Testy socjotechniczne

Testy socjotechniczne sprawdzają, jak dobrze pracownicy znają i stosują zasady bezpieczeństwa. Pracownicy są testowani na różne sposoby wykorzystywane aktualnie przez cyberprzestępców, na przykład przez próby wyłudzenia informacji (phishing), telefony (vishing) lub nielegalne wejścia na teren firmy.

Głównym celem testów jest sprawdzenie poziomu świadomości pracowników zakresie bezpieczeństwa oraz ich odporności na próby wyłudzenia poufnych informacji.

Zrealizowane projekty: Pracowaliśmy m.in. dla banków, domów maklerskich, firm leasingowych, energetycznych, telekomunikacyjnych, produkcyjnych oraz e-commerce.

Dowiedz się więcej

Kluczowe cechy usługi testy socjotechniczne:

  • Sprawdzenie poziomu świadomości bezpieczeństwa (security awareness).
  • Sprawdzenie odporności na próby wyłudzenia poufnych informacji.
  • Stanowią kluczowy element budowania świadomości bezpieczeństwa (security awareness) wśród pracowników.
  • Scenariusze testów: 1) phishing (np. wysyłanie emaili z linkiem do szkodliwego oprogramowania), 2) telefony do pracowników (vishing) w celu uzyskania poufnych informacji, 3) dostarczenie na teren firmy nośników (np. pendrive) ze szkodliwym oprogramowaniem, 4) wejścia na teren firmy w celu uzyskania poufnych informacji, 5) stworzenie fałszywej sieci WiFi, 6) itp.
  • Wyniki testów stanowią informacje wejściowe dla procesów zarządzania ryzykiem oraz incydentami bezpieczeństwa w organizacji.
  • Testy realizowane przez ekspertów z certyfikatami, m.in. OSCE, OSCP, OSWE, OSEE, CPTE, CEH, CISSP, CISA i wieloletnim doświadczeniem w zabezpieczaniu systemów, administracji i programowaniu.
Sprawdź, co zyskujesz »

Korzyści

Podniesienie poziomu świadomości bezpieczeństwa

Zwiększenie bezpieczeństwa danych

Poprawa ochrony informacji przetwarzanych w systemach IT.

Redukcja ryzyka ataków

Zmniejszenie ryzyka włamań i skutecznych cyberataków.

Wczesne wykrywanie podatności

Identyfikacja luk, błędów i słabych punktów systemów zanim zrobią to cyberprzestępcy.

Praktyczne rekomendacje

Szybkie i efektywne kosztowo rozwiązania gotowe do wdrożenia (tzw. "quick wins").

Zgodność z normami

Spełnienie międzynarodowych standardów, takich jak ISO 27001, OWASP, OSSTMM i PCI DSS.

Uniknięcie strat

Zapobieganie stratom finansowym, utracie reputacji, problemom prawnym oraz sankcjom nadzorczym, w tym karom przewidzianym dla Zarządu w regulacjach DORA, RODO, itp.

Sprawdzenie bezpieczeństwa

Ocena, jak dobrze chronione są systemy IT i procesy w organizacji.

SWOT bezpieczeństwa

Wskazanie mocnych i słabych stron systemów IT oraz procedur bezpieczeństwa.

Zmniejszenie ryzyka

Wykrywanie i usuwanie słabych punktów, aby ograniczyć możliwość ataków i incydentów.

Ochrona przed atakami

Testy oparte na rzeczywistych scenariuszach pomagają w skutecznej obronie przed cyberzagrożeniami.

Oszczędność kosztów

Wczesne wykrycie luk pozwala uniknąć wydatków na naprawę skutków ataków.

Sprawdź nasze podejście »

Przemyślany plan działania

PL

EN

DE

Zobacz raport »

Masz pytania?

Skorzystaj z BEZPŁATNEJ KONSULTACJI

Zapisz się już teraz!

Raport

Wynikiem będzie szczegółowy raport z wynikami testów oraz praktycznymi rekomendacjami, obejmujący:

  1. Podsumowanie dla zarządu
  2. Zakres testów
  3. Rekonesans
  4. Założenia dotyczące testów
  5. Szczegółowe wyniki testów
    1. Scenariusze testów
    2. Liczba pracowników, których dotyczyły scenariusze
    3. Liczba pracowników, którzy podczas testu zachowali się niezgodnie z zasadami bezpieczeństwa (np. wpisali swoje poświadczenia na fałszywej stronie logowania)

Najczęściej zadawane pytania

Jak liczny zespół mają Państwo do dyspozycji?

Posiadamy zespół:

  • ponad 20 inżynierów bezpieczeństwa (pentesterów) posiadających m.in. następujące certyfikaty: OSCE, OSCP, OSWE, OSEE, CPTE, CEH.
Czy posiadacie Państwo certyfikaty potwierdzające kwalifikacje zespołu związane z bezpieczeństwem IT?

Tak, posiadamy certyfikaty potwierdzające kwalifikacje zespołu takie, jak:

    1. CISSP (Certified Information Systems Security Professional),
    2. OSCE (Offensive Security Certified Expert),
    3. OSCP (Offensive Security Certified Professional),
    4. OPST (OSSTMM Professional Security Tester),
    5. OSEE (Offensive Security Exploitation Expert),
    6. OSWE (Offensive Security Web Expert),
    7. OSWP (Offensive Security Wireless Professional),
    8. CEPT (Certified Expert Penetration Tester),
    9. CEH (Certified Ethical Hacker),
    10. Certified Penetration Tester (CPT),
    11. CSX Cybersecurity Practitioner (CSX-P),
    12. GPEN (GIAC Penetration Tester),
    13. GWAPT (GIAC Web Application Penetration Tester),
    14. GMOB (GIAC Mobile Device Security Analyst),
    15. GXPN (GIAC Exploit Researcher and Advanced Penetration Tester),
    16. Industrial Automation and Control Systems Security (ISA-99)
    17. LPT (Licensed Penetration Tester),
    18. ECSS (EC-Council Certified Security Specialist),
    19. AWE (Advanced Windows Exploitation),
    20. eCPPT (eLearnSecurity Certified Professional Penetration Tester),
    21. eJPT (eLearnSecurity Junior Penetration Tester),
    22. eMAPT (eLearnSecurity Mobile Application Penetration Tester),
    23. eWPT (eLearnSecurity Web application Penetration Tester),
    24. eWPTX (Web application Penetration Tester eXtreme),
    25. CompTIA Security+,
    26. Systems Security Certified Practitioner (SSCP),
    27. CompTIA Project+,
    28. CIA (Certified Internal Auditor),
    29. CISA (Certified Information Security Auditor),
    30. CISM (Certified Information Security Manager),
    31. Audytor Wiodący ISO 27001,
    32. Audytor wewnętrzny SZBI BS 7799,
    33. Audytor Wiodący ISO 22301
    34. CRISC (Certified in Risk and Information Systems Control),
    35. CBCP – Certified Business Continuity Professional (DRII),
    36. Certified ISO 31000 Risk Manager (PECB),
    37. ITIL Foundation,
    38. ITIL Intermediate,
    39. Prince2 Practitioner.

i wiele więcej…

Jaki jest potencjalny czas trwania testów, włącznie z opracowaniem wyników i zaleceń po ich zakończeniu?

W zależności od wielkości projektu zwykle trwa od 2 do 8 tygodni.

Jak wygląda proces raportowania wyników testów? Czy dostarczacie Państwo szczegółowy raport zawierający podatności, ich ryzyko oraz rekomendacje?

Wynikiem naszych prac jest raport. 

Raport zawiera:

  1. Podsumowanie dla zarządu
  2. Zakres testów
  3. Rekonesans
  4. Założenia dotyczące testów
  5. Szczegółowe wyniki testów
    1. Scenariusze testów
    2. Liczba pracowników, których dotyczyły scenariusze
    3. Liczba pracowników, którzy podczas testu zachowali się niezgodnie z zasadami bezpieczeństwa (np. wpisali swoje poświadczenia na fałszywej stronie logowania)
Jak wygląda komunikacja podczas realizacji projektu? Czy istnieje możliwość bezpośredniego kontaktu z testerami lub liderem projektu?

Na bieżąco komunikujemy się z Klientem w czasie projektu. Do realizacji projektu dedykujemy:

  • Pentestera Wiodącego, z którym można się na bieżąco kontaktować w sprawach dotyczących realizacji testów, zidentyfikowanych podatności, itp.
  • Project Managera, z którym można się na bieżąco kontaktować w sprawach dotyczących zarządzania projektem, terminów, problemów, ryzyk itp.
Czy przewidujecie Państwo wsparcie po zakończeniu testów w zakresie usuwania wykrytych podatności i ponownych testów?

Tak, zakres naszych prac obejmuje:

  1. wsparcie w zakresie usuwania wykrytych podatności
  2. re-testy
  3. szkolenia w zakresie usuwania podatności.
Czy oferujecie Państwo rabaty lub korzystniejsze warunki w przypadku podpisania długoterminowej umowy na cykliczne testy?

Tak.

Jak zabezpieczacie Państwo dane i raporty związane z testami penetracyjnymi, socjotechnicznymi oraz audytem kodu?

Stosujemy m.in. następujące zabezpieczenia zgodne z ISO 27001:

  • Kontrola dostępu do serwerowni, serwerów, zasobów sieciowych, na których składowane są dane i raporty.
  • Szyfrowanie dysków twardych.
  • Szyfrowanie plików za pomocą PGP.
  • Szyfrowanie załączników przesyłanych emailem za pomocą PGP.
  • Szyfrowanie treści emaili.
  • Ciągłe monitorowanie dostępu do danych i raportów.
  • Itp.