Czy warto przeprowadzać́ zewnętrzne testy bezpieczeństwa IT?
  1. Czy (a jeśli tak to jak często) przeprowadzasz testy bezpieczeństwa swoich systemów teleinformatycznych?
  2. Czy podczas testów aplikacji i systemów korzystasz z zewnętrznych firm (pentesterów) czy są one wykonywane jedynie przez Twój zespół?

Wyżej wymienione pytanie, jest jednym z wielu jakie zadajemy naszym klientom podczas konsultacji, doradztwa i wycen naszych usług.

Jak sądzisz dlaczego zwracamy na to uwagę?

W jednym z poprzednich artykułów omawialiśmy sens posiadania własnej komórki odpowiedzialnej za bezpieczeństwo .

Zakładamy obecnie, że dałeś się przekonać i obecnie już ją posiadasz.

Ważnym pytaniem na jakie należy sobie odpowiedzieć – czy owa grupa osób przeprowadza testy bezpieczeństwa stosowanych przez Ciebie rozwiązań technologicznych? A jeśli tak, to jak często to robi?

Dlaczego warto naszym zdaniem zlecić przeprowadzenie testów (raz na jakiś) również komuś innemu? O tym po krótce poniżej.

Pewnie w pierwszej chwili pomyślałaś/eś, że chodzi o cele zarobkowe takiego zewnętrznego partnera. Odpowiedzmy sobie więc jasno – tak jest to część z usług które oferujemy naszym klientom, niemniej jednak warto zrozumieć podstawę i powód dla którego uważamy, że ma to sens.

Załóżmy, że posiadasz prężnie działającą komórkę bezpieczeństwa w swojej firmie – przeprowadza ona cykliczne testy bezpieczeństwa Twojej infrastruktury.

Jakie ma to zalety?

  • osoby te znają doskonale realia Twojej spółki,
  • wiedzą gdzie może się pojawić problem,
  • są uczuleni na wydarzenia jakie miały miejsce w przeszłości.

Widać w tym rozwiązaniu prawie same plusy, prawda? Jakie jednak mogą być wady takiego podejścia?

  • Twoi pracownicy mogą popaść w rutynę,
  • nie będą szukać nowego niestandardowego podejścia do problemów
  • mogą też popaść w konflikt interesów (nawiązane relacje i więzi w firmie mogą utrudniać im zaraportowanie pewnych błędów)

Dlaczego zewnętrzny partner może być dobrym rozwiązaniem?

  • do sprawdzanych systemów i aplikacji podejdzie zawsze ze „świeżym umysłem”
  • posiada doświadczenie rynkowe, spotyka się z różnymi problemami u innych klientów, więc łatwiej może wykryć tego typu zagrożenia u Ciebie,
  • owszem, zaznajomienie się z używanymi przez Ciebie systemami i aplikacjami może zając mu więcej czasu, ale też będzie do nich podchodzić zupełnie inaczej,
  • nie musisz się obawiać o to, że podczas sporządzania raportów i audytu będzie się kierował znajomościami i będzie obawiać się o to, że kogoś urazi wykazując niedociągnięcia.

Jakie podejście doradzam naszym klientom?

Zależnie od tego, czy posiadają odpowiednią komórkę i kompetencje w swoim zespole:

  1. Jeśli tak, zalecamy wykonywanie audytów przez zewnętrznych partnerów w cyklach kwartalnych, pół rocznych – po to aby zweryfikowali jakość przeprowadzanych testów wewnętrznych
  2. Jeśli nie posiadają odpowiednich zasobów – zalecam dywersyfikację przeprowadzanych testów na kilka firm, lub sami zmieniamy po naszej stronie osoby wykonujące testy dla danego klienta. Celem tego jest weryfikacja przeprowadzonych wcześniej kontroli przez inną osobę bądź inny zespół.

Tradycyjnie – jak w poprzednich omawianych tematach, mamy nadzieję, że nasze porady przydadzą się również i Tobie w podjęciu decyzji dotyczących Twojej firmy.

Masz pytania lub chcesz z nami współpracować?