Mục lục:
- , cụ thể là trong các mục tiêu. Kiểm tra an ninh bao gồm việc so sánh các chính sách an ninh của công ty (hoặc các yêu cầu tuân thủ) với những gì đang diễn ra. Mục đích của kiểm toán an ninh là để xác nhận rằng kiểm soát an ninh tồn tại - thường sử dụng một cách tiếp cận dựa trên rủi ro. Việc kiểm toán thường liên quan đến việc xem xét các quy trình kinh doanh và, trong nhiều trường hợp, có thể không phải là rất kỹ thuật. Kiểm toán an ninh thường dựa trên danh sách kiểm tra.
- Các chính sách nội bộ của bạn có thể chỉ ra cách quản lý xem thử nghiệm bảo mật nhưng bạn cũng cần phải xem xét các luật và quy định của tiểu bang, liên bang và quốc tế có ảnh hưởng đến doanh nghiệp của bạn. Cụ thể, Đạo luật bản quyền kỹ thuật số thiên niên kỷ (DMCA) gửi ớn lạnh xuống gai của các nhà nghiên cứu hợp pháp.
Video: 'Cẩu tặc' ngang nhiên mang chó trộm đi bán và cái kết | Kỹ năng sống 2019 2025
Bạn cần được bảo vệ khỏi những kẻ lừa đảo hacker; bạn phải trở nên thông thái như những kẻ đang cố tấn công hệ thống của bạn. Chuyên gia đánh giá bảo mật thực sự sở hữu các kỹ năng, tư duy và công cụ của một hacker nhưng cũng đáng tin cậy. Người đó thực hiện các cuộc tấn công như các kiểm tra an ninh đối với các hệ thống dựa trên cách tin tặc có thể hoạt động.
Các cuộc tấn công có tính đạo đức - bao gồm kiểm tra thâm nhập theo cách chính thức và có phương pháp, hack mũ trắng, và kiểm tra tính dễ tổn thương - bao gồm các công cụ, thủ thuật và kỹ thuật tương tự mà các hacker phạm tội sử dụng, nhưng với một điểm khác biệt chính là: trong một môi trường chuyên nghiệp. Mục đích của việc tìm kiếm đạo đức là tìm ra các lỗ hổng từ quan điểm của kẻ tấn công ác độc đối với các hệ thống an toàn tốt hơn. Hacking nhân đạo là một phần của một chương trình quản lý rủi ro thông tin tổng thể cho phép cải tiến an ninh liên tục. Việc hacker có đạo đức cũng có thể đảm bảo rằng các tuyên bố của nhà cung cấp về tính bảo mật của sản phẩm của họ là hợp pháp.
Xét nghiệm đạo đức so với kiểm toánNhiều người nhầm lẫn về kiểm tra an ninh thông qua cách tiếp cận hacking đạo đức với kiểm toán an ninh, nhưng có sự khác biệt lớn
, cụ thể là trong các mục tiêu. Kiểm tra an ninh bao gồm việc so sánh các chính sách an ninh của công ty (hoặc các yêu cầu tuân thủ) với những gì đang diễn ra. Mục đích của kiểm toán an ninh là để xác nhận rằng kiểm soát an ninh tồn tại - thường sử dụng một cách tiếp cận dựa trên rủi ro. Việc kiểm toán thường liên quan đến việc xem xét các quy trình kinh doanh và, trong nhiều trường hợp, có thể không phải là rất kỹ thuật. Kiểm toán an ninh thường dựa trên danh sách kiểm tra.
tồn tại hoặc không có hiệu quả tốt nhất. Việc hacker có đạo đức có thể là cả về kỹ thuật và phi kỹ thuật, và mặc dù bạn sử dụng một phương pháp chính thức, nó có xu hướng ít cấu trúc hơn kiểm toán chính thức.
Trường hợp kiểm toán được yêu cầu (ví dụ như chứng nhận ISO 9001 và 27001) trong tổ chức của bạn, bạn có thể cân nhắc việc tích hợp các kỹ thuật hacking đạo đức vào chương trình kiểm toán IT / an ninh của bạn. Họ bổ sung cho nhau thực sự tốt.
Các cân nhắc về chính sách Nếu bạn chọn hacker đạo đức là một phần quan trọng trong chương trình quản lý rủi ro thông tin của doanh nghiệp, bạn thực sự cần phải có một chính sách kiểm tra an toàn. Chính sách này phác thảo những người đang thực hiện kiểm tra, loại thử nghiệm chung được thực hiện, và tần suất thử nghiệm diễn ra. Bạn cũng có thể xem xét tạo một tài liệu về các tiêu chuẩn an toàn vạch ra các công cụ kiểm tra bảo mật cụ thể được sử dụng và những người cụ thể thực hiện kiểm tra. Bạn cũng có thể liệt kê các ngày thử nghiệm tiêu chuẩn, chẳng hạn như mỗi quý một lần cho các hệ thống bên ngoài và các kiểm tra định kỳ sáu tháng cho các hệ thống nội bộ - bất kể hoạt động cho doanh nghiệp của bạn.
Sự tuân thủ và các mối quan tâm về quy định
Các chính sách nội bộ của bạn có thể chỉ ra cách quản lý xem thử nghiệm bảo mật nhưng bạn cũng cần phải xem xét các luật và quy định của tiểu bang, liên bang và quốc tế có ảnh hưởng đến doanh nghiệp của bạn. Cụ thể, Đạo luật bản quyền kỹ thuật số thiên niên kỷ (DMCA) gửi ớn lạnh xuống gai của các nhà nghiên cứu hợp pháp.
Nhiều luật pháp liên bang và các quy định ở Hoa Kỳ - chẳng hạn như Đạo luật về tính linh hoạt và trách nhiệm về bảo hiểm sức khoẻ (HIPAA), Công nghệ thông tin Y tế cho Đạo luật Sức khoẻ Kinh tế và Y tế lâm sàng (HITECH), Đạo luật Gramm-Leach-Bliley (GLBA), Yêu cầu bảo vệ cơ sở hạ tầng (CRL) của Bắc Mỹ, và PCI DSS - yêu cầu kiểm soát an ninh mạnh mẽ và đánh giá an ninh nhất quán. Các luật quốc tế liên quan như Đạo luật về Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử của Canada (PIPEDA), Chỉ thị Bảo vệ Dữ liệu của Liên minh Châu Âu và Đạo luật Bảo vệ Thông tin Cá nhân của Nhật Bản (JPIPA) cũng không khác biệt.
Kết hợp các kiểm tra bảo mật của bạn vào các yêu cầu tuân thủ này là một cách tuyệt vời để đáp ứng các quy định của tiểu bang và liên bang và tăng cường chương trình bảo mật thông tin và bảo mật thông tin tổng thể của bạn.
