Indholdsfortegnelse:
- Etisk hacking versus revision
- Du kan også overveje at oprette et sikkerhedsstandarddokument, der beskriver de specifikke sikkerhedsprøvningsværktøjer, der bruges, og bestemte personer, der udfører testen. Du kan også nævne standard test datoer, som en gang pr. Kvartal for eksterne systemer og halvårlige tests for interne systemer - uanset hvad der virker for din virksomhed.
- Mange af de føderale love og forskrifter i USA - såsom lov om sundhedsforsikringstransport og ansvarlighed (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH) Act, Gramm-Leach-Bliley Act (GLBA) , NERC's krav til kritisk infrastrukturbeskyttelse (CIP) og PCI DSS - kræver stærke sikkerhedskontroller og konsekvente sikkerhedsevalueringer. Relaterede internationale love, såsom den canadiske lovgivning om personlig databeskyttelse og elektroniske dokumenter (PIPEDA), EU's databeskyttelsesdirektiv og Japans personlige databeskyttelseslov (JPIPA) er ikke forskellige.
Video: FM17 Features | Football Manager 2017 2024
Du har brug for beskyttelse mod hacker shenanigans; du er nødt til at blive så kyndig som fyre forsøger at angribe dine systemer. En ægte sikkerhedsvurdering professionel besidder en hacker's færdigheder, tankegang og værktøjer, men det er også troværdigt. Han eller hun udfører hackene som sikkerhedstest mod systemer baseret på hvordan hackere kan arbejde.
Etisk hacking - som omfatter formel og metodisk penetrationstestning, hvid hat hacking og sårbarhedsprøvning - involverer de samme værktøjer, tricks og teknikker, som kriminelle hackere bruger, men med en stor forskel: Etisk hacking udføres med målets tilladelse i en professionel indstilling. Formålet med etisk hacking er at opdage sårbarheder fra en ondsindet angriberens synspunkt til bedre sikre systemer. Etisk hacking er en del af et overordnet informationsrisikostyringsprogram, der giver mulighed for løbende sikkerhedsforbedringer. Etisk hacking kan også sikre, at leverandørernes krav om deres produkters sikkerhed er legitime.
Hvis du udfører etiske hackingstests og ønsker at tilføje en anden certificering til dine referencer, kan du overveje at blive certificeret etisk hacker (CEH) gennem et certificeringsprogram sponsoreret af EC-Council. Ligesom Certified Information Systems Security Professional (CISSP) er CEH-certificeringen blevet en velkendt og respekteret certificering i branchen. Det er endda akkrediteret af American National Standards Institute (ANSI 17024).
Andre muligheder omfatter programmet SANS Global Information Assurance Certification (GIAC) og OSCP-programmet (Offensive Security Certified Professional) - en fuldstændig praktisk certificeringstest. Alt for ofte har folk, der udfører denne type arbejde, ikke den rette praktiske erfaring til at gøre det godt.
Etisk hacking versus revision
Mange mennesker forvirrer sikkerhedsprøvning via den etiske hacking-tilgang med sikkerhedsrevision, men der er forskelle på store, nemlig målene. Sikkerhedsrevision indebærer sammenligning af virksomhedens sikkerhedspolitikker (eller krav til overholdelse) til det, der rent faktisk finder sted. Formålet med sikkerhedsrevision er at validere, at sikkerhedskontrol eksisterer - typisk ved hjælp af en risikobaseret tilgang. Revision omfatter ofte gennemgang af forretningsprocesser og kan i mange tilfælde ikke være meget teknisk. Sikkerhedsrevisioner er normalt baseret på checklister.
ikke
eksisterer eller er ineffektive i bedste fald. Etisk hacking kan både være højt teknisk og ikke-teknologisk, og selv om du bruger en formel metode, har den tendens til at være lidt mindre struktureret end formel revision. Hvor der er behov for revision (som for ISO 9001 og 27001 certificeringer) i din organisation, kan du overveje at integrere etiske hackingsteknikker i dit it / sikkerhedskontrolprogram. De supplerer hinanden rigtig godt. Politiske overvejelser
Hvis du vælger at gøre etisk hacking en vigtig del af virksomhedens informationsrisikostyringsprogram, skal du virkelig have en dokumenteret sikkerhedstestpolitik. En sådan politik beskriver, hvem der laver testen, den generelle type test, der udføres, og hvor ofte testen finder sted.
Du kan også overveje at oprette et sikkerhedsstandarddokument, der beskriver de specifikke sikkerhedsprøvningsværktøjer, der bruges, og bestemte personer, der udfører testen. Du kan også nævne standard test datoer, som en gang pr. Kvartal for eksterne systemer og halvårlige tests for interne systemer - uanset hvad der virker for din virksomhed.
Overholdelse og lovgivningsmæssige bekymringer
Dine egne interne politikker kan diktere, hvordan ledelsen ser sikkerhedsprøvning, men du skal også overveje de statslige, føderale og internationale love og regler, der påvirker din virksomhed. I særdeleshed sender Digital Millennium Copyright Act (DMCA) kuldegysninger ned over rygsøjlen af legitime forskere.
Mange af de føderale love og forskrifter i USA - såsom lov om sundhedsforsikringstransport og ansvarlighed (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH) Act, Gramm-Leach-Bliley Act (GLBA), NERC's krav til kritisk infrastrukturbeskyttelse (CIP) og PCI DSS - kræver stærke sikkerhedskontroller og konsekvente sikkerhedsevalueringer. Relaterede internationale love, såsom den canadiske lovgivning om personlig databeskyttelse og elektroniske dokumenter (PIPEDA), EU's databeskyttelsesdirektiv og Japans personlige databeskyttelseslov (JPIPA) er ikke forskellige.
Hvis du indarbejder dine sikkerhedstests i disse overholdelseskrav, er det en fantastisk måde at opfylde de statslige og føderale bestemmelser på og øge dit samlede informationssikkerheds- og privatlivsprogram.
