¿Cómo comunicar los resultados de evaluación de seguridad
Es posible que necesite para organizar su información de vulnerabilidad en un documento formal de gestión o su cliente para que puedan evaluar el riesgo de piratería en su propia empresa. Esto no es siempre el caso, pero a menudo es la cosa profesional para hacer y muestra que se toma su trabajo en serio. Descubrir a los hallazgos críticos y documentarlas para que otras partes puedan entenderlos.
Gráficos y tablas son un plus. Las capturas de pantalla de sus resultados - especialmente cuando es difícil de guardar los datos en un archivo - pueden añadir un toque agradable a sus informes y mostrar evidencia tangible de que el problema existe.
Documentar las vulnerabilidades de una manera concisa, no técnico. Cada informe deberá contener la siguiente información:
Fecha (s) se ha realizado la prueba
Las pruebas que se realizaron
Resumen de las vulnerabilidades descubiertas
Lista priorizada de las vulnerabilidades que deben abordarse
Recomendaciones y medidas específicas sobre cómo tapar los agujeros de seguridad encontrados
Si va a agregar valor a la gestión o su cliente (y lo hace a menudo), puede agregar una lista de observaciones generales en torno a los procesos de negocio débiles, el apoyo de la gestión de las TI y de seguridad, y así sucesivamente, junto con recomendaciones para abordar cada tema.
La mayoría de la gente quiere el informe final que incluya una resumen de los resultados - no todo. Lo último que la mayoría de la gente quiere hacer es tamizar a través de un 5 pulgadas de grueso montón de papeles que contienen jerga técnica que significa muy poco para ellos. Muchas empresas de consultoría han llegado a cobrar un brazo y una pierna para este mismo tipo de informe, pero eso no significa que sea la manera correcta de informar.
Muchos gerentes y clientes como la recepción de los informes de datos en bruto de las herramientas de seguridad. De esa manera, se puede hacer referencia a los datos más adelante si quieren, pero no están sumidos en cientos de páginas impresas de jerigonza técnica. Sólo asegúrese de incluir los datos en bruto en el apéndice de su informe o en otros lugares y remite al lector a la misma.
Su lista de puntos de acción en su informe podría incluir lo siguiente:
Habilitar la auditoría de seguridad de Windows en todos los servidores - especialmente para los inicios de sesión y cierres de sesión.
Ponga un cierre de seguridad en la puerta de la sala de servidores.
Sistemas operativos Harden basados en prácticas de seguridad fuertes de la base de datos de vulnerabilidades Nacionales y el Centro de Seguridad de Internet Benchmarks / Herramientas de puntuación.
Utilice una trituradora de papel de corte transversal para la destrucción de información confidencial en papel.
Requerir PIN fuertes o frases de acceso en todos los dispositivos móviles y los usuarios de la fuerza para cambiar periódicamente.
Instale software de firewall personal / IPS en todos los portátiles.
Validar la entrada en todas las aplicaciones web para eliminar cross-site scripting y la inyección de SQL.
Aplicar los últimos parches de proveedores para el servidor de base de datos.
Como parte del informe final, es posible que desee documentar reacciones de los empleados que se observe en la realización de las pruebas de hacking ético. Por ejemplo, los empleados son completamente ajenos o incluso beligerante si lleva a cabo un ataque de ingeniería social obvio? ¿El personal de seguridad de TI o completamente pierda punta-offs técnicas, tales como el rendimiento de la degradación de la red durante las pruebas o varios ataques que aparecen en los archivos de registro del sistema?
También puede documentar otros problemas de seguridad que observe, como la rapidez con proveedores de servicios del personal de TI o de dirigentes responden a las pruebas o si responden en absoluto.
Guarda el informe final para mantenerlo a salvo de personas que no estén autorizados para verla. Un informe de Ethical Hacking y la documentación asociada y los archivos en manos de un competidor, pirata informático, o información privilegiada maliciosos podrían significar un problema para la organización. Aquí hay algunas maneras de evitar que esto suceda:
Entregar el informe y la documentación y los archivos asociados sólo a aquellos que tienen una necesidad comercial de saber.
Al enviar el informe final, cifrar todos los archivos adjuntos, tales como la documentación y los resultados de las pruebas, el uso de PGP, formato Zip cifrados, o el servicio de intercambio de archivos en nube segura. Por supuesto, la entrega en mano es su apuesta más segura.
Deje los pasos reales de pruebas de que una persona con malas intenciones podría abusar de la presentación. Responder a cualquier pregunta sobre el tema, según sea necesario.