Zakaj zgolj penetracijski testi za informacijsko varnost niso dovolj?

Penetracijski ali vdorni testi so uveljavljena praksa preverjanja informacijske varnosti v številnih podjetjih in organizacijah.

Njihov namen je simulacija napadov na informacijske sisteme in identifikacija ranljivosti, ki bi jih lahko izkoristili zlonamerni zunanji in notranji storilci. Praviloma vključujejo preverjanje konfiguracij, aplikacijskih ranljivosti, omrežne varnosti in drugih tehničnih slabosti. Rezultat je poročilo s seznamom ranljivosti in priporočili za njihovo odpravo.

Vendar pri svojem delu opažamo, da organizacije pogosto precenjujejo njihovo vrednost in jih obravnavajo kot sinonim za varnost, kar ne drži. Kajti, čeprav so pomembni, sami po sebi ne zagotavljajo informacijske varnosti.

Kakšne so ključne omejitve vdornih testov?

Časovna pogojenost. Vdorni test je slika trenutnega stanja. Ker se okolje nenehno spreminja (nove ranljivosti, spremembe v infrastrukturi, posodobitve aplikacij), je tudi njegov rezultat časovno omejen.

Tehnični vidik. Testi praviloma preverjajo tehnične pomanjkljivosti, ne obravnavajo pa organizacijskih tveganj, kot so pomanjkljivi procesi upravljanja tveganj, neustrezna razdelitev odgovornosti, (ne)usposobljenost zaposlenih ali načrti odzivanja na incidente.

Omejeni scenariji in viri. Testerji delujejo znotraj vnaprej določenih scenarijev, časovnih okvirov in obsega. Nasprotno imajo dejanski napadalci na voljo več časa, sredstev in pogosto tudi motivacije za razvoj sofisticiranih napadov, ki presežejo okvir testiranja.

Pomanjkanje povezave s poslovnimi učinki. Rezultati identificirajo ranljivosti, vendar redko odkrivajo njihov dejanski vpliv na poslovne procese, ugled podjetja, finančno stabilnost ali skladnost s predpisi, saj pokažejo predvsem tehnično sliko.

Ne nadomeščajo upravljanje tveganj. Podatki so lahko dragoceni za obvladovanje tveganj, vendar sami ne predstavljajo sistemske rešitve. Upravljanje informacijskih tveganj zahteva kakovostno analizo ter stalno spremljanje, ocenjevanje, prednostno razvrščanje in ukrepanje, kar presega posamezna testiranja.

Kaj potrebujemo poleg vdornih testov?

Predvsem celovito upravljanje informacijskih tveganj, kar vključuje:

• analizo tveganj in njihovo prioritizacijo,
• izvajanje ukrepov za obvladovanje tveganj in
• pripravljenost za učinkovit odziv na varnostne incidente.

Vdorni testi so torej nepogrešljivo orodje pri zagotavljanju informacijske varnosti, saj razkrijejo ranljivosti, ki jih sicer težko zaznamo. Vendar pa njihova uporaba ni dovolj in jih ne smemo enačiti s celovito varnostno strategijo.

Organizacije, ki se zanašajo zgolj na vdorne teste, ostajajo izpostavljene širšim tveganjem, tehničnim,  organizacijskim in poslovnim. Prava informacijska varnost se namreč gradi na stalnem procesu obvladovanja tveganj, v katerem so testi samo del(ček) celote.

Če vas zanima, kako celovite rešitve delujejo v praksi, se nam pridružite na brezplačnem dogodku z naslovom »Sodobni pristopi in digitalizacija upravljanja informacijskih tveganj«, ki bo v petek, 26.9., od 9. do 11. ure, na lokaciji GZS v Ljubljani.

Vse informacije in prijava so na tej povezavi.