Video: Gefahr durch Steckdosenleiste ?! - Alle wichtigen Infos zu Mehrfachsteckdosen und Sicherheitsrisiken 2024
Möglicherweise müssen Sie die Sicherheitsinformationen für Sicherheitsanalysen in einem formalen Dokument für das Management oder für Ihren Kunden organisieren. Das ist nicht immer der Fall, aber oft ist es das Professionelle und zeigt, dass Sie Ihre Arbeit ernst nehmen. Unterstützen Sie die kritischen Befunde und dokumentieren Sie sie so, dass andere Parteien sie verstehen können.
Diagramme und Diagramme sind ein Plus. Screenshots Ihrer Ergebnisse - vor allem, wenn es schwierig ist, die Daten in eine Datei zu speichern - fügen Sie Ihren Berichten eine nette Note hinzu und zeigen greifbare Beweise dafür, dass das Problem existiert.
Dokumentieren Sie die Schwachstellen in einer prägnanten, nichttechnischen Weise. Jeder Bericht sollte die folgenden Informationen enthalten:
-
Datum (e) an dem der Test durchgeführt wurde
-
Durchgeführte Tests
-
Zusammenfassung der gefundenen Schwachstellen
-
Priorisierte Liste der zu behandelnden Schwachstellen
-
Empfehlungen und spezifische Schritte zum Stecken der gefundenen Sicherheitslücken
Es ist immer wertvoll, wenn Sie eine betriebliche Bewertung von IT- / Sicherheitsprozessen durchführen können. Fügen Sie eine Liste mit allgemeinen Beobachtungen zu schwachen Geschäftsprozessen, zur IT- und Sicherheitsunterstützung des Managements usw. hinzu und geben Sie Empfehlungen für die Behandlung der einzelnen Probleme an. Sie können dies als eine Art Ursachenanalyse betrachten.
Die meisten Leute wollen, dass der Abschlussbericht eine Zusammenfassung der Ergebnisse enthält - nicht alles. Die letzte Sache, die die meisten Leute machen wollen, ist durch eine 600-seitige PDF-Datei zu sichten, die einen Fachjargon enthält, der ihnen sehr wenig bedeutet. Viele Beratungsfirmen sind dafür bekannt, megabucks für genau diese Art von Bericht anzufordern. Und sie kommen damit durch. Aber das macht es nicht richtig.
Administratoren und Entwickler benötigen die Rohdatenberichte von den Sicherheitstools. Auf diese Weise können sie später auf die Daten verweisen, wenn sie bestimmte HTTP-Anforderungen / Antworten, Details zu fehlenden Patches und so weiter sehen müssen.
Als Teil des Abschlussberichts möchten Sie möglicherweise Verhaltensweisen dokumentieren, die Sie bei der Durchführung Ihrer Sicherheitstests beobachten. Sind zum Beispiel Mitarbeiter völlig blind oder sogar kriegerisch, wenn Sie einen offensichtlichen Social-Engineering-Angriff durchführen? Fehlt das IT- oder Sicherheitspersonal vollständig auf technische Hinweise, wie etwa die Leistung des Netzwerks beim Testen oder verschiedene Angriffe in Systemprotokolldateien?
Sie können auch andere Sicherheitsprobleme dokumentieren, die Sie beobachten, z. B. wie schnell IT-Mitarbeiter oder Managed Service Provider auf Ihre Tests reagieren oder ob sie überhaupt antworten. Nach dem Ansatz der Ursachenanalyse müssen alle fehlenden, unvollständigen oder nicht befolgten Prozeduren dokumentiert werden.
Schützen Sie den Abschlussbericht, um ihn vor Personen zu schützen, die nicht berechtigt sind, ihn zu sehen. Ein Sicherheitsbewertungsbericht und die zugehörigen Daten und unterstützenden Dateien in den Händen eines Mitbewerbers, Hackers oder böswilligen Insiders könnten der Organisation Probleme bereiten. Hier sind einige Möglichkeiten, dies zu verhindern:
-
Liefern Sie den Bericht und die zugehörige Dokumentation und Dateien nur an diejenigen, die es wissen müssen.
-
Wenn Sie den Abschlussbericht elektronisch senden, verschlüsseln Sie alle Anhänge, z. B. Dokumentation und Testergebnisse, mit einem verschlüsselten Zip-Format oder einem sicheren Dateifreigabedienst für Clouds.
