Penetration test - Questioni legali
Prima di consentire a qualcuno di testare dati sensibili, le aziende normalmente adottano misure riguardanti la disponibilità, la riservatezza e l'integrità dei dati. Affinché questo accordo sia in vigore, la conformità legale è un'attività necessaria per un'organizzazione.
Le normative legali più importanti che devono essere osservate quando si istituiscono e mantengono i sistemi di sicurezza e autorizzazione sono presentate di seguito nel contesto per l'utilizzo nell'attuazione dei test di penetrazione.
Quali sono i problemi legali?
Di seguito sono riportati alcuni dei problemi che possono sorgere tra un tester e il suo cliente:
Il tester è sconosciuto al suo cliente, quindi, su quale base, dovrebbe avere accesso a dati sensibili
Chi si prenderà la garanzia della sicurezza dei dati persi?
Il cliente può incolpare il tester per la perdita di dati o riservatezza
I test di penetrazione possono influire sulle prestazioni del sistema e possono sollevare problemi di riservatezza e integrità; quindi, questo è molto importante, anche in un penetration test interno, che viene eseguito da uno staff interno per ottenere l'autorizzazione per iscritto. Ci dovrebbe essere un accordo scritto tra un tester e l'azienda / organizzazione / individuo per chiarire tutti i punti riguardanti la sicurezza dei dati, la divulgazione, ecc. Prima di iniziare il test.
UN statement of intentdeve essere redatto e debitamente firmato da entrambe le parti prima di qualsiasi lavoro di collaudo. Dovrebbe essere chiaramente delineato che lo scopo del lavoro e quello, potresti e non potresti fare mentre esegui i test di vulnerabilità.
Per il tester, è importante sapere chi possiede l'attività o i sistemi su cui viene richiesto di lavorare e l'infrastruttura tra i sistemi di test e i loro obiettivi che potrebbero essere potenzialmente influenzati dal test della penna. L'idea è di essere sicuri;
the tester ha il permesso scritto, con parametri chiaramente definiti.
the company ha i dettagli del suo tester a penna e la garanzia che non trapelerà alcun dato riservato.
Un accordo legale è vantaggioso per entrambe le parti. Ricorda, le normative cambiano da paese a paese, quindi tieniti al passo con le leggi del tuo rispettivo paese. Firmare un accordo solo dopo aver considerato le rispettive leggi.