fbpx
Introdu un termen de cautare si apasa Enter

Ce ar trebui sa obtina magazinele online de la serviciile de securitate cibernetica contractate?

Exista multe intrebari si curiozitati cand vine vorba de servicii de securitate cibernetica pentru magazine online si alte tipuri de afaceri online. Ce tipuri de servicii ar trebui sa cauti mai exact? Ce presupun serviciile de securitate cibernetica? Ce primesti la finalizarea acestora? Cum ar trebui sa te ajute rezultatele primite?

Fara a pretinde ca vom oferi raspunsuri complete la toate intrebarile legate de serviciile de securitate cibernetica, vom detalia mai jos viziunea pe care o implementam in toate proiectele noastre si modul in care contribuim la imbunatatirea securitatii cibernetice a magazinelor online.

Indiferent de serviciul concret ales, pentru Hidden Process nu exista serviciu standard de securitate. Acesta este motivul pentru care toate proiectele noastre incep cu analiza particularitatilor activitatii desfasurate online. Aceasta etapa initiala presupune:

  • intelegerea strategiei de business si a directiei acesteia (e.g. cresterea vanzarilor online, expansiune internationala);
  • inventarierea activelor ce necesita protectie (e.g. liste de clienti si angajati, date de logare, date bancare ale clientilor, proprietate intelectuala, secrete comercale – modul in care determine ce produse vinzi la anumite preturi);
  • evaluarea organigramei companiei: cati oameni au acces la datele sensibile ale companiei, cine sunt acestia, ce tip de acces au, este accesul monitorizat?
  • evaluarea serviciilor externe pe care compania le contracteaza (e.g. servicii cloud).

Toate informatiile adunate in aceasta prima etapa ne ajuta sa intelegem particularitatile care fac activitatea companiei sa fie diferita de ceea ce desfasoara toate celelate companii si, apoi, sa identificam si sa evaluam amenintarile, vulnerabilitatile si consecintele acestora.

Activitatea noastra se bazeaza pe doua tipuri de servicii dintre care organizatiile pot alege sau care pot fi combinate in functie de obiectivele exacte pe care le stabilim impreuna cu organizatiile, respectiv:

Teste de penetrare si Evaluari de vulnerabilitati

Cea mai importanta diferenta dintre cele doua servicii consta in faptul ca Evaluarea de vulnerabilitati presupune scanarea website-ului pentru a furniza organizatiei o lista a vulnerabilitatilor publice, in timp ce testele de penetrare cibernetica se concentreaza pe simularea de atacuri externe pentru a obtine acces. In cazul testelor de penetrare cibernetica, vulnerabilitatile identificate sunt validate, iar riscul aferent poate fi evaluat.

Evaluarea de vulnerabilitati este optiunea potrivita pentru organizatiile care au un nivel al securitatii cibernetice mediu spre mare, al caror scop principal este doar de a mentine nivelul de securitate curent.

Rezultatele oricarui tip de evaluare de securitate vor fi cuprinse intr-un raport. Din motive de eficienta, rapoartele Hidden Process nu sunt elaborate doar pentru echipa de IT, ci si pentru echipa de management. Securitatea cibernetica a unui website reprezinta o preocupare ce trebuie inteleasa in primul rand de echipa de management pentru a putea fi inclusa si reflectata in strategiile organizatiei si pentru a minimiza si controla expunerea la riscurile cibernetice pe termen mediu si lung.

De obicei, rapoartele de securitate Hidden Process cuprind mai multe capitole, dupa cum urmeaza:

  • prezentare generala a securitatii website-ului evaluat;
  • prezentarea riscurilor identificate de la cele mai importante la cele mai mici, precum si identificarea nivelului acceptabil de risc;
  • descrierea vulnerabilitatilor si explicatii aferente;
  • propuneri specifice si sugestii pentru imbunatatirea nivelului de securitate si alinierea acesteia la obiectivele de dezvoltare ale organizatiei.

Testele de penetrare cibernetica presupun o analiza a riscurilor pentru a determina daca acestea sunt ridicate, medii sau mici. Aceasta analiza este rezultatul raportului dintre amploarea potentialelor consecintelor si probabilitatea ca ele sa se produca.

Anumite criterii contribuie la estimarea probabilitatii producerii acestor consecinte si dimensiunII pe care acestea o pot avea:

  • date istorice (precum date istorice ale incidentelor de securitate anterioare);
  • costuri de remediere;
  • impactul legal;
  • pierderi de vanzari si clienti;
  • importanta informatiilor implicate;
  • consecinte negative asupra reputatiei si imaginii.

In functie de nivelul de risc atribuit, se propun anumite solutii: (i) reducerea riscului – riscul este redus cu ajutorul unor proceduri manuale si automate de a trata amenintarea inainte de a fi exploatata; (ii) eliminarea riscului – sunt eliminate anumite activitati care pot conduce la producerea incidentului; (iii) mentinerea riscului – amenintarile care au un nivel acceptabil de risc pot fi pastrate si tinute sub observatie.

Nu in ultimul rand, dupa ce solutiile pentru riscurile identificate sunt aplicate, o noua evaluare de securitate este necesara pentru a te asigura ca toate amenintarile cibernetice au fost corect inlaturate si nu au aparut amenintari noi pe parcursul procesului de eliminare.

Astfel, este recomandat un pachet de securitate care include o evaluare suplimentara dupa ce amenintarile cibernetice au fost remediate.

Va putem ajuta sa stati in siguranta!

Stim, de asemenea, cat de importante sunt costurile.

Ar trebui sa citesti si

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.