Una cosa fondamentale è fare riferimento alla politica di sicurezza delle informazioni dell'azienda. Queste politiche decideranno anche cosa è consentito a un dipendente e non è autorizzato a farlo in azienda con aspetti di sicurezza IT. Decide anche quale sarà la penalità se un dipendente viola una politica di sicurezza. Quindi, per esempio: se la politica dice che l'azienda può monitorare uno qualsiasi in qualsiasi momento, allora puoi pentest senza informare l'utente finale! D'altra parte, se la politica dice che gli utenti finali non possono essere monitorati in nessuna circostanza, e se conduci un pentest, potresti essere in difficoltà. Queste politiche vengono fornite ai dipendenti quando firmano il contratto. Quindi il dipendente non può incolpare il datore di lavoro in seguito dicendo che non era a conoscenza di questo fatto.
Consiglio vivamente di fare riferimento alle politiche di sicurezza della compagnia prima di condurre un pentest. Ti aiuterà a capire meglio il funzionamento interno di un'azienda e ti aiuterà anche a pianificare la tua fase di test:
- Potrebbe aiutarti a decidere quando testare (orari lavorativi o non lavorativi)
- Ti aiuterà a pianificare il tuo pentest completo in alcuni aspetti e ad avere un'idea di quanto tempo ci vorrà per pentestare ecc.
Qui è una buona risorsa sui modelli di criteri di sicurezza.
Normalmente le politiche di sicurezza vengono create tenendo presente le leggi IT del paese per evitare conflitti. Ad esempio: le politiche di sicurezza di un'azienda del Regno Unito verranno create tenendo presenti le leggi IT del Regno Unito.
Un altro esempio potrebbe essere che alcune aziende hanno una politica rigorosa che i dipendenti non sono autorizzati a portare alcun tipo di dispositivo personale. Se un dipendente porta questo tipo di dispositivo, l'azienda ha il pieno diritto di esaminare tale dispositivo finché è nei locali dell'azienda. Ad esempio: un dipendente non può portare il proprio laptop o telefono cellulare ecc. Utilizzato per l'uso personale. Supponiamo che un dipendente abbia portato un tale tipo di dispositivo ora secondo la politica di sicurezza che l'azienda può esaminare su questo dispositivo e che il proprietario del dispositivo deve essere pienamente aziendale! ( Inoltre: ora hai un altro dispositivo da testare. : P
Poiché non esiste una politica di sicurezza universale, diverse società potrebbero avere politiche di sicurezza diverse. Quindi c'è no Sì / Nessuna risposta alla tua domanda.
Se la politica di sicurezza non aiuta in alcuni casi, consiglierei di discutere con il proprietario della società. Di solito una persona (o una squadra) con una posizione tecnica / non tecnica di alto livello le sarà fornita dal proprietario per discutere tali casi a seconda del contesto.
Inoltre, è una buona idea avere un contatto con alcune persone di alto livello tecnico / non tecnico durante l'intera fase del pentest. Queste persone ti assisteranno in qualsiasi questione tecnica / non tecnica. Inoltre, poiché saranno in possesso di alcune posizioni elevate nell'azienda, quindi avranno un'autorizzazione più elevata e potrebbero fornire le autorizzazioni in breve tempo. Ad esempio, se durante il pentest sfortunatamente qualcosa va terribilmente male, allora puoi immediatamente informare questi contatti. Potresti / potresti avere alcune situazioni durante il pentest, quando devi decidere qualcosa all'istante. Esempi di tali situazioni potrebbero essere che ti sei dimenticato di pianificare cosa fare se si verifica una situazione particolare prima di condurre il pentest o se sorge una situazione strana & sfortunatamente non hai un piano di backup. In quel momento puoi di nuovo discutere con le persone di contatto per prendere decisioni migliori.