y los resultados de las pruebas, usando PGP, formato Zip cifrados o nube de servicio para compartir archivos de forma segura. Por supuesto, la entrega en mano es su apuesta más segura.

  • Dejar los pasos de la prueba real de que una persona con malas intenciones podría abusar de la presentación. Responder a cualquier pregunta sobre el tema, según sea necesario.

Artículos Relacionados
Vulnerabilidades de seguridad del sistema de gestión de base de datos
Las vulnerabilidades de seguridad en los sistemas basados ​​en la web
Vulnerabilidades de seguridad basadas en servidor
Llevando las evaluaciones de seguridad de ti círculo completo
Crear estándares de prueba para sus hacks éticos
La ejecución de las diferentes pruebas de seguridad en su propio entorno
Herramientas que no puede vivir sin la piratería
Harden sistemas contra vulnerabilidades de seguridad
Cómo los atacantes maliciosos engendrar hackers éticos
Cómo crear informes de pruebas de seguridad
Cómo tirar de resultados de pruebas de seguridad en conjunto para informar
Conocer sus vulnerabilidades de seguridad física para evitar cortes
Conocer sus vulnerabilidades de la infraestructura de red para evitar cortes
Selección de herramientas para el trabajo de la piratería
Sentar las bases para las pruebas de seguridad
Diez errores mortales que deben evitarse al hackear su empresa
Diez razones piratería es la mejor manera de garantizar la seguridad de la empresa
El proceso de hacking ético
Consejos para las evaluaciones de seguridad exitoso
¿Cuál es hacking ético?