Video: (Indonesian) THRIVE: What On Earth Will It Take? 2024
Rancangan ujian anda memerlukan matlamat. Matlamat utama penggodaman etika adalah untuk mencari kelemahan dalam sistem anda dari perspektif orang jahat agar anda dapat membuat persekitaran anda lebih selamat. Anda kemudian dapat mengambil langkah ini lebih jauh:
-
Tentukan matlamat yang lebih spesifik. Jajarkan matlamat ini dengan objektif perniagaan anda. Apakah yang anda dan pihak pengurusan cuba mendapatkan dari proses ini? Apakah kriteria prestasi yang akan anda gunakan untuk memastikan anda mendapat hasil ujian anda?
-
Buat jadual khusus dengan tarikh mula dan akhir serta masa ujian anda berlaku. Tarikh dan masa ini adalah komponen penting dalam pelan keseluruhan anda.
Sebelum anda memulakan ujian, anda benar-benar memerlukan semua secara bertulis dan diluluskan. Dokumen semuanya dan melibatkan pengurusan dalam proses ini. Sekutu terbaik dalam usaha ujian anda adalah pengurus yang menyokong apa yang anda lakukan.
Soalan-soalan berikut boleh memulakan bola roll apabila anda menentukan matlamat pelan penggodam etika anda:
-
Adakah ujian anda menyokong misi perniagaan dan IT dan jabatan keselamatan?
-
Matlamat perniagaan apakah yang dipenuhi dengan melakukan peretasan etika? Matlamat-matlamat ini mungkin termasuk yang berikut:
-
Bekerja melalui Pernyataan mengenai Standards for Engagement Engagement (SSAE) 16 audit
-
Memenuhi peraturan persekutuan seperti Akta Portability and Accountability Insurance (HIPAA) dan Piawaian Keselamatan Data Industri Pembayaran Kad (PCI DSS)
-
Keperluan kontrak pertemuan klien atau rakan perniagaan
-
Mengekalkan imej syarikat
-
Mempersiapkan standard keselamatan yang diterima di peringkat antarabangsa ISO / IEC 27001: 2013
-
-
Bagaimana ujian ini akan meningkatkan keselamatan, IT, dan perniagaan secara keseluruhan?
-
Apakah maklumat yang anda lindungi? Ini boleh menjadi maklumat kesihatan peribadi, harta intelektual, maklumat klien rahsia, atau maklumat peribadi pekerja.
-
Berapa banyak wang, masa, dan usaha yang anda dan organisasi anda sanggup membelanjakan untuk penilaian keselamatan?
-
Apakah barang-barang tertentu yang ada? Deliverables boleh memasukkan apa-apa daripada laporan eksekutif peringkat tinggi kepada laporan teknikal terperinci dan menulis mengenai apa yang anda uji, bersama dengan hasil ujian anda. Anda boleh menyampaikan maklumat khusus yang dikumpulkan semasa ujian anda, seperti kata laluan dan maklumat rahsia lain.
-
Apa hasil khusus yang anda mahu? Hasil yang diinginkan termasuk pembenaran untuk mengupah atau mengalih keluar kakitangan keselamatan, meningkatkan belanjawan keselamatan anda, memenuhi keperluan pematuhan, atau meningkatkan sistem keselamatan.
Selepas mengetahui matlamat anda, tulis langkah-langkah untuk sampai ke sana. Sebagai contoh, jika satu matlamat adalah untuk membangunkan kelebihan daya saing untuk memastikan pelanggan sedia ada dan menarik minat yang baru, tentukan jawapan kepada soalan berikut:
-
Bilakah anda akan memulakan ujian anda?
-
Adakah pendekatan pengujian anda buta, di mana anda tidak tahu tentang sistem yang anda uji, atau berdasarkan pengetahuan, di mana anda diberi maklumat khusus tentang sistem yang anda uji, seperti alamat IP, nama host, dan juga nama pengguna dan kata laluan?
-
Adakah ujian anda bersifat teknikal, melibatkan penilaian keselamatan fizikal, atau menggunakan kejuruteraan sosial?
-
Adakah anda menjadi sebahagian daripada pasukan penggodam etika yang lebih besar, kadang-kadang dipanggil pasukan harimau atau pasukan merah?
-
Adakah anda akan memberitahu pihak yang terlibat dalam apa yang anda lakukan dan ketika anda melakukannya? Jika ya, bagaimana?
Pemberitahuan pelanggan adalah isu kritikal. Ramai pelanggan menghargai bahawa anda mengambil langkah-langkah untuk melindungi maklumat mereka. Pendekatan pengujian dengan cara yang positif. Jangan berkata, "Kami memasuki sistem kami sendiri untuk mengetahui maklumat yang terdedah kepada penggodam," walaupun itu yang anda lakukan. Sebaliknya, katakan bahawa anda sedang menilai keselamatan keseluruhan persekitaran rangkaian anda supaya maklumat itu dapat secukupnya.
-
Bagaimana anda tahu sama ada pelanggan juga mengambil berat tentang apa yang anda lakukan?
-
Bagaimana anda akan memberitahu pelanggan bahawa organisasi sedang mengambil langkah untuk meningkatkan keselamatan maklumat mereka?
-
Pengukuran apa yang boleh memastikan usaha ini berbayar?
Mewujudkan matlamat anda memerlukan masa, tetapi anda tidak akan menyesalinya. Matlamat ini adalah peta jalan anda. Sekiranya anda mempunyai sebarang kebimbangan, rujuk kepada matlamat ini untuk memastikan anda berada di landasan yang betul.
