Łukasz Filut

Łukasz Filut ostatnio mistrz
młyna, tak po prostu

Temat: Audyt bezpieczeństwa IT

Witam
Szukam firmy z doświadczeniem, która może przeprowadzić audyt bezpieczeństwa w dużej organizacji (10 podmiotów) obejmujący sporo usług (WWW,DB,samba etc...) i wiele aspektów (PC, serwery, ochrona danych osobowych). Zależy mi na firmie z doświadczeniem, najlepiej w testach organizacji edukacyjnych.
Kogo polecacie ?
Leszek Wilczek

Leszek Wilczek IT Administrator
Warszawskie Centrum
EXPO XXI sp. z o.o.

Temat: Audyt bezpieczeństwa IT

Witam,

Możesz sprawdzić firmę BTC ich oprogramowanie to e-audytor.
http://www.e-audytor.com/home

Pozdrawiam,

konto usunięte

Temat: Audyt bezpieczeństwa IT

Łukasz Filut:
Witam
Szukam firmy z doświadczeniem, która może przeprowadzić audyt bezpieczeństwa w dużej organizacji (10 podmiotów) obejmujący sporo usług (WWW,DB,samba etc...) i wiele aspektów (PC, serwery, ochrona danych osobowych). Zależy mi na firmie z doświadczeniem, najlepiej w testach organizacji edukacyjnych.
Kogo polecacie ?

http://www.zgodnosc.pl/

bardzo merytorycznie i kompleksowo:)
Sebastian Małycha

Sebastian Małycha Prezes Zarządu,
Media Sp. z o.o.

Temat: Audyt bezpieczeństwa IT

Leszek Wilczek:
Witam,

Możesz sprawdzić firmę BTC ich oprogramowanie to e-audytor.
http://www.e-audytor.com/home

Pozdrawiam,

e-audytor do audytu bezpieczeństwa??? raczej nie uda się tego zrobić. Jeśli chciałbyś sprawdzić legalność oprogramowania to mógłbyś użyć tego softu ale w takiej sytuacji polecam coś z własnego "podwórka" - AuditPro (http://auditpro.pl)

Co do samego audytu to jeśli to ma być ktoś z dużym doświadczeniem to zdecydowanie polecam Securing z Krakowa (http://securing.pl)

Pozdrawiam
Sebastian M.
Łukasz Filut

Łukasz Filut ostatnio mistrz
młyna, tak po prostu

Temat: Audyt bezpieczeństwa IT

Malina Wąsowska:
http://www.zgodnosc.pl/
bardzo merytorycznie i kompleksowo:)
wygląda mi to na firmę, która zajmuje się sprawdzaniem czy jesteśmy zgodni z ustawą o ochronie danych osobowych a to jest jeden z 3 głównych aspektów szerokiego audytu bezpieczeństwa w mojej opinii.
Sebastian Małycha:
Leszek Wilczek:
Witam,

Możesz sprawdzić firmę BTC ich oprogramowanie to e-audytor.
http://www.e-audytor.com/home

Pozdrawiam,

e-audytor do audytu bezpieczeństwa??? raczej nie uda się tego zrobić. Jeśli chciałbyś sprawdzić legalność oprogramowania to mógłbyś użyć tego softu ale w takiej sytuacji polecam coś z własnego "podwórka" - AuditPro (http://auditpro.pl)
hmm, nie zależy nam na audycie legalności oprogramowania tylko na typowym szerokim audycie bezpieczeństwa.

Co do samego audytu to jeśli to ma być ktoś z dużym doświadczeniem to zdecydowanie polecam Securing z Krakowa (http://securing.pl)
Ciekawa propozycja - już patrzę.

Pozdrawiam
Sebastian M.
Ogólnie zależy mi na firmie, która taki audyt jest wstanie przeprowadzić kompleksowo - zarówno od strony merytoryczno-prawnej (ustawa o ochronie danych osobowych, wysyłanie inf. drogą elektroniczną), zabezpieczenia aplikacji WWW, pentesty systemów informatycznych czy pasywne audytowanie stanu oprogramowania na PC.

Pozdrawiam
Łukasz
Ewa Ś.

Ewa Ś. COACH and SALES
COACH :-) |Ekspert
ds.rozwoju
sprzedaży| ...

Temat: Audyt bezpieczeństwa IT

Łukasz,

Wysłałam CI PRIV.

Ewa Śmietańska

Temat: Audyt bezpieczeństwa IT

Venturolab.pl - polecam ;)
Maciej Młynarczyk

Maciej Młynarczyk sprzedaż
oprogramowania

Temat: Audyt bezpieczeństwa IT

Hakon.
Mógłbym nawet niewielką zniżkę załatwić ;)

konto usunięte

Temat: Audyt bezpieczeństwa IT

Ja natomiast polecam rozwiązania firmy ProCertiv http://procertiv.pl

Temat: Audyt bezpieczeństwa IT

To ja polecę http://www.securitum.pl/

Dużo pisemnych referencji za realizację testów penetracyjnych z dość różnych branży: finansówka, branża medyczna, przemysłówka, produkcja, rynek publiczny.
Ilona Krzyżak

Ilona Krzyżak key account manager,
3Services Factory
S.A.

Temat: Audyt bezpieczeństwa IT

Autor tematu pewnie już znalazł odpowiednią dla niego firmę, ale kto wie - może komuś innemu też przydadzą się te informacje;) Jeśli chodzi o bezpieczeństwo danych, serwery itp. to mogę zaproponować usługi "mojego" 3SF - przede wszystkim kolokację, ale też własne DC, czy hosting serwerów wirtualnych. Dla ciekawych: http://3servicesfactory.com/
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Audyt bezpieczeństwa IT

nie pozostaje mi nic innego jak polecić firmę eSecure http://esecure.pl - działamy w każdym z wymienionych wyżej aspektów audytów bezpieczeństwa - lista referencyjna również dość spora - zachęcam do współpracy!
Zbigniew Dorcz

Zbigniew Dorcz Senior Software Test
Engineer, Sii sp. z
o.o.

Temat: Audyt bezpieczeństwa IT

gdy mialem firme zajmujaca sie bezpieczenstwem teleinf. (teraz jest zawieszona), przeprowadzalem testy wiekszosci firm tu podanych (to byly delikatne testy, na ktore niejest wymagane zezwolenie danej firmy, np. analiza kodow zrodlowych strony itp. ) i szczerze powiedziawszy prawie wszystkie firmy jakie podajecie niby zajmuja sie bezpieczenstwem, ale niemaja zielonego pojecia o tym. jesli ktos uwarza ze maja duze pojecie to niech mi odpowie na pytanie. dlaczego firma ktora zajmuje sie bezpieczenstwem ma stronke ktora jest podatna chociarz by na SQL Injection ? ;) kazdemu mozna rozne rzeczy wmowic ale kodu zrodlowy mowi sam za siebie :)

konto usunięte

Temat: Audyt bezpieczeństwa IT

Zbigniew Dorcz:
gdy mialem firme zajmujaca sie bezpieczenstwem teleinf. (teraz jest zawieszona), przeprowadzalem testy wiekszosci firm tu podanych (to byly delikatne testy, na ktore niejest wymagane zezwolenie danej firmy, np. analiza kodow zrodlowych strony itp. ) i szczerze powiedziawszy prawie wszystkie firmy jakie podajecie niby zajmuja sie bezpieczenstwem, ale niemaja zielonego pojecia o tym. jesli ktos uwarza ze maja duze pojecie to niech mi odpowie na pytanie. dlaczego firma ktora zajmuje sie bezpieczenstwem ma stronke ktora jest podatna chociarz by na SQL Injection ? ;) kazdemu mozna rozne rzeczy wmowic ale kodu zrodlowy mowi sam za siebie :)

Ja bym chciał zobaczyć ten SQL Injection. Jak po analizie kodu html doszedł pan do tych wniosków? Może jest pan jak pan Paweł Jabłoński? Potrafi się pan także włamać do komputera niepodłączonego do sieci?

Jak bez analizy opragromowania np. programem OWASP i bez analizy kodu za pomocą np. testów przygotowanych w aplikacjach Jenkins lub Selenium pan stwierdził podatność strony na atak SQL injection?

Czy strona była uruchomiona na serwerze z PHP, dot.net Framework czy apache tomcat? Czasami czytając pseudospecjalistów od bezpieczeństwa czasami się tarzam ze śmiechu po podłodze.

Panie Zbyszku, niech pan nie myli audytu teleinformatycznego z testem penetracyjnym. Audyt ma tylko wykazać lub potwierdzić zgodność z normami. Test penetracyjny służy czemuś innemu. Firmy nie lubią testów penetracyjnych, bo wiedzą że wszystko jest do luftu. Lubią jednak audyty, bo mogą się poprawić zdobytymi normami. Tak sytuacja wygląda w Polsce, na zadupiu informatycznym.

Ale i tak między audytem a testem jest ogromna różnica. Jeśli chodzi o audyt polecam specjalistów z Polskiego Towarzystwa Informatycznego. Naprawdę nie boją się być szczerzy. Mogą stwierdzić że jest pan gotowy na audyt lub odradzić, w przypadku kiedy pan nie jest po prostu jeszcze na to gotowy. Z kim się kontaktować etcetc, szczegóły na priw.Adrian Stolarski edytował(a) ten post dnia 18.04.12 o godzinie 13:36

konto usunięte

Temat: Audyt bezpieczeństwa IT

Adrian Stolarski:
Zbigniew Dorcz:
gdy mialem firme zajmujaca sie bezpieczenstwem teleinf. (teraz jest zawieszona), przeprowadzalem testy wiekszosci firm tu podanych (to byly delikatne testy, na ktore niejest wymagane zezwolenie danej firmy, np. analiza kodow zrodlowych strony itp. ) i szczerze powiedziawszy prawie wszystkie firmy jakie podajecie niby zajmuja sie bezpieczenstwem, ale niemaja zielonego pojecia o tym. jesli ktos uwarza ze maja duze pojecie to niech mi odpowie na pytanie. dlaczego firma ktora zajmuje sie bezpieczenstwem ma stronke ktora jest podatna chociarz by na SQL Injection ? ;) kazdemu mozna rozne rzeczy wmowic ale kodu zrodlowy mowi sam za siebie :)
Co do testów na podatność SQLInjection tutaj ma pan zestawione narzędzia:

Rank Vulnerability Scanner Vendor Detection Rate Input Vector Coverage Average Score
1Arachni

Tasos Laskos

100.00% 100% 100.00%
2Sqlmap

sqlmap developers

97.06% 100% 98,53%
3IBM AppScan

IBM Security Sys Division

93.38% 100% 96,69%
4Acunetix WVS

Acunetix

89.71% 100% 94,85%
5NTOSpider

NT OBJECTives

85.29% 100% 92,64%
6Nessus

Tenable Network Security

82.35% 100% 91,17%
7WebInspect

HP Apps Security Center

75.74% 100% 87,87%
8Burp Suite Pro

PortSwigger

72.06% 100% 86,03%
9Cenzic Pro

Cenzic

63.24% 100% 81,62%
10SkipFish

Michal Zalewski – Google

50.74% 100% 75,37%
11Wapiti

OWASP

100.00% 50% 75.00%
12Netsparker

Mavituna Security

98.00% 50% 74.00%
13Paros Pro

MileSCAN Technologies

93.38% 50% 71,69%
14ZAP

OWASP

77,21% 50% 63,60%

Tylko nie chciało mi się już robić tabelki.
Robert W.

Robert W. Sales&Technical
Director, AKBIT

Temat: Audyt bezpieczeństwa IT

Ja polecę http://www.prevenity.com
Malwina Makuch

Malwina Makuch Student, WSB

Temat: Audyt bezpieczeństwa IT

A może Integrated Solutions? IS jest częścią Orange Polska, wydaje mi się, że firma godna zaufania. Tu jest więcej w kwestii autydu bezpieczeństwa http://www.integratedsolutions.pl/pl/oferta/security/a... poza tym firma oferuje wiele innowacyjnych usług w zakresie bezpieczeństwa IT czy chmury.
Michał Palok

Michał Palok Specjalista do sp.
sprzedaży,
Subiektyw, własna
działalność

Temat: Audyt bezpieczeństwa IT

Ja bym dał namiar na firmę Omega, już jakiś czas jesteśmy z nimi w kontakcie i wszystko jest w porządku. Szybka reakcja na zgłoszenia, bezpieczna monitorowana sieć, kopie robocze, bardzo dobry antywirus, ogólnie zadbali o nasz system całościowo. Kontakt do nich jest na https://www.itomega.pl/.
Andrzej K.

Andrzej K. IT Network
Administrator

Temat: Audyt bezpieczeństwa IT

Sekuraka chyba każdy zna, ja ich polecam.
Romek Tosiuk

Romek Tosiuk pilot, Własna
działaność

Temat: Audyt bezpieczeństwa IT

Bardzo dobrze że na to zwracacie uwagę bo bezpieczeństwo sieci i danych jest kluczowe w każdym przedsiębiorstwie. Tym bardziej, jeżeli macie dość duży dział informatyczny. My zdecydowaliśmy się na wybór narzędzia Axcene nVision ktory w tym zakresie jest duzym wsparciem. Dzięki niemu mamy możliwość prowadzenia sprawnej ewidencji sprzętu, czy kontroli licencji. Do tego z bardzo waznym wyciekiem danych z modułem DataGuard. Warto rozważyć u nas jak do tej pory fajnie się sprawdza



Wyślij zaproszenie do