Što se tiče zaštite vašeg poslovanja, nikada ne možete biti previše oprezni. Zato u doba DDoS napada i krađe identiteta može pomoći imati neko osiguranje na svojoj strani. Etički hakeri, koji se ponekad nazivaju i „bijeli šeširi“, posjeduju isti skup vještina kao i kriminalni hakeri, samo što ih koriste za pronalaženje i otklanjanje slabosti u internetskoj tehnologiji tvrtke, a ne za njihovo iskorištavanje. Ako imate potrebu za etičkim hakerom, počnite s formuliranjem jasne misije koja opisuje što se nadate postići s njihovom pomoći. Zatim možete tražiti kvalificirane kandidate putem službenih programa certificiranja ili internetskih hakerskih tržišta.
Koraci
1. dio od 3: Popunjavanje pozicije
Korak 1. Procijenite rizike od nezaštićenosti
Možda će biti primamljivo pokušati uštedjeti novac držeći se svog postojećeg IT tima. Međutim, bez specijalizirane sigurnosne kopije, IT sustavi vaše tvrtke bit će osjetljivi na napade koji su previše sofisticirani da ih prosječni računalni čarobnjak ne uhvati. Sve što je potrebno bio je jedan od ovih napada da nanese ozbiljnu štetu financijama i ugledu vašeg poslovanja.
- Sve u svemu, prosječni troškovi osiguranja i čišćenja internetskih povreda podataka su oko 4 milijuna USD.
- Unajmljivanje bijelog šešira zamislite kao sklapanje police osiguranja. Što god njihove usluge zapovijedale, mala je cijena za vaš mir.
Korak 2. Identificirajte potrebe kibernetičke sigurnosti vaše tvrtke
Nije dovoljno samo odlučiti da morate pojačati svoju obranu interneta. Donesite izjavu o misiji u kojoj ćete točno opisati što se nadate postići angažiranjem vanjskog stručnjaka. Na taj ćete način i vi i vaš kandidat imati jasnu predodžbu o obavljanju svojih dužnosti.
- Na primjer, vašoj financijskoj tvrtki možda će trebati pojačana zaštita od lažiranja sadržaja ili društvenog inženjeringa, ili bi vaša nova aplikacija za kupnju mogla izložiti klijente riziku od krađe podataka o kreditnoj kartici.
- Vaša izjava trebala bi funkcionirati kao svojevrsno obrnuto propratno pismo. Ne samo da će oglasiti poziciju, već će i opisati specifično iskustvo koje tražite. To će vam omogućiti da uklonite slučajne kandidate i pronađete najbolju osobu za posao.
Korak 3. Budite spremni ponuditi konkurentnu plaću
Imati etičkog hakera na svojoj strani mudar je potez, ali nije jeftin. Prema PayScaleu, većina bijelih šešira može očekivati 70 000 dolara ili više godišnje. Opet, važno je imati na umu da je posao koji će obavljati vrijedan onoga što traže. To je ulaganje koje si vjerojatno ne možete priuštiti da ne napravite.
Napuhana stopa plaća mali je financijski zastoj u usporedbi s probijanjem rupe u IT sustavu o kojoj vaša tvrtka ovisi o ostvarivanju dobiti
Korak 4. Provjerite možete li zaposliti hakera na poslu
Možda neće biti potrebno držati bijeli šešir svom IT osoblju s punim radnim vremenom. Kao dio svoje izjave o ciljevima navedite da tražite konzultanta koji će voditi veliki projekt, možda vanjski test penetracije ili prepisivanje nekog sigurnosnog softvera. To će vam omogućiti da im isplatite jednokratnu pomoć, a ne stalnu plaću.
- Neobičan savjetnički posao mogao bi biti savršen za hakere slobodnjake ili one koji su nedavno dobili certifikat.
- Ako ste zadovoljni učinkom vašeg stručnjaka za kibernetičku sigurnost, možete im ponuditi priliku da s vama ponovno rade na budućim projektima.
Dio 2 od 3: Traženje kvalificiranog kandidata
Korak 1. Potražite kandidate sa certifikatom Certified Ethical Hacker (CEH)
Međunarodno vijeće konzultanata za elektroničku trgovinu (skraćeno Vijeće EC-a) odgovorilo je na rastuću potražnju za etičkim hakerima izradom posebnog programa certificiranja osmišljenog za njihovo osposobljavanje i lakše pronalaženje zaposlenja. Ako sigurnosni stručnjak s kojim razgovarate može ukazati na službenu CEH certifikaciju, možete biti sigurni da je to pravi članak, a ne netko tko je zanat naučio u mračnom podrumu.
- Iako hakiranje vjerodajnica može biti teško provjeriti, vaši kandidati trebali bi se pridržavati istih strogih standarda kao i svi drugi podnositelji zahtjeva.
- Izbjegavajte zapošljavanje bilo koga tko ne može pružiti dokaz o CEH certifikatu. Budući da nemaju treću stranu koja jamči za njih, rizici su jednostavno preveliki.
Korak 2. Pregledajte internetsko tržište etičkih hakera
Pogledajte neke od oglasa na stranicama poput Hackers List i Neighborhoodhacker.com. Slično običnim platformama za traženje posla poput Monster i Doista, ove web stranice sastavljaju unose od hakera koji ispunjavaju uvjete tražeći priliku primijeniti svoje vještine. Ovo može biti najintuitivnija opcija za poslodavce koji su navikli na tradicionalniji proces zapošljavanja.
Etička hakerska tržišta samo promiču pravne, kvalificirane stručnjake, što znači da možete mirno spavati znajući da će vam sredstva za život biti u dobrim rukama
Korak 3. Organizirajte otvoreno hakersko natjecanje
Jedno zabavno rješenje koje su poslodavci počeli koristiti za privlačenje potencijalnih kandidata jest suprotstavljanje konkurenata u simulacijama hakiranja. Ove simulacije modelirane su prema video igrama i osmišljene su tako da na test stave opću stručnost i sposobnosti brzog razmišljanja. Pobjednik vašeg natjecanja mogao bi biti samo onaj koji će vam pružiti podršku koju ste tražili.
- Neka vaš tehnički tim pripremi niz zagonetki po uzoru na uobičajene IT sustave ili kupite sofisticiraniju simulaciju od programera treće strane.
- Pretpostavimo da je osmišljavanje vlastite simulacije preveliki trud ili trošak, možete pokušati kontaktirati i s prošlim pobjednicima međunarodnih natjecanja poput Globalnih kiberlimpijskih igara.
Korak 4. Obučite člana svog osoblja da se nosi s vašim dužnostima protu hakiranja
Svatko se može slobodno upisati u program Vijeća EZ-a koji bijeli šeširi koriste za stjecanje CEH certifikata. Ako biste radije zadržali takvo visoko pozicionirano mjesto u kući, razmislite o tome da jedan od vaših sadašnjih IT zaposlenika prođe kroz tečaj. Tamo će ih naučiti izvoditi tehnike ispitivanja penetracije koje se zatim mogu koristiti za ispitivanje curenja.
- Program je strukturiran kao petodnevni praktični tečaj, s posljednjim danom sveobuhvatnog ispita od 4 sata. Polaznici moraju ostvariti rezultat od najmanje 70% kako bi položili ocjenu.
- Polaganje ispita košta 500 USD, uz dodatnu naknadu od 100 USD za studente koji se odluče samostalno učiti.
3. dio od 3: Dovođenje etičkog hakera u vaše poslovanje
Korak 1. Provedite temeljitu provjeru prošlosti
Bit će potrebno temeljito ispitati vaše kandidate prije nego uopće pomislite staviti ih na svoju platnu listu. Pošaljite njihove podatke HR -u ili nekoj vanjskoj organizaciji i pogledajte što se događa. Obratite posebnu pozornost na sve prošle kriminalne aktivnosti, osobito na one koje uključuju online kaznena djela.
- Bilo koju vrstu kriminalnog ponašanja koja se pojavi u rezultatima provjere prošlosti treba smatrati crvenom zastavom (i vjerojatno razlogom za diskvalifikaciju).
- Povjerenje je ključ svakog radnog odnosa. Ako ne možete vjerovati osobi, ona ne pripada vašoj tvrtki, bez obzira na to koliko su iskusni.
Korak 2. Detaljno intervjuirajte svog kandidata
Pod pretpostavkom da vaša potencijalna stranka uspješno prođe provjeru prošlosti, sljedeći korak u procesu je provođenje intervjua. Je li vaš IT menadžer, član HR -a, sjeo s kandidatom s pripremljenim popisom pitanja, poput, "kako ste se uključili u etičko hakiranje?", "Jeste li ikada obavljali neki drugi plaćeni posao?", "Kakve vrste? alata koje koristite za provjeru i neutraliziranje prijetnji? " i "dajte mi primjer kako obraniti naš sustav od napada vanjskog prodora".
- Upoznajte se licem u lice, umjesto da se oslanjate na telefon ili e-poštu, kako biste dobili točnu predodžbu o karakteru podnositelja zahtjeva.
- Ako imate daljnjih nedoumica, zakažite jedan ili više naknadnih intervjua s drugim članom upravljačkog tima kako biste mogli dobiti drugo mišljenje.
Korak 3. Odredite svog stručnjaka za kibernetičku sigurnost da blisko surađuje s vašim razvojnim timom
Ubuduće, prioritet vašeg IT tima trebao bi biti sprječavanje cyber napada, a ne čišćenje nakon njih. Kroz ovu suradnju, ljudi koji stvaraju mrežni sadržaj vaše tvrtke naučit će sigurnije kodiranje, iscrpnije testiranje proizvoda i druge tehnike za nadmudrivanje potencijalnih prevaranata.
Postojanje etičkog hakera koji će provjeravati svaku novu značajku može malo usporiti razvojni proces, ali nove hermetičke sigurnosne značajke koje osmisle vrijedit će odgode
Korak 4. Informirajte se o tome kako kibernetička sigurnost utječe na vaše poslovanje
Iskoristite bogato znanje vašeg bijelog šešira i naučite nešto o vrstama taktika koje hakeri obično koriste. Kad počnete stvarati razumijevanje o tome kako se cyber napadi planiraju i izvode, moći ćete vidjeti kako dolaze.
- Zamolite svog konzultanta da redovito podnosi detaljne sažetke o tome što su otkrili. Drugi način za poboljšanje je analiziranje njihovih nalaza uz pomoć vašeg IT tima.
- Potaknite svog unajmljenog hakera da objasni mjere koje provode, a ne samo da ih ostavite da rade svoje.
Korak 5. Pažljivo pratite svog unajmljenog hakera
Iako je malo vjerojatno da će pokušati učiniti nešto beskrupulozno, to nije izvan područja mogućnosti. Uputite ostale članove svog IT tima da prate vaš sigurnosni status i traže ranjivosti kojih prije nije bilo. Vaša je misija zaštititi vaše poslovanje po svaku cijenu. Ne gubite iz vida činjenicu da prijetnje mogu doći iznutra, ali i izvana.
- Nespremnost da vam objasne njihove točne planove ili metode može biti znak upozorenja.
- Ako imate razloga sumnjati da vanjski stručnjak šteti vašem poslu, ne ustručavajte se otkazati im zaposlenje i potražiti novo.
Savjeti
- Kibernetička sigurnost vitalna je briga svakog poslovanja u 21. stoljeću, od najveće financijske tvrtke do najmanjeg pokretača.
- Kupnja osiguranja od kibernetičke sigurnosti može jamčiti da ćete vratiti sve što izgubite u slučaju prijevare, povrede ili curenja podataka.
- Možda bi bilo dobro da oglasite svoju potrebu za etičkim hakerom na stranicama poput Reddita, gdje se zna da bijeli šeširi razgovaraju.
Upozorenja
- Klonite se necertificiranih slobodnih agenata, hakera s jakim političkim ili vjerskim sklonostima i takozvanih "hacktivista". Ovi lupeži mogu pokušati upotrijebiti informacije kojima pristupaju u podmukle svrhe.
- Rad s hakerom, čak i etičkim, mogao bi se loše odraziti na vašu tvrtku u očima vaših partnera ili klijenata.
