في تونس، كما هو الحال في بقية العالم، من الصعب جداً تقدير وتحديد عدد الشركات التي تم اختراقها. من الصعب أكثر تقدير التكاليف المباشرة وغير المباشرة لهذه الأعمال الخبيثة. أصدرت عدة منظمات على الأرض تحذيراً لتذكير الجميع بأن معظم الشركات لا تملك خطة طوارئ، وفي حالة حدوث حادث، فإن العديد من الشركات لن تكون قادرة على استعادة بياناتها أو متابعة عملياتها. هذا يعني أنه في هذه الحالة، لن يكونوا قادرين على استعادة بياناتهم بسرعة لمواصلة نشاطهم الطبيعي. من السهل تخيل العواقب الكارثية التي يحملها ذلك لكل من الناحية المالية والإنسانية.
أظهرت دراسة في الولايات المتحدة أنه خلال عام واحد (من 1999 إلى 2000)، ارتفع تكلفة القرصنة من 265 مليون دولار إلى 378 مليون دولار (الأمن المعلوماتي & مصدر FBI)، أي زيادة بنسبة 42%. وأكثر من ذلك، وفقاً لدراسة من شركة ديلويت، فقد عانت أكثر من 83% من نظم المعلومات في المؤسسات المالية من مشاكل أمنية في عام 2004. ظاهرة مقلقة في تصاعد مستمر، حيث كشف نفس الاستطلاع فقط "39%" من الأنظمة الضعيفة في عام 2003.
"إن الفيروسات، الدودة، البرامج الضارة، التخريب، وسرقة الهوية كلها وسائل لمهاجمة الأنظمة المستهدفة"، قال تيد دي زابالا، المتحدث باسم ديلويت وتوش. من بين النتائج الأخرى لهذه الاستطلاع، ذكرت الهجمات الخارجية والداخلية...
ومع ذلك، من الممكن حقاً تقليل هذه المخاطر بشكل كبير من خلال اتباع سياسة أمنية فعالة بتكلفة معقولة. أول رد فعل يجب اتخاذه هو طرح سؤال الجرد: "ما هي حال نظام المعلومات الخاص بي؟ هل تم توفير الوسائل اللازمة لحمايته وسلامته؟"
للإجابة على هذه الأسئلة، يجب البدء بأخذ صورة دقيقة للحدود التي سيتم تقييمها. هذه "الصورة" هي تدقيق. هناك عدة فئات من التدقيق يمكن تنفيذها في الشركة:
تدقيق صندوق أبيض
تدقيق أمني مع توفير معلومات من قبل العميل. رؤية شفافة تماماً للحماية التقنية والتنظيمية الموجودة. مفيد جداً قبل إطلاق موقع ويب أو بنية شبكة جديدة.
- يوفر العميل للفريق لدينا جميع وثائق الهدف (صفحات المصدر، خريطة البنية، الوثائق التنظيمية...)
- يقوم الفريق بالتحقق، الدراسة، الاختبار، والتأييد الهدف مع الوصول الكامل للمعلومات
- يتم إعداد تقرير مفصل من قبل INTELLIGENT SECURITY IT يبرز نقاط الضعف المكتشفة
- توصيات هرمية لتأمين نظام المعلومات
- اجتماع ما بعد التدقيق في مقر عملكم لإشراك الفرق التقنية
تدقيق صندوق أسود
تدقيق عمياء دون معلومات مقدمة من العميل. يسمح بتأكيد موقع ويب موجود بالفعل والحصول على رؤية شاملة لأمن النظام التقني.
- يوفر العميل اتصالاً بشبكته
- لا يتم توفير أي معلومات أخرى من قبل العميل
- يقوم الفريق بتوصيل جهاز إلى الشبكة واختبار الثغرات
- تقرير مفصل عن نقاط القوة والضعف في النظام المعلوماتي
- توصيات هرمية لتأمين النظام
تدقيق اختراق
يؤكد مستوى مقاومة الشبكة الداخلية ضد أي اختراق. يمكن إجراؤه من الخارج أو من نقطة محددة داخل الشبكة الداخلية.
- لا يتم توفير أي معلومات مسبقة من العميل
- التدقيق من الخارج أو من نقطة محددة في الشبكة
- محاولة اختراق نظام معلومات العميل
- وثائق مدعومة بأدلة عن الاختراقات الناجحة (ملفات دليل)
- تقرير كامل عن نقاط القوة والضعف المكتشفة
- توصيات أساسية لتحسين الأمان
تدقيق الثغرات
تحليل منهجي للثغرات الموجودة في البنية التحتية الشبكية وأنظمتكم.
- تحليل أنظمة التشغيل (Windows, Linux, Unix...)
- تحديد الثغرات في البرامج والتطبيقات المثبتة
- التحقق من تكوينات أجهزة الكمبيوتر والخوادم
- تحليل ثغرات الشبكة والخدمات المعرضة
تدقيق الكود
يؤكد أمن البرنامج من خلال تحليل الكود المصدر له. يؤكد أمن أي برنامج مكتوب بلغات مختلفة.
- يوفر العميل الكود المصدر للموقع أو التطبيق المراد تحليله
- يقوم فريق INTELLIGENT SECURITY IT بتجربة الكود وتأكيده
- تقرير مفصل عن نقاط القوة والضعف في الكود
- توصيات هرمية لتأمين الكود المحقق فيه
- اجتماع ما بعد التدقيق مع فريق التطوير
تدقيق تنظيمي
يأخذ في الاعتبار الأمان العام داخل الشركة. يسمح بتقييم جميع جوانب الأمان المعلوماتي، بما يتجاوز الجانب التقني.
- تقييم عام للأمان
- تقدير الأمان المادي
- تقييم الأمان التنظيمي
- تقييم الدراسات والإنجازات
- تقييم الإنتاج والعمليات
- تقييم المنطق والاتصالات
- تقرير مفصل عن نقاط القوة والضعف حسب الفئة
- توصيات هرمية مخصصة