Sikkerhetsrevisjon

Den økte bruk av Internett og informasjonsteknologi som en del av forretningsprosessene innebærer at risikoen for brudd på informasjonssikkerheten påvirker svært mange virksomheter.

Det er derfor viktig å utvikle organisasjonens strategi for, og implementeringen av, informasjonssikkerhet i tråd med eksponering mot ytre og indre faktorer.

Conferit Professional Services AS søker en balansert tilnærming til etablering av «tilstrekkelig» sikkerhet innenfor de 4 hovedriverne innen Informasjonssikkerhet;

  • Aktuelt trusselbilde
  • Forretningsprosesser
  • Bruk av teknologi
  • Regulative krav

Sikkerhetsrevisjonen kan gjennomføres med referanse til

  • Kontrollmålene i ISO 27001
  • Personopplysningsloven med forskrift
  • IKT forskriften
  • PCI DSS
  • Sjekk av etterlevelse av egne policyer/ standarder

 

Penetration Testing

Tjenesten «Penetration Testing» omfatter blant annet forsøk på å bryte seg inn i et privat datanettverk for å teste sikkerheten, identifisere sikkerhetssvakheter og bistand til å korrigere disse.

Penetration testing kan hjelpe deg til en bedre forståelse av:

Hvor sårbar din virksomhet er overfor hacker trusler
Hvordan endringer i teknologi kan endre risikoprofilen for dine forretningsprosesser
Hvorvidt interne kontrollrutiner for å oppdage og stoppe misligheter er oppdatert og effektive
Hvor godt bedriftens sikkerhetspolicy blir overholdt
Hvorvidt sikkerhetsrutiner fungerer og blir etterlevd i egen organisasjon

Conferit Professional Services AS har en veldefinert og utprøvd metode for testene. Arbeidet tar utgangspunkt i en risiko- og sårbarhetsanalyse, der bl.a. identifisering skjer av virksomhetskritiske systemer og aktuelle trusler. Testene omfatter alt fra automatiserte tester til manuell «hacking» og «social engineering». Identifiserte svakheter og dets årsaker analyseres og resultatet publiseres i to rapporter: en til bestilleren av tjenesten der risikoer for virksomheten klargjøres, og en teknisk rapport med forslag til umiddelbare tekniske forbedringer samt forslag til langsiktige forbedringer Verktøyene som benyttes testes kontinuerlig i vårt interne laboratorium,  detaljert logging utføres under hele testen for å i ettertid kunne spore alle hendelser.

Fremgangsmåte

Testene gjennomføres i følgende overordnede faser:

Fase 1 Trusselanalyse

I første fase gjennomføres en trusselanalyse. Målet med dette er å klarlegge og i detalj definere de ulike scenariene som skal danne utgangspunkt for testene.

Fase 2 Kartlegging

Den andre fasen, kartleggingen, består av å samle informasjon. I første rekke samles informasjon om målsystemet, men også om omkringliggende systemer som kan benyttes for å nå målsystemet. Penetrasjonstesting gjennomføres ikke i denne fasen.

Fase 3 Penetrasjon

I intrengningsfasen benyttes den informasjon som er samlet tidligere for å teste om kjente sikkerhetshull eksisterer. Arbeidet fokuserer på målsystemene i henhold til det definerte scenariet, men det kan forekomme at andre systemer angripes for å kunne nå målsystemet. Testene utføres både med hjelp av automatiserte verktøy og manuelle teknikker, og for hver test velges den mest passende metoden.

Fase 4 Analyse og rapportering

Når testene er avsluttet analyseres resultatene. Noen av verktøyene som benyttes produserer store mengder data som analyseres og aggregeres. Resultatene av analysene vurderes ihht. det definerte scenario, og dokumenteres. Alle resultatene oppsummeres i en rapport.