Runājot par sava uzņēmuma aizsardzību, jūs nekad nevarat būt pārāk uzmanīgs. Tāpēc DDoS uzbrukumu un pikšķerēšanas laikmetā var būt noderīga apdrošināšana. Ētiskiem hakeriem, kurus dažkārt dēvē arī par “baltajām cepurēm”, piemīt tādas pašas prasmes kā noziedzīgiem hakeriem, tikai viņi tos izmanto, lai atrastu un novērstu uzņēmuma interneta tehnoloģiju trūkumus, nevis izmantotu tās. Ja jums ir nepieciešams ētisks hakeris, vispirms formulējiet skaidru misijas izklāstu, kurā izklāstīts, ko jūs cerat sasniegt ar viņu palīdzību. Pēc tam varat meklēt kvalificētus kandidātus, izmantojot oficiālās sertifikācijas programmas vai tiešsaistes hakeru tirgus.
Soļi
1. daļa no 3: Pozīcijas aizpildīšana
1. solis. Novērtējiet neaizsargātības risku
Var būt vilinoši mēģināt ietaupīt naudu, paliekot pie esošās IT komandas. Tomēr bez specializētas dublēšanas jūsu uzņēmuma IT sistēmas būs neaizsargātas pret uzbrukumiem, kas ir pārāk sarežģīti, lai varētu uztvert vidējo datora neveikli. Vajadzētu tikai vienu no šiem uzbrukumiem, lai nodarītu nopietnu kaitējumu jūsu uzņēmuma finansēm un reputācijai.
- Kopumā vidējās tiešsaistes datu aizsardzības pārkāpuma nodrošināšanas un tīrīšanas izmaksas ir aptuveni 4 miljoni ASV dolāru.
- Iedomājieties baltas cepures pieņemšanu darbā kā apdrošināšanas polises izsniegšanu. Neatkarīgi no viņu pakalpojumu pavēles ir neliela cena, kas jāmaksā par jūsu sirdsmieru.
2. solis. Nosakiet sava uzņēmuma kiberdrošības vajadzības
Nepietiek vienkārši izlemt, ka jums ir jāpastiprina interneta aizsardzība. Nāciet klajā ar misijas izklāstu, kurā precīzi izklāstīts, ko jūs cerat paveikt, pieņemot darbā ārēju ekspertu. Tādā veidā gan jums, gan jūsu kandidātam būs skaidrs priekšstats par viņu pienākumiem.
- Piemēram, jūsu finanšu uzņēmumam var būt nepieciešama pastiprināta aizsardzība pret satura viltošanu vai sociālo inženieriju, vai arī jūsu jaunā iepirkšanās lietotne var pakļaut klientus riskam nozagt kredītkartes informāciju.
- Jūsu paziņojumam vajadzētu darboties kā sava veida apvērstā pavadvēstule. Tas ne tikai reklamēs pozīciju, bet arī aprakstīs jūsu meklēto pieredzi. Tas ļaus jums atsijāt gadījuma rakstura pretendentus un atrast šim darbam labāko cilvēku.
3. Esiet gatavs piedāvāt konkurētspējīgu atalgojumu
Ētisks hakeris jūsu pusē ir gudrs solis, taču tas nav lēts. Saskaņā ar PayScale, lielākā daļa balto cepuru var sagaidīt USD 70 000 vai vairāk gadā. Atkal ir svarīgi paturēt prātā, ka darbs, ko viņi veiks, ir tā vērts, ko viņi lūdz. Tas ir ieguldījums, kuru jūs, visticamāk, nevarat atļauties neveikt.
Paaugstināta atalgojuma likme ir neliela finansiāla neveiksme salīdzinājumā ar to, ka IT sistēmā ir izurbts caurums, no kura jūsu uzņēmums ir atkarīgs, lai gūtu peļņu
Solis 4. Skatiet, vai jūs varat nolīgt hakeri pēc darba
Iespējams, ka IT darbiniekiem nav nepieciešams visu laiku turēt baltu cepuri. Paziņojumā par mērķiem norādiet, ka meklējat konsultantu, lai vadītu lielu projektu, iespējams, ārēju iespiešanās testu vai kādas drošības programmatūras pārrakstīšanu. Tas ļaus jums viņiem izmaksāt vienreizēju iemaksu, nevis pastāvīgu algu.
- Nepāra konsultāciju darbs var būt ideāls ārštata hakeriem vai tiem, kas nesen ir saņēmuši sertifikātu.
- Ja esat apmierināts ar kiberdrošības eksperta sniegumu, varat piedāvāt viņam iespēju strādāt kopā ar jums turpmākajos projektos.
2. daļa no 3: Kvalificēta kandidāta izsekošana
1. solis. Meklējiet kandidātus ar Certified Ethical Hacker (CEH) sertifikātu
Starptautiskā elektroniskās komercijas konsultantu padome (īsumā-EK-padome) ir reaģējusi uz pieaugošo pieprasījumu pēc ētiskiem hakeriem, izveidojot īpašu sertifikācijas programmu, kas paredzēta viņu apmācībai un palīdz atrast darbu. Ja jūsu aptaujātais drošības eksperts var norādīt uz oficiālo CEH sertifikātu, varat būt pārliecināts, ka tas ir īsts raksts, nevis kāds, kurš apguvis savu amatu tumšā pagrabā.
- Lai gan uzlaušanas akreditācijas datu pārbaudīšana var būt sarežģīta lieta, jūsu kandidātiem ir jāatbilst tādiem pašiem stingriem standartiem kā visiem pārējiem pretendentiem.
- Izvairieties pieņemt darbā ikvienu, kas nevar pierādīt CEH sertifikātu. Tā kā viņiem nav trešās puses, kas par tiem galvo, risks ir pārāk augsts.
2. solis. Pārlūkojiet tiešsaistes ētikas hakeru tirgu
Apskatiet dažus sarakstus tādās vietnēs kā Hackers List un Neighborhoodhacker.com. Līdzīgi kā parastās darba meklēšanas platformās, piemēram, Monster un Indeed, šīs vietnes apkopo ierakstus no piemērotiem hakeriem, kuri meklē iespējas pielietot savas prasmes. Tas var būt intuitīvākais risinājums darba devējiem, kuri ir pieraduši pie tradicionālāka darbā pieņemšanas procesa.
Ētikas hakeru tirgos tiek reklamēti tikai juridiski kvalificēti speciālisti, kas nozīmē, ka varat mierīgi gulēt, zinot, ka jūsu iztika būs labās rokās
3. Rīkojiet atklātu hakeru konkursu
Viens jautrs risinājums, ko darba devēji ir sākuši izmantot, lai piesaistītu potenciālos kandidātus, ir pretstatīt konkurentus viens otram uzlaušanas simulācijās. Šīs simulācijas ir veidotas pēc videospēlēm, un tās ir paredzētas, lai pārbaudītu vispārējās zināšanas un spēju ātri pieņemt lēmumus. Jūsu konkursa uzvarētājs var būt tas, kurš sniegs meklēto atbalstu.
- Palūdziet savai tehnoloģiju komandai pagatavot mīklu sēriju, kas veidota pēc parastajām IT sistēmām, vai iegādājieties sarežģītāku simulāciju no trešās puses izstrādātāja.
- Pieņemot, ka savas simulācijas izveide ir pārāk daudz darba vai izdevumu, jūs varat arī mēģināt sazināties ar iepriekšējiem starptautisku sacensību uzvarētājiem, piemēram, Globālajām kiberolimpiskajām spēlēm.
4. solis. Apmāciet savu personāla locekli veikt jūsu pienākumus pret uzlaušanu
Ikviens var brīvi reģistrēties EK-Padomes programmā, ko baltās cepures izmanto, lai iegūtu CEH sertifikātu. Ja vēlaties saglabāt tik augsta līmeņa amatu savā uzņēmumā, apsveriet iespēju kādu no pašreizējiem IT darbiniekiem apgūt kursā. Tur viņi tiks mācīti veikt iespiešanās pārbaudes metodes, kuras pēc tam var izmantot, lai pārbaudītu noplūdes.
- Programma ir veidota kā 5 dienu praktiska nodarbība, kuras pēdējā dienā tiek veikts 4 stundu visaptverošs eksāmens. Lai nokārtotu, dalībniekiem jāsavāc vismaz 70% punktu.
- Sēdēt eksāmenā ir jāmaksā 500 USD, kā arī papildu maksa ir 100 USD studentiem, kuri izvēlas mācīties paši.
3. daļa no 3: ētiska hakeru iesaistīšana jūsu biznesā
1. solis. Veiciet rūpīgu iepriekšējās darbības pārbaudi
Būs nepieciešams rūpīgi izpētīt savus kandidātus, pirms jūs pat domājat par to iekļaušanu algu sarakstā. Nosūtiet savu informāciju HR vai ārējai organizācijai un uzziniet, ko viņi atklāj. Pievērsiet īpašu uzmanību jebkādām pagātnes noziedzīgām darbībām, jo īpaši tām, kas saistītas ar pārkāpumiem tiešsaistē.
- Jebkurš noziedzīgs uzvedības veids, kas parādās iepriekšējās darbības pārbaudes rezultātos, ir jāuzskata par sarkano karogu (un, iespējams, par diskvalifikācijas pamatojumu).
- Uzticēšanās ir atslēga uz visām darba attiecībām. Ja jūs nevarat uzticēties šai personai, viņi nepieder jūsu uzņēmumam neatkarīgi no tā, cik pieredzējuši viņi ir.
Solis 2. Padziļināti intervējiet savu kandidātu
Pieņemot, ka jūsu izredzes veiksmīgi nokārto viņu iepriekšējās darbības pārbaudi, nākamais procesa solis ir intervijas veikšana. Palūdziet savam IT vadītājam, personāla pārstāvim, kopā ar kandidātu sagatavot jautājumu sarakstu, piemēram, "kā jūs iesaistījāties ētiskā uzlaušanā?", "Vai esat kādreiz veicis kādu citu algotu darbu?", "Kāda veida rīkus, kurus izmantojat, lai pārbaudītu un neitralizētu draudus? " un "sniedziet man piemēru, kā aizsargāt mūsu sistēmu no ārējas iekļūšanas uzbrukuma".
- Iepazīstieties aci pret aci, nevis paļaujieties uz tālruni vai e-pastu, lai jūs varētu iegūt precīzu priekšstatu par pretendenta raksturu.
- Ja jums ir ilgstošas bažas, ieplānojiet vienu vai vairākas papildu intervijas ar citu vadības komandas locekli, lai jūs varētu saņemt otru viedokli.
3. solis. Piešķiriet kiberdrošības ekspertam ciešu sadarbību ar savu izstrādes komandu
Turpmāk jūsu IT komandas prioritātei vajadzētu būt kiberuzbrukumu novēršanai, nevis tīrīšanai pēc tiem. Pateicoties šai sadarbībai, cilvēki, kas veido jūsu uzņēmuma tiešsaistes saturu, apgūs drošāku kodēšanas praksi, pilnīgāku produktu pārbaudi un citas metodes iespējamo krāpnieku pārvarēšanai.
Ja tur ir ētisks hakeris, kurš pārbauda katru jauno funkciju, tas var nedaudz palēnināt izstrādes procesu, taču jaunie hermētiskie drošības līdzekļi, ko tie izstrādā, būs vērti
4. solis. Informējiet sevi par to, kā kiberdrošība ietekmē jūsu biznesu
Izmantojiet savas baltās cepures zināšanu bagātību un uzziniet mazliet par hakeru parasti izmantotajiem taktikas veidiem. Kad sāksit saprast, kā tiek plānoti un īstenoti kiberuzbrukumi, varēsit redzēt, kā tie notiek.
- Palūdziet savam konsultantam regulāri un detalizēti sniegt informāciju par atklāto. Vēl viens veids, kā pilnveidoties, ir analizēt savus atklājumus ar IT komandas palīdzību.
- Mudiniet savu nolīgto hakeri izskaidrot pasākumus, ko viņi īsteno, nevis vienkārši atstāt viņus darīt neapšaubāmus.
5. Rūpīgi sekojiet savam algotajam hakerim
Lai gan maz ticams, ka viņi mēģinās kaut ko negodīgu, tas nav ārpus iespēju robežas. Uzdodiet citiem IT komandas locekļiem uzraudzīt jūsu drošības statusu un meklēt ievainojamības, kuras iepriekš nebija. Jūsu misija ir aizsargāt jūsu biznesu par katru cenu. Nepalaidiet uzmanību faktam, ka draudi var nākt gan no iekšpuses, gan no ārpuses.
- Nevēlēšanās jums izskaidrot savus plānus vai metodes var būt brīdinājuma zīme.
- Ja jums ir pamats aizdomām, ka ārpakalpojuma speciālists kaitē jūsu biznesam, nevilcinieties pārtraukt darba attiecības un meklēt jaunu.
Padomi
- Kiberdrošība ir būtiska problēma ikvienam 21. gadsimta biznesam, sākot no lielākās finanšu firmas un beidzot ar mazāko uzņēmumu.
- Kiberdrošības apdrošināšanas iegāde var garantēt, ka krāpšanas, pārkāpuma vai datu noplūdes gadījumā jūs atgūsit visu, ko esat zaudējis.
- Var būt laba ideja reklamēt savu vajadzību pēc ētiska hakeru tādās vietnēs kā Reddit, kur, kā zināms, baltās cepures runā.
Brīdinājumi
- Turieties tālāk no nesertificētiem brīvajiem aģentiem, hakeriem ar spēcīgu politisku vai reliģisku noskaņojumu un tā sauktajiem “hacktivists”. Šie nelieši var mēģināt izmantot informāciju, kurai viņi piekļūst, viltīgiem mērķiem.
- Sadarbība ar hakeri, pat ētisku, varētu slikti atspoguļot jūsu uzņēmumu jūsu partneru vai klientu acīs.
