Gartner hat laut CIO.com festgestellt, dass regelmäßige Sicherheitsprüfungen die IT-Sicherheit im Unternehmen erhöhen:
- Richard Hunter, a vice president and analyst on security and privacy with Gartner, says that CIOs should regularly run IT security audits on the „practices and procedures related to IT operations“. The audit needs to be an objective „examination of records by an impartial third party“.
Zusätzlich zu internen Audits kann offensichtlich auf externe Audits nicht verzichtet werden. Dabei kann es sich um reguläre Security Audits, Vunerability Assessments oder Penetration Tests handeln, wichtig ist vor allem, sie werden von einem seriösen Partner durchgeführt und finden regelmäßig statt.
Wichtig für das beauftragende Unternehmen ist dabei vor allem, dass einen brauchbare Dokumentation erstellt wird. In unserer Dokumentation ist nicht nur die Auflistung und Bewertung aller entdeckten und potentiellen Schwachstellen enthalten, zusätzlich erhält der Auftraggeber auch Empfehlungen zur Verbesserung der IT-Sicherheit. Und natürlich eine Übersicht aller verwendeten Tools, die Rohdaten aller Scanner (Nmap, Nessus, etc.) und den Source Code von eventuell von uns erstellter Exploits. Erst mit den Rohdaten kann der Auftraggeber auch prüfen, mit welchen Optionen ein Scanner gestartet wurde und ob eventuell Dienste übersehen wurden.
Unternehmen, die nach einem Penetrationstest diese Daten nicht herausrücken, vielleicht noch unter Verweis auf „Geschäftsgeheimnisse“ haben meiner Meinung nach das Attribut „seriös“ nicht verdient.
Kommentare gesperrt wegen Spam
Comment by Christian — 29. Juli 2010 @ 15:23