Accueil Finances personnelles Comment établir des objectifs pour un plan de piratage éthique - les nuls

Comment établir des objectifs pour un plan de piratage éthique - les nuls

Vidéo: Comment Réussir ses Objectifs ? (Ray Dalio) 2025

Vidéo: Comment Réussir ses Objectifs ? (Ray Dalio) 2025
Anonim

Votre plan de test a besoin d'objectifs. L'objectif principal du piratage éthique est de trouver des vulnérabilités dans vos systèmes du point de vue des méchants afin que vous puissiez rendre votre environnement plus sûr. Vous pouvez ensuite aller plus loin:

  • Définissez des objectifs plus spécifiques. Alignez ces objectifs avec vos objectifs commerciaux. Qu'est-ce que vous et la direction essayez d'obtenir de ce processus? Quels critères de performance utiliserez-vous pour vous assurer de tirer le meilleur parti de vos tests?

  • Créez un planning spécifique avec les dates de début et de fin ainsi que les heures auxquelles vos tests doivent avoir lieu. Ces dates et heures sont des éléments critiques de votre plan d'ensemble.

Avant de commencer tout test, vous avez absolument besoin de tout ce qui est écrit et approuvé. Documenter tout et impliquer la direction dans ce processus. Votre meilleur allié dans vos efforts de test est un manager qui soutient ce que vous faites.

Les questions suivantes peuvent démarrer lorsque vous définissez les objectifs de votre plan de piratage éthique:

  • Vos tests soutiennent-ils la mission de l'entreprise et de ses services informatiques et de sécurité?

  • Quels objectifs d'entreprise sont atteints en pratiquant le piratage éthique? Ces objectifs peuvent être les suivants:

    • Travailler à travers la Déclaration sur les normes pour les missions d'attestation (SSAE) 16 audits

    • Respect des réglementations fédérales telles que la loi HIPAA (Health Insurance Portability Accountability Act) et la norme PCI DSS (Payment Card Data Data Security)

    • Respect des exigences contractuelles des clients ou partenaires

    • Préserver l'image de l'entreprise

    • Préparer la norme de sécurité internationalement reconnue ISO / IEC 27001: 2013

  • Comment ces tests amélioreront-ils la sécurité, l'informatique et l'entreprise dans son ensemble?

  • Quelles informations protégez-vous? Il peut s'agir de renseignements personnels sur la santé, de la propriété intellectuelle, d'informations confidentielles sur les clients ou d'informations privées des employés.

  • Combien d'argent, de temps et d'efforts vous et votre organisation êtes-vous prêt à consacrer aux évaluations de sécurité?

  • Quels livrables spécifiques y aura-t-il? Les produits livrables peuvent inclure des rapports exécutifs de haut niveau, des rapports techniques détaillés et des rapports sur ce que vous avez testé, ainsi que sur les résultats de vos tests. Vous pouvez fournir des informations spécifiques qui sont glanées lors de vos tests, telles que les mots de passe et autres informations confidentielles.

  • Quels résultats spécifiques souhaitez-vous? Les résultats souhaités comprennent la justification de l'embauche ou de l'impartition de personnel de sécurité, l'augmentation de votre budget de sécurité, le respect des exigences de conformité ou l'amélioration des systèmes de sécurité.

Une fois que vous connaissez vos objectifs, documentez les étapes pour y arriver. Par exemple, si l'un des objectifs consiste à développer un avantage concurrentiel pour fidéliser les clients existants et en attirer de nouveaux, déterminez les réponses à ces questions:

  • Quand allez-vous commencer vos tests?

  • Votre approche de test sera-t-elle aveugle, dans laquelle vous ne connaissez rien sur les systèmes que vous testez, ou basée sur la connaissance, dans laquelle vous recevez des informations spécifiques? les systèmes que vous testez, tels que les adresses IP, les noms d'hôtes et même les noms d'utilisateur et les mots de passe?

  • Vos tests seront-ils de nature technique, comporteront-ils des évaluations de sécurité physique ou même utiliseront-ils l'ingénierie sociale?

  • Ferez-vous partie d'une plus grande équipe de piratage éthique, parfois appelée une équipe rouge équipe de tigre ou ?

  • Allez-vous informer les parties concernées de ce que vous faites et de ce que vous faites? Si c'est le cas, comment?

    La notification du client est un problème critique. De nombreux clients apprécient que vous preniez des mesures pour protéger leurs informations. Approchez le test d'une manière positive. Ne dites pas: «Nous entrons dans nos propres systèmes pour voir quelles informations sont vulnérables aux pirates», même si c'est ce que vous faites. Au lieu de cela, dites que vous évaluez la sécurité globale de votre environnement réseau afin que les informations soient aussi sécurisées que possible.

  • Comment saurez-vous si les clients se soucient de ce que vous faites?

  • Comment allez-vous informer les clients que l'organisation prend des mesures pour améliorer la sécurité de leurs informations?

  • Quelles mesures peuvent garantir que ces efforts portent leurs fruits?

L'établissement de vos objectifs prend du temps, mais vous ne le regretterez pas. Ces objectifs sont votre feuille de route. Si vous avez des préoccupations, référez-vous à ces objectifs pour vous assurer que vous restez sur la bonne voie.

Comment établir des objectifs pour un plan de piratage éthique - les nuls

Le choix des éditeurs

Conventions de dénomination pour Ruby on Rails - mannequins

Conventions de dénomination pour Ruby on Rails - mannequins

Vous utilisez Ruby on Rails pour créer un site Web application ou application de base de données Web, ce qui est très intelligent de votre part. En fonction de ce que vous utilisez (une application, une relation un-à-plusieurs ou une relation plusieurs-à-plusieurs), vous utilisez différentes variantes des protocoles d'attribution de noms Rails, qui sont expliquées dans les sections suivantes. Ruby Naming for ...

En orbite, panoramique et zoom dans la vue 3D de Blender - mannequins

En orbite, panoramique et zoom dans la vue 3D de Blender - mannequins

En essayant de naviguer dans un espace en trois dimensions à travers un écran bidimensionnel comme un écran d'ordinateur, vous ne pouvez pas interagir avec cet espace 3D virtuel exactement comme vous le feriez dans le monde réel, ou espace de vie. La meilleure façon de visualiser le travail en 3D à travers un programme comme Blender est d'imaginer la vue 3D comme vos yeux ...

Déplacement de clips sur la timeline dans Final Cut Pro HD - Ficelles

Déplacement de clips sur la timeline dans Final Cut Pro HD - Ficelles

Final Cut Pro HD Timeline vous permet d'organiser tous vos clips vidéo et audio afin qu'ils racontent l'histoire que vous voulez raconter. Pour comprendre le fonctionnement de la Timeline, imaginez-la comme une page de partitions, mais plutôt que de placer des notes de musique de différentes durées (noires, demi-notes, ...

Le choix des éditeurs

Contrôle et modification de l'associativité des dimensions dans AutoCAD - Dummies

Contrôle et modification de l'associativité des dimensions dans AutoCAD - Dummies

Lorsque vous ajoutez des dimensions en sélectionnant des objets ou en utilisant l'accrochage aux objets Pour sélectionner des points sur les objets, AutoCAD crée normalement des dimensions associatives, qui sont connectées aux objets et se déplacent avec eux. C'est le cas dans les nouveaux dessins créés à l'origine dans toute version d'AutoCAD à partir de 2002. Si vous ...

Copie de styles de cote existants dans AutoCAD 2008 - mannequins

Copie de styles de cote existants dans AutoCAD 2008 - mannequins

Si vous avez la chance de travailler dans un bureau Quelqu'un a mis en place des styles de cotes qui conviennent à votre secteur d'activité et à votre projet. Vous pouvez le copier et ainsi éviter de devoir créer vos propres styles de cote. (Un style de cote - ou dimstyle pour faire court - est une collection de paramètres de dessin appelée dimension ...

En choisissant un style d'édition AutoCAD -

En choisissant un style d'édition AutoCAD -

Dans AutoCAD vous passez généralement plus de temps à éditer que dessiner des objets. C'est en partie parce que le processus de conception et de rédaction est, par nature, sujet à des changements, et aussi parce que AutoCAD vous permet de modifier facilement les objets proprement. AutoCAD propose trois styles d'édition: Commande-première Sélection-première Objet-direct (poignée) AutoCAD fait référence à l'édition de commandes comme verbe-nom ...

Le choix des éditeurs

Praxis Examen d'éducation élémentaire - Présentations orales - mannequins

Praxis Examen d'éducation élémentaire - Présentations orales - mannequins

Parce que les élèves doivent généralement donner des présentations orales en classe , vous rencontrerez probablement une question sur ce sujet dans l'examen Praxis Elementary Education. Plus formelles que les discussions de groupe, les présentations orales ont leurs propres règles pour le conférencier. Lorsque vous donnez une présentation en classe, il y a plusieurs ...

Praxis Examen d'éducation élémentaire - Littérature et texte d'information - mannequins

Praxis Examen d'éducation élémentaire - Littérature et texte d'information - mannequins

L'examen Praxis Elementary Education sur la littérature et le texte d'information, c'est-à-dire la fiction et la non-fiction. Vous devrez donc vous familiariser avec les différents genres d'écriture. La compréhension du texte est un processus qui se produit au fil du temps.

Praxis Examen d'éducation élémentaire - Connaissance phonologique - mannequins

Praxis Examen d'éducation élémentaire - Connaissance phonologique - mannequins

Vous rencontrerez probablement une ou deux questions qui impliquent des questions phonologiques sensibilisation à l'examen Praxis Elementary Education. La conscience phonologique est une compétence large impliquant la reconnaissance de son. Les lecteurs débutants commencent par apprendre les sons individuels, ou phonèmes, dans des mots parlés. Par exemple, le mot chat a trois phonèmes: / c / / a / / t /. Un lecteur débutant apprend ...