Ett penetrationstest kan vara ett bra sätt att få reda på om det finns läckor i ditt nätverk. Och om läckorna som upptäcktes förra gången verkligen är åtgärdade. Det senare är ett bra skäl för att inte låta samma personer göra två test efter varandra.

Alla som är godkända för att hantera Visa-kort och liknande, PCI DSS-standarden, är tvingade att göra penetrationstest minst en gång per år. PCI:s regler tillåter att kvalificerad egen personal gör testet. Några grundläggande frågor innan testet är att fråga sig när det ska göras, vilka upplysningar pen-testarna ska få att utgå från, vad de ska leta efter och hur du sen ska prioritera mellan de olika problem som lär upptäckas.

Webbsajten Dark Reading har en artikel med en lista över vad du bör tänka på inför penetrationstester.

* Gör testet under schemalagda driftsstopp så slipper du problem med att viktiga system behöver tas offline eller råkar tas offline.

* Se till att testarna har telefonnummer till er support. Om de råkar ta en server offline mitt i natten kan supporten få igång den igen.

* Instruera testarna att även leta efter spår av tidigare intrång, till exempel bakdörrar. Iså fall ska testet avbrytas så att spår kan säkras.

* Se till att testarna skriver en rapport som har en "executive summary", en sammanfattning som en icke-teknisk chef kan förstå. Den ska beskriva hur testet gick till, vilka sårbarheter som upptäcktes och vilka problem de kan leda till. Rapporten bör om möjligt kvantifiera risken med de problem som hittats.

Vi frågade IT-säkerhetsexperten Vesa Virta på Försvarets Radioanstalt, FRA, vilket hans främsta tips var till den som tänker göra ett penetrationstest på egen hand.

- Vid ett penetrationstest utsätter man sina system för en simulerad angripare med samma kompetens som den som utför penetrationstestet. Det är därför viktigt att testaren är väl förtrogen med de tekniker och de verktyg som kan avändas för att bryta sig in i system, svarar Vesa Virta.

Han framhåller också att det är viktigt att dokumentera vad man gjort och vilka resultat de enskilda attackerna har. Detta för att kunna verifera att de åtgärder som vidtas för att hantera problem verkligen fungerar.

- Från en administrativ synvikel är det viktigt att penetrationstestet är förankrat i organisationens ledning, säger Vesa Virta, professionell penetrationstestare på FRA.

Källa: Dark Reading.