O que é Ethical Hacking?
hacking ético - que engloba testes formais e metódico penetração, hacking de chapéu branco e vulnerabilidade Testing envolve as mesmas ferramentas, truques e técnicas que hackers criminosos usam, mas com uma grande diferença: hacking ético é realizada com a permissão do alvo em um profissional configuração.
A intenção do hacking ético é descobrir vulnerabilidades do ponto de vista de um invasor mal-intencionado para sistemas mais seguros. hacking ético é parte de um programa de gestão de risco global de informação que permite melhorias de segurança em curso. hacking ético também pode garantir que as alegações dos fornecedores sobre a segurança de seus produtos são legítimos.
hacking ético contra auditorias
Muitas pessoas confundem hacking ético com a auditoria de segurança, mas há grande diferenças. A auditoria de segurança consiste em comparar as políticas de segurança da empresa para o que está realmente ocorrendo. A intenção da auditoria de segurança é validar a existência de controles de segurança - geralmente usando uma abordagem baseada no risco. Auditoria muitas vezes envolve a revisão de processos de negócios e, em muitos casos, pode não ser muito técnico. Nem todas as auditorias são esse alto nível, mas a maioria são bastante simplista.
Por outro lado, hacking ético incide sobre as vulnerabilidades que podem ser exploradas. É valida que os controles de segurança não existem ou são ineficazes na melhor das hipóteses. hacking ético pode ser tanto altamente técnicos e não técnicos, e apesar de você usar uma metodologia formal, ele tende a ser um pouco menos estruturada do que a auditoria formal.
Se a auditoria continua a ter lugar na sua organização, você pode considerar a integração de técnicas de hacking ético em seu programa de auditoria de TI. Eles complementam um ao outro muito bem.
considerações políticas
Se você optar por fazer hacking ético uma parte importante do programa de gestão de riscos do seu negócio, você realmente precisa ter uma política de testes de segurança documentada. Essa política descreve o tipo de hacking ético que é feito, quais os sistemas (tais como servidores, aplicações web, laptops, e assim por diante) são testados, e quantas vezes o teste é realizado.
Você também pode considerar a criação de um documento de padrões de segurança que descreve as ferramentas específicas de testes de segurança que são datas utilizadas e específicos de seus sistemas são testados a cada ano. Você pode listar datas de testes padrão, como uma vez por trimestre para sistemas externos e testes bianuais para sistemas internos - o que funciona para o seu negócio.
Compliance e preocupações regulatórias
Suas próprias políticas internas pode ditar a forma como a gestão vê a testes de segurança, mas você também precisa considerar as leis e regulamentações estaduais, federais e globais que afetam o seu negócio.
Muitas das leis e regulamentos federais em os EUA - como o Health Insurance Portability e Accountability Act (HIPAA), Tecnologia da Informação de Saúde para Económico e Clínica de Saúde (HITECH) Act, Gramm-Leach-Bliley Act (GLBA), North American Electric confiabilidade Corporation (NERC) requisitos CIP e Payment Card Industry Data Security standard (PCI DSS) - requerem controles de segurança fortes e avaliações de segurança consistentes.
Relacionados leis internacionais, como a Protecção Canadian Informações Pessoais e Documentos Eletrônicos Act (PIPEDA), a Directiva de Protecção de Dados da União Europeia e Personal Information Protection Act do Japão (JPIPA) não são diferentes. Incorporando seus testes de hacking ético para estes requisitos de conformidade é uma ótima maneira de conhecer os regulamentos estaduais e federais e reforçar o seu programa global de privacidade e segurança.