Ako najať etického hackera?
Pokiaľ ide o ochranu vášho podnikania, nikdy nemôžete byť príliš opatrní. Preto v dobe útokov DDoS a phishingu môže pomôcť mať na svojej strane určité poistenie. Etickí hackeri, niekedy označovaní ako „biele klobúky“, disponujú rovnakými schopnosťami ako zločineckí hackeri, iba ich používajú na hľadanie a odstraňovanie nedostatkov v internetovej technológii spoločnosti, a nie na ich zneužívanie. Ak potrebujete etického hackera, začnite formulovaním jasného vyhlásenia o misii, v ktorom uvediete, čo by ste chceli s ich pomocou dosiahnuť. Kvalifikovaných kandidátov potom môžete vyhľadávať prostredníctvom oficiálnych certifikačných programov alebo online hackerských trhov.
Časť 1 z 3: obsadenie pozície
- 1Zhodnoťte riziká odchodu bez ochrany. Môže byť lákavé pokúsiť sa ušetriť peniaze tým, že sa spojíte so svojim existujúcim tímom IT. Bez špecializovaného zálohovania však budú IT systémy vašej spoločnosti zraniteľné voči útokom, ktoré sú príliš sofistikované na to, aby ich bežný počítač zvládol. Stačil by jeden z týchto útokov, ktorými by ste vážne poškodili financie svojej firmy-a povesť.
- Priemerné náklady na zabezpečenie a vyčistenie online úniku údajov sú zhruba 3 milióny miliónov EUR.
- Predstavte si najatie bieleho klobúka ako uzatvorenie poistky. Bez ohľadu na to, čo ich služby prikazujú, je malá cena, ktorú musíte zaplatiť za pokoj.
- 2Identifikujte potreby svojej spoločnosti v oblasti kybernetickej bezpečnosti. Nestačí sa jednoducho rozhodnúť, že musíte posilniť svoju internetovú obranu. Vymyslite poslanie, v ktorom presne popíšete, čo by ste chceli dosiahnuť, keď najmete externého odborníka. Tak budete mať vy aj váš kandidát jasnú predstavu o svojich povinnostiach.
- Vaša finančná spoločnosť môže napríklad potrebovať zvýšenú ochranu pred falšovaním obsahu alebo sociálnym inžinierstvom alebo vaša nová nákupná aplikácia môže vystaviť zákazníkov riziku odcudzenia informácií o ich kreditnej karte.
- Vaše vyhlásenie by malo fungovať ako druh spätného sprievodného listu. Nielenže bude reklama propagovať pozíciu, ale tiež popíše konkrétny zážitok, ktorý hľadáte. To vám umožní zbaviť sa náhodných uchádzačov a nájsť pre túto prácu najlepšiu osobu.
- 3Buďte pripravení ponúknuť konkurencieschopnú mzdu. Mať na svojej strane etického hackera je múdry krok, ale nie je to lacný krok. Podľa PayScale väčšina bielych klobúkov môže očakávať, že za rok stiahne 52200€ alebo viac. Opäť je dôležité mať na pamäti, že práca, ktorú budú vykonávať, stojí za to, o čo sa pýtajú. Je to investícia, ktorú si s najväčšou pravdepodobnosťou nemôžete dovoliť nevykonať.
- Nafúknutá mzda je malá finančná prekážka v porovnaní s dierou v systéme IT, od ktorej závisí vaša spoločnosť, aby dosiahla zisk.
- 4Zistite, či si môžete zamestnať hackera podľa práce. Možno nie je potrebné nechať biely klobúk na oddelení IT na plný úväzok. Ako súčasť vyhlásenia o svojich cieľoch uveďte, že hľadáte konzultanta, ktorý by stál na čele veľkého projektu, možno externého penetračného testu alebo prepisu niektorého bezpečnostného softvéru. To im umožní platiť skôr jednorazovú rezervu ako nepretržitý plat.
- Zvláštna poradenská práca môže byť ideálna pre hackerov na voľnej nohe alebo pre tých, ktorí nedávno získali certifikáciu.
- Ak ste spokojní s výkonmi svojho odborníka na kybernetickú bezpečnosť, môžete im ponúknuť šancu opäť s vami spolupracovať na budúcich projektoch.
Časť 2 z 3: vystopovanie kvalifikovaného kandidáta
- 1Vyhľadajte kandidátov s certifikáciou certifikovaného etického hackera (CEH). Medzinárodná rada poradcov pre elektronický obchod (skrátene Rada ES) reagovala na rastúci dopyt po etických hackeroch vytvorením špeciálneho certifikačného programu, ktorý ich má vyškoliť a pomôcť im nájsť si zamestnanie. Ak bezpečnostný expert, s ktorým sa rozprávate, môže poukázať na oficiálnu certifikáciu CEH, môžete si byť istí, že ide o skutočný výrobok, a nie o niekoho, kto sa naučil svoje remeslo v tmavom suteréne.
- Aj keď je ťažké overiť prihlasovacie údaje k hackovaniu, vaši kandidáti by mali byť držaní rovnako prísnych noriem, ako by to robili všetci ostatní žiadatelia.
- Vyvarujte sa prijímaniu osôb, ktoré nemôžu predložiť dôkaz o certifikácii CEH. Keďže nemajú tretiu stranu, ktorá by za ne ručila, riziká sú príliš vysoké.
- 2Prezrite si online trh etických hackerov. Pozrite sa na niektoré záznamy na stránkach ako Hackers List a Neighborhoodhacker.com. Podobne ako u bežných pri hľadaní zamestnania platforiem, ako sú spoločnosti Monster a v skutočnosti, tieto stránky kompilovať položky z oprávnených hackermi, ktorí hľadajú príležitosti na uplatnenie svojich schopností. To môže byť najintuitívnejšia možnosť pre zamestnávateľov, ktorí sú zvyknutí na tradičnejší postup prijímania zamestnancov.
- Trhy s etickými hackermi propagujú iba zákonných a kvalifikovaných špecialistov, čo znamená, že môžete pokojne spať s vedomím, že vaše živobytie bude v dobrých rukách.
- 3Zorganizujte otvorenú hackerskú súťaž. Jedným zo zábavných riešení, ktoré zamestnávatelia začali používať na prilákanie potenciálnych kandidátov, je postaviť proti sebe konkurentov v simuláciách hackingu „hlava-nehlava“. Tieto simulácie sú modelované podľa videohier a sú navrhnuté tak, aby otestovali všeobecnú odbornosť a schopnosť rýchlo myslieť. Víťazom vašej súťaže môže byť práve ten, kto vám poskytne podporu, ktorú ste hľadali.
- Nechajte svoj technologický tím pripraviť sériu hádaniek podľa bežných IT systémov alebo si kúpte sofistikovanejšiu simuláciu od vývojára tretej strany.
- Za predpokladu, že navrhnúť vlastnú simuláciu je príliš veľa práce alebo nákladov, môžete sa tiež pokúsiť skontaktovať s predchádzajúcimi víťazmi medzinárodných súťaží, ako je globálna kyberlympiáda.
- 4Vyškolte člena svojho personálu, aby zvládol vaše povinnosti súvisiace s hackovaním. Ktokoľvek sa môže zadarmo zaregistrovať do programu Rady ES, ktorý biele čiapky používajú na získanie certifikácie CEH. Ak by ste si chceli udržať takú vynikajúcu pozíciu interne, zvážte absolvovanie kurzu jedného zo svojich súčasných zamestnancov v oblasti IT. Tam sa naučia vykonávať techniky penetračného testovania, ktoré je potom možné použiť na zisťovanie netesností.
- Program je koncipovaný ako 5-dňová praktická výučba, v posledný deň sa absolvuje 4-hodinová komplexná skúška. Na úspešné absolvovanie musia účastníci dosiahnuť skóre najmenej 70%.
- Sedenie na skúšku stojí 370€ a študenti, ktorí sa rozhodnú študovať sami, dodatočný poplatok 75€.
Časť 3 z 3: Vnesenie etického hackera do vášho podnikania
- 1Vykonajte dôkladnú previerku. Bude potrebné, aby boli vaši kandidáti dôkladne vyšetrení, ešte než začnete uvažovať o ich zaradení do výplatnej pásky. Odošlite ich informácie HR alebo externej organizácii a zistite, čo zistili. Osobitnú pozornosť venujte akejkoľvek predchádzajúcej trestnej činnosti, najmä tým, ktoré sa týkajú online trestných činov.
- Akýkoľvek druh kriminálneho správania, ktoré sa objaví vo výsledkoch previerky, by mal byť považovaný za červenú vlajku (a pravdepodobne za dôvod diskvalifikácie).
- Dôvera je kľúčom k akémukoľvek pracovnému vzťahu. Ak danej osobe nemôžete dôverovať, nepatrí do vašej spoločnosti, bez ohľadu na to, aké má skúsenosti.
- 2Pohovorte so svojim kandidátom do hĺbky. Za predpokladu, že váš potenciálny zákazník úspešne absolvuje previerku, je ďalším krokom v tomto procese pohovor. Nechajte svojho IT manažéra, člena HR, si sadnúť s kandidátom a pripraviť si zoznam otázok, ako napríklad „ako ste sa zapojili do etického hackingu?“, „Vykonávali ste niekedy inú platenú prácu?“, „Aké druhy aké nástroje používate na vyhľadávanie a neutralizáciu hrozieb? " a „ukáž mi príklad, ako brániť náš systém pred útokom vonkajšieho prieniku“.
- Zoznámte sa radšej tvárou v tvár, než sa spoliehať na telefón alebo e-mail, aby ste si mohli urobiť presnú predstavu o charaktere žiadateľa.
- Ak máte akékoľvek pretrvávajúce obavy, naplánujte si jeden alebo viac pohovorov s iným členom vedúceho tímu, aby ste mohli získať druhý názor.
- 3Priraďte svojho odborníka na kybernetickú bezpečnosť, aby úzko spolupracoval s vašim vývojovým tímom. Do budúcna by mala byť prioritou číslo jedna vášho IT tímu skôr predchádzanie kybernetickým útokom, než ich upratovanie. Vďaka tejto spolupráci, ľudia vytvárajú svoje spoločnosti online obsahu budú učiť bezpečnejšie kódovacie postupy, ďalšie testovanie vyčerpávajúce produktu a ďalšie techniky pre múdrejší rádoby podvodníci.
- Mať tam etického hackera, ktorý by skontroloval každú novú funkciu, môže mierne spomaliť vývojový proces, ale nové vzduchotesné bezpečnostné funkcie, ktoré navrhujú, budú stáť za to zdržanie.
- 4Informujte sa o tom, ako kybernetická bezpečnosť ovplyvňuje vaše podnikanie. Využite bohatstvo znalostí svojho bieleho klobúka a naučte sa niečo o typoch taktík, ktoré bežne používajú hackeri. Keď začnete chápať, ako sa kybernetické útoky plánujú a vykonávajú, budete ich môcť vidieť prichádzať.
- Požiadajte svojho konzultanta, aby vám predkladal pravidelné podrobné informácie o tom, čo odhalili. Ďalším spôsobom, ako sa oprášiť, je analyzovať ich zistenia s pomocou vášho IT tímu.
- Povzbudzujte svojho najatého hackera, aby vysvetlil opatrenia, ktoré implementuje, a nenechajte ho len tak urobiť svoju otázku.
- 5Sledujte svojho najatého hackera. Aj keď je nepravdepodobné, že sa pokúsia o niečo bezohľadné, nie je to mimo oblasti možností. Požiadajte ostatných členov tímu IT, aby monitorovali váš stav zabezpečenia a hľadali zraniteľné miesta, ktoré tam predtým neboli. Vašou úlohou je chrániť svoje podnikanie za každú cenu. Nezabudnite, že hrozby môžu prichádzať zvnútra aj zvonka.
- Neochota vysvetliť vám ich presné plány alebo metódy môže byť varovným signálom.
- Ak máte dôvodné podozrenie, že externý špecialista poškodzuje vaše podnikanie, neváhajte ukončiť pracovný pomer a vyhľadajte si nového.
- Kybernetická bezpečnosť je zásadným záujmom každého podnikania 21. storočia, od najväčšej finančnej firmy po najmenší startup.
- Nákup poistenia kybernetickej bezpečnosti vám môže zaručiť, že v prípade podvodu, narušenia alebo úniku údajov získate späť všetko, čo stratíte.
- Možno je dobré propagovať svoju potrebu etického hackera na stránkach, ako je Reddit, o ktorých je známe, že v klobúkoch obchodujú s bielymi klobúkmi.
- Vyhýbajte sa necertifikovaným voľným agentom, hackerom so silným politickým alebo náboženským sklonom a takzvaným „hacktivistom“. Títo darebáci sa môžu pokúsiť použiť informácie, ku ktorým získajú prístup, na zákerné účely.
- Práca s hackerom, dokonca aj etickým, by sa mohla zle odraziť na vašej spoločnosti v očiach vašich partnerov alebo klientov.
Prečítajte si tiež: Ako uložiť rar alebo zip do súboru s obrázkom?