Siber güvenliğiniz söz konusu olduğunda, Pentest firma seçiminde ayrı bir hassasiyeti göstermeniz gerekir. Meydana gelebilecek yıkıcı (olumsuz) etkilerden minimum zarar görmek veya zarar görmeden olası zafiyetlerinize karşılık tedbirlerinizi sağlamak için, sızma testi yaptıracağınız pentest firmasına yönelik kapsamlı ön araştırma yapmak zorundasınız. Aksi takdirde ön görülemeyen sistem zafiyetleriniz başınızı kötü bir şekilde ağrıtabilir. Peki Pentest firma seçimini nasıl yapmalısınız? Sızma Testi yapacak firmayı nasıl belirlemeli veya yetkinliğini tamamlamış firmalara nasıl ulaşabilirsiniz? Her şeyden daha önemlisi verilerinizi teslim edeceğiniz firmaya nasıl güvenmelisiniz? Aşağıda maddeler hâlinde vermiş olduğumuz bilgiler, firma seçiminde dikkat etmeniz gereken önemli hususlar belirtilmiştir.
Firma seçiminde dikkat etmeniz gereken hususlar;
- Pentest hizmeti sunacak ilgili firmanın yetkinliği için TSE-STF-031 veya TSE Onaylı sertifikasyonları mevcut mudur?
- Sızma testi uzman ekibinin uluslararası geçerliliği olan OSCP, ECSA,LPT,CEH sertifikasyonlarına sahip midir?
- Kurumunuza pentest hizmet sağlayacak ilgili firmanın önceki çalışmaları/referansları ve referanslara yönelik iletişime geçebileceğiniz ve hizmet alan firmaların memnuniyeti hakkında bilgilerin araştırılması
- Sızma testi sonrası güvenlik zafiyetlerinize yönelik raporların, anlayacağınız biçimde (anlaşılır, karmaşık olmayan) sunumu yapılabilir bir iletişim içerisinde olup olmadıklarını
- Hizmet verecek olan firmanın ilgili yasa ve mevzuatların şartlarını sağlamayı taahhüt edip etmediğini
- Zafiyetlerinize çözüm odaklı siber güvenliğinizin sağlanması süresince olası risklerin önüne geçmeye yönelik her aşamasında destek alıp alamayacağınızı
Gibi hususlara dikkat etmeniz, yararınıza olacaktır. Sertifikasyon test işlemi için basvuruportal.tse.org.tr/Genel/FirmaArama.aspx adresini ziyaret edebilirsiniz
