Ответы на часто задаваемые вопросы

Зачем нужна информационная безопасность?
— Средства массовой информации полны новостей об инцидентах безопасности и утечках информации. Организации страдают от существенного ущерба от инцидентов кибер-безопасности. Процессы и решения безопасности требуются нормами регуляторов, такими как GDPR, PCI DSS и HITECH/HIPAA. Несоответствие требованиям может привести к серьёзным санкциям. Даже если компания не обязана соблюдать требования и стандарты безопасности, соответствие требованиям и следование лучшим мировым практиками безопасности является конкурентным преимуществом. Кибер-здоровье аналогично физическому здоровью, поэтому всегда лучше предотвращать болезнь, чем лечить.

Зачем покупать сервис технической оценки безопасности?
— Техническая оценка безопасности – это лучший способ выяснить текущее состояние безопасности приложения, сетевой инфраструктуры или других систем. Техническая оценка безопасности полезна для оценки рисков. Оценка рисков чрезвычайно важна для обоснования бюджетов и мероприятий по безопасности. Внутренний персонал не может объективно выполнять независимую оценку безопасности, поэтому компетентная третья сторона – это лучший выбор. Наконец, услуга оценки безопасности – это один из сервисов безопасности, поэтому вы также можете использовать предыдущий ответ.

Какая разница между аудитом, проверкой, оценкой информационной безопасности, тестированием на проникновение и сканированием уязвимостей?
— Тестирование на проникновение – это оценка технической и/или социотехнической безопасности. В нашем контексте «пентест» и «оценка безопасности» – это синонимы. «Оценка безопасности» – более официальный термин. Аудит и проверка безопасности обычно охватывают более стратегический слой, такой как соответствие процессов требованиям безопасности, и могут включать техническую оценку безопасности как часть. Иногда «аудит безопасности» используется как синоним «оценки безопасности». В некоторых случаях «аудит» означает регистрацию (журналирование) событий безопасности. Сканирование на уязвимости – это относительно простая автоматизированная работа по поиску технических уязвимостей систем, которая является только одним из этапов некоторых пентестов. Недобросовестные поставщики услуг безопасности называют пентестом сканирование уязвимостей.

Хакинг – это законно?
— Термин «хакинг» неоднозначный. Термины «компьютерное преступление» и «оценка безопасности» являются более точными. Разница и ключевой момент заключаются в разрешении заказчика. Если владелец целевого объекта даёт письменное разрешение, то выполнение оценок безопасности законно.

Почему нам следует доверять вам?
— Наши сертификации требуют только законные действия и этическое поведение. Вы можете проверить наши сертификаты в соответствующих независимых международных сертифицирующих организациях. Почитайте больше о нас, потому что это важно.

Кто ваши клиенты?
— Наши клиенты – компании, работающие в электронной коммерции, промышленности, фармацевтике, телекоммуникациях, торговле, ИТ, страховании, а также банки и государственные организации. Любая компания, которая ценит свою информацию, онлайн-сервисы, соответствие требованиям безопасности, конфиденциальность и непрерывность бизнеса является нашим потенциальным клиентом.

Кто у заказчика обычно отвечает за безопасность? К кому мне следует обращаться, чтобы продвигать безопасность?
— Вы можете говорить с владельцами и первыми лицами компаний, директорами и исполнительными директорами, ИТ-директорами, начальниками служб безопасности и информационной безопасности, аудиторами, финансовыми директорами, ИТ-специалистами и специалистами по безопасности, либо с представителями аналогичных ролей.

Если безопасность – это неосязаемый актив, тогда как заказчик узнает, за что он платит?
— Вместе с коммерческим предложением мы предоставляем подробный план проекта, разработанный индивидуально для заказчика. Для создания такого плана мы выясняем все потребности, предпосылки и условия заказчика. В плане описаны требования безопасности, модели угроз, режимы тестирования, спецификации области охвата и несколько десятков других параметров. Разработка плана проекта – это часть предпроектной подготовки, и это бесплатно.


Кто мы, что делаем и что предлагаем.

О тестах на проникновение.