Što se tiče zaštite vašeg poslovanja, nikada ne možete biti previše oprezni. Zato u doba DDoS napada i krađe identiteta može pomoći imati neko osiguranje na svojoj strani. Etički hakeri, koji se ponekad nazivaju i „bijeli šeširi“, posjeduju isti skup vještina kao i kriminalni hakeri, samo što ih koriste za pronalaženje i popravljanje slabosti u internetskoj tehnologiji kompanije, a ne za njihovo iskorištavanje. Ako imate potrebu za etičkim hakerom, počnite s formuliranjem jasne misije koja opisuje šta se nadate postići s njihovom pomoći. Zatim možete tražiti kvalificirane kandidate putem službenih programa certifikacije ili internetskih hakerskih tržišta.
Koraci
1. dio 3: Popunjavanje pozicije
Korak 1. Procijenite rizik od nezaštićenosti
Možda će biti u iskušenju pokušati uštedjeti novac držeći se svog postojećeg IT tima. Međutim, bez specijalizirane sigurnosne kopije, IT sistemi vaše kompanije bit će osjetljivi na napade koji su previše sofisticirani da bi ih prosječni računarski vještak uhvatio. Sve što je potrebno je jedan od ovih napada da nanese ozbiljnu štetu finansijama i ugledu vašeg preduzeća.
- Sve u svemu, prosječni troškovi osiguranja i čišćenja narušavanja podataka na mreži su oko 4 miliona USD.
- Zamislite da unajmljivanje bijelog šešira uzimate policu osiguranja. Šta god da njihove usluge zapovijedaju, mala je cijena za vaš mir.
Korak 2. Identifikujte potrebe sajber bezbednosti vaše kompanije
Nije dovoljno samo odlučiti da morate pojačati svoju odbranu interneta. Donesite izjavu o misiji u kojoj ćete precizno opisati šta se nadate postići angažiranjem vanjskog stručnjaka. Na taj način ćete i vi i vaš kandidat imati jasnu predodžbu o obavljanju svojih dužnosti.
- Na primjer, vašoj financijskoj kompaniji možda će trebati povećana zaštita od lažiranja sadržaja ili društvenog inženjeringa, ili bi vaša nova aplikacija za kupovinu mogla dovesti korisnike u opasnost da im ukradu podatke o kreditnoj kartici.
- Vaša izjava bi trebala funkcionirati kao neka vrsta obrnutog propratnog pisma. Ne samo da će oglasiti poziciju, već će i opisati konkretno iskustvo koje tražite. To će vam omogućiti da uklonite povremene kandidate i pronađete najbolju osobu za posao.
Korak 3. Budite spremni ponuditi konkurentnu plaću
Imati etičkog hakera na svojoj strani mudar je potez, ali nije jeftin. Prema PayScale -u, većina bijelih šešira može očekivati 70 000 dolara ili više godišnje. Opet, važno je imati na umu da je posao koji će obavljati vrijedan onoga što traže. To je ulaganje koje si vjerojatno ne možete priuštiti da ne napravite.
Napuhana stopa plaćanja mali je finansijski zastoj u poređenju sa probijanjem rupe u IT sistemu od koje vaša kompanija zavisi radi ostvarivanja profita
Korak 4. Provjerite možete li zaposliti hakera na poslu
Možda neće biti potrebno držati bijeli šešir svom IT osoblju puno radno vrijeme. Kao dio svoje izjave o ciljevima, navedite da tražite konsultanta koji će voditi veliki projekat, možda vanjski test penetracije ili prepisivanje nekog sigurnosnog softvera. To će vam omogućiti da im isplatite jednokratnu pomoć, a ne stalnu plaću.
- Neobičan savjetnički posao mogao bi biti savršen za hakere slobodnjake ili one koji su nedavno dobili certifikat.
- Ako ste zadovoljni učinkom vašeg stručnjaka za kibernetičku sigurnost, možete im ponuditi priliku da s vama ponovno rade na budućim projektima.
Dio 2 od 3: Traženje kvalifikovanog kandidata
Korak 1. Potražite kandidate sa certifikatom Certified Ethical Hacker (CEH)
Međunarodno vijeće konzultanata za elektroničku trgovinu (skraćeno Vijeće EC-a) odgovorilo je na rastuću potražnju za etičkim hakerima stvaranjem posebnog programa certifikacije osmišljenog za njihovo osposobljavanje i pomoć u pronalasku zaposlenja. Ako stručnjak za sigurnost s kojim razgovarate može ukazati na službenu CEH certifikaciju, možete biti sigurni da je to pravi članak, a ne neko ko je zanat naučio u mračnom podrumu.
- Iako hakiranje vjerodajnica može biti teško provjeriti, vaši kandidati trebaju se pridržavati istih strogih standarda kao i svi drugi podnositelji zahtjeva.
- Izbjegavajte zapošljavanje bilo koga ko ne može pružiti dokaz o CEH certifikatu. Budući da nemaju treću stranu koja jamči za njih, rizici su jednostavno preveliki.
Korak 2. Pregledajte internetsko tržište etičkih hakera
Pogledajte neke od oglasa na web stranicama poput Hackers List i Neighborhoodhacker.com. Slično običnim platformama za traženje posla poput Monster i Zaista, ove stranice sastavljaju unose od hakera koji ispunjavaju uslove tražeći priliku da primijene svoje vještine. Ovo može biti najintuitivnija opcija za poslodavce koji su navikli na tradicionalniji proces zapošljavanja.
Etička hakerska tržišta samo promoviraju pravne, kvalificirane stručnjake, što znači da možete mirno spavati znajući da će vam sredstva za život biti u dobrim rukama
Korak 3. Organizujte otvoreno hakersko takmičenje
Jedno zabavno rješenje koje su poslodavci počeli koristiti za privlačenje budućih kandidata je suprotstavljanje konkurenata u simulacijama hakiranja. Ove simulacije modelirane su po uzoru na video igre i osmišljene su kako bi stavile na test opću stručnost i sposobnosti brzog razmišljanja. Pobjednik vašeg takmičenja može biti samo onaj koji će vam pružiti podršku koju ste tražili.
- Neka vaš tehnički tim pripremi niz zagonetki po uzoru na uobičajene IT sisteme ili kupite sofisticiraniju simulaciju od nezavisnog programera.
- Pod pretpostavkom da je osmišljavanje vlastite simulacije preveliki trud ili trošak, mogli biste pokušati i stupiti u kontakt s prošlim pobjednicima međunarodnih takmičenja poput Globalnih kiberlimpijskih igara.
Korak 4. Obučite člana osoblja da se nosi sa vašim dužnostima u vezi sa hakovanjem
Svako se može slobodno upisati u program Vijeća EC koji bijeli šeširi koriste za sticanje CEH certifikata. Ako biste radije zadržali tako visoko pozicionirano mjesto u kući, razmislite o tome da jednog od vaših sadašnjih IT uposlenika provedete kroz tečaj. Tamo će ih naučiti da izvode tehnike ispitivanja penetracije koje se zatim mogu koristiti za ispitivanje curenja.
- Program je strukturiran kao petodnevna praktična nastava, sa zadnjim danom sveobuhvatnog ispita od 4 sata. Učesnici moraju ostvariti rezultat od najmanje 70% da bi položili ocjenu.
- Polaganje ispita košta 500 USD, uz dodatnu naknadu od 100 USD za studente koji se odluče sami učiti.
Dio 3 od 3: Uvođenje etičkog hakera u vaše poslovanje
Korak 1. Provedite temeljitu provjeru prošlosti
Bit će potrebno temeljito ispitati vaše kandidate prije nego uopće pomislite staviti ih na svoju platnu listu. Pošaljite njihove podatke HR -u ili nekoj vanjskoj organizaciji i pogledajte šta će se pojaviti. Obratite posebnu pažnju na sve prošle kriminalne aktivnosti, posebno na one koje uključuju online krivična djela.
- Bilo koju vrstu kriminalnog ponašanja koja se pojavi u rezultatima provjere prošlosti treba smatrati crvenom zastavicom (i vjerovatno razlogom za diskvalifikaciju).
- Povjerenje je ključ svakog radnog odnosa. Ako ne možete vjerovati osobi, ona ne pripada vašoj kompaniji, bez obzira na to koliko su iskusni.
Korak 2. Detaljno razgovarajte sa svojim kandidatom
Pod pretpostavkom da je vaš potencijalni klijent uspješno prošao provjeru prošlosti, sljedeći korak u procesu je vođenje intervjua. Da li je vaš IT menadžer, član HR -a, sjeo s kandidatom sa pripremljenom listom pitanja, poput, "kako ste se uključili u etičko hakiranje?", "Jeste li ikada obavljali neki drugi plaćeni posao?", "Kakve vrste? alata koje koristite za provjeru i neutraliziranje prijetnji? " i "dajte mi primjer kako braniti naš sistem od napada vanjske penetracije."
- Upoznajte se licem u lice, umjesto da se oslanjate na telefon ili e-poštu, kako biste dobili tačnu predodžbu o karakteru kandidata.
- Ako imate daljnjih nedoumica, zakažite jedan ili više naknadnih intervjua s drugim članom upravljačkog tima kako biste dobili drugo mišljenje.
Korak 3. Odredite svog stručnjaka za kibernetičku sigurnost da blisko sarađuje sa vašim razvojnim timom
Ubuduće, prioritet vašeg IT tima trebao bi biti sprječavanje cyber napada, a ne čišćenje nakon njih. Kroz ovu suradnju, ljudi koji stvaraju mrežni sadržaj vaše kompanije naučit će sigurnije prakse kodiranja, iscrpnije testiranje proizvoda i druge tehnike za nadmudrivanje potencijalnih prevaranata.
Postojanje etičkog hakera koji će provjeravati svaku novu značajku može malo usporiti razvojni proces, ali nove hermetičke sigurnosne značajke koje osmisle bit će vrijedne odlaganja
Korak 4. Informirajte se o tome kako kibernetička sigurnost utječe na vaše poslovanje
Iskoristite bogato znanje vašeg bijelog šešira i naučite nešto o vrstama taktika koje hakeri obično koriste. Kad počnete stvarati razumijevanje o tome kako se cyber napadi planiraju i izvode, moći ćete vidjeti kako dolaze.
- Zamolite svog konsultanta da podnese redovne, detaljne sažetke o tome šta su otkrili. Drugi način da se poboljša je analiziranje njihovih nalaza uz pomoć vašeg IT tima.
- Ohrabrite svog unajmljenog hakera da objasni mjere koje provode, a ne samo da ih ostavite da rade svoje.
Korak 5. Pažljivo pratite svog unajmljenog hakera
Iako je malo vjerojatno da će pokušati učiniti nešto beskrupulozno, to nije izvan područja mogućnosti. Uputite ostale članove vašeg IT tima da prate vaš sigurnosni status i traže ranjivosti kojih ranije nije bilo. Vaša misija je zaštititi vaše poslovanje po svaku cijenu. Ne gubite iz vida činjenicu da prijetnje mogu doći iznutra, ali i izvana.
- Nespremnost da vam objasne njihove tačne planove ili metode može biti znak upozorenja.
- Ako imate razloga sumnjati da vanjski stručnjak šteti vašem poslu, ne ustručavajte se otkazati im zaposlenje i potražiti novo.
Savjeti
- Kibernetička sigurnost vitalna je briga svakog poslovanja u 21. stoljeću, od najveće finansijske firme do najmanjeg startupa.
- Kupovinom osiguranja od kibernetičke sigurnosti možete jamčiti da ćete dobiti nazad sve što izgubite u slučaju prijevare, kršenja ili curenja podataka.
- Možda bi bilo dobro da oglasite svoju potrebu za etičkim hakerom na web stranicama poput Reddita, gdje se zna da bijeli šeširi razgovaraju.
Upozorenja
- Klonite se necertificiranih slobodnih agenata, hakera s jakim političkim ili vjerskim opredjeljenjima i takozvanih "hacktivista". Ovi lupeži mogu pokušati upotrijebiti podatke kojima dobiju pristup u podmukle svrhe.
- Rad s hakerom, čak i etičkim, mogao bi se loše odraziti na vašu kompaniju u očima vaših partnera ili klijenata.
