Hur man fastställer mål för en etisk hackplan - dummies

Din testplan behöver mål. Huvudsyftet med etiskt hacking är att hitta sårbarheter i dina system ur de onda killarnas perspektiv så att du kan göra din miljö säkrare. Du kan då ta det här ett steg längre:

• Definiera mer specifika mål. Anpassa dessa mål med dina affärsmål. Vad är du och ledningen som försöker få från den här processen? Vilka prestationskriterier kommer du att använda för att du ska få ut det mesta av din testning?

• Skapa ett specifikt schema med start- och slutdatum samt tidpunkterna för testningen. Dessa datum och tider är kritiska komponenter i din övergripande plan.

Innan du börjar prova, behöver du absolut, positivt allt skriftligt och godkänt. Dokument allt och involvera hantering i denna process. Din bästa allierade i dina testinsatser är en chef som stöder vad du gör.

Följande frågor kan börja bollen rulla när du definierar målen för din etiska hackplan:

• Stödjer din testning affärsuppdraget och dess IT- och säkerhetsavdelningar?

• Vilka affärsmål uppfylls genom att utföra etisk hacking? Dessa mål kan innehålla följande:

  • Arbeta genom uttalande om standarder för intyg om förtroende (SSAE) 16 revisioner

  • Mötesförbundsregler som HIPAA och Betalningskortets datasäkerhetsstandard (PCI DSS)

  • Uppfyller avtalsvillkor för kunder eller affärspartners

  • Underhålla företagets image

  • Förberedelse för den internationellt accepterade säkerhetsstandarden för ISO / IEC 27001: 2013

• Hur förbättrar testningen säkerhet, IT och verksamheten som helhet?

• Vilken information skyddar du? Detta kan vara personlig hälsoinformation, immateriell äganderätt, konfidentiell kundinformation eller anställdas privata information.

• Hur mycket pengar, tid och ansträngning är du och din organisation villig att spendera på säkerhetsbedömningar?

• Vilka specifika leveranser kommer det att finnas? Leveranser kan innehålla allt från högnivåexekutiva rapporter till detaljerade tekniska rapporter och skrivningar om vad du testat, tillsammans med resultaten från dina test. Du kan leverera specifik information som tas upp under testningen, till exempel lösenord och annan konfidentiell information.

• Vilka specifika resultat vill du ha? Önskade resultat inkluderar motiveringen att anställa eller outsourca säkerhetspersonal, öka din säkerhetsbudget, uppfylla kraven för överensstämmelse eller förbättra säkerhetssystemen.

När du känner till dina mål, dokumentera stegen för att komma dit. Om ett mål är att utveckla en konkurrensfördel för att behålla befintliga kunder och locka till sig nya, bestämma svaren på dessa frågor:

• När ska du börja prova?

• Kommer din testmetod att vara blind, , där du inte vet något om de system du testar, eller kunskapsbaserad, där du får specifik information om system du testar, till exempel IP-adresser, värdnamn och till och med användarnamn och lösenord?

• Kommer testningen vara teknisk av naturen, involvera fysiska säkerhetsbedömningar eller till och med använda socialteknik?

• Kommer du att vara en del av ett större etiskt hackande lag, ibland kallat ett tigerlag eller rött lag?

• Kommer du att meddela de berörda parterna vad du gör och när du gör det? Om så, hur?

  Kundanmälan är en kritisk fråga. Många kunder uppskattar att du vidtar åtgärder för att skydda deras information. Närma testningen på ett positivt sätt. Säg inte, "Vi bryter in i våra egna system för att se vilken information som är sårbar för hackare", även om det är vad du gör. I stället säg att du utvärderar den övergripande säkerheten i din nätverksmiljö så att informationen blir så säker som möjligt.

• Hur kommer du att veta om kunderna ens bryr sig om vad du gör?

• Hur kommer du att meddela kunder att organisationen vidtar åtgärder för att förbättra säkerheten för deras information?

• Vilka mätningar kan säkerställa att dessa insatser lönar sig?

Att fastställa dina mål tar tid, men du kommer inte ångra det. Dessa mål är din vägkarta. Om du har några problem hänvisar du till dessa mål för att se till att du håller dig på rätt spår.