Bagaimana membuat laporan pengujian keamanan - dummies

Anda mungkin perlu mengatur informasi kerentanan pengujian keamanan Anda ke dalam dokumen formal untuk manajemen atau untuk klien Anda. Ini tidak selalu terjadi, tapi sering hal profesional untuk dilakukan dan menunjukkan bahwa Anda menganggap pekerjaan Anda serius. Buatlah temuan kritis dan dokumentasikannya sehingga pihak lain dapat memahaminya.

Grafik dan grafik adalah nilai plus. Tangkapan layar menangkap temuan Anda - terutama saat sulit menyimpan data ke file - menambahkan sentuhan yang bagus ke laporan Anda dan menunjukkan bukti nyata bahwa masalahnya ada.

Tanggal pengujian dilakukan

• Pengujian yang dilakukan

• Ringkasan kerentanan yang ditemukan

• Daftar kerentanan yang diprioritaskan yang perlu ditangani

• Rekomendasi dan langkah-langkah spesifik tentang cara memasang lubang keamanan yang ditemukan

• Selalu menambahkan nilai jika Anda bisa melakukan penilaian operasional terhadap proses IT / Security. Tambahkan daftar pengamatan umum seputar proses bisnis yang lemah, dukungan manajemen terhadap TI dan keamanan, dan seterusnya serta rekomendasi untuk menangani setiap masalah. Anda bisa melihat ini sebagai semacam analisis akar penyebab.

Kebanyakan orang ingin laporan akhir menyertakan

ringkasan temuan - bukan segalanya. Hal terakhir yang kebanyakan orang ingin lakukan adalah menyaring file PDF setebal 600 halaman yang berisi jargon teknis yang sangat sedikit artinya bagi mereka. Banyak perusahaan konsultan telah dikenal untuk mengisi megabucks untuk jenis laporan ini. Dan mereka lolos begitu saja. Tapi itu tidak membuatnya benar.

Administrator dan pengembang memerlukan laporan data mentah dari alat keamanan. Dengan begitu, mereka dapat merujuk datanya nanti ketika mereka perlu melihat permintaan / tanggapan HTTP yang spesifik, rincian tentang missing patches, dan sebagainya.

Sebagai bagian dari laporan akhir, Anda mungkin ingin mendokumentasikan perilaku yang Anda amati saat melakukan tes keamanan Anda. Misalnya, apakah karyawan benar-benar tidak sadar atau bahkan berperang saat melakukan serangan rekayasa sosial yang jelas? Apakah IT atau staf keamanan benar-benar kehilangan tip teknis, seperti kinerja jaringan yang merendahkan selama pengujian atau berbagai serangan yang muncul dalam file log sistem?

Anda juga dapat mendokumentasikan masalah keamanan lain yang Anda amati, seperti seberapa cepat staf TI atau penyedia layanan yang dikelola merespons tes Anda atau apakah mereka merespons sama sekali. Setelah pendekatan analisis akar penyebab, prosedur yang hilang, tidak lengkap, atau tidak diikuti harus didokumentasikan.

Jagalah laporan akhir agar aman dari orang-orang yang tidak berwenang melihatnya. Laporan penilaian keamanan dan data terkait dan file pendukung di tangan pesaing, hacker, atau orang dalam yang jahat dapat menimbulkan masalah bagi organisasi. Berikut adalah beberapa cara untuk mencegah hal ini terjadi:

Kirimkan laporan dan dokumentasi dan file terkait hanya kepada mereka yang memiliki bisnis perlu diketahui.

• Jika mengirimkan laporan akhir secara elektronik, mengenkripsi semua lampiran, seperti dokumentasi dan hasil uji menggunakan format Zip terenkripsi, atau layanan berbagi file awan yang aman.