Audyty bezpieczeństwa i testy penetracyjne - SOFTIQ

Czym charakteryzuje się audyt bezpieczeństwa systemów informatycznych przeprowadzony przez SOFTIQ?

Audyt bezpieczeństwa stanowi kompleksową analizę stopnia zabezpieczenia systemów informatycznych oraz danych wrażliwych firmy, przeprowadzoną w oparciu wywiad środowiskowy, a także zebrane materiały, obejmujące m.in. polityki i procedury bezpieczeństwa, schematy sieci, dokumentację systemów.

Audyt bezpieczeństwa przeprowadzony przez doświadczony zespół pozwana nam:

Wskazać luki w zabezpieczeniach systemów

Wykryć potencjalne zagrożenia i ocenić ich skalę

Przygotować plan działania na wypadek różnych sytuacji kryzysowych

Efektem przeprowadzonego przez SOFTIQ audytu bezpieczeństwa systemów informatycznych w Twojej firmie jest szczegółowy raport przedstawiający wykryte nieprawidłowości, ich znaczenie oraz sposoby ich usunięcia.

Na jakie etapy podzielony jest audyt bezpieczeństwa systemów informatycznych:

Planowanie – poznajemy specyfikę firmy, dopieramy zespół odpowiednich audytorów, w oparciu o ich kompetencje i opracowujemy plan audytu.

Realizacja – gromadzimy i analizujemy informacje o stosowanych w firmie procedurach; weryfikujemy działania podejmowane przez specjalistów zajmujących się bezpieczeństwem IT w firmie; uzyskujemy dostęp do systemów i ich dokumentacji; prowadzimy wywiady, wykonujemy skany podatności i zestawiamy wyniki do oceny.

Raportowanie – opisujemy stwierdzony poziom zabezpieczeń, wymieniamy i charakteryzujemy wykryte zagrożenia, dostarczamy zalecenia wraz z terminem ich realizacji oraz uzasadnieniem konieczności ich wdrożenia.

Oprócz standardowych audytów bezpieczeństwa systemów informatycznych, obejmujących automatyczne skany podatności, dla naszych Klientów przygotowaliśmy również usługę testów penetracyjnych (pentestów).

SOFTIQ jako wykonawca audytów bezpieczeństwa i testów penetracyjnych – nasze atuty

lat na rynku

230 +

zatrudnionych (1/3 kobiet)

5000 +

godzin przeprowadzonych szkoleń

100 %

zadowolonych Klientów

Czym są testy penetracyjne i jakie korzyści przynosi ich przeprowadzenie?

Testy penetracyjne (pentesty) stanowią próbę przełamania przez naszych specjalistów zabezpieczeń wskazanych przez Ciebie systemów bądź elementów infrastruktury.

Dzięki przeprowadzeniu testów przez doświadczony, zewnętrzny zespół, zyskujesz wiedzę co do realnego poziomu zabezpieczenia poufnych danych w Twojej firmie.

Cel testów może zostać zdefiniowany przed ich rozpoczęciem, jak również może być wynikiem przeprowadzonego przez nas wstępnego audytu.

W zależności od ilości informacji o zasobach, które będą celem naszych specjalistów, testy penetracyjne mogą być przeprowadzone według różnych scenariuszy - white box, grey box bądź black box.

Jakie rezultaty dają testy penetracyjne, profesjonalnie przeprowadzone przez ekspertów SOFTIQ?

Nasz zespół posiada bogate, wieloletnie doświadczenie w zakresie projektowania architektury systemów zgodnej z najwyższymi standardami bezpieczeństwa, ich budowy, wdrażania i audytowania, jak również szkolenia użytkowników.

Dzięki przeprowadzeniu starannie zaplanowanych testów penetracyjnych jesteśmy w stanie dostarczyć Ci informacji nie tylko o potencjalnych błędach bezpieczeństwa, wynikających z niewłaściwej konfiguracji, wad w kodzie źródłowym lub podatności technicznej.

W trakcie swoich prac analizujemy również wdrożone w firmie procedury bezpieczeństwa oraz bierzemy pod uwagę stopień świadomości użytkowników i ich podatność na ataki socjotechniczne.

Najistotniejsze rezultaty przeprowadzenia testów penetracyjnych obejmują:

Niezależną ocenę rzeczywistego stopnia zabezpieczenia systemów informatycznych w firmie

Identyfikację wrażliwych punktów infrastruktury informatycznej, stanowiących potencjalne cele ataku

Pomiar stopnia poufności, integralności oraz dostępności systemów dla osób nieupoważnionych

Analizę realnego poziomu ryzyka związanego z ujawnionymi podatnościami i lukami w zabezpieczeniach

Rekomendacje w jaki sposób usunąć słabe punkty wykryte w zabezpieczeniach

Opracowanie zaleceń minimalizujących ryzyko wystąpienia podobnych problemów w przyszłości

Rodzaje testów penetracyjnych wykonywanych przez specjalistów SOFTIQ

Jedną z kluczowych decyzji, które pomagamy podjąć naszym Klientom, jest wybór najbardziej optymalnego spośród trzech scenariuszy przeprowadzenia testów penetracyjnych.

Testy “white-box”, “grey-box” oraz “black-box” różnią się przede wszystkim ilością informacji o systemie będącym celem ataku, które otrzymujemy od Klienta. W efekcie wpływa to z jednej strony na poziom skomplikowania i czasochłonność wybranego rodzaju testu dla realizującego go zespołu, z drugiej zaś na stopień w jakim test symuluje realny przebieg potencjalnego ataku.

Czym charakteryzują się poszczególne scenariusze testów penetracyjnych?

Wariant “white-box”:

Zespół posiada pełną dokumentację testowanego rozwiązania, przekazaną przez Klienta.
Symuluje atak w wykonaniu osoby mającej wgląd do kodu źródłowego i dokumentacji projektowej, a także pełen dostęp do systemu przy każdym poziomie uprawnień.
Test penetracyjny w tej formie jest dokładny, najczęściej trwa krócej oraz kosztuje mniej niż inne warianty, lecz nie odzwierciedla najbardziej prawdopodobnego przebiegu próby włamania.

Wariant “grey-box”:

Zespół posiada częściową wiedzę o testowanym rozwiązaniu, przekazaną przez Klienta.
Test symuluje atak przeprowadzony przez osobę posiadającą pewną wiedzę o architekturze systemu.
To wariant pośredni, cechujący się mniejszym realizmem, ale tańszy i możliwy do przeprowadzenia szybciej niż test “black-box”.

Wariant “black-box”:

Zespół nie otrzymuje od Klienta żadnych informacji o testowanym systemie.
Scenariusz odzwierciedla najbardziej prawdopodobny przebieg ataku intruza prowadzony z zewnątrz.
Testerzy rozpoczynają pracę od zebrania informacji o firmie oraz systemie, które są dostępne publicznie, a następnie stopniowo wykorzystują je, próbując znaleźć luki w badanym rozwiązaniu.
To najbardziej czasochłonny wariant testu penetracyjnego, co przekłada się na koszt wykonania usługi.
Dużą zaletą jest wysoki stopień realizmu, nieosiągalny przy innych wariantach testów.

Mając na uwadze specyfikę firmy oraz badanego systemu, doradzamy naszym Klientom w zakresie wyboru najoptymalniejszego dla firmy wariantu testu penetracyjnego.

Pomagamy również określić inne, kluczowe parametry testu, takie jak termin jego przeprowadzenia (w godzinach pracy firmy, bądź poza nimi), a także podjąć decyzję czy nie informować pracowników o planowanym symulowanym ataku (zyskując możliwość sprawdzenia ich realnej reakcji na zagrożenie).

Zastanawiasz się, który rodzaj testu najlepiej sprawdzi się w Twojej firmie?

Zamów konsultację

Umów bezpłatną, 30 minutową rozmowę z naszym ekspertem, aby ocenić, jaki rodzaj testu penetracyjnego najlepiej odpowiada Twoim potrzebom.

Posiadamy doświadczenie w zakresie projektowania, budowy, wdrażania i audytowania rozwiązań stworzonych z wykorzystaniem następujących technologii.

Zleć nam przeprowadzenie audytu bezpieczeństwa systemów informatycznych bądź testów penetracyjnych w Twojej firmie.

Wypełnij formularz kontaktowy, a skontaktujemy się z Tobą w ciągu 24 godzin.

Zamów konsultację

Poznaj opinie Klientów SOFTIQ:

Mieliśmy okazję współpracować z firmą SOFTIQ podczas realizacji projektu dla Ministerstwa Rodziny, Pracy i Polityki Społecznej. Obecnie przymierzamy się do innych wspólnych przedsięwzięć. Solidność, konstruktywna współpraca oraz miła atmosfera powodują, że do wspólnej realizacji projektów podchodzimy z bardzo pozytywnym nastawieniem.

Piotr Szostok

Prezes zarządu ALTA SP. Z O.O.

Współpraca z firmą SOFTIQ w obszarze realizacji projektu IaaS/PaaS wypadła wzorowo. Ogromna wiedza pracowników firmy oraz pełna świadomość zakresu usług, które miały zostać dostarczone przez 3S Data Center, spowodowały bardzo szybkie dopasowanie poziomu wymaganej i zastosowanej technologii platformy IT.

Jacek Chylak

Dyrektor handlowy 3S Data Center

Firma SOFTIQ dała się poznać z najlepszej strony jako zespół profesjonalistów o kreatywnym i zdecydowanym podejściu do rozwiązywania problemów, ukierunkowany na osiągnięcie celu. Jednak sam profesjonalizm to nie wszystko, bo firmę tworzą ludzie, a współpraca z kadrą SOFTIQ to przyjemność.

Anna Serpina-Forkasiewicz

Prezes zarządu PortalPZP

Współpracowałem z SOFTIQ przy projekcie informatycznym i jestem bardzo zadowolony z rezultatów tej współpracy, dlatego cieszę się, że mogę reprezentować ich w Szwecji.

Jonas Venström

Dyrektor generalny Veroveli AB

Polecam firmę SOFTIQ jako profesjonalny software house z wysoko wykwalifikowanymi specjalistami IT. Wspólnie zrealizowaliśmy mój projekt - start up. SOFTIQ to zespół ludzi z pasją, dlatego proponowane rozwiązania i zaangażowanie są na najwyższym poziomie.

Maja von Bomhard

Właściciel Spacenet AG

SoftIQ okazał się naszym najbardziej niezawodnym partnerem IT, jeśli chodzi o dostawy, elastyczność i jakość pracy. Szybko realizują każdą naszą potrzebę i często proponują lepsze alternatywne rozwiązania - w końcu SoftIQ to ludzie!

Svavar Viðarsson

CEO Imperio Nordic