Vidéo: Agents de sécurité : comment sont-ils recrutés ? 2024
Vous devrez peut-être organiser vos informations de vulnérabilité de test de sécurité dans un document officiel pour la gestion ou pour votre client. Ce n'est pas toujours le cas, mais c'est souvent la chose professionnelle à faire et montre que vous prenez votre travail au sérieux. Furetez les conclusions critiques et documentez-les afin que les autres parties puissent les comprendre.
Les graphiques et les graphiques sont un plus. Capture d'écran de vos résultats - en particulier lorsqu'il est difficile de sauvegarder les données dans un fichier - ajouter une touche agréable à vos rapports et montrer des preuves tangibles que le problème existe.
Documentez les vulnérabilités de manière concise et non technique. Chaque rapport doit contenir les informations suivantes:
-
Date (s) d'exécution du test
-
Tests effectués
-
Résumé des vulnérabilités découvertes
-
Liste des vulnérabilités à traiter en priorité
-
Recommandations et des étapes spécifiques sur la façon de brancher les trous de sécurité trouvés
Cela ajoute toujours de la valeur si vous pouvez effectuer une évaluation opérationnelle des processus informatiques / de sécurité. Ajoutez une liste d'observations générales sur les processus métier faibles, le support de la gestion informatique et de la sécurité, etc., ainsi que des recommandations pour résoudre chaque problème. Vous pouvez regarder cela comme une sorte d'analyse des causes profondes.
La plupart des gens veulent que le rapport final inclue un résumé des résultats - pas tout. La dernière chose que la plupart des gens veulent faire est de passer au crible un fichier PDF de 600 pages contenant un jargon technique qui signifie très peu pour eux. Beaucoup de sociétés de conseil ont été connus pour charger des mégabucks pour ce type de rapport. Et ils s'en sortent. Mais cela ne rend pas juste.
Les administrateurs et les développeurs ont besoin des rapports de données brutes des outils de sécurité. De cette façon, ils peuvent référencer les données ultérieurement lorsqu'ils ont besoin de voir des requêtes / réponses HTTP spécifiques, des détails sur les correctifs manquants, etc.
Dans le cadre du rapport final, vous pouvez documenter les comportements que vous observez lors de vos tests de sécurité. Par exemple, les employés sont-ils complètement inconscients ou même belligérants lorsque vous réalisez une attaque d'ingénierie sociale évidente? Le service informatique ou le personnel de sécurité manque-t-il complètement de conseils techniques, tels que les dégradations du réseau lors des tests ou les différentes attaques apparaissant dans les fichiers journaux du système?
Vous pouvez également documenter d'autres problèmes de sécurité que vous observez, tels que la rapidité avec laquelle le personnel informatique ou les fournisseurs de services gérés répondent à vos tests ou ne répondent pas du tout. Suivant l'approche de l'analyse des causes profondes, toute procédure manquante, incomplète ou non suivie doit être documentée.
Gardez le rapport final pour le protéger des personnes qui ne sont pas autorisées à le voir. Un rapport d'évaluation de la sécurité et les données associées et les fichiers de support entre les mains d'un concurrent, d'un pirate informatique ou d'un initié malveillant peuvent créer des problèmes pour l'organisation. Voici quelques moyens d'éviter que cela ne se produise:
-
Fournissez le rapport et la documentation et les fichiers associés uniquement à ceux qui ont besoin d'une entreprise.
-
Si vous envoyez le rapport final par voie électronique, cryptez toutes les pièces jointes, telles que la documentation et les résultats de test, en utilisant un format Zip crypté ou un service de partage de fichiers cloud sécurisé.
