Audyt bezpieczeństwa to zlecenie o szerokim zakresie, którego szczegóły ustalamy indywidualnie. Polega on na szczegółowej kontroli wskazanego, zagrożonego obszaru wraz z analizą mającą na celu weryfikację, czy zastosowane zabezpieczenia spełniają swoje funkcje.
Zdajemy sobie sprawę, że nie istnieją dwie identyczne firmy i dwa identyczne przypadki, jednak nasza wiedza i zdobyte przez lata doświadczenie pozwalają nam na dostarczeniu wartościowego produktu. Obecnie większość przedsiębiorstw skupia się na technicznych aspektach oceny bezpieczeństwa. Testy socjotechniczne są jednak równie skuteczne. Dzięki nim można znaleźć luki w barierach bezpieczeństwa – takie, o których nikt wcześniej nawet nie pomyślał. Nie ma się co oszukiwać – większość ataków, jakie są przeprowadzane na firmy, bazuje na czynniku ludzkim, który bardzo często zawodzi. Socjotechniczne testy penetracyjne służą do oceny poziomu bezpieczeństwa wszędzie tam, gdzie mogą się pojawić nieuczciwi ludzie, chcący wykorzystać pracowników w celu np. zdobycia informacji.
Nasz audyt jest kompleksowy, opracowany indywidualnie na potrzeby danego przedsiębiorstwa. W dzisiejszych czasach, gdy zaawansowana technologia strzeże naszych informacji, to właśnie czynnik ludzki jest najsłabszym ogniwem w zabezpieczeniu informacji. Czy Twoja firma posiada odpowiednie procedury, np. w przypadku utraty telefonu komórkowego pracownika?
Jak wygląda audyt bezpieczeństwa w praktyce:
Umowa z klientem Podpisujemy stosowną umowę o poufności, ponieważ firma przeprowadzająca test penetracyjny będzie miała dostęp do wielu informacji kluczowych dla przedsiębiorstwa.Klient powinien mieć do niej pełne zaufanie, ale i być odpowiednio zabezpieczony umową o poufności danych.
Wywiad z klientem – na tym etapie typuje się słabe elementy danego przedsiębiorstwa. Zbieramy wszystkie niezbędne informacje od klienta, które umożliwia nam dokonanie szczegółowej analizy.
Zbieranie dodatkowych informacji – informacje przekazane przez klienta na temat ewentualnych podatności i słabych punktów są bardzo ważne. Testerzy są jednak od tego, aby samodzielnie dokonać pełnej analizy i zebrać jak najwięcej danych z różnego rodzaju źródeł. Ten etap zależy od ustaleń z klientem i jego podejścia do tego typu działania.
Przygotowanie scenariusza – klient otrzymuje kilka scenariuszy działania. To klient decyduje o działaniach. I to on ostatecznie decyduje, który plan działań zostanie wdrożony. Wcześniej jednak każdy scenariusz zostaje mu dokładnie i rzeczowo przedstawiony.
Przeprowadzanie socjotechnicznego testu penetracyjnego – atak może być podzielony na kilka etapów, a pracownicy mogą być poddawani wielu testom.
Wyniki testu w postaci raportu – klient otrzymuje szczegółowe wyniki testu, w których umieszczone zostaną wszystkie informacje wynikłe z przeprowadzonych działań wraz z rekomendacjami.
Szkolenie pracowników – najważniejszy etap. Pracownicy powinni w pierwszej kolejności zostać przeszkoleni z metodyki działań socjotechników W drugiej kolejności należy przeanalizować z pracownikami testy socjotechniczne przeprowadzone w przedsiębiorstwie. Bardzo ważne, aby analiza ewentualnych błędów konkretnych pracowników pozostała anonimowa. Testy mają na celu edukację, a nie wyśmiewanych ludzi, którzy zostali zmanipulowani.
Przeprowadzenie ponownych testów – przeprowadzenie ponownych testów po upływie określonego czasu. Tego typu działanie pozwoli sprawdzić, czy wysiłki podjęte przez przedsiębiorstwo przyniosły efekty w postaci podniesienia świadomości pracowników w zakresie potencjalnych zagrożeń.