Un tester di penetrazione dovrebbe seguire una formazione ISO 27001 / ITIL, ecc.?

15

Recentemente mi è stata offerta una promozione, ma come parte del pacchetto mi è stato richiesto di fare ISO 27001, ITIL, ARPA e altri tipi di formazione. In precedenza ho evitato questo tipo di allenamento perché pensavo che mi avrebbe "distratto" dalle mie conoscenze sulla sicurezza tecnica.

In termini di test di penetrazione, queste qualifiche sono utili? Forniscono buone strutture per i test di penetrazione? Ho zero aspirazioni a diventare un manager non tecnico (almeno per il prossimo futuro) e la conformità / auditing non mi interessa in modo specifico. Tuttavia, le mie conoscenze su di loro sono minime quindi sono curioso di informarle sull'offerta o suggerire un addestramento tecnico.

Spero che qualcuno possa aiutarti.

Grazie!

    
posta NULLZ 22.02.2013 - 05:38
fonte

3 risposte

14

Anche se potrebbe non essere la pentecoste tecnica a cui sei abituato, ti aiuterà sicuramente a comprendere i processi e i controlli di sicurezza all'interno di un'azienda. Questo può aiutarti a portare le tue scoperte in un modo comprensibile al business e alla gestione IT.

Ovviamente significa anche che potresti fare molto di più del semplice pentesting in quanto potresti anche scrivere uno standard o una linea di base (27001).

Non aver paura di provare qualcosa di nuovo di volta in volta:).

    
risposta data 22.02.2013 - 06:58
fonte
3

Raramente ho trovato più conoscenze per essere una cosa dannosa. Potrebbe non essere molto utile, ma potrebbe essere d'aiuto in alcuni rari scenari.

    
risposta data 22.02.2013 - 07:12
fonte
2

Non di molto beneficio. Sono un PenTester con certificazioni ITIL e ISO 27k. Mentre ITIL non ha praticamente nulla a che fare direttamente con la sicurezza delle informazioni ed è molto generica, ma può essere efficace nel mettere un processo per una risposta agli incidenti più veloce e cambiare il controllo. ISO 27k esiste come linee guida standard e molto ampie per i processi che devono essere seguiti da qualsiasi organizzazione che prende sul serio InfoSec. Lo standard prevede inoltre disposizioni per gli audit per misurare l'efficacia dei processi e dei controlli di sicurezza delle informazioni. Questo controllo può includere sia l'analisi del codice sorgente che i test di penetrazione. L'unico modo in cui un Penetration Tester può trovarne un uso è di prevedere un certo livello di sicurezza se l'Organizzazione è certificata ISO 27k. Non ti verrà insegnato un singolo comando quando partecipi a questi corsi di formazione.

La conoscenza di ITIL e ISO 27k sarà necessaria se stai cercando di ottenere un ruolo manageriale all'interno delle grandi organizzazioni. A loro piace misurare tutto e avere metriche per quasi tutti i risultati del processo. ITIL e ISO 27k sono più incentrati sui processi che hanno obiettivi e meccanismi sviluppati per il miglioramento continuo.

    
risposta data 25.12.2015 - 09:30
fonte

Leggi altre domande sui tag