Video: Materi Ahli K3 umum Sertifikasi 2024
Anda mungkin perlu menganjurkan maklumat kerentanan ujian keselamatan anda ke dalam dokumen rasmi untuk pengurusan atau klien anda. Ini tidak selalunya berlaku, tetapi sering menjadi perkara yang perlu dilakukan dan menunjukkan bahawa anda mengambil kerja anda dengan serius. Berikan hasil kritikal dan dokumentasikannya supaya pihak lain dapat memahaminya.
Grafik dan carta adalah tambah nilai. Skrin penangkapan penemuan anda - terutama apabila sukar untuk menyimpan data ke fail - menambah sentuhan yang bagus untuk laporan anda dan menunjukkan bukti ketara bahawa masalah itu wujud.
Dokumentasikan kerentanan dengan cara yang ringkas dan tidak teknikal. Setiap laporan harus mengandungi maklumat berikut:
-
Tarikh ujian telah dilakukan
-
Ujian yang telah dilakukan
-
Ringkasan kelemahan yang ditemui
-
Senarai kerentanan terdahulunya yang perlu ditangani
-
Saranan dan langkah-langkah tertentu tentang cara memasang lubang keselamatan
Ia sentiasa menambah nilai jika anda boleh melakukan penilaian operasi proses IT / keselamatan. Tambah senarai pemerhatian umum mengenai proses perniagaan yang lemah, sokongan IT dan keselamatan pengurusan, dan sebagainya serta cadangan untuk menangani setiap isu. Anda boleh melihat ini sebagai analisis sebab utama.
Kebanyakan orang ingin laporan akhir memasukkan ringkasan hasil penemuan - bukan semuanya. Perkara terakhir yang kebanyakan orang mahu lakukan adalah menapis melalui fail PDF sebanyak 600 halaman yang mengandungi jargon teknikal yang bermaksud sangat sedikit kepada mereka. Banyak syarikat perunding telah dikenali untuk mengenakan megabucks untuk jenis laporan ini. Dan mereka dapat pergi dengannya. Tetapi itu tidak menjadikannya betul.
Pentadbir dan pemaju memerlukan laporan data mentah dari alat keselamatan. Dengan cara itu, mereka boleh merujuk data kemudian apabila mereka perlu melihat permintaan / tindak balas HTTP spesifik, butiran mengenai patch yang hilang, dan sebagainya.
Sebagai sebahagian daripada laporan akhir, anda mungkin mahu menerbitkan tingkah laku yang anda perhatikan semasa menjalankan ujian keselamatan anda. Sebagai contoh, adakah pekerja benar-benar tidak sedar atau bahkan berperang apabila anda menjalankan serangan kejuruteraan sosial yang jelas? Adakah kakitangan IT atau keselamatan benar-benar merasakan hujung teknikal, seperti prestasi rangkaian yang merosakkan semasa ujian atau pelbagai serangan yang terdapat dalam fail log sistem?
Anda juga boleh mendokumenkan isu keselamatan lain yang anda perhatikan, seperti seberapa cepat staf IT atau penyedia perkhidmatan yang berjaya bertindak balas terhadap ujian anda atau sama ada mereka bertindak balas sama sekali. Berikutan pendekatan analisis sebab akar, mana-mana yang hilang, tidak lengkap, atau tidak mengikut prosedur perlu didokumenkan.
Jagalah laporan akhir untuk memastikannya selamat daripada orang yang tidak diberi kuasa untuk melihatnya. Laporan penilaian keamanan dan data terkait dan file pendukung di tangan pesaing, peretas, atau orang jahat yang berbahaya dapat mengatasi masalah bagi organisasi. Berikut adalah beberapa cara untuk mencegah perkara ini berlaku:
-
Menyampaikan laporan dan dokumentasi dan fail yang berkaitan hanya kepada mereka yang mempunyai keperluan perniagaan.
-
Jika menghantar laporan akhir secara elektronik, menyulitkan semua lampiran, seperti dokumentasi dan hasil ujian menggunakan format Zip yang disulitkan, atau perkhidmatan perkongsian fail awan yang selamat.
