AUDYT BEZPIECZEŃSTWA APLIKACJI  I STRON WEBOWYCH

AUDYT BEZPIECZEŃSTWA APLIKACJI I STRON WEBOWYCH

ZADBAJ O BEZPIECZEŃSTWO W TWOIM BANKU!

AUDYT BEZPIECZEŃSTWA APLIKACJI I STRON WEBOWYCH

W BANKACH SPÓŁDZIELCZYCH

!!!  W CELU ZMINIMALIZOWANIA RYZYKA UTRATY DANYCH
PRZEZ SŁABE PUNKTY APLIKACJI I STRON WEBOWYCH
ZALECAMY CYKLICZNE WYKONYWANIE AUDYTÓW BEZPIECZEŃSTWA
!!!

W bankach mamy do czynienia z aplikacjami webowymi, które mają dostarczać Klientom pełnej informacji na temat produktów banku i z aplikacjami, dzięki którym Klient wykonuje operacje w ramach bankowości internetowej.

Ze względu na wzrost zagrożenia cyberprzestępstwami wyłudzającymi dane Klientów, a także próbami włamań do aplikacji webowych zalecamy cykliczne wykonywanie testów podatności tych aplikacji. W czasie standardowego audytu bezpieczeństwa informacji wykonujemy audyt aplikacji internetowych na zasadzie testów white box. Testy te z reguły potwierdzają zabezpieczenie tych aplikacji na zadowalającym poziomie.

BEZPIECZEŃSTWO INFORMACJI WG NORMY ISO/IEC 27001

Pomagamy zapewnić bezpieczeństwo ważnych dla Banku informacji, wprowadzając procedury i polityki bezpieczeństwa w oparciu o przyjęte normy dotyczące tego zakresu. Najczęściej stosowaną normą jest norma ISO/IEC 27001 - Technologia Informacji - Techniki Bezpieczeństwa - System Zarządzania Bezpieczeństwem Informacji - Wymagania. ISO/IEC 27001 jest międzynarodowym standardem systemu zarządzania bezpieczeństwem informacji.

Szczególnie zalecamy wykonanie analiz aplikacji webowych w środowiskach testowych, które jednoznacznie potwierdzą stan ich bezpieczeństwa.

Należy pamiętać, że przy stale rozwijającym się ruchu sieciowym przy wykorzystaniu urządzeń mobilnych, stale wzrasta zapotrzebowanie Klientów na sprawne aplikacje, które zapewnią bezawaryjną i bezpieczną obsługę aplikacji bankowych.

Należy uświadomić sobie, że ataki na aplikacje odbywają się przez 24 godziny na dobę i nie uwzględniają dni świątecznych – wolnych od pracy. Stosowane standardowe zabezpieczenia jak zapory ogniowe, systemy wykrywania włamań i inne produkty zabezpieczające sieć, mogą nie powstrzymać zagrożeń pochodzących z  internetu co może skutkować przestojami w pracy, kradzieżami danych, naruszeniem bezpieczeństwa.

Jednym ze sposobów analizy bezpieczeństwa są testy koncentrujące się na ocenie bezpieczeństwa aplikacji pod kątem słabych punktów, wad technologicznych, luk w zabezpieczeniach i podatności, które mogą być furtką do ataku na aplikacje. Audyt kończy się wygenerowaniem raportu, w którym zdefiniowane są wszystkie słabe punkty aplikacji, jej podatności i braki technologiczne. Zawsze staramy się wskazać Klientowi najprostsze rozwiązanie, które szybko wyeliminuje stwierdzone luki w systemie.

Analiza podatności aplikacji i stron webowych prowadzona jest przy pomocy m.in.:

  • narzędzi technologicznych wykorzystujących narzędzia open source jak i narzędzia komercyjne
  • wykonywanie testów ręcznie – mapowanie aplikacji i testowanie logiczne. Aplikacje dzielone są na podstawowe moduły i obszary funkcjonalne. Następuje dogłębna analiza każdego modułu w celu identyfikacji plików, folderów i istniejących parametrów. Odbywa się mapowanie przepływu danych między komponentami wraz z ich relacjami logicznymi. Następnie symulowane są scenariusze potencjalnych podatności.

Skorelowanie i powiązanie tworzonej listy podatności następuje po zestawieniu danych z przeprowadzonych testów wykonanych ręcznie i automatycznie. Następnie, na dostępnej bazie występujących podatności, zostają opracowane odpowiednie profile zagrożeń. Następnie odbywa się kolejna analiza wsteczna prowadzona przez ekspertów, którzy ponownie analizują ewentualne słabe obszary, których nie wykryto podczas analizy automatycznej.

WIEDZA I DOŚWIADCZENIE

Nasz zespół to wysokiej klasy specjaliści z poszczególnych obszarów technologii IT, posiadający wiedzę nt. systemów bezpieczeństwa popartą 25-letnim doświadczeniem w branży IT.
W skład zespołu wchodzą doświadczeni audytorzy posiadający m.in. Certyfikat Audytora Wiodącego Systemu Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001, będący członkami Stowarzyszenia Audytorów Wewnętrznych IIA Polska (The Institute of Internal Auditors).

Jak działamy:

  • automatycznie - wykorzystując skanery do badania podatności, problemów technicznych
  • weryfikacja ręczna – brak fałszywych alarmów
  • wykorzystujemy specjalistyczne narzędzia w zależności od infrastruktury docelowej
  • wykorzystanie narzędzi komercyjnych oraz open source
  • korelacja danych z wielu narzędzi i źródeł
  • OWAPS top 10
  • SANS TOP 20
  • testowanie założeń koncepcyjnych
  • zestawienie informacji dla poszczególnych aplikacji
  • zestawienie dokładnych dowodów wraz z eksploracją
  • przedstawienie rozwiązania problemu i zalecenia dotyczące zastanego środowiska

 

W celu uzyskania pełnej informacji w omawianych zakresach zapraszamy do kontaktu:

Andrzej Popiołek
Audytor Wiodący SZBI, Członek IIA Polska
+48 602 220 749 andrzej.popiolek@servus-comp.pl

Anna Stręk
Audytor Wiodący SZBI, Członek IIA Polska
+48 781 555 025 anna.strek@servus-comp.pl

Anna Kramarczyk
Kierownik ds. projektów IT
+48 794 671 787 anna.kramarczyk@servus-comp.pl

 

Servus Comp Data Security , Świętokrzyska 12/403 30-015 Kraków  
tel.  +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

 

POBIERZ PDF

POBIERZ OPRACOWANIE W PLIKU PDF

Nota prawna

1. Zaprezentowany materiał jest autorskim opracowaniem i jest objęty prawem autorskim.

2. Niniejszy materiał, ani żaden jego fragment nie może być reprodukowany, przetwarzany i rozpowszechniany w jakikolwiek sposób za pomocą urządzeń elektronicznych, mechanicznych, kopiujących, nagrywających i in. do celów innych niż realizacja przedmiotowej umowy u Klienta.