Accueil Finances personnelles Comment communiquer les résultats de l'évaluation de sécurité - les nuls

Comment communiquer les résultats de l'évaluation de sécurité - les nuls

Vidéo: Le diplôme en évaluation de programmes de l'université d'Ottawa 2024

Vidéo: Le diplôme en évaluation de programmes de l'université d'Ottawa 2024
Anonim

Il se peut que vous deviez organiser vos informations sur les vulnérabilités dans un document officiel destiné à la direction ou à votre client afin qu'il puisse évaluer le risque de piratage dans sa propre entreprise. Ce n'est pas toujours le cas, mais c'est souvent la chose professionnelle à faire et montre que vous prenez votre travail au sérieux. Furetez les conclusions critiques et documentez-les afin que les autres parties puissent les comprendre.

Les graphiques et les graphiques sont un plus. Les captures d'écran de vos résultats - en particulier lorsqu'il est difficile de sauvegarder les données dans un fichier - peuvent ajouter une touche intéressante à vos rapports et montrer des preuves tangibles que le problème existe.

Documentez les vulnérabilités de manière concise et non technique. Chaque rapport doit contenir les informations suivantes:

  • Date (s) d'exécution du test

  • Tests effectués

  • Résumé des vulnérabilités découvertes

  • Liste des vulnérabilités à traiter en priorité

  • Recommandations et des étapes spécifiques sur la façon de brancher les trous de sécurité trouvés

Si cela ajoute de la valeur à la gestion ou à votre client (et c'est souvent le cas), vous pouvez ajouter une liste d'observations générales concernant les processus métier faibles, le support informatique et la sécurité, etc. avec des recommandations pour résoudre chaque problème.

La plupart des gens veulent que le rapport final inclue un résumé des résultats - pas tout. La dernière chose que la plupart des gens veulent faire est de passer au crible une pile de papiers de 5 pouces d'épaisseur contenant un jargon technique qui signifie très peu pour eux. De nombreuses firmes de consultants ont été accusées d'avoir un bras et une jambe pour ce type de rapport, mais cela ne constitue pas la bonne façon de faire rapport.

De nombreux gestionnaires et clients aiment recevoir des rapports de données brutes provenant des outils de sécurité. De cette façon, ils peuvent référencer les données plus tard s'ils le souhaitent, mais ne sont pas embourbés dans des centaines de pages imprimées de gobbledygook technique. Assurez-vous simplement d'inclure les données brutes dans l'annexe de votre rapport ou ailleurs et de vous y référer.

Votre liste d'éléments d'action dans votre rapport peut inclure les éléments suivants:

  • Activez l'audit de sécurité Windows sur tous les serveurs, en particulier pour les connexions et les déconnexions.

  • Placez un verrou sur la porte de la salle des serveurs.

  • Renforcez les systèmes d'exploitation en vous basant sur les bonnes pratiques de sécurité de la base de données nationale sur les vulnérabilités et du Centre for Internet Security Benchmarks / Scoring Tools.

  • Utiliser un destructeur de documents transversal pour la destruction des informations confidentielles sur papier.

  • Exigez des codes PIN ou des phrases de passe forts sur tous les appareils mobiles et forcez les utilisateurs à les modifier régulièrement.

  • Installez un pare-feu personnel / un logiciel IPS sur tous les ordinateurs portables.

  • Validez les entrées dans toutes les applications Web pour éliminer les scripts inter-sites et l'injection SQL.

  • Appliquez les derniers correctifs du fournisseur au serveur de base de données.

Dans le cadre du rapport final, vous pourriez vouloir documenter les réactions des employés que vous observez lors de vos tests de piratage éthique. Par exemple, les employés sont-ils complètement inconscients ou même belligérants lorsque vous réalisez une attaque d'ingénierie sociale évidente? Le service informatique ou le personnel de sécurité manque-t-il complètement de conseils techniques, tels que les dégradations du réseau lors des tests ou les différentes attaques apparaissant dans les fichiers journaux du système?

Vous pouvez également documenter d'autres problèmes de sécurité que vous observez, tels que la rapidité avec laquelle le personnel informatique ou les fournisseurs de services de gestion répondent à vos tests ou ne répondent pas du tout.

Gardez le rapport final pour le protéger des personnes qui ne sont pas autorisées à le voir. Un rapport de piratage éthique et la documentation et les fichiers associés entre les mains d'un concurrent, d'un pirate informatique ou d'un initié malveillant pourraient causer des problèmes à l'organisation. Voici quelques moyens d'éviter que cela ne se produise:

  • Fournissez le rapport et la documentation et les fichiers associés uniquement à ceux qui ont besoin d'une entreprise.

  • Lors de l'envoi du rapport final, cryptez toutes les pièces jointes, telles que la documentation et les résultats de test, en utilisant PGP, le format Zip crypté ou le service de partage de fichiers cloud sécurisé. Bien sûr, la remise en mains propres est votre pari le plus sûr.

  • Laissez les étapes de test réelles qu'une personne malveillante pourrait abuser du rapport. Répondez à toutes les questions sur ce sujet si nécessaire.

Comment communiquer les résultats de l'évaluation de sécurité - les nuls

Le choix des éditeurs

Le choix des éditeurs

Comment télécharger les fichiers Joomla sur le serveur hôte d'un FAI - les nuls

Comment télécharger les fichiers Joomla sur le serveur hôte d'un FAI - les nuls

Médias sociaux

Après vous téléchargez et décompressez vos fichiers Joomla, vous les téléchargez sur votre FAI. Il y a beaucoup de FAI qui peuvent exécuter Joomla. Pour la plupart, tout fournisseur d'accès Internet qui vous donne accès à PHP et MySQL peut exécuter Joomla. Par exemple, Go Daddy répond à toutes les exigences minimales de Joomla. Configurer un compte ...

CMS joomla: Rendre les éléments de menu visibles uniquement aux utilisateurs connectés - dummies

CMS joomla: Rendre les éléments de menu visibles uniquement aux utilisateurs connectés - dummies

Médias sociaux

Dans Joomla, vous pouvez limiter les éléments de menu uniquement aux utilisateurs qui sont connectés (enregistrés). Si votre site Web contient du contenu que tout le monde peut voir et d'autres contenus qui devraient être réservés uniquement aux yeux autorisés, poursuivez et affinez les privilèges d'accès. Supposons que vous souhaitiez autoriser uniquement les utilisateurs connectés à accéder à ...

Extensions joomla pour améliorer la gestion de vos images et vidéos - mannequins

Extensions joomla pour améliorer la gestion de vos images et vidéos - mannequins

Médias sociaux

Joomla est une gestion de contenu Système (CMS). Cela signifie qu'il vous aide à gérer tout type de contenu - texte, image et vidéo. Voici quelques extensions pour Joomla qui peuvent accélérer votre gestion d'image et de vidéo dans Joomla. hwdVideoShare Pourquoi YouTube devrait-il être amusant? Avec hwdVideoShare vous pouvez ...

Le choix des éditeurs

Windows Utilitaires de dépannage pour les examens de certification A + - mannequins

Windows Utilitaires de dépannage pour les examens de certification A + - mannequins

Finances personnelles

En tant que professionnel certifié A + de différents problèmes sur le système - cette information décrit quelques-uns des utilitaires populaires que vous utiliserez pour prendre en charge ou dépanner un système. Assurez-vous de les connaître avant de passer l'examen A +! Nom de fichier Nom Description chkdsk. Exe Check Disk Vérifiez votre disque dur pour ...

Windows Fichiers de démarrage pour les examens de certification A + - Windows

Windows Fichiers de démarrage pour les examens de certification A + - Windows

Finances personnelles

Utilise quatre fichiers de démarrage, et vous aurez besoin une compréhension de tous les quatre pour l'examen A +. Les quatre fichiers de démarrage pour Windows sont les suivants: bootmgr: code du chargeur du système d'exploitation; similaire à ntldr dans les versions précédentes de Windows. Boot Configuration Database (BCD): Construit le menu de sélection du système d'exploitation et les ...

Réseau sans fil Pour les examens de certification A + - les mannequins

Réseau sans fil Pour les examens de certification A + - les mannequins

Finances personnelles

Réseau sans fil est un sujet sur lequel vous êtes sûr d'être testé en prenant l'examen A +. Vous êtes responsable de connaître les normes sans fil et les mesures de sécurité communes que vous devez prendre pour aider à sécuriser un réseau sans fil. Normes sans fil Norme Description 802. 11a Fonctionne à la gamme de fréquence de 5 GHz et a une vitesse ...

Le choix des éditeurs

Optimisation des choix de validation croisée dans l'apprentissage automatique - des mannequins

Optimisation des choix de validation croisée dans l'apprentissage automatique - des mannequins

Finances personnelles

Permettant de valider efficacement une hypothèse d'apprentissage automatique optimisation supplémentaire de votre algorithme choisi. L'algorithme fournit la plupart des performances prédictives sur vos données, étant donné sa capacité à détecter des signaux à partir de données et à s'adapter à la forme fonctionnelle réelle de la fonction prédictive sans surapprentissage et générant beaucoup de variance des estimations. Non ...

Nouvelle visualisation dans Predictive Analytics - mannequins

Nouvelle visualisation dans Predictive Analytics - mannequins

Finances personnelles

Une visualisation peut représenter une simulation (représentation graphique d'un scénario de simulation) ) en analyse prédictive. Vous pouvez suivre une visualisation d'une prédiction avec une simulation qui chevauche et prend en charge la prédiction. Par exemple, que se passe-t-il si l'entreprise arrête de fabriquer le produit D? Que se passe-t-il si une catastrophe naturelle frappe le bureau à domicile? ...

Prédictive Analytics: savoir quand mettre à jour votre modèle - nuls

Prédictive Analytics: savoir quand mettre à jour votre modèle - nuls

Finances personnelles

Autant que vous ne l'aimiez pas , votre travail d'analyse prédictive n'est pas terminé lorsque votre modèle est mis en ligne. Le déploiement réussi du modèle en production n'est pas le moment de se détendre. Vous devrez suivre de près sa précision et ses performances au fil du temps. Un modèle a tendance à se dégrader au fil du temps (certains plus rapidement que d'autres); et ...

Le choix des éditeurs

Le choix des éditeurs

Catégories populaires

© Copyright fr.blender3dtutorials.com, 2024 Novembre | À propos du site | Contacts | Politique de confidentialité.