Testy penetracyjne stają się dzisiaj coraz bardziej popularną formą sprawdzania zabezpieczeń firmy. Są to bowiem kontrolowane ataki hakerskie, które dają nam możliwość sprawdzenia funkcjonowania naszych zapór i systemów obronnych.

Bezpieczeństwo firmy

Niemniej jednak miejmy na uwadze to, że takie zarządzanie serwerami to bardzo delikatne zagadnienie. Jeśli bowiem okaże się, że mamy kiepskie zapory, firma outsourcingowa wykonująca testy penetracyjne zyska dostęp do naszych najważniejszych danych. Trzeba zatem nie tylko uważnie wybrać tę firmę, lecz także z uwagą spisać umowę z nią. Co powinno się tam znaleźć?

Dokładny rodzaj testu penetracyjnego i informacji, jakie udostępniamy

Trzeba wiedzieć, że istnieją dwa główne rodzaje testów penetracyjnych. White box oznacza, że firma penetrująca posiada w różnym stopniu informacje o naszych zabezpieczeniach i tylko sprawdza ich bezpieczeństwo. Black box natomiast to testy, w których firma penetrująca znajduje się na etapie zerowym, tak jak potencjalny haker. Musimy wcześniej dokładnie ustalić, co udostępniamy i jakie testy chcemy mieć wykonane.

Konsekwencje braku dyskrecji

W umowie także musimy zawrzeć stosowne punkty dotyczące konsekwencje braku dyskrecji przez firmę penetrującą. Pamiętajmy, że przestępstwa takie jak kradzież danych są ścigane z urzędu a nie powództwa cywilnego, zatem teoretycznie nie musielibyśmy dopisywać tego typu danych w umowie. Niemniej jednak to nie do końca są nasze dane, a dane naszych klientów, którymi zobowiązaliśmy się zapewnić prywatność.