Jeg bliver ofte spurgt om vores IT-sikkerhedsforløb også omfatter penetration testing - penetrationstest.
Penetrationstest foregår typisk ved at man tillader et IT-sikkerhedsfirma at forsøge at bryde ind i virksomhedens systemer, som om de var hackere der ville forsøge det samme.
Selvom IT-sikkerhedsfirmaet anvender stort set samme værktøjer og metoder som de IT-kriminelle er forskellen naturligvis, at eksperterne rapporterer de afdækkede sårbarheder til ledelsen, så de med denne viden kan iværksætte foranstaltninger så “hullerne” kan lukkes.
Men penetrationstest er dyre. Skal det gøres ordentligt kræver det dybe kompetencer, mange konsulenttimer til planlægning og gennemførelse samt rapportering.
Så ingen tvivl om at penetrationstest kan være et godt værktøj. Men hvornår skal værktøjet anvendes?
Forestil dig at vi talte om en ældre villa som skulle sikres imod indbrud.
Ville du starte med at hyre en tidligere indbrudstyv til at forsøge et indbrud?
Nej vel. Det ville nok være smartere at kortlægge dine værdier, undersøge om dine forsikringer er tilstrækkelige, klippe hækken ned i højde, DNA-mærke værdigenstande, sikre vinduer og døre samt evt. opsætte en alarm.
Herefter er du uden tvivl bedre sikret.
Men hvis du stadig er usikker, er dette det bedste tidspunkt at bede en “ekspert” om at forsøge et indbrud. Er der stadig “huller”?
På samme måde med IT-sikkerheden, kortlæg dine IT-sikkerhedsaktiver, vurder dine risici, implementér relevante foranstaltninger, undervis dine medarbejdere.
Først herefter vil du få mest værdi ud af en evt. penetrationstest.
Forstå mig ret, penetrationstest kan være meget effektive. Men hvis du har 100.000 der skal bruges på IT-sikkerhed, så start i den rigtige rækkefølge. Gennemfører du penetrationstest for tidligt, kommer du til at gentage processen - måske flere gange.
תגובות