cechy rzetelnego dostawcy – audyt bezpieczeństwa, testy penetracyjne
- Wykazuje zainteresowanie procesem biznesowym, którego dotyczy badanie.
- Posiada własny interdyscyplinarny Zespół/certyfikaty branżowe.
- Udostępnia zanonimizowane CV zaangażowanego Zespołu.
- Wykazuje i dokumentuje referencje.
- Umożliwia realizację rozmów i wizyt referencyjnych.
- Wykazuje metodykę, ze wskazaniem standardów, planu działania, celu, efektu, harmonogramu, planów awaryjnych.
- Rozumie i kieruje się standardami branżowymi.
- Udostępnia zanonimizowany raport.
- Podpisuje umowy o poufności – NDA.
- Posługuje się szyfrowanym kanałem komunikacji.
- Posiada ubezpieczenie OC.
- Dokumentuje zgodność z systemami jakości i bezpieczeństwa informacji – ISO/IEC 27001, ISO 9001 wystawione przez jednostki akredytowane w PCA.
- Opracowuje i pozostawia dokumentację.
- Wskazuje ścieżkę eskalacji problemów, oraz kontakt personalny.
- Umożliwia dostęp do osób RZECZYWIŚCIE zaangażowanych
w projekt z określeniem roli, kompetencji, certyfikatów. - Posiada nienaganne opinie pracowników, kontrahentów, klientów
- Wykazuje doświadczenie i staż rynkowy.
- Posiada wiarygodność i stabilność finansową.
- cdn 🙂
Ze względu na brak jednego obowiązującego standardu i powszechnej wiedzy zauważam, że podmioty zainteresowane przeprowadzeniem „audytu bezpieczeństwa”/security assessment prezentują ogólne przeświadczenie co do wymagań, szczególnie zauważalne jest to w ramach testów penetracyjnych, które mylnie są utożsamiane z audytem bezpieczeństwa. Często zamawiający wskazuje szerszy zakres samego testowania, który stanowi ocenę bezpieczeństwa systemów IT i błędnie jest określany terminem audytu, który powinien być umocowany w ramach powszechnie uznanych i rekomendowanych metodyk, jeszcze trudniej jest w obszarze weryfikacji poziomu bezpieczeństwa sieci przemysłowych i systemów OT/ICS.
W kontekście powyższego niezmiernie ważne jest określenie cech rzetelnego dostawcy, które mogą stanowić punkt wyjścia do weryfikacji kompetencji wykonawcy. Powszechnie uważa się, że gwarantem skuteczności i rzetelności testów weryfikujących poziom bezpieczeństwa systemów teleinformatycznych są kompetencje i doświadczenie wykonawcy, szczególnie gdy jego zespół oprócz oceny samych systemów IT wykazuje zrozumienie kluczowego procesu, za które badaną organizację jako ściśle ze sobą powiązane filary: ludzie, procesy systemy.
Dobrą rekomendacją jest, gdy podmioty i osoby zaangażowane w security assessment posiadają poniżej wymienione certyfikaty.
Nadmieniam, że nie chodzi o to, aby wybrany team dostawcy posiadały je wszystkie, ponadto wiele osób ich nie posiada, a realizują security assessment na światowym poziomie. Można się obrażać lub nie ale, w ramach dojrzałych organizacji, gospodarek na świecie posiadanie certyfikacji jest gwarantem weryfikacji rzetelności i realizacji prac wg. uznanych metodyk i standardów. Dodatkowo większość z nich wymaga ciągłego procesu doskonalenia i recertyfkacji. Warto też zwrócić uwagę, kto akredytuje, bo można dokonać wyboru kierując się certyfikacją „zrobioną z kartofla”, którą można kupić, a nie niesie za sobą rzetelności, wysokich standardów i konieczności doskonalenia i recertyfikacji.
Warte lektury jest ponadczasowe opracowanie „Czy audyt bezpieczeństwa teleinformatycznego” jest tym samym co „audyt informatyczny?”
link: https://bibliotekanauki.pl/articles/273210.pdf
Dr inż. Krzysztof Liderman – Absolwent Wojskowej Akademii Technicznej, jest mianowanym adiunktem w Instytucie
Teleinformatyki i Automatyki WAT. W swojej ponad 35-letniej pracy
naukowej i dydaktycznej zajmował się projektowaniem systemów
komputerowych oraz teorią i praktycznym wykorzystaniem systemów
eksperckich. Od prawie 20 lat swoje zainteresowania i aktywność zawodową
ukierunkowuje na bezpieczeństwo informacyjne. Autor książek m.in.
Podręcznik administratora bezpieczeństwa teleinformatycznego (MIKOM
2003), Analiza ryzyka i ochrona informacji w systemach komputerowych
(PWN 2008), Bezpieczeństwo informacyjne (PWN 2012) oraz licznych
publikacji naukowych z bezpieczeństwa informacyjnego, m.in. w biuletynie
naukowym Instytutu Teleinformatyki i Automatyki WAT oraz periodyku
Instytutu Organizacji i Zarządzania WAT Studia bezpieczeństwa
narodowego. Prowadzi wykłady z zakresu bezpieczeństwa informacyjnego w
Wojskowej Akademii Technicznej. Współautor metodyki LP-A audytu
bezpieczeństwa teleinformatycznego. Jest ekspertem nieformalnego zespołu
audytowego, wykonującym badania stanu ochrony zasobów informacyjnych i
przedsięwzięcia z zakresu budowy i modyfikacji systemów bezpieczeństwa.
Brał udział w licznych audytach bezpieczeństwa teleinformatycznego i
budowie/modyfikacji systemów bezpieczeństwa dużych organizacji, zarówno
komercyjnych jak i państwowych. Za wieloletnią pracę dydaktyczną
nagrodzony Medalem Komisji Edukacji Narodowej. Członek SEP, wyróżniony
złotą odznaką honorową tej organizacji.