איך להעסיק האקר אתי?
לצידך האקר אתי הוא צעד נבון, אבל זה לא זול.
כשמדובר בהגנה על העסק שלך, אתה לעולם לא יכול להיות זהיר מדי. זו הסיבה שבעידן של התקפות DDoS והתחזות, זה יכול לעזור להיות קצת ביטוח לצדך. האקרים אתיים, המכונים לפעמים "כובעים לבנים", מחזיקים באותה מיומנות כמו האקרים עבריינים, רק שהם משתמשים בהם כדי למצוא ולתקן חולשות בטכנולוגיית האינטרנט של החברה במקום לנצל אותם. אם יש לך צורך בהאקר אתי, התחל בניסוח הצהרת משימה ברורה המתארת את מה שאתה מקווה להשיג בעזרתם. לאחר מכן תוכל לחפש מועמדים מוסמכים באמצעות תוכניות הסמכה רשמיות או בשוקי האקרים מקוונים.
חלק 1 מתוך 3: מילוי המשרה
- 1הערך את הסיכונים של היותך בלתי מוגן. זה עשוי להיות מפתה לנסות לחסוך כסף על ידי היצמדות לצוות ה- IT הקיים שלך. אולם ללא גיבוי מיוחד, מערכות ה- IT של החברה שלך יהיו חשופות להתקפות מתוחכמות מדי מכדי שהמחשב הממוצע יכול לתפוס. כל מה שצריך הוא אחת ההתקפות הללו כדי לגרום נזק חמור לכספים ולמוניטין של העסק שלך.
- בסך הכל, העלות הממוצעת של אבטחה וניקוי של הפרת נתונים מקוונת היא סביב 3 € מיליון.
- חשבו על שכירת כובע לבן כמוציאים פוליסת ביטוח. לא משנה מה פיקוד השירותים שלהם הוא מחיר קטן לשלם עבור השקט הנפשי שלכם.
- 2זהה את צרכי אבטחת הסייבר של החברה שלך. זה לא מספיק פשוט להחליט שאתה צריך להגביר את הגנת האינטרנט שלך. הוסף הצהרת משימה המתארת בדיוק את מה שאתה מקווה להשיג על ידי העסקת מומחה חיצוני. בדרך זו, גם לך וגם למועמד שלך יהיה מושג ברור לגבי חובותיהם.
- לדוגמא, ייתכן שהחברה הפיננסית שלך תזדקק להגנה מוגברת מפני זיוף תוכן או הנדסה חברתית, או שאפליקציית הקניות החדשה שלך עשויה לסכן את הלקוחות שגנבת את פרטי כרטיס האשראי שלהם.
- ההצהרה שלך צריכה לתפקד כמעין מכתב מקדיף הפוך. לא רק שהיא תפרסם את התפקיד, אלא גם תתאר את החוויה הספציפית שאתה מחפש. זה יאפשר לך לעשב מועמדים מזדמנים ולמצוא את האדם הטוב ביותר לתפקיד.
- 3היו מוכנים להציע שכר תחרותי. לצידך האקר אתי הוא צעד נבון, אבל זה לא זול. על פי PayScale, רוב הכובעים הלבנים יכולים לצפות למשך 52200 € או יותר בשנה. שוב, חשוב לזכור שהתפקיד שהם יבצעו שווה את מה שהם מבקשים. זו השקעה שסביר להניח שלא תוכל להרשות לעצמך שלא לבצע.
- שיעור שכר מנופח הוא נסיגה כספית קטנה בהשוואה לפיצוץ חור במערכת ה- IT שהחברה שלך תלויה בה כדי להרוויח.
- 4בדוק אם אתה יכול לשכור האקר בעבודה. יתכן שלא יהיה צורך להחזיק כובע לבן לצוות ה- IT במשרה מלאה. כחלק מהצהרת היעדים שלך, ציין שאתה מחפש יועץ שיוביל פרויקט גדול, אולי מבחן חדירה חיצוני או שכתוב של תוכנת אבטחה כלשהי. זה יאפשר לך לשלם להם שומר חד פעמי ולא משכורת מתמדת.
- עבודת הייעוץ המוזרה עשויה להיות מושלמת עבור האקרים פרילנסרים, או כאלה שקיבלו לאחרונה את ההסמכה שלהם.
- אם אתה מרוצה מהביצועים של מומחה אבטחת הסייבר שלך, אתה יכול להציע להם הזדמנות לעבוד איתך שוב בפרויקטים עתידיים.
דפדף בשוק האקרים אתי מקוון.
חלק 2 מתוך 3: מעקב אחר מועמד מוסמך
- 1חפש מועמדים בעלי הסמכת האקר מוסמך (CEH). המועצה הבינלאומית ליועצי מסחר אלקטרוני (בקיצור EC-Council) נענתה לדרישה הגוברת להאקרים אתיים על ידי יצירת תוכנית הסמכה מיוחדת שנועדה להכשירם ולעזור להם למצוא עבודה. אם מומחה האבטחה שאתה מראיין יכול להצביע על הסמכה רשמית של CEH, אתה יכול להיות בטוח שהוא המאמר האמיתי ולא מישהו שלמד את מלאכתו במרתף חשוך.
- אמנם אישורי פריצה יכולים להיות דבר קשה לאימות, אך על המועמדים שלך להחזיק באותם סטנדרטים קפדניים שכל שאר המועמדים היו עושים.
- הימנע מהעסקת מי שאינו יכול לספק הוכחה להסמכת CEH. מכיוון שאין להם צד שלישי שיעיד עליהם, הסיכונים פשוט גבוהים מדי.
- 2דפדף בשוק האקרים אתי מקוון. התבונן בכמה מהרישומים באתרים כמו רשימת האקרים ו- Neighborhoodhacker.com. בדומה לפלטפורמות חיפוש עבודה רגילות כמו Monster ו- Indeed, אתרים אלה מרכיבים רשומות מהאקרים זכאים המחפשים הזדמנויות ליישם את כישוריהם. זו עשויה להיות האפשרות האינטואיטיבית ביותר עבור מעסיקים שרגילים לתהליך גיוס מסורתי יותר.
- שווקי האקרים אתיים רק מקדמים מומחים מוסמכים חוקיים, מה שאומר שתוכלו לישון בקלות בידיעה שהפרנסה שלכם תהיה בידיים טובות.
- 3אירחו תחרות פריצה פתוחה. אחד הפתרונות המהנים שבהם החלו המעסיקים להשתמש כדי למשוך מועמדים פוטנציאליים הוא להציב מתחרים זה מול זה בסימולציות פריצה ראש בראש. סימולציות אלו מעוצבות על פי משחקי וידאו, ונועדו להעמיד במבחן מומחיות כללית ויכולות קבלת החלטות מהירות. הזוכה בתחרות שלך יכול להיות רק זה שיספק את התמיכה שחיפשת.
- בקשו מצוות הטכנולוגיה שלכם לבשל סדרת חידות על פי מערכות IT נפוצות, או לרכוש הדמיה מתוחכמת יותר ממפתח צד ג '.
- בהנחה שדמיון משלך הוא יותר מדי עבודה או הוצאה, תוכל גם לנסות ליצור קשר עם זוכים בעבר בתחרויות בינלאומיות כמו אולימפיאדת הסייבר העולמית.
- 4הכשר איש צוות שלך להתמודד עם חובותיך נגד פריצה. כל אחד רשאי להירשם לתוכנית EC-Council בה משתמשים כובעים לבנים כדי לזכות בהסמכת CEH שלהם. אם אתה מעדיף לשמור על משרה כה גבוהה בבית, שקול להעביר את אחד מעובדי ה- IT הנוכחיים שלך במהלך הקורס. שם ילמדו אותם לבצע טכניקות לבדיקת חדירה שאפשר להשתמש בהן לבדיקת נזילות.
- התוכנית בנויה כשיעור מעשי של 5 ימים, עם בחינה מקיפה של 4 שעות שניתנה ביום האחרון. על המשתתפים לבצע ציון של לפחות 70% על מנת לעבור.
- עלות ההשתתפות בבחינה עולה 370 אירו, יחד עם תשלום נוסף בסך 75 אירו לסטודנטים שבוחרים ללמוד לבד.
עבודה עם האקר, אפילו מוסרי, יכולה לשקף בצורה גרועה את החברה שלך בעיני השותפים או הלקוחות שלך.
חלק 3 מתוך 3: הכנסת האקר אתי לעסק שלך
- 1ערכו בדיקת רקע יסודית. יהיה צורך לבדוק את המועמדים שלך ביסודיות לפני שאתה בכלל חושב להעלות אותם על שכר העבודה שלך. שלח את המידע שלהם ל- HR או לארגון חיצוני ולראות מה הם פונים. שימו לב במיוחד לכל פעילות עבריינית בעבר, במיוחד לפעילות הקשורה לעבירות מקוונות.
- כל סוג של התנהגות פלילית שצץ בתוצאות בדיקת רקע צריך להיחשב דגל אדום (וכנראה עילה לפסילה).
- אמון הוא המפתח לכל יחסי עבודה. אם אתה לא יכול לסמוך על האדם, הוא לא שייך לחברה שלך, לא משנה כמה הם מנוסים.
- 2ראיינו את המועמד שלכם לעומק. בהנחה שהלקוח הפוטנציאלי שלך עובר את בדיקת הרקע שלהם בהצלחה, השלב הבא בתהליך הוא ניהול ראיון. האם מנהל ה- IT שלך, חבר ב- HR, יושב עם המועמד עם רשימת שאלות שהוכנה, כגון, "איך הסתבכת בפריצה אתית?", "האם אי פעם ביצעת עבודה אחרת בתשלום?", "איזה סוג של הכלים שאתה משתמש בכדי לסנן ולנטרל איומים? " ו"תן לי דוגמה כיצד להגן על המערכת שלנו מפני התקפת חדירה חיצונית. "
- פגוש פנים אל פנים, במקום להסתמך על טלפון או דוא"ל, כך שתוכל לקבל מושג מדויק על אופיו של המועמד.
- אם יש לך חששות מתמשכים, קבע ראיון מעקב אחד או יותר עם חבר אחר בצוות ההנהלה כדי שתוכל לקבל חוות דעת שנייה.
- 3הקצה למומחה אבטחת הסייבר שלך לעבוד בשיתוף פעולה הדוק עם צוות הפיתוח שלך. בהמשך, בראש סדר העדיפויות של צוות ה- IT שלך צריך למנוע התקפות סייבר במקום לנקות אחריהם. באמצעות שיתוף פעולה זה, העם ביצירה של החברה שלך תוכן המקוון יהיה ללמוד שיטות קידוד בטוחות, יותר בדיקות מוצר ממצות, וטכניקות אחרות עבור ערמה שואפת להיות נוכלים.
- שיש שם האקר אתי שיבדוק כל תכונה ותכונה חדשה עשוי להאט מעט את תהליך הפיתוח, אך מאפייני האבטחה החדשים האטומים שהם מתכננים יהיו שווים את העיכוב.
- 4הודיעו לעצמכם כיצד אבטחת הסייבר משפיעה על העסק שלכם. נצל את שפע הידע של הכובע הלבן שלך ולמד קצת על סוגי הטקטיקות הנפוצות על ידי האקרים. כשתתחיל ליצור הבנה כיצד מתוכננות ומתבצעות התקפות סייבר, תוכל לראות אותן מגיעות.
- בקש מהיועץ שלך להגיש תדרוך קבוע ומפורט על מה שחשף. דרך נוספת לצחצח היא לנתח את הממצאים שלהם בעזרת צוות ה- IT שלך.
- עודד את ההאקר השכור שלך להסביר את הצעדים שהם מיישמים במקום להשאיר אותם לעשות את הדבר ללא עוררין.
- 5שמור מקרוב על ההאקר השכור שלך. אמנם לא סביר שהם ינסו משהו חסר מצפון, אבל זה לא מחוץ לתחום האפשרות. הורה לחברים אחרים בצוות ה- IT שלך לפקח על מצב האבטחה שלך ולחפש אחר נקודות תורפה שלא היו שם קודם. המשימה שלך היא להגן על העסק שלך בכל מחיר. אל תאבד את העובדה שאיומים יכולים לבוא מבפנים וגם מבחוץ.
- חוסר נכונות להסביר לך את התוכניות או השיטות המדויקות שלך עשוי להוות תמרור אזהרה.
- אם יש לך סיבה לחשוד שמומחה במיקור חוץ פוגע בעסק שלך, אל תהסס לסיים את העסקתו ולחפש אחר חדש.
אם יש לך צורך בהאקר אתי, התחל בלנסח הצהרת משימה ברורה המתארת את מה שאתה מקווה להשיג בעזרתם.
- אבטחת סייבר היא דאגה חיונית לכל עסק מהמאה ה -21, החל מחברה הפיננסית הגדולה ביותר ועד הסטארט-אפ הקטן ביותר.
- רכישת ביטוח אבטחת סייבר יכולה להבטיח שתקבל את כל מה שתפסיד במקרה של הונאה, הפרה או דליפת נתונים.
- זה יכול להיות רעיון טוב לפרסם את הצורך שלך בהאקר אתי באתרים כמו Reddit, שם ידועים כובעים לבנים.
- התרחק משחקנים חופשיים שאינם מוסמכים, האקרים בעלי נטייה פוליטית או דתית חזקה, וכביכול "האקטיוויסטים". נוכלים אלה עשויים לנסות להשתמש במידע שאליו הם זוכים לגישה למטרות ערמומיות.
- עבודה עם האקר, אפילו מוסרי, יכולה לשקף בצורה גרועה את החברה שלך בעיני השותפים או הלקוחות שלך.
