Audit de securitate IT

Audit de securitate IT

Aceste servicii includ: teste de penetrare care ajuta la reperarea eventualelor vulnerabilitati precum si remedierea vulnerabilitatilor unui site web. Rezultatul acestui proces il reprezinta evaluarea obiectiva a sistemului informatic si a necesitatilor acestuia dar si sugerarea solutiilor potrivite pentru remedierea potentialelor vulnerabilitati.

Ce este si ce presupune testul de penetrare?

Testul de penetrare face parte dintr-un audit de securitate. Acesta asigura controulul securitatii prin oferirea unei experiente cat mai similare cu un atac real (realizat de un hacker) in urma caruia se vor depista eventualele vulnerabilitati ale unui site.
Testul de penetrare presupune o evaluare a securitatii unei retele sau a unui sistem prin simularea unui atac. Prin acest test se pot identifica vulnerabilitatile pe care le-ar putea avea un site si. De asmenea, la cererea clientului, se pot corecta si repara anumite tipuri de slabiciuni ce pot pune in pericol site-ul. Dupa testare, clientul primeste un raport care sintetizeaza toate problemele de securitate posibile pe care le are respectivul website, iar, daca doreste, poate primi si potentialele recomandari de reparare a acestora.

De ce este necesar un test de penetrare?

Fie ca aveti un site de prezentare, un magazin online sau o aplicatie web, pentru siguranta dumneavoastra si a clientilor dumneavoastra un test de penetrare va ajuta sa eliminati orice suspiciune sau problema deja existenta a site-ului dumneavoastra.
Un acces neautorizat la o baza de date sau la un sistem poate dauna in mod iremediabil unei companii sau unei insitutii. In acest sens putem identifica toate caile de acces in retea dar si securitatea acestora – din interiorul sau exteriorul retelei.

Cine este expus atacurilor cibernetice?

Cele mai frecvente atacuri cibernetice vizeaza datele personale, cu precadere conturile, insa nu este o regula. Oricine poate fi expus unor posibile atacuri, in special companiile sau organizatiile cunoscute.
In principiu, orice afacere online ce isi doreste un site web protejat de atacurile neprevazute are nevoie de un audit de securitate. Cele mai tintite website-uri de catre hackeri sunt, intr-adevar, magazinele online care colecteaza informatii cu caracter personal ale utilizatorilor.
Ce cuprinde auditul de securitate?

Evaluarea securitatii se realizeaza in mai multe etape:

  • Securitatea retelei, a comunicatiilor de date, trafic, controlul de acces, wireless si sisteme de operare: se vor identifica caile de acces in retea si siguranta acestora, vulnerabilitatile aferente fiecarei platforme, configurari defectuoase sau lipsa programelor de securitate (security patch). Dupa evaluarea completa se va elabora un raport final ce va cuprinde informatii despre fiecare problema sau vulnerabilitate in parte si, mai mult decat atat, va contine solutii recomandate de specialistii din echipa responsabila de audit.
  • Securitatea bazelor de date: nicio insitutuie sau organizatie nu isi poate permite sa expuna propria baza de date unor persoane neavizate. Fie ca sunt baze de date ale unor clienti, baze de date cuprinzand date personale sau finaniare, protectia acestora este imperioasa. Evaluarea acestora se realizeaza prin mai multe teste verificate in functie de specificul fiecareia. In urma evaluarii de securitate a bazei de date se pot depista nu numai vulnerabilitatile sale ci si cele ale aplicatiilor care le acceseaza in mod abuziv.
  • Securitatea aplicatiilor software: multe dintre acestea sunt realizate avandu-se in vedere mai degraba functionalitatile, interfata grafica si abia apoi securitatea acestora. Din acest motiv, riscurile sau atacurile carora pot fi supuse sunt majore si pot compromite o companie din toate punctele de vedere. Este cazul aplicatiilor comerciale si cunoscute care sunt expuse riscurilor atacurilor atat din interiorul companiei cat si din exteriorul acesteia. Odata descoperite vulnerabilitatile unei aplicatii software, oferim si solutii petru remedierea imediata a acestora.

Care sunt cele mai frecvente tipuri de vulnerabilitati care pot afecta un site si ulterior intreaga companie sau organizatie?

  • Modificarea preturilor produselor sau a serviciilor oferite prin intermediul unui site web de e-commerce.
  • Colectarea bazelor de date de clienti.
  • Distrugerea bazelor de date.

Un pachet integral va include:

  • Analiza documentatiei companiei sau organizatiei respective – presupune evaluarea documentatiei clientului pentru a stabili daca este conforma legislatiei in vigoare dar si daca coresupunde standardelor.
  • Definierea obiectivelor ce necesita masurate – ce fel de obiective de control vor fi folosite.
  • Auditarea propriu-zisa – cuprinde evaluari si teste de penetrare avand ca scop verificarea atingerii obiectivelor de control definite si stabilite.
  • Intocmirea si livrarea raportului – dupa finalizarea testelor si a evaluarilor, raportul realizat va cuprinde intreaga serie de teste realizate, vulnerabilitatile depistate (daca este cazul), precum si solutiile propuse pentru remedierea vulnerabilitatilor sau a neconcordantelor depistate.