Dbałość o bezpieczeństwo
- 14.09.2010
Jak sprawdzić, czy firma jest bezpieczna? Zazwyczaj jest to utożsamiane z bezpieczeństwem komputerów. Tymczasem dobry audyt wykracza poza te ramy.
Typy testów bezpieczeństwa
Wiele informacji przynoszą testy wewnętrzne, których zadaniem jest wykrycie podatności sieci lokalnej przedsiębiorstwa. Zadaniem testu jest wykrycie drogi, z której potencjalnie może skorzystać intruz. O ile zapory sieciowe skutecznie bronią sieć przed atakami z zewnątrz, wiele sieci jest bezbronnych, gdy atak wiedzie od środka. Zatem przy wyborze wykonawcy testów penetracyjnych należy zapoznać się dokładnie z opisem stosowanej metodologii i przeprowadzić również testy odporności na atak inicjowany z wewnątrz firmy (np. z podsieci dla gości).
Kolejny test powinien obejmować sprawdzenie odporności firmy na ataki socjotechniczne. Należy sprawdzić podszywanie się pod pracownika i prośbę o reset hasła w dziale IT. Jest to jedno z ulubionych działań intruzów. Należy przetestować także możliwość umiejętnego pozyskania hasła od użytkowników i odporność firmy na fałszywe dokumenty wysyłane faksem i pocztą elektroniczną. Ważne jest również sprawdzenie bezpieczeństwa technicznego, w tym możliwości niekontrolowanego wejścia na teren firmy, podając się za pracownika, kontrahenta, pracownika firmy sprzątającej lub ochrony. Należy sprawdzić, czy pracownicy nie zapisują haseł dostępu na kartkach blisko monitora, czy informacje tam dostępne nie sugerują innych słabości firmy. Wiele takich prób udaje się w praktyce, dlatego audytor powinien posiąść możliwie dużą wiedzę na temat reguł współpracy rządzących firmą oraz nawyków poszczególnych pracowników.
Razem z takim testem sprawdza się dostępność wiedzy na temat personelu. W wielu przypadkach informacja o poziomie wiedzy pracowników IT, stosowanych technologiach, a nawet o nawykach i słabościach, jest publicznie dostępna, choćby w formie CV, blogów, publicznych tekstów oraz analiz zamówień. Badanie podatności firmy musi uwzględniać także te aspekty, dlatego należy wybierać firmy, które potrafią przeprowadzić podobne testy.