Ett penetrationstest ger mest värde när förberedelserna är på plats. Här är sju saker att checka av innan vi sätter igång.
1. Bestäm målet
Vad vill ni faktiskt veta? "Är vår nya webbapp säker att lansera?" är ett bättre mål än "testa allt". Ett tydligt syfte styr testet dit det gör mest nytta.
2. Definiera omfattningen
Vilka system, domäner och miljöer ingår, och vilka gör det inte? En väl avgränsad omfattning skyddar både er och oss, och gör resultatet jämförbart över tid.
3. Välj rätt miljö
Ska vi testa produktion eller en kopia? Produktion ger den sannaste bilden men kräver mer försiktighet. Vi hjälper er väga riskerna.
4. Informera rätt personer
Era driftansvariga bör veta att ett test pågår, så att vår aktivitet inte misstas för en riktig attack. Däremot kan det vara värdefullt att inte berätta för alla, då testas även er förmåga att upptäcka.
Tips: spara era loggar under testperioden. Efteråt kan vi tillsammans se vad er övervakning faktiskt fångade.
5. Samla ihop åtkomster
Behöver vi testkonton, VPN-åtkomst eller dokumentation? Att ha detta klart i förväg sparar dagar och håller testet på rätt spår.
6. Sätt en tidsram
Kom överens om start, slut och eventuella tider att undvika. Ett pentest ska aldrig komma som en överraskning för verksamheten.
7. Planera för åtgärderna
Ett test är värdelöst om rapporten hamnar i en byrålåda. Avsätt tid och ansvar för att åtgärda fynden, och boka gärna in ett omtest direkt.
Redo att börja?
Har ni de här punkterna på plats är ni redan långt framme. Resten hjälper vi er med.
A penetration test delivers the most value when the preparation is in place. Here are seven things to check off before we begin.
1. Decide the goal
What do you actually want to know? "Is our new web app safe to launch?" is a better goal than "test everything". A clear purpose steers the test to where it does the most good.
2. Define the scope
Which systems, domains and environments are included, and which are not? A well-bounded scope protects both you and us, and makes the results comparable over time.
3. Choose the right environment
Should we test production or a copy? Production gives the truest picture but requires more care. We help you weigh the risks.
4. Inform the right people
Your operations team should know a test is running, so our activity is not mistaken for a real attack. On the other hand, it can be valuable not to tell everyone, that way your ability to detect is tested too.
Tip: keep your logs during the test window. Afterwards we can look together at what your monitoring actually caught.
5. Gather access
Do we need test accounts, VPN access or documentation? Having this ready in advance saves days and keeps the test on track.
6. Set a timeframe
Agree on a start, an end and any times to avoid. A pentest should never come as a surprise to the business.
7. Plan for the fixes
A test is worthless if the report ends up in a drawer. Set aside time and ownership to remediate the findings, and ideally book a re-test straight away.
Ready to start?
If you have these points in place, you are already well ahead. We help you with the rest.
