Securitatea informațiilor

 

Practica prin care prevenim accesul neautorizat, utilizarea, dezvăluirea, modificarea, înregistrarea sau distrugerea informațiilor. Informațiile sau datele pot exista sub orice formă: fizică sau electronică. Securitatea informațiilor se concentrează în mod principal pe protejarea echilibrată a confidențialității, integrității și disponibilității datelor, menținând în același timp atenția și asupra modului eficient de implementare a politicilor fără a afecta funcționarea organizației. Toate acestea, prin identificarea activelor, posibile surse pentru amenințările informatice, vulnerabilități, impactul asupra afacerii, urmate de evaluarea eficienței privind gestionarea acestor riscuri.

 

Activități incluse

Audit securitate

Auditul de securitate reprezintă analiza cu cel mai înalt grad de detaliere a vulnerabilităților sistemului informatic, identificând breșele de securitate la nivelul fiecărui element activ de rețea ce se bazează pe IP (desktop, server, router, firewall, switch, network printer etc.). Pe baza rezultatelor de la audit, construim lista de recomandări și propunerile aferente următoarelor zone:

  • politici de securitate internă;
  • proceduri de back-up, proceduri de update, etc;
  • administrarea corectă a serverelor din punct de vedere a securităţii rețelei;
  • modalități de asigurare a securitaţii datelor;
  • transferul datelor cu caracter personal;
  • managementul furnizorilor IT externi;
  • politici privind utilizarea și securitatea dispozitivelor mobile;
  • retenția datelor cu caracter personal și securitatea distrugerii acestora;
  • propuneri de imbunătăţire.

Teste de penetrare

Testele se împart în categorii, fiecare având subcomponente. Această ierarhie permite alegerea serviciilor necesare, reducând astfel complexitatea și costul soluției.

Black box – Pornim de la scanarea vulnerabilităților la limita externă, până la analiza la nivel de perimetru. În anumite situații, efectuăm analiza și dincolo de perimetru. În cazul site-urilor web / bazelor de date, analizăm totul din exterior (fără credențiale) și încearcăm găsirea unei modalități de elevare a privilegiilor. În anumite situații, este posibil să scanăm și zone din rețeaua internă. În timpul testării, păstrăm legătura cu departamentul IT pentru a valida anumite acțiuni. Nefiind furnizate informații confidențiale, acest tip de atac are un set de reguli: NU se vor efectua atacuri DDoS, NU se vor exploata vulnerabilități dacă acestea ar putea perturba activitatea companiei, NU se va folosi malware în cadrul atacului.

Grey box – Echipa de testare are acces la schema infrastructurii IT, informații despre sisteme, incluzând codul sursă sau privilegii administrative. În timpul acestei testări, simulăm o activitate rău voitoare și nelegitimă care să reflecte ceea ce s-ar putea întâmpla în cazul în care atacatorul, care a trecut – în mod legitim sau abuziv – de primul nivel de securitate, are acces la codul sursă, machetele de rețea și, eventual, chiar la unele parole. Doar la cerere expresă, adițional acestei categorii de teste, putem efectua și teste de mare risc: DoS, DDoS, malware injection, brute force etc.

Hai să povestim mai multe

Nume *

Email *

Subiect

Mesaj

Prin completarea acestui form ești de acord să-ți stocăm datele în baza noastră de date. Pentru mai multe informații citește politica noastră de confidențialitate. Siguranța datelor tale este o prioritate pentru noi. De aceea punem accent pe siguranța sistemelor noastre și nu vom divulga datele tale către terţe părţi, care intenționează să le folosească în scopuri comerciale sau de marketing.

, sunt de acord. FREE FORM FACTORY SRL poate salva datele mele preluate prin acest form.