Modalitate de testare a masurilor de securitate folosite de catre firme
Intrebare:
GDPR prevede ca firmele trebuie sa isi ia masuri de securitate adecvate pentru evitarea riscurilor care apar odata cu prelucrarea datelor. Masurile de securitate trebuie sa fie si testate, in scopul utilizarii unor masuri corespunzatoare si conforme. Am inteles ca una din modalitatile de testare ale masurilor de securitate folosite, este testul de penetrare. Ne puteti oferi cateva informatii legate de utilitatea testului de penetrare din perspectiva conformarii cu GDPR?
Raspuns:
Testul de penetrare reprezinta o forma controlata de hacking (ethical hacking/white hack), in care un expert care lucreaza in numele unei organizatii, isi verifica retelele si aplicatiile pentru a cauta punctele slabe pe care un hacker le-ar putea exploata. Testul de penetrare poate fi automatizat, cu aplicatii software sau efectuat manual. Procesul presupune strangerea de informatii despre tinta inainte de testare, identificarea posibilelor puncte de intrare, incercarea de a patrunde in sistem/sisteme (fie virtual, fie real) - si raportarea rezultatelor.
Principalul obiectiv al testului de penetrare este identificarea punctelor slabe de securitate. Testul poate fi, de asemenea, utilizat pentru a evalua/verifica politica de securitate a unei organizatii si respectarea acesteia, constientizarea securitatii angajatilor si capacitatea organizatiei de a identifica si de a raspunde la incidentele de securitate.
Informatiile despre punctele slabe de securitate identificate sau exploatate prin testul de penetrare, sunt agregate si furnizate managerilor de sisteme IT si de retea ale organizatiei, permitandu-le sa ia decizii strategice si sa acorde prioritate eforturilor de remediere.
Exista multe motive pentru a efectua teste de penetrare. De exemplu:
Principalul obiectiv al testului de penetrare este identificarea punctelor slabe de securitate. Testul poate fi, de asemenea, utilizat pentru a evalua/verifica politica de securitate a unei organizatii si respectarea acesteia, constientizarea securitatii angajatilor si capacitatea organizatiei de a identifica si de a raspunde la incidentele de securitate.
Informatiile despre punctele slabe de securitate identificate sau exploatate prin testul de penetrare, sunt agregate si furnizate managerilor de sisteme IT si de retea ale organizatiei, permitandu-le sa ia decizii strategice si sa acorde prioritate eforturilor de remediere.
Exista multe motive pentru a efectua teste de penetrare. De exemplu:
- Acestea pot identifica o serie de vulnerabilitati la care sunt expuse organizatiile
Astfel de vulnerabilitati sunt deschise unor potentiale atacuri devastatoare, cum ar fi SQL injection si alte lucruri la fel de benigne precum paginile de eroare si care pot oferi atacatorilor suficiente informatii pentru a exploata o vulnerabilitate mai putin evidenta dar mult mai daunatoare.
- Ele pot identifica niveluri ridicate de vulnerabilitati care rezulta dintr-o combinatie de vulnerabilitati mai mici
Luate singular vulnerabilitatile mici pot parea neglijabile, dar hackerii cauta deseori aceste puncte slabe pentru a crea secvente de intruziune, depunand eforturi mici si constante pentru a identifica o cale de acces catre o vulnerabilitate mult mai mare a sistemului.
- Rapoartele testului de penetrare vor oferi sfaturi specifice
Spre deosebire de rapoartele generate automat de instrumente care ofera sfaturi generice de remediere, rapoartele testelor de penetrare pot clasifica si evalua vulnerabilitatile in functie de amploarea riscului si a bugetului companiei.
Rapoartele testului de penetrare ofera feedback-ul necesar unei organizatii pentru a acorda prioritate investitiilor pe care intentioneaza sa le faca in securitatea sa. Aceste rapoarte pot ajuta, de asemenea, dezvoltatorii de aplicatii sa creeze aplicatii mai sigure, fara erori identice sau similare in viitor.
In practica, pot aparea, desigur, anumite probleme legate de reticenta managementului companiei de a angaja pe cineva sa intre in sistemul/sistemele organizatiei. Daca necesitatea unui test de penetrare a fost aprobata de management trebuie sa va asigurati ca lasati datele companiei, inclusiv datele personale, pe mainile unor profesionisti calificati si care prezinta garantii suficiente, conform GDPR. Daca testele de penetrare nu sunt efectuate in mod corespunzator de catre experti calificati, acestea pot distruge serverele, pot expune date sensibile, pot corupe date cruciale de productie sau pot provoca o serie de alte efecte adverse asociate metodele unui hacker veritabil.
Atunci cand o companie decide responsabil efectuarea unui astfel de test ar trebui luate in calcul si aspecte, precum:
Rapoartele testului de penetrare ofera feedback-ul necesar unei organizatii pentru a acorda prioritate investitiilor pe care intentioneaza sa le faca in securitatea sa. Aceste rapoarte pot ajuta, de asemenea, dezvoltatorii de aplicatii sa creeze aplicatii mai sigure, fara erori identice sau similare in viitor.
In practica, pot aparea, desigur, anumite probleme legate de reticenta managementului companiei de a angaja pe cineva sa intre in sistemul/sistemele organizatiei. Daca necesitatea unui test de penetrare a fost aprobata de management trebuie sa va asigurati ca lasati datele companiei, inclusiv datele personale, pe mainile unor profesionisti calificati si care prezinta garantii suficiente, conform GDPR. Daca testele de penetrare nu sunt efectuate in mod corespunzator de catre experti calificati, acestea pot distruge serverele, pot expune date sensibile, pot corupe date cruciale de productie sau pot provoca o serie de alte efecte adverse asociate metodele unui hacker veritabil.
Atunci cand o companie decide responsabil efectuarea unui astfel de test ar trebui luate in calcul si aspecte, precum:
- Dimensiunea companiei. Companiile cu o prezenta mai mare online au mai multi vectori de atac si, prin urmare, sunt tinte mai atractive pentru hackeri;
- Testele de penetrare pot fi costisitoare, astfel incat o companie cu un buget mai mic ar putea sa nu le poata efectua anual. O organizatie cu un buget mai mic ar putea fi capabila sa efectueze doar un test de penetrare o data la doi ani, in timp ce o companie cu un buget mai mare poate face testari de penetrare o data pe an;
- Reglementari si conformitate. Organizatiile din anumite industrii sunt obligate prin lege sa indeplineasca anumite sarcini de securitate, inclusiv testul de penetrare;
- Companie a carei infrastructura se afla in cloud ar putea sa nu i se permita sa testeze infrastructura furnizorului de cloud. Cu toate acestea, furnizorul poate efectua chiar el insusi teste de penetrare.
Testele de penetrare trebuie adaptate atat organizatiei in mod individual, cat si industriei in care functioneaza si ar trebui sa includa sarcini de urmarire si evaluare, astfel incat vulnerabilitatile constatate in ultimul test sa fie urmarite si in testele ulterioare.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Obligatiile persoanelor juridice
09Oct2023
Litigii de munca. Furnizarea datelor persoane dupa expirarea perioadei de stocare
de Andrei Savescu
valabil la 09 Oct 2023
25Mai2022
Publicarea datelor cu caracter personal in cadrul studiilor monografice
de Andrei Savescu
valabil la 25 Mai 2022
24Feb2022
Formularul de contact - Informarea cu privire la modul de prelucrare al datelor personale
de Andrei Savescu
valabil la 24 Feb 2022
20Dec2021
Acord si informare colectare directa a datelor cu caracter personal - Facebook
de Colectivul de Specialisti Rentrop&Straton
valabil la 20 Dec 2021
03Nov2021
Acordul de prelucrare a datelor cu caracter personal incheiat intre Operator si Persoana imputernicita
de Colectivul de Specialisti Rentrop&Straton
valabil la 03 Nov 2021
17Aug2021
Date cu caracter personal ale donatorilor de sange
de Colectivul de Specialisti Rentrop&Straton
valabil la 17 Aug 2021
Un produs marca