Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

X

Deblocare automata cont

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 29 Septembrie 2020
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis
portalprotectiadatelor.ro Un produs marca Rentrop&Straton

Modalitate de testare a masurilor de securitate folosite de catre firme


Intrebare:
GDPR prevede ca firmele trebuie sa isi ia masuri de securitate adecvate pentru evitarea riscurilor care apar odata cu prelucrarea datelor. Masurile de securitate trebuie sa fie si testate, in scopul utilizarii unor masuri corespunzatoare si conforme. Am inteles ca una din modalitatile de testare ale masurilor de securitate folosite, este testul de penetrare. Ne puteti oferi cateva informatii legate de utilitatea testului de penetrare din perspectiva conformarii cu GDPR?


Raspuns:
Testul de penetrare reprezinta o forma controlata de hacking (ethical hacking/white hack), in care un expert care lucreaza in numele unei organizatii, isi verifica retelele si aplicatiile pentru a cauta punctele slabe pe care un hacker le-ar putea exploata. Testul de penetrare poate fi automatizat, cu aplicatii software sau efectuat manual. Procesul presupune strangerea de informatii despre tinta inainte de testare, identificarea posibilelor puncte de intrare, incercarea de a patrunde in sistem/sisteme (fie virtual, fie real) - si raportarea rezultatelor.

Principalul obiectiv al testului de penetrare este identificarea punctelor slabe de securitate. Testul poate fi, de asemenea, utilizat pentru a evalua/verifica politica de securitate a unei organizatii si respectarea acesteia, constientizarea securitatii angajatilor si capacitatea organizatiei de a identifica si de a raspunde la incidentele de securitate.

Informatiile despre punctele slabe de securitate identificate sau exploatate prin testul de penetrare, sunt agregate si furnizate managerilor de sisteme IT si de retea ale organizatiei, permitandu-le sa ia decizii strategice si sa acorde prioritate eforturilor de remediere.
Exista multe motive pentru a efectua teste de penetrare. De exemplu:
  • Acestea pot identifica o serie de vulnerabilitati la care sunt expuse organizatiile
Astfel de vulnerabilitati sunt deschise unor potentiale atacuri devastatoare, cum ar fi SQL injection si alte lucruri la fel de benigne precum paginile de eroare si care pot oferi atacatorilor suficiente informatii pentru a exploata o vulnerabilitate mai putin evidenta dar mult mai daunatoare.
  • Ele pot identifica niveluri ridicate de vulnerabilitati care rezulta dintr-o combinatie de vulnerabilitati mai mici
Luate singular vulnerabilitatile mici pot parea neglijabile, dar hackerii cauta deseori aceste puncte slabe pentru a crea secvente de intruziune, depunand eforturi mici si constante pentru a identifica o cale de acces catre o vulnerabilitate mult mai mare a sistemului.
  • Rapoartele testului de penetrare vor oferi sfaturi specifice
Spre deosebire de rapoartele generate automat de instrumente care ofera sfaturi generice de remediere, rapoartele testelor de penetrare pot clasifica si evalua vulnerabilitatile in functie de amploarea riscului si a bugetului companiei.

Rapoartele testului de penetrare ofera feedback-ul necesar unei organizatii pentru a acorda prioritate investitiilor pe care intentioneaza sa le faca in securitatea sa. Aceste rapoarte pot ajuta, de asemenea, dezvoltatorii de aplicatii sa creeze aplicatii mai sigure, fara erori identice sau similare in viitor.

In practica, pot aparea, desigur, anumite probleme legate de reticenta managementului companiei de a angaja pe cineva sa intre in sistemul/sistemele organizatiei. Daca necesitatea unui test de penetrare a fost aprobata de management trebuie sa va asigurati ca lasati datele companiei, inclusiv datele personale, pe mainile unor profesionisti calificati si care prezinta garantii suficiente, conform GDPR. Daca testele de penetrare nu sunt efectuate in mod corespunzator de catre experti calificati, acestea pot distruge serverele, pot expune date sensibile, pot corupe date cruciale de productie sau pot provoca o serie de alte efecte adverse asociate metodele unui hacker veritabil.

Atunci cand o companie decide responsabil efectuarea unui astfel de test ar trebui luate in calcul si aspecte, precum:
  • Dimensiunea companiei. Companiile cu o prezenta mai mare online au mai multi vectori de atac si, prin urmare, sunt tinte mai atractive pentru hackeri;
  • Testele de penetrare pot fi costisitoare, astfel incat o companie cu un buget mai mic ar putea sa nu le poata efectua anual. O organizatie cu un buget mai mic ar putea fi capabila sa efectueze doar un test de penetrare o data la doi ani, in timp ce o companie cu un buget mai mare poate face testari de penetrare o data pe an;
  • Reglementari si conformitate. Organizatiile din anumite industrii sunt obligate prin lege sa indeplineasca anumite sarcini de securitate, inclusiv testul de penetrare;
  • Companie a carei infrastructura se afla in cloud ar putea sa nu i se permita sa testeze infrastructura furnizorului de cloud. Cu toate acestea, furnizorul poate efectua chiar el insusi teste de penetrare.
Testele de penetrare trebuie adaptate atat organizatiei in mod individual, cat si industriei in care functioneaza si ar trebui sa includa sarcini de urmarire si evaluare, astfel incat vulnerabilitatile constatate in ultimul test sa fie urmarite si in testele ulterioare.

Newsletter portalprotectiadatelor.ro

Top 3 studii de caz bazate pe amenzile GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul portalprotectiadatelor.ro si primesti cadou Raportul special "Top 3 studii de caz bazate pe amenzile GDPR"!

Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

x