Naše etické zásady a způsob, jakým střežíme naše hodnoty

Naše etické zásady a způsob, jakým střežíme naše hodnoty

Citadelo působí již více než 15 let v oblasti bezpečnosti, pro kterou je důvěra naprosto klíčová. Abychom byli pro naše klienty důvěryhodným partnerem, “upsali” jsme se vlastním, velmi přísným etickým normám. A za žádných okolností z nich neustupujeme.

Přestože se etický hacking jako odvětví neustále vyvíjí, naše zásady zůstávají neměnné. Díky nim se nám daří udržovat vysoké renomé našich služeb i společnosti jako takové.

Nezapomínejme však, že jednou z největších slabin kybernetické bezpečnosti je lidský faktor. A i sebelepší soubor pravidel a procesů se “rozbije” na konkrétních lidech, kteří ho uplatňují. V průběhu let jsme však v Citadelo zavedli a zdokonalili procesy, které dokáží lidským selháním co nejvíce předcházet.


Podívejme se tedy, jak zaručujeme dodržování white hat etických zásad nejen v rámci našeho interního týmu, ale také u našich partnerů a externích dodavatelů.


Zavedli jsme těchto pět postupů:

1. Prověrky

Na začátku spolupráce podrobujeme nové zaměstnance, partnery a externí konzultanty přísným prověrkám. Vykonává je pro nás specializovaná externí firma, která zaručuje objektivitu a nezávislost.

2. Interní školení v oblasti etiky

Provádíme interní školení a semináře o etice. S kolegy otevřeně diskutujeme o hraničních situacích, ale stejně otevřeně se vyjadřujeme i k situacím, které považujeme za porušení našich etických norem. Projekty pravidelně hodnotíme také z etického hlediska. Neustálé vzdělávání a diskuse o etice naší práce považujeme za důležitou věc, která odlišuje white hat hacking od black hat hackingu.

3. Právní rámec

Se všemi partnery, dodavateli a zaměstnanci podepisujeme dohody o mlčenlivosti (NDA), abychom zajistili, že všechna data zůstanou důvěrná. Tyto smlouvy pravidelně revidujeme, aby odrážely naše aktuální etické normy a požadavky. Zavádíme také systém řízení bezpečnosti informací podle normy ISO 27002.

4. Protokolování

O našich penetračních testech uchováváme záznamy (protokoly), a to především za účelem sledování historie a poskytnutí technických důkazů. Z bezpečnostních důvodů však tyto protokoly archivujeme šifrovaně a pouze po omezenou dobu.

5. Program odpovědného zveřejňování

Náš program odpovědného zveřejňování informací nás zavazuje k transparentnosti nejen vůči našim klientům. Třetí strany informujeme také v případě, že zjistíme zranitelnost jejich systémů, i když s nimi nemáme smluvní vztah. K tomu máme podrobné směrnice. Ale hlavně se nezapojujeme do ničeho, co by mohlo někomu ublížit.


Co se stane, pokud některý z našich dodavatelů, zaměstnanců nebo externích partnerů nedodržuje naše standardy?


Přestože svoboda našich zaměstnanců při plnění jejich pracovních úkolů je jednou z našich základních hodnot, velmi přísně dbáme na etiku našeho jednání a netolerujeme neetické chování.

Pokud máme podezření, že náš partner, dodavatel nebo zaměstnanec nedodržuje naše standardy, okamžitě situaci prošetříme a posoudíme. Pokud se potvrdí, že naše zásady skutečně byly porušeny, okamžitě smluvní vztah ukončujeme.

V případě zvlášť závažného pochybení samozřejmě zvážíme i právní kroky. Skutečnost, že jsme nikdy nemuseli podniknout žádné právní kroky proti zaměstnanci nebo externímu dodavateli, považujeme za potvrzení toho, že naše prověřovací a bezpečnostní procesy fungují opravdu dobře.

V loňském roce jsme však měli případ, kdy jsme museli ukončit spolupráci s externím konzultantem. Důvodem bylo, že se v letech 2018 až 2019 dopustil neoprávněného průniku do informačního systému. Udělal to bez našeho vědomí, ve svém volném čase a s použitím vlastního hardwaru. A přestože se jeho jednání netýkalo žádného z našich projektů ani klientů, byl takový neoprávněný průnik hrubým porušením našich etických standardů. Jakmile jsme se to dozvěděli, vypověděli jsme konzultantovi smlouvu.


Závěrem


Dnešní doba plná nástrah nám nedovoluje polevit v ostražitosti. Nikdo není stoprocentně neomylný a může dojít k chybám. Důležité však je, jak na ně reagujeme.

Oblast kybernetické bezpečnosti je natolik citlivá, že vyžaduje stanovení osvědčených postupů, přísné dodržování zásad a jejich transparentní komunikaci. Naše zásady a postupy zůstávají pevné, zároveň jsme však schopni je uplatňovat i v kontextu neustále se měnícího prostředí etického hackingu. Jen tak je můžeme zaručit vždy a všude. Jsme proaktivní a pravidelně vyhodnocujeme a zlepšujeme, jak věci děláme. Díky tomu stojíme my i naši klienti vždy na správné straně.

O autorovi

Citadelo
Citadelo je dům plný etických hackerů na vaší straně. Myslíme jako útočník, avšak nezneužíváme toho. Ba naopak, naším hlavním cílem je odhalit zranitelnost bez napáchaných škod. Pro naše klienty připravujeme simulované útoky již od roku 2006. Pomáháme otestovat jejich informační bezpečnost. Podrobte své IT prostředí výzvě a odhalte, do jaké míry jsou vaše citlivá data chráněna.
Zobrazit více od autora

Podobné blogy