- Email: [email protected]
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Czym tak właściwie są testy penetracyjne, jak prawidłowo przygotować się do ich przeprowadzenia, a także dlaczego warto regularnie je wykonywać? Istotę testów prezentuje specjalista IT Krajowego Instytutu Cyberbezpieczeństwa, Paweł Ozimek.
Testy penetracyjne to nic innego jak testy polegające na włamywaniu się do systemów informatycznych (systemów komputerowych, sieci, aplikacji internetowych) w celu wykrycia potencjalnych luk w zabezpieczeniach, które mogą być wykorzystane przez nieautoryzowane osoby. Przeprowadza się je w celu oceny skuteczności obecnych mechanizmów zabezpieczeń oraz przede wszystkim w celu wykrycia słabych punktów, które należy wyeliminować. Kluczowe aspekty to: symulacja realnych ataków, identyfikacja słabych punktów oraz ocena skuteczności zabezpieczeń.
Na początku całego procesu niezbędne jest określenie celów i potrzeb organizacji, ustalenie zakresu testów. Następnie wybieramy pod kątem potrzeb odpowiednie rodzaje testów oraz typy ataków. W celu wykonania testów niezbędne są zgody na testy, podpisanie odpowiednich dokumentów jak np. porozumienie o poufności. Następnie trzeba sporządzić plan oraz zakres testów. Konieczne jest poinformowanie kluczowych pracowników o testach, pozostałych pracowników jednak nie informujemy. Należy sprawdzić i przejrzeć procedury awaryjne. Po tych etapach można przystąpić do samych testów. Niekiedy firmy podczas audytu (testów penetracyjnych) chcą kompleksowo przeprowadzić audyt RODO (dokumenty, procedury).
Nowe techniki ataków, zmiany w oprogramowaniu, które mogą wprowadzać nowe luki bezpieczeństwa, konieczność dostosowania firmy / organizacji do ,wymogów prawnych (RODO) – to wszystko sprawia, że testy penetracyjne powinny być nieodłącznym elementem regularnych działań firmy w celu zapewnienia zgodności z normami bezpieczeństwa. Warto również pamiętać, że testy penetracyjne często są wymagane w ramach przeprowadzanych audytów bezpieczeństwa. Ich wykonanie z kolei wymusza chęć utrzymania certyfikatów zgodności oraz zapewnień o odpowiednim poziomie zabezpieczeń w danym podmiocie.
W razie pytań, wątpliwości w zakresie testów penetracyjnych chętnie służymy Państwu niezbędną radą i pomocą.