Yrityksesi suojelemisessa et voi koskaan olla liian varovainen. Siksi DDoS -hyökkäysten ja tietojenkalastelun aikakaudella voi olla hyödyllistä saada vakuutus puolellesi. Eettisillä hakkereilla, joita kutsutaan joskus "valkoisiksi hattuiksi", on sama taito kuin rikollisilla hakkereilla, vain he käyttävät niitä löytääkseen ja korjatakseen heikkouksia yrityksen Internet -tekniikassa sen sijaan, että hyödyntäisivät niitä. Jos tarvitset eettistä hakkeria, aloita muotoilemalla selkeä tehtävä, jossa hahmotat mitä haluat saavuttaa heidän avullaan. Voit sitten etsiä päteviä ehdokkaita virallisten sertifiointiohjelmien tai hakkereiden verkkokauppojen kautta.
Askeleet
Osa 1/3: Aseman täyttäminen
Vaihe 1. Arvioi suojaamattomuuden riskit
Voi olla houkuttelevaa yrittää säästää rahaa pitämällä kiinni nykyisestä IT -tiimistäsi. Ilman erikoistunutta varmuuskopiointia yrityksesi IT -järjestelmät ovat kuitenkin alttiita hyökkäyksille, jotka ovat liian kehittyneitä keskimääräiselle tietokonevihellylle. Tarvitaan vain yksi näistä hyökkäyksistä, jotka vahingoittavat vakavasti yrityksesi taloutta ja mainetta.
- Kaiken kaikkiaan online -tietomurton turvaamisesta ja puhdistamisesta aiheutuvat keskimääräiset kustannukset ovat noin 4 miljoonaa dollaria.
- Ajattele valkoisen hatun palkkaamista vakuutuksen ottamiseksi. Mitä heidän palvelunsa määrää, on pieni hinta mielenrauhasta.
Vaihe 2. Tunnista yrityksesi kyberturvallisuustarpeet
Ei riitä, että yksinkertaisesti päätät, että sinun on vahvistettava Internet -puolustustasi. Keksi tehtävänkuvaus, jossa hahmotellaan tarkasti, mitä toivot saavasi palkkaamalla ulkopuolisen asiantuntijan. Näin sinulla ja ehdokkaallasi on selkeä käsitys tehtävistään.
- Rahoitusyhtiösi voi esimerkiksi tarvita parempaa suojaa sisällön huijaukselta tai sosiaaliselta suunnittelulta, tai uusi ostosovelluksesi saattaa vaarantaa asiakkaat, joiden luottokorttitiedot varastetaan.
- Lausuntosi pitäisi toimia eräänlaisena käänteisenä saatekirjeenä. Se ei ainoastaan mainosta asemaa, vaan myös kuvaa etsimääsi erityiskokemusta. Näin voit karsia satunnaisia hakijoita ja löytää paras henkilö tehtävään.
Vaihe 3. Ole valmis tarjoamaan kilpailukykyistä palkkaa
Eettisen hakkerin ottaminen puolellesi on viisas liike, mutta se ei ole halpa. PayScalen mukaan useimmat valkoiset hatut voivat odottaa vetävän 70 000 dollaria tai enemmän vuodessa. Jälleen on tärkeää pitää mielessä, että heidän suorittamansa työ on sen arvoista, mitä he pyytävät. Se on sijoitus, johon sinulla ei todennäköisesti ole varaa olla tekemättä.
Paisunut palkka on pieni taloudellinen takaisku verrattuna siihen, että IT -järjestelmään on puhallettu reikä, josta yrityksesi on riippuvainen voiton saamisesta
Vaihe 4. Katso, voitko palkata hakkerin työn perusteella
Ei välttämättä tarvitse pitää valkoista hattua IT -henkilöstössäsi kokopäiväisesti. Osana tavoiteilmoitusta määritä, että etsit konsulttia johtamaan suurta projektia, ehkä ulkoista tunkeutumistestiä tai jonkin tietoturvaohjelmiston uudelleenkirjoitusta. Näin voit maksaa heille kertaluonteisen pidätyksen jatkuvan palkan sijasta.
- Outo konsultointityö voi olla täydellinen freelance -hakkereille tai niille, jotka ovat äskettäin saaneet sertifikaatin.
- Jos olet tyytyväinen kyberturvallisuusasiantuntijasi suorituksiin, voit tarjota heille mahdollisuuden työskennellä kanssasi uudelleen tulevissa projekteissa.
Osa 2/3: Pätevän ehdokkaan jäljittäminen
Vaihe 1. Etsi ehdokkaita, joilla on Certified Ethical Hacker (CEH) -sertifikaatti
Kansainvälinen sähköisen kaupankäynnin neuvottelukunta (lyhenne sanoista EC-Council) on vastannut eettisten hakkereiden kasvavaan kysyntään luomalla erityisen sertifiointiohjelman, jonka tarkoituksena on kouluttaa ja auttaa heitä löytämään työtä. Jos haastateltava turvallisuusasiantuntija voi viitata viralliseen CEH -sertifikaattiin, voit olla varma, että he ovat aito artikkeli eivätkä joku, joka on oppinut ammattinsa pimeässä kellarissa.
- Vaikka valtakirjojen hakkerointi voi olla vaikeaa tarkistaa, ehdokkaillesi on asetettava samat tiukat standardit kuin muille hakijoille.
- Vältä palkkaamasta ketään, joka ei voi todistaa CEH -sertifiointia. Koska heillä ei ole kolmatta osapuolta takaamaan heitä, riskit ovat aivan liian suuret.
Vaihe 2. Selaa eettisiä hakkereita verkossa
Katso joitain listauksia sivustoilla, kuten Hackers List ja Neighborhoodhacker.com. Kuten tavalliset työnhakualustat, kuten Monster ja Indeed, nämä sivustot keräävät merkintöjä kelvollisilta hakkereilta, jotka etsivät mahdollisuuksia soveltaa taitojaan. Tämä voi olla intuitiivisin vaihtoehto työnantajille, jotka ovat tottuneet perinteisempään rekrytointiprosessiin.
Eettiset hakkerimarkkinat edistävät vain laillisia, päteviä asiantuntijoita, mikä tarkoittaa, että voit nukkua rauhassa tietäen, että toimeentulosi on hyvissä käsissä
Vaihe 3. Järjestä avoin hakkerointikilpailu
Yksi hauska ratkaisu, jota työnantajat ovat alkaneet käyttää houkutellakseen mahdollisia ehdokkaita, on kilpailla kilpailijoita toisiaan vastaan hakkerointisimulaatioissa. Nämä simulaatiot on mallinnettu videopelien jälkeen, ja niiden tarkoituksena on testata yleistä asiantuntemusta ja nopeaa ajattelua. Kilpailun voittaja voi olla vain se, joka tarjoaa etsimäsi tuen.
- Pyydä teknistä tiimiäsi keksimään palapelit, jotka on mallinnettu tavallisten IT -järjestelmien mukaan, tai osta kehittyneempi simulaatio kolmannen osapuolen kehittäjältä.
- Olettaen, että oman simulaation luominen on liikaa työtä tai rahaa, voit myös yrittää ottaa yhteyttä kansainvälisten kilpailujen, kuten Global Cyberlympics, aiempiin voittajiin.
Vaihe 4. Kouluta työntekijääsi hoitamaan hakkerointitehtäviäsi
Kuka tahansa voi ilmoittautua EY-neuvoston ohjelmaan, jolla valkoiset hatut saavat CEH-sertifikaatin. Jos haluat pitää tällaisen korkean profiilin tehtävän omassa talossasi, harkitse yhden nykyisen IT-työntekijäsi siirtämistä kurssille. Siellä heitä opetetaan suorittamaan tunkeutumistestaustekniikoita, joita voidaan sitten käyttää vuotojen tutkimiseen.
- Ohjelma on rakennettu 5 päivän käytännön luokkaksi, ja 4 tunnin kattava tentti suoritetaan viimeisenä päivänä. Osallistujien on saatava vähintään 70% pistemäärä päästäkseen läpi.
- Tenttiin osallistuminen maksaa 500 dollaria ja 100 dollarin lisämaksu opiskelijoille, jotka haluavat opiskella itse.
Osa 3/3: Eettisen hakkerin tuominen yritykseesi
Vaihe 1. Tee perusteellinen taustatarkistus
Ehdokkaat on tutkittava perusteellisesti ennen kuin edes ajattelet niiden ottamista palkkatietoihisi. Lähetä tietosi HR: lle tai ulkopuoliselle organisaatiolle ja katso, mitä he löytävät. Kiinnitä erityistä huomiota aiempaan rikolliseen toimintaan, erityisesti sellaisiin, joihin liittyy verkkorikoksia.
- Kaikenlaista rikollista käyttäytymistä, joka ilmenee taustatarkastuksen tuloksissa, on pidettävä punaisena lipuna (ja luultavasti hylkäysperusteena).
- Luottamus on avain kaikkiin työsuhteisiin. Jos et voi luottaa henkilöön, he eivät kuulu yritykseesi riippumatta siitä, kuinka kokeneita he ovat.
Vaihe 2. Haastattele ehdokastasi perusteellisesti
Olettaen, että mahdollisuutesi läpäisee taustatarkastuksen, seuraava vaihe prosessissa on haastattelun suorittaminen. Pyydä IT -johtajaasi HR -henkilöä istumaan ehdokkaan kanssa ja laatimaan luettelo kysymyksistä, kuten "miten olet osallistunut eettiseen hakkerointiin?", "Oletko koskaan tehnyt muuta palkattua työtä?", "Millaista työkaluja, joita käytät uhkien etsimiseen ja neutralointiin? " ja "anna minulle esimerkki siitä, kuinka puolustaa järjestelmäämme ulkoiselta tunkeutumishyökkäykseltä."
- Tapaa kasvokkain puhelun tai sähköpostin sijasta, jotta saat tarkan käsityksen hakijan luonteesta.
- Jos sinulla on pitkäaikaisia huolenaiheita, ajoita yksi tai useampi jatkohaastattelu toisen johtoryhmän jäsenen kanssa, jotta voit saada toisen lausunnon.
Vaihe 3. Määritä kyberturvallisuusasiantuntijasi työskentelemään tiiviisti kehitystiimisi kanssa
Jatkossa IT -tiimin ykkösprioriteetin pitäisi olla tietohyökkäysten estäminen eikä siivoaminen niiden jälkeen. Tämän yhteistyön avulla yrityksesi verkkosisältöä luovat ihmiset oppivat turvallisempia koodauskäytäntöjä, kattavampaa tuotetestausta ja muita tekniikoita tulevien huijareiden ohittamiseksi.
Jos eettinen hakkeri tarkistaa jokaisen uuden ominaisuuden, se voi hidastaa kehitysprosessia hieman, mutta niiden kehittämät uudet ilmatiiviit suojausominaisuudet ovat viiveen arvoisia
Vaihe 4. Ota selvää, miten kyberturvallisuus vaikuttaa yritykseesi
Hyödynnä valkoisen hattuasi runsaasti tietoa ja opi vähän hakkereiden yleisesti käyttämistä taktiikoista. Kun alat ymmärtää, miten tietohyökkäykset suunnitellaan ja toteutetaan, näet niiden tulevan.
- Pyydä konsulttiasi toimittamaan säännöllisesti yksityiskohtaisia tiedotuksia siitä, mitä he ovat paljastaneet. Toinen tapa harjoitella on analysoida havaintojaan IT -tiimin avulla.
- Kannusta palkattua hakkeriasi selittämään toteuttamiaan toimenpiteitä sen sijaan, että jätät heidät tekemään asiansa kyseenalaistamatta.
Vaihe 5. Tarkkaile palkattua hakkeriasi
Vaikka on epätodennäköistä, että he yrittävät mitään häikäilemätöntä, se ei ole mahdollisuuksien rajojen ulkopuolella. Kehota muita IT -tiimin jäseniä valvomaan tietoturvaasi ja etsimään haavoittuvuuksia, joita ei aiemmin ollut. Tehtäväsi on suojella yritystäsi hinnalla millä hyvänsä. Älä unohda sitä tosiasiaa, että uhat voivat tulla sisältä ja ulkoa.
- Haluttomuus selittää sinulle tarkkoja suunnitelmiaan tai menetelmiään voi olla varoitusmerkki.
- Jos sinulla on syytä epäillä, että ulkoistettu asiantuntija vahingoittaa yritystäsi, lopeta työsuhteesi ja etsi uusi.
Vinkkejä
- Kyberturvallisuus on elintärkeä huolenaihe jokaiselle 21. vuosisadan yritykselle, suurimmasta rahoitusyrityksestä pienimpään käynnistykseen.
- Kyberturvavakuutuksen ostaminen voi taata, että saat takaisin kaiken mitä menetät huijauksen, rikkomuksen tai tietovuodon sattuessa.
- Voi olla hyvä idea mainostaa eettisen hakkerin tarpeesi Redditin kaltaisilla sivustoilla, joilla valkoisten hattujen tiedetään puhuvan.
Varoitukset
- Pysy kaukana sertifioimattomista vapaista agenteista, hakkereista, joilla on vahvat poliittiset tai uskonnolliset suuntaukset, ja niin sanotuista "hakkereista". Nämä huijarit voivat yrittää käyttää saamiaan tietoja salakavalaisiin tarkoituksiin.
- Työskentely hakkerin kanssa, jopa eettinen, saattaa heijastaa yritystäsi huonosti kumppaneidesi tai asiakkaiden silmissä.
