Відповіді на питання, що часто задаються

Навіщо потрібна інформаційна безпека?
— Засоби масової інформації сповнені новин про інциденти безпеки та витоки інформації. Організації зазнають суттєвих збитків від інцидентів кібер-безпеки. Процеси та рішення безпеки вимагаються нормами регуляторів, такими як GDPR, PCI DSS та HITECH / HIPAA. Невідповідність вимогам може призвести до серйозних санкцій. Навіть якщо компанія не зобов'язана виконувати вимоги та стандарти безпеки, відповідність вимогам та слідування кращим світовим практиками безпеки є конкурентною перевагою. Кібер-здоров'я аналогічно фізичному здоров'ю, тому завжди краще запобігати хворобі, ніж лікувати.

Навіщо купувати сервіс технічної оцінки безпеки?
— Технічна оцінка безпеки – це найкращий спосіб з'ясувати поточний стан безпеки додатку, мережевої інфраструктури або інших систем. Технічна оцінка безпеки корисна для оцінки ризиків. Оцінка ризиків надзвичайно важлива для обґрунтування бюджетів та заходів з безпеки. Внутрішній персонал не може об'єктивно виконувати незалежну оцінку безпеки, тому компетентна третя сторона  – це кращий вибір. Нарешті, послуга оцінки безпеки – це один із сервісів безпеки, тому ви також можете використовувати попередню відповідь.

Яка різниця між аудитом, перевіркою, оцінкою інформаційної безпеки, тестуванням на проникнення та скануванням уразливостей?
— Тестування на проникнення – це оцінка технічної та соціотехнічної безпеки. У нашому контексті «пентест» та «оцінка безпеки» – це синоніми. «Оцінка безпеки» – більш офіційний термін. Аудит та перевірка безпеки зазвичай охоплюють більш стратегічний шар, такий як відповідність процесів вимогам безпеки, та можуть включати технічну оцінку безпеки як частину. Іноді «аудит безпеки» використовується як синонім «оцінки безпеки». У деяких випадках «аудит» означає реєстрацію (журналювання) подій безпеки. Сканування вразливостей – це відносно проста автоматизована робота з пошуку технічних уразливостей систем, яка є тільки одним з етапів деяких пентестів. Недобросовісні постачальники послуг безпеки називають пентестом сканування вразливостей.

Хакінг – це законно?
— Термін «хакінг» неоднозначний. Терміни «комп'ютерний злочин» та «оцінка безпеки» є точнішими. Різниця та ключовий момент полягають у дозволі замовника. Якщо власник цільового об'єкта дає письмовий дозвіл, то виконання оцінок безпеки законно.

Чому нам слід довіряти вам?
— Наші сертифікації вимагають тільки законні дії та етичну поведінку. Ви можете перевірити наші сертифікати у відповідних незалежних міжнародних сертифікуючих організаціях. Почитайте більше про нас, тому що це важливо.

Хто ваші клієнти?
— Наші клієнти – компанії, що працюють в електронній комерції, промисловості, фармацевтиці, телекомунікаціях, торгівлі, ІТ, страхуванні, а також банки та державні організації. Будь-яка компанія, яка цінує свою інформацію, онлайн-сервіси, відповідність вимогам безпеки, конфіденційність і безперервність бізнесу є нашим потенційним клієнтом.

Хто у замовника зазвичай відповідає за безпеку? До кого мені слід звертатися, щоб просувати безпеку?
— Ви можете говорити з власниками та першими особами компаній, директорами та виконавчими директорами, ІТ-директорами, начальниками служб безпеки та інформаційної безпеки, аудиторами, фінансовими директорами, ІТ-фахівцями та фахівцями з безпеки, або з представниками аналогічних ролей.

Якщо безпека – це нематеріальний актив, тоді як замовник дізнається, за що він платить?
— Разом з комерційною пропозицією ми надаємо детальний план проекту, розроблений індивідуально для замовника. Для створення такого плану ми з'ясовуємо всі потреби, передумови та умови замовника. У плані описано вимоги безпеки, моделі загроз, режими тестування, специфікації області охоплення та кілька десятків інших параметрів. Розробка плану проекту  – це частина передпроектної підготовки, та це безкоштовно.


Хто ми, що робимо та що пропонуємо.

Про тести на проникнення.