Ako strážime vlastnú etickosť

Ako strážime vlastnú etickosť

Citadelo funguje už viac ako 15 rokov v oblasti, pre ktorú je dôvera absolútne kľúčová. Na to, aby sme boli pre našich klientov dôveryhodným partnerom, “upísali” sme sa vlastným, mimoriadne prísnym etickým štandardom. A za žiadnych okolností z nich nepoľavujeme.

Aj keď etický hacking sa ako odvetvie neustále vyvíja, naše princípy ostávajú nemenné. Vďaka nim sme schopní udržiavať vysokú reputáciu našich služieb aj firmy ako takej.

Nezabúdajme však na to, že jednou z najväčších slabín kybernetickej bezpečnosti je ľudský faktor. A aj tie najlepšie nastavené pravidlá a procesy sa budú “lámať” na konkrétnych ľuďoch, ktorí ich uplatňujú. Za tie roky sme však v Citadele zaviedli a premakali procesy, ktoré dokážu ľudským zlyhaniam čo najviac predchádzať.


Pozrime sa teda na to, ako garantujeme dodržiavanie white hat etických princípov nielen v internom tíme, ale aj u našich partnerov a externých dodávateľov.


Zaviedli sme týchto päť postupov:

1. Previerky

Na začiatku spolupráce podrobujeme nových zamestnancov, partnerov aj externých konzultantov prísnym previerkam. Tie pre nás vykonáva špecializovaná externá firma, ktorá garantuje objektívnosť a nezávislosť.

2. Interné vzdelávanie v oblasti etiky

Robíme interné školenia a workshopy o etike. Otvorene s našimi kolegami diskutujeme o hraničných situáciách, no rovnako otvorene komunikujeme aj situácie, ktoré považujeme za porušenie našich etických štandardov. Projekty pravidelne vyhodnocujeme aj z etického hľadiska. Kontinuálne vzdelávanie a diskusie o etickosti našej práce považujeme za dôležitú vec, ktorá odlišuje white hat hacking od black hat hackingu.

3. Právny rámec

So všetkými partnermi, dodávateľmi a zamestnancami podpisujeme dohody o mlčanlivosti (NDA), aby sme zabezpečili, že všetky údaje zostanú dôverné. Okrem toho pravidelne revidujeme zmluvy, aby zohľadňovali naše aktuálne etické štandardy a požiadavky. Zavádzame tiež systém riadenia informačnej bezpečnosti v súlade s normou ISO 27002.

4. Logovanie

O našich penetračných testoch uchovávame záznamy (logy), a to najmä za účelom dohľadania histórie a zaistenia technických dôkazov. Z bezpečnostných dôvodov však tieto záznamy archivujeme zašifrované a len po obmedzenú dobu.

5. Program zodpovedného zverejňovania

Náš program zodpovedného zverejňovania nás zaväzuje k transparentnosti nielen voči našim klientom. V prípade zistenia zraniteľnosti v systémoch tretích strán informujeme aj tie, a robíme to dôsledne aj v prípade, keď s nimi nemáme zmluvný vzťah. Máme na to podrobné smernice. No hlavne sa nezapájame do ničoho, čo by mohlo komukoľvek spôsobiť škodu.


Čo sa stane, ak niektorý z našich dodávateľov, zamestnancov alebo externých partnerov nedodržiava naše štandardy?


Hoci vnútorná sloboda našich ľudí pri plnení ich pracovných zadaní je jednou z našich kľúčových hodnôt, veľmi prísne strážime etickosť nášho konania a máme nulovú toleranciu voči neetickému správaniu.

Ak nadobudneme podozrenie, že náš partner, dodávateľ alebo zamestnanec nespĺňa naše štandardy, okamžite danú situáciu preskúmame a posúdime. V prípade, ak niekto naše princípy skutočne porušil, okamžite s ním alebo s ňou ukončíme zmluvný vzťah.

V prípade mimoriadne závažného pochybenia, samozrejme, zvažujeme aj právne kroky. No fakt, že sme ešte nikdy nemuseli podať žalobu na zamestnanca či externého dodávateľa, vnímame ako potvrdenie toho, že naše previerky a bezpečnostné procesy fungujú naozaj dobre.

Minulý rok sme však zaznamenali prípad, kedy sme museli ukončiť spoluprácu s jedným externým konzultantom. V období rokov 2018 a 2019 sa totiž dopustil neoprávneného prieniku do informačného systému. Urobil tak bez nášho vedomia, vo svojom voľnom čase a s použitím vlastného hardvéru. A aj keď jeho počínanie nesúviselo so žiadnym z našich projektov alebo klientov, takýto neschválený prienik bol hrubým porušením našich etických štandardov. Okamžite, ako sme sa to dozvedeli, sme dotyčnému konzultantovi vypovedali zmluvu.


Záver


Dnešná doba plná nástrah nám nedovoľuje ubrať z ostražitosti. Nikto nie je stopercentne neomylný a chyby sa môžu stať. Dôležité však je, ako na ne zareagujeme.

Oblasť kybernetickej bezpečnosti je natoľko citlivá, že si vyžaduje nastavenie najlepších možných postupov, prísne dodržiavanie našich princípov, ako aj ich transparentnú komunikáciu.

Naše princípy a postupy zostávajú pevné, no zároveň sme schopní ich uplatňovať v kontexte neustále sa meniaceho prostredia etického hackingu. Iba tak ich dokážeme garantovať vždy a všade. Sme proaktívni a pravidelne prehodnocujeme a zlepšujeme to, ako veci robíme. Vďaka tomu stojíme my aj naši klienti vždy na správnej strane.

O autorovi

Citadelo
Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Podobné blogy