Pokud jde o ochranu vašeho podnikání, nemůžete být nikdy příliš opatrní. Proto v době útoků DDoS a phishingu může pomoci mít na své straně nějaké pojištění. Etičtí hackeři, někdy označovaní jako „bílé klobouky“, mají stejné dovednosti jako kriminální hackeři, pouze je používají k hledání a opravě slabých stránek internetové technologie společnosti, nikoli k jejich zneužívání. Pokud potřebujete etického hackera, začněte tím, že zformulujete jasné poslání, ve kterém uvedete, čeho chcete s jejich pomocí dosáhnout. Kvalifikované kandidáty pak můžete vyhledávat prostřednictvím oficiálních certifikačních programů nebo online hackerských trhů.
Kroky
Část 1 ze 3: Obsazení pozice
Krok 1. Vyhodnoťte rizika, že se stanete nechráněnými
Může být lákavé pokusit se ušetřit peníze tím, že se spojíte se svým stávajícím IT týmem. Bez specializovaného zálohování však budou IT systémy vaší společnosti vystaveny útokům, které jsou příliš sofistikované na to, aby je průměrný počítač chytil. Stačil by jeden z těchto útoků, který by vážně poškodil finance a pověst vaší firmy.
- Celkově jsou průměrné náklady na zabezpečení a vyčištění online úniku dat kolem 4 milionů dolarů.
- Přemýšlejte o najímání bílého klobouku jako o uzavření pojistky. Ať už jejich služby velí jakkoli, je to malá cena, kterou musíte zaplatit za klid.
Krok 2. Identifikujte potřeby vaší společnosti v oblasti kybernetické bezpečnosti
Nestačí se jen rozhodnout, že potřebujete posílit svoji internetovou obranu. Přijměte prohlášení o poslání, které přesně nastíní, čeho byste chtěli dosáhnout tím, že najmete externího odborníka. Tak budete mít vy i váš kandidát jasnou představu o svých povinnostech.
- Například vaše finanční společnost může potřebovat zvýšenou ochranu před podvržením obsahu nebo sociálním inženýrstvím nebo vaše nová nákupní aplikace může vystavit zákazníky riziku odcizení informací o jejich kreditní kartě.
- Vaše prohlášení by mělo fungovat jako druh zpětného průvodního dopisu. Nejen, že bude inzerovat pozici, ale také popisovat konkrétní zážitek, který hledáte. To vám umožní odstranit příležitostné žadatele a najít nejlepší osobu pro tuto práci.
Krok 3. Buďte připraveni nabídnout konkurenceschopnou odměnu
Mít na své straně etického hackera je moudrý krok, ale není to levné. Podle PayScale může většina bílých klobouků očekávat, že vytáhne 70 000 a více dolarů ročně. Opět je důležité mít na paměti, že práce, kterou budou vykonávat, stojí za to, o co se ptají. Je to investice, kterou si s největší pravděpodobností nemůžete dovolit neuskutečnit.
Nafouknutá mzda je malá finanční překážka ve srovnání s vyfouknutím díry v IT systému, na kterém je vaše společnost závislá, aby dosáhla zisku
Krok 4. Zjistěte, zda si můžete najmout hackera na zakázku
Možná nebude nutné mít bílý klobouk před zaměstnanci IT na plný úvazek. V rámci svého prohlášení o cílech určete, že hledáte poradce, který by stál v čele velkého projektu, možná externího penetračního testu nebo přepisu nějakého bezpečnostního softwaru. To vám umožní zaplatit jim jednorázový podnět, nikoli nepřetržitý plat.
- Zvláštní poradenská práce může být ideální pro hackery na volné noze nebo pro ty, kteří nedávno získali certifikaci.
- Pokud jste s výkonem odborníka na kybernetickou bezpečnost spokojeni, můžete mu nabídnout příležitost, aby s vámi mohl znovu spolupracovat na budoucích projektech.
Část 2 ze 3: Vypátrání kvalifikovaného kandidáta
Krok 1. Vyhledejte kandidáty s certifikací Certified Ethical Hacker (CEH)
Mezinárodní rada poradců pro elektronický obchod (zkráceně Rada ES) reagovala na rostoucí poptávku po etických hackerech vytvořením speciálního certifikačního programu, který je má vyškolit a pomoci jim najít zaměstnání. Pokud odborník na bezpečnost, s nímž vedete rozhovor, může ukázat na oficiální certifikaci CEH, můžete si být jisti, že jde o skutečný článek, a ne o někoho, kdo se naučil své řemeslo v temném suterénu.
- Zatímco ověřování přihlašovacích údajů k hackování může být obtížná věc, vaši kandidáti by měli dodržovat stejně přísné standardy jako všichni ostatní uchazeči.
- Vyhněte se najímání kohokoli, kdo nemůže poskytnout důkaz o certifikaci CEH. Protože nemají třetí stranu, která by za ně ručila, jsou rizika příliš vysoká.
Krok 2. Prohlédněte si online trh etických hackerů
Podívejte se na některé výpisy na webech jako Hackers List a Neighborhoodhacker.com. Podobně jako u běžných platforem pro hledání zaměstnání, jako jsou Monster a Indeed, tyto stránky sestavují záznamy od způsobilých hackerů, kteří hledají příležitosti k uplatnění svých dovedností. To může být nejintuitivnější možnost pro zaměstnavatele, kteří jsou zvyklí na tradičnější náborový proces.
Trhy s etickými hackery propagují pouze legální a kvalifikované specialisty, což znamená, že můžete klidně spát s vědomím, že vaše živobytí bude v dobrých rukou
Krok 3. Hostte otevřenou hackerskou soutěž
Jedním ze zábavných řešení, které zaměstnavatelé začali využívat k přilákání potenciálních uchazečů, je stavět proti sobě konkurenty v simulacích hackingu hlava-nehlava. Tyto simulace jsou modelovány po videohrách a jsou navrženy tak, aby otestovaly obecnou odbornost a schopnosti rychlého myšlení při rozhodování. Vítězem vaší soutěže může být právě ten, kdo vám poskytne podporu, kterou jste hledali.
- Nechte svůj technologický tým uvařit sérii hádanek podle běžných IT systémů nebo si zakupte sofistikovanější simulaci od vývojáře třetí strany.
- Za předpokladu, že navrhnout vlastní simulaci je příliš mnoho práce nebo nákladů, můžete se také pokusit kontaktovat bývalé vítěze mezinárodních soutěží, jako je Global Cyberlympics.
Krok 4. Vyškolte člena svého personálu, aby zvládl vaše úkoly v oblasti hackování
Kdokoli se může zdarma zaregistrovat do programu Rady ES, který bílé klobouky používají k získání certifikace CEH. Pokud byste si chtěli udržet tak vysoce postavenou pozici interně, zvažte absolvování kurzu některého ze svých současných zaměstnanců v oblasti IT. Tam je naučí provádět techniky penetračního testování, které lze poté použít ke zjišťování netěsností.
- Program je koncipován jako 5denní praktická lekce, poslední den je absolvována 4hodinová komplexní zkouška. Aby mohli účastníci projít, musí dosáhnout skóre alespoň 70%.
- Za zkoušku se platí 500 $ a studentům, kteří se rozhodnou studovat samostatně, další poplatek 100 $.
Část 3 ze 3: Vnášení etického hackera do vaší firmy
Krok 1. Proveďte důkladnou kontrolu pozadí
Než budete vůbec přemýšlet o tom, že je uvedete na výplatní listinu, bude nutné nechat vaše kandidáty důkladně vyšetřit. Odešlete jejich informace HR nebo externí organizaci a uvidíte, co objeví. Věnujte zvláštní pozornost jakékoli trestné činnosti v minulosti, zejména těm, které zahrnují online trestné činy.
- Jakýkoli typ kriminálního chování, který se objeví ve výsledcích prověrky, by měl být považován za červenou vlajku (a pravděpodobně důvod k diskvalifikaci).
- Důvěra je klíčem k jakémukoli pracovnímu vztahu. Pokud této osobě nemůžete důvěřovat, nepatří do vaší společnosti, bez ohledu na to, jak zkušení jsou.
Krok 2. Rozhovor se svým kandidátem do hloubky
Za předpokladu, že váš potenciální zákazník úspěšně projde kontrolou pozadí, je dalším krokem v tomto procesu pohovor. Nechte svého IT manažera, člena HR, sednout si s kandidátem se seznamem připravených otázek, jako například „jak jste se zapojili do etického hackingu?“, „Vykonávali jste někdy jinou placenou práci?“, „Jaké druhy nástrojů, které používáte k vyhledávání a neutralizaci hrozeb? a „dejte mi příklad, jak bránit náš systém před útokem vnějšího proniknutí“.
- Seznamte se raději tváří v tvář, než abyste se spoléhali na telefon nebo e-mail, abyste si mohli udělat přesnou představu o charakteru žadatele.
- Pokud máte nějaké přetrvávající obavy, naplánujte si jeden nebo více následných pohovorů s jiným členem manažerského týmu, abyste mohli získat druhý názor.
Krok 3. Přiřaďte svého odborníka na kybernetickou bezpečnost, aby úzce spolupracoval s vaším vývojovým týmem
Do budoucna by měla být prioritou číslo jedna vašeho IT týmu spíše předcházení kybernetickým útokům než úklid po nich. Díky této spolupráci se lidé vytvářející online obsah vaší společnosti naučí bezpečnější postupy kódování, důkladnější testování produktů a další techniky pro přechytračení potenciálních podvodníků.
Mít tam etického hackera, který by zkontroloval každou novou funkci, může mírně zpomalit vývojový proces, ale nové vzduchotěsné bezpečnostní funkce, které navrhují, budou stát za zpoždění
Krok 4. Informujte se o tom, jak kybernetická bezpečnost ovlivňuje vaše podnikání
Využijte bohatství znalostí svého bílého klobouku a naučte se něco o typech taktik, které hackeři běžně používají. Když začnete rozumět tomu, jak jsou kybernetické útoky plánovány a prováděny, budete je moci vidět přicházet.
- Požádejte svého konzultanta o zasílání pravidelných podrobných briefingů o tom, co odhalili. Dalším způsobem, jak se oprášit, je analyzovat jejich zjištění s pomocí vašeho IT týmu.
- Povzbuďte svého najatého hackera, aby vysvětlil opatření, která zavádí, a ne je nechávejte, aby dělali své věci bez otázek.
Krok 5. Sledujte svého najatého hackera
I když je nepravděpodobné, že se pokusí o něco bezohledného, není to mimo oblast možností. Dejte pokyn ostatním členům vašeho týmu IT, aby sledovali váš stav zabezpečení a hledali slabá místa, která tam dříve nebyla. Vaším úkolem je chránit vaše podnikání za každou cenu. Neztrácejte ze zřetele skutečnost, že hrozby mohou přicházet zevnitř i zvenčí.
- Neochota vysvětlit vám jejich přesné plány nebo metody může být varovným signálem.
- Pokud máte důvod se domnívat, že vám externě zajišťovaný specialista škodí ve vašem podnikání, neváhejte ukončit pracovní poměr a vyhledat si nového.
Tipy
- Kybernetická bezpečnost je zásadním problémem každého podnikání 21. století, od největší finanční firmy po nejmenší startup.
- Zakoupení pojištění kybernetické bezpečnosti vám může zaručit, že v případě podvodu, porušení nebo úniku dat dostanete zpět cokoli, co ztratíte.
- Může být dobrý nápad propagovat vaši potřebu etického hackera na stránkách, jako je Reddit, kde je známo, že bílé klobouky mluví v obchodě.
Varování
- Držte se dál od necertifikovaných volných agentů, hackerů se silným politickým nebo náboženským smýšlením a takzvaných „hacktivistů“. Tito darebáci se mohou pokusit použít informace, ke kterým získají přístup, pro zákeřné účely.
- Práce s hackerem, byť etickým, by se na vaši společnost v očích vašich partnerů nebo klientů mohla odrazit špatně.
