Audyt bezpieczeństwa IT

Do usług w zakresie ochrony danych osobowych podchodzimy w sposób kompleksowy.
Korzystając ze współpracy z naszymi parterami z obszaru IT Security możemy zaoferować naszym klientom następującą gamę usług audytowych:

  • Testy penetracyjne infrastruktury sieciowej
  • Testy penetracyjne aplikacji webowych
  • Testy socjotechniczne
  • Audyt zgodności z normą ISO 27001
  • Audyt Krajowych Ram Interoperacyjności (KRI) + Testy penetracyjne
  • Indywidualnie dopasowane testy bezpieczeństwa

W skład zespołu audytowego wchodzą osoby posiadające między innymi certyfikaty:

  • CISSP (Certified Information Systems Security Professional)
  • CEH (Certified Ethical Hacker)
  • CISA (Certified Information Systems Auditor)

Testy penetracyjne infrastruktury sieciowej i testy socjotechniczne

Testy penetracyjne są przeprowadzane poprzez symulację ataku przez pentestera, na środowisko klienta. Celem testów jest sprawdzenie odporności infrastruktury informatycznej na włamania i cyberataki zewnątrz.

Podczas testów penetracyjnych sieci, weryfikowana jest każda z podsieci klienta. Na tym etapie odbywa się rekonesans wszystkich aktywnych maszyn, z których wybierana jest pula hostów do głębszej analizy. Podczas audytu robiona jest wizja lokalna i weryfikowane są zabezpieczenia serwerowni.
Testy socjotechniczne, polegają na podszywaniu się pod tożsamość innej osoby lub organizacji w celu skłonienia osoby atakowanej do wykonania lub porzucenia określonych działań. Testy socjotechniczne które realizujemy przybierają następującą formę:

  • Kontakt bezpośredni;
  • Kontakt telefoniczny (vishing);
  • Kampanie mailowe (phishing).

Testy penetracyjne aplikacji webowej

Ze względu na nieograniczoną dostępność dla użytkowników Internetu, aplikacje webowe są szczególnie narażone na różne formy ataków.
Testy penetracyjne takich aplikacji wykonujemy w formie testów blackbox, graybox oraz whitebox. Ich celem jest wykrycie wszystkich podatności w aplikacji webowej, które mogą spowodować zatrzymanie świadczenia usług , niepożądaną autoryzację i inne błędy w konfiguracji.
Przeprowadzamy testy zgodnie z:

  • OWASP TOP 10,
  • OWASP Web Security Testing Guide,
  • OWASP ASVS.