Yaşar Ateş

System and Security Administration Manager22 September

Penetrasyon Testi Firması Seçerken Nelere Dikkat Etmeliyiz?

Doğru Ekip Seçimi

1) Doğru Ekip Seçimi

Deneyim ve beceri bir Penetrasyon Testi’nin olmazsa olmazlarındandır. Penetrasyon Testi'ni gerçekleştirecek olan uzmanların yetenekli, sektörel derin bilgiye ve kapsamlı bir penetrasyon testi için gerekli tüm kaynaklara sahip olmaları gereklidir. Doğru ekip seçilirken, tüm test prosedürünün ayrıntılı tanımı ve olası risk planlamasının detaylı bir şekilde yapılması şarttır.

Test'in Kapsamının Belirlenmesi

2) Sızma Test'in Kapsamının Belirlenmesi

Test ekibi tarafından, yapılacak testin kapsamı, testin hedefi ve planı aşağıdaki sorulara cevap vermelidir.Ortama nelerin dahil edileceği ve ne kapsamında olduğu açıklanmalıdır.

  • Neler test ediliyor?
  • Nasıl test ediliyor?
  • Neden test ediliyor?
  • Testi kim yapıyor?
  • Testin nerede ve ne zaman yapıldığı?

Sızma Testi Hedefleri ve Programı

3) Sızma Testi Hedefleri ve Programı

Yapılacak Sızma Testlerini çalıştırmadan önce ana ve ek test hedefleri tanımlanmalı ve analiz edilmelidir. Aslında, test planı belirtilen hedeflere dayanmalıdır ve testi yaptıran şirket, test'in sonunda ne elde ettiğini ve bulunan açıklar var ise bu açıkları kapatmak için neler yapması gerektiğini kesin bir şekilde anlamalıdır.

Sızma Testi Raporu

4) Sızma Testi Raporu

Bir çok penetrasyon test uygulaması, çoğu sisteme girme becerisine sahiptir. Ancak bulduğu bulguları net bir şekilde iletebilmelidirde. Sızma testi hizmeti kadar, verdiği raporlarda çok önemlidir. Pentest’I gerçekleştiren kişinin verdiği rapor , şirket'in siber güvenlik ekibine yol göstermeli ve belirttiği yönde savunma sistemlerini geliştirmelidirler.

Zaman Yönetimi

5) Zaman Yönetimi

Bir penetrasyon testinde en önemli hususlardan biride zamanlamadır.Testi yapan firmanın vaad ettiği zaman içinde sızma testini bitirmesi ve tüm bulguları , rapor halinde testi yaptıran şirkete iletmelidir. Mevcut zamanın uzaması, hem testi satın alan şirketin motivasyonunu düşürmesine neden olur ayrıca açıkların bir an önce kapatılmasında geç kalınmış olunur.

Uzan Vadeli Penetrasyon Testi Yatırımı

6) Uzun Vadeli Penetrasyon Testi Yatırımı

Başarı bir Penetrasyon Testi tamamlandıktan sonra testi yaptıran şirket gelişen saldırı tehditlerine paralel olarak gelecek testleri planlamalı.Testi yapacak şirketlerle öncesinde kontak konumuna geçmelidir.

Güvenlik Denetimleri

7) Güvenlik Denetimleri

Penetrasyon testi şirketinizin güvenlik zaaflarını , olası riskler sorun yaratmadan önce farkındalık yaratması için zorunludur. ISO27001 , PCI gibi tüm güvenlik denetimlerinde penetrasyon testleri birer kuraldır

Yazının üstündede belirttiğimiz gibi, bir şirketin iyi bir penetrasyon testi şirketini bulmak için yola çıkmasının birçok farklı nedeni vardır. Bir penetrasyon testi uygulamaları şirketiniz için bazı süreçlerde masraflı olabilir . Ama testin sizin işletmenizin güvenlik ve itibarına yaptığı katkısı ile şirketinizin sektörel durumda güvenirliğine büyük katkı sağlar.