რაც შეეხება თქვენი ბიზნესის დაცვას, ვერასდროს იქნებით ძალიან ფრთხილად. ამიტომაც DDoS თავდასხმებისა და ფიშინგის ეპოქაში მას შეუძლია დაგეხმაროს დაზღვევა თქვენს მხარეს. ეთიკური ჰაკერები, რომლებსაც ზოგჯერ უწოდებენ "თეთრ ქუდებს", ფლობენ იგივე უნარებს, როგორც კრიმინალური ჰაკერები, მხოლოდ ისინი იყენებენ მათ კომპანიის ინტერნეტ ტექნოლოგიების სისუსტეების აღმოსაჩენად და გამოსასწორებლად, ვიდრე მათი ექსპლუატაციის მიზნით. თუ თქვენ გჭირდებათ ეთიკური ჰაკერი, დაიწყეთ მისიის მკაფიო განცხადების ფორმულირებით, რომელშიც აღწერილია რისი მიღწევა გსურთ მათი დახმარებით. ამის შემდეგ შეგიძლიათ მოძებნოთ კვალიფიციური კანდიდატები ოფიციალური სასერთიფიკატო პროგრამების ან ჰაკერების ონლაინ ბაზრების საშუალებით.
ნაბიჯები
3 ნაწილი 1: პოზიციის შევსება
ნაბიჯი 1. შეაფასეთ დაუცველად წასვლის რისკები
შეიძლება მაცდური იყოს ფულის დაზოგვის მცდელობა თქვენს არსებულ IT გუნდთან ერთად. თუმცა, სპეციალიზებული სარეზერვო საშუალებების გარეშე, თქვენი კომპანიის IT სისტემები დაუცველი იქნება ისეთი შეტევებისგან, რომლებიც მეტისმეტად დახვეწილია საშუალო კომპიუტერული ხიბლის მოსაპოვებლად. საკმარისი იქნება ერთი ასეთი თავდასხმა თქვენი ბიზნესის ფინანსებისა და რეპუტაციისთვის სერიოზული ზიანის მიყენებისთვის.
- როგორც უკვე აღვნიშნეთ, ონლაინ მონაცემების დარღვევის უზრუნველყოფისა და გაწმენდის საშუალო ღირებულება დაახლოებით 4 მილიონი აშშ დოლარია.
- იფიქრეთ თეთრი ქუდის დაქირავებაზე, როგორც სადაზღვევო პოლისის აღებაზე. როგორიც არ უნდა იყოს მათი მომსახურების ბრძანება, მცირე ფასია თქვენი სიმშვიდისთვის.
ნაბიჯი 2. დაადგინეთ თქვენი კომპანიის კიბერუსაფრთხოების საჭიროებები
საკმარისი არ არის უბრალოდ გადაწყვიტოთ, რომ თქვენ გჭირდებათ თქვენი ინტერნეტ დაცვის გაძლიერება. გამოდით მისიის განცხადებით, სადაც ზუსტად არის აღწერილი რისი მიღწევა გელით გარე ექსპერტის დაქირავებით. ამრიგად, თქვენ და თქვენს კანდიდატს გექნებათ მკაფიო წარმოდგენა თავიანთ მოვალეობებზე.
- მაგალითად, თქვენს ფინანსურ კომპანიას შეიძლება დასჭირდეს გაზრდილი დაცვა შინაარსის გაფუჭებისაგან ან სოციალური ინჟინერიისგან, ან თქვენსმა ახალმა საყიდლებმა აპლიკაციამ შესაძლოა კლიენტებს საკრედიტო ბარათის ინფორმაციის მოპარვის საფრთხე შეუქმნას.
- თქვენი განცხადება უნდა იყოს ერთგვარი საპირისპირო სამოტივაციო წერილი. ის არა მხოლოდ აცხადებს პოზიციას, არამედ აღწერს კონკრეტულ გამოცდილებას, რომელსაც თქვენ ეძებთ. ეს საშუალებას მოგცემთ გაანადგუროთ შემთხვევითი განმცხადებლები და იპოვოთ საუკეთესო ადამიანი სამუშაოსთვის.
ნაბიჯი 3. მოემზადეთ კონკურენტული ანაზღაურების შესათავაზებლად
თქვენს გვერდით ეთიკური ჰაკერის ყოლა გონიერი ნაბიჯია, მაგრამ ეს არ არის იაფი. PayScale– ის თანახმად, თეთრი ქუდების უმეტესობას წელიწადში $ 70, 000 ან მეტი შემოსავალი მოელის. კიდევ ერთხელ, მნიშვნელოვანია გავითვალისწინოთ, რომ სამუშაო, რომელსაც ისინი შეასრულებენ, ღირს იმას, რასაც ითხოვენ. ეს არის ინვესტიცია, რომელსაც დიდი ალბათობით ვერ ახერხებ არ განახორციელო.
გაბერილი ანაზღაურება არის მცირე ფინანსური ჩავარდნა იმ ინფორმაციულ სისტემასთან შედარებით, რომელზეც თქვენი კომპანია დამოკიდებულია მოგებაზე
ნაბიჯი 4. ნახეთ, შეგიძლიათ დაიქირავოთ ჰაკერი სამსახურში
შეიძლება საჭირო არ იყოს თეთრი ქუდის განთავსება თქვენს IT პერსონალზე სრულ განაკვეთზე. თქვენი მიზნების განცხადების ნაწილად მიუთითეთ, რომ თქვენ ეძებთ კონსულტანტს, რომელიც ხელმძღვანელობს მთავარ პროექტს, შესაძლოა გარე შეღწევადობის ტესტს ან უსაფრთხოების ზოგიერთი პროგრამული უზრუნველყოფის გადაწერას. ეს საშუალებას მოგცემთ გადაიხადოთ მათ ერთჯერადი დამცველი ვიდრე მუდმივი ხელფასი.
- უცნაური საკონსულტაციო სამუშაო შეიძლება იყოს სრულყოფილი თავისუფალი ჰაკერებისათვის, ან მათთვის, ვინც ახლახანს მიიღო სერტიფიკატი.
- თუ კმაყოფილი ხართ თქვენი კიბერუსაფრთხოების ექსპერტის მუშაობით, შეგიძლიათ შესთავაზოთ მათ მომავალ პროექტებთან ერთად თქვენთან ერთად მუშაობის საშუალება.
ნაწილი 3 3 -დან: კვალიფიცირებული კანდიდატის თვალყურის დევნება
ნაბიჯი 1. მოძებნეთ კანდიდატები Certified Ethical Hacker (CEH) სერტიფიცირებით
ელექტრონული კომერციის კონსულტანტების საერთაშორისო საბჭო (მოკლედ EC-Council) გამოეხმაურა ეთიკური ჰაკერების მზარდ მოთხოვნას სპეციალური სერტიფიკაციის პროგრამის შექმნით, რომელიც შექმნილია მათი მომზადებისა და დასაქმების დასახმარებლად. თუ უსაფრთხოების ექსპერტს, რომელსაც თქვენ გამოკითხავთ, შეუძლია მიუთითოს CEH– ის ოფიციალურ სერტიფიკაციაზე, შეგიძლიათ დარწმუნებული იყოთ, რომ ისინი ნამდვილი სტატიაა და არა ის, ვინც ისწავლა თავისი ხელობა ბნელ სარდაფში.
- მიუხედავად იმისა, რომ სერტიფიკატების გატეხვა შეიძლება ძნელი შესამოწმებელი იყოს, თქვენი კანდიდატები უნდა იყვნენ იმავე მკაცრი სტანდარტებით, როგორც ყველა სხვა განმცხადებელი.
- მოერიდეთ ვინმეს დაქირავებას, ვინც ვერ უზრუნველყოფს CEH სერთიფიკატის მტკიცებულებას. ვინაიდან მათ არ ჰყავთ მესამე მხარე, რომელიც მათ გარანტიას აძლევს, რისკები უბრალოდ ძალიან მაღალია.
ნაბიჯი 2. დაათვალიერეთ ონლაინ ეთიკური ჰაკერების ბაზარი
გადახედეთ ზოგიერთ ჩამონათვალს ისეთ საიტებზე, როგორიცაა ჰაკერების სია და Neighborhoodhacker.com. მსგავსი სამუშაოს საძიებო პლატფორმების მსგავსად, როგორიცაა Monster და მართლაც, ეს საიტები ადგენენ ჩანაწერებს უფლებამოსილი ჰაკერებისგან, რომლებიც ეძებენ შესაძლებლობებს გამოიყენონ თავიანთი უნარები. ეს შეიძლება იყოს ყველაზე ინტუიციური ვარიანტი დამსაქმებლებისთვის, რომლებიც შეჩვეულები არიან უფრო ტრადიციულ დაქირავების პროცესს.
ჰაკერების ეთიკური ბაზრები მხოლოდ კანონიერ, კვალიფიციურ სპეციალისტებს უწყობენ ხელს, რაც იმას ნიშნავს, რომ შეგიძლიათ მშვიდად დაიძინოთ იმის ცოდნით, რომ თქვენი საარსებო წყარო კარგ ხელში იქნება
ნაბიჯი 3. უმასპინძლეთ ღია ჰაკერების კონკურსს
ერთ-ერთი სახალისო გადაწყვეტა, რომელსაც დამსაქმებლებმა დაიწყეს პერსპექტიული კანდიდატების მოსაზიდად, არის კონკურენტების ერთმანეთთან დაპირისპირება ჰაკერების სიმულაციებში. ეს სიმულაციები მოდელირებულია ვიდეო თამაშების მიხედვით და შექმნილია იმისათვის, რომ გამოცადოს ზოგადი ექსპერტიზა და გადაწყვეტილების მიღების სწრაფი შესაძლებლობები. თქვენი კონკურსის გამარჯვებული შეიძლება იყოს ის, ვინც მოგცემთ მხარდაჭერას, რომელსაც ეძებდით.
- სთხოვეთ თქვენს ტექნიკურ გუნდს მოამზადოს თავსატეხების სერია საერთო IT სისტემების მოდელირებით, ან იყიდოს უფრო დახვეწილი სიმულაცია მესამე მხარის დეველოპერისგან.
- თუ ვივარაუდებთ, რომ საკუთარი სიმულაციის შემუშავება ძალიან ბევრი შრომა ან ხარჯია, თქვენ ასევე შეგიძლიათ სცადოთ დაუკავშირდეთ საერთაშორისო კონკურსების წარსულ გამარჯვებულებს, როგორიცაა გლობალური კიბერლიმპიური თამაშები.
ნაბიჯი 4. მოამზადეთ თქვენი პერსონალის წევრი, რომ გაუმკლავდეს თქვენს კონტრშეტევას
ნებისმიერს შეუძლია ჩაირიცხოს EC- საბჭოს პროგრამაში, რომელსაც თეთრი ქუდები იყენებენ CEH სერთიფიკატის მოსაპოვებლად. თუ თქვენ გირჩევნიათ შეინარჩუნოთ ასეთი გახმაურებული პოზიცია სახლში, განიხილეთ კურსის გავლა თქვენი ერთ – ერთი ამჟამინდელი IT თანამშრომლისთვის. იქ მათ ასწავლიან შეღწევის ტესტირების ტექნიკის შესრულებას, რომელიც შემდეგ შეიძლება გამოყენებულ იქნას გაჟონვის შესამოწმებლად.
- პროგრამა არის სტრუქტურირებული, როგორც 5 დღიანი პრაქტიკული კლასი, 4-საათიანი ყოვლისმომცველი გამოცდა მოცემულია ბოლო დღეს. მონაწილეებმა უნდა გაიტანონ ქულა მინიმუმ 70% იმისათვის, რომ გაიარონ.
- გამოცდაზე ჯდომა 500 დოლარი ღირს, დამატებით საფასური 100 აშშ დოლარი იმ სტუდენტებისთვის, რომლებიც გადაწყვეტენ დამოუკიდებლად სწავლას.
მე –3 ნაწილი 3 – დან: ეთიკური ჰაკერის შემოყვანა თქვენს ბიზნესში
ნაბიჯი 1. ჩაატარეთ საფუძვლიანი შემოწმება
საჭირო იქნება თქვენი კანდიდატების საფუძვლიანი გამოძიება, სანამ არ იფიქრებთ მათ სახელფასო ანგარიშზე ჩადებაზე. გაგზავნეთ მათი ინფორმაცია HR– ში ან გარე ორგანიზაციაში და ნახეთ რა გამოჩნდება. განსაკუთრებული ყურადღება მიაქციეთ წარსულში ჩადენილ დანაშაულებრივ საქმიანობას, განსაკუთრებით ისეთებს, რომლებიც დაკავშირებულია ონლაინ დანაშაულებთან.
- ნებისმიერი სახის კრიმინალური ქცევა, რომელიც ჩნდება ფონის შემოწმების შედეგებში, უნდა ჩაითვალოს წითელ დროშად (და ალბათ დისკვალიფიკაციის საფუძველი).
- ნდობა არის ნებისმიერი სამუშაო ურთიერთობის გასაღები. თუ თქვენ არ შეგიძლიათ ენდოთ ადამიანს, ის არ ეკუთვნის თქვენს კომპანიას, რაც არ უნდა გამოცდილი იყოს.
ნაბიჯი 2. გაეცანით თქვენს კანდიდატს სიღრმისეულად
თუკი თქვენი პერსპექტივა წარმატებით გაივლის მათ შემოწმებას, პროცესის შემდეგი ნაბიჯი არის გასაუბრების ჩატარება. თქვენი IT მენეჯერი HR– ის წევრი დაჯდება კანდიდატთან ერთად მომზადებული კითხვების სიით, როგორიცაა: „როგორ ჩაერთეთ ეთიკურ ჰაკერში?“, „ოდესმე თუ შეასრულეთ სხვა ანაზღაურებადი სამუშაო?”, “რა სახის რა ინსტრუმენტებს იყენებთ საფრთხეების სკრინინგისა და განეიტრალებისთვის? " და "მომეცი მაგალითი იმისა, თუ როგორ დავიცვათ ჩვენი სისტემა გარე შეღწევის შეტევისგან".
- შეხვდით პირისპირ, ვიდრე დაეყრდნოთ ტელეფონს ან ელ.წერილს, ასე რომ თქვენ შეგიძლიათ მიიღოთ ზუსტი წარმოდგენა განმცხადებლის ხასიათზე.
- თუ თქვენ გაქვთ რაიმე მუდმივი შეშფოთება, დაგეგმეთ ერთი ან მეტი შემდგომი ინტერვიუ მენეჯმენტის ჯგუფის სხვა წევრთან, რათა მიიღოთ მეორე აზრი.
ნაბიჯი 3. მიანიჭეთ კიბერუსაფრთხოების ექსპერტს მჭიდროდ თანამშრომლობა თქვენს განვითარების გუნდთან
მომავალში, თქვენი IT გუნდის ნომერ პირველი პრიორიტეტი უნდა იყოს კიბერ თავდასხმების თავიდან აცილება და არა მათი გაწმენდა. ამ თანამშრომლობის წყალობით, ადამიანები, რომლებიც ქმნიან თქვენი კომპანიის ონლაინ შინაარსს, შეისწავლიან კოდირების უფრო უსაფრთხო პრაქტიკას, პროდუქციის უფრო ამომწურავ ტესტირებას და მომავალ თაღლითურთა გაცნობის სხვა ტექნიკას.
იქ ეთიკური ჰაკერის ყოლა ყოველი ახალი ფუნქციის შესამოწმებლად შეიძლება ოდნავ შეანელოს განვითარების პროცესი, მაგრამ უსაფრთხოების ახალი ჰერმეტული მახასიათებლები, რომელსაც ისინი შეიმუშავებენ, გადადებად ღირს
ნაბიჯი 4. აცნობეთ საკუთარ თავს იმის შესახებ, თუ როგორ აისახება კიბერუსაფრთხოება თქვენს ბიზნესზე
ისარგებლეთ თქვენი თეთრი ქუდის ცოდნით და გაეცანით ჰაკერების მიერ გავრცელებული ტაქტიკის ტიპებს. როდესაც დაიწყებთ იმის გაგებას, თუ როგორ იგეგმება და ხორციელდება კიბერ თავდასხმები, თქვენ შეძლებთ ნახოთ მათი მომავალი.
- სთხოვეთ თქვენს კონსულტანტს წარმოადგინოს რეგულარული, დეტალური ბრიფინგები იმის შესახებ, რაც მათ აღმოაჩინეს. დახვეწის კიდევ ერთი გზა არის მათი შედეგების ანალიზი თქვენი IT გუნდის დახმარებით.
- წაახალისეთ თქვენი დაქირავებული ჰაკერი ახსნას ის ზომები, რასაც ისინი ახორციელებენ და არა უბრალოდ დატოვონ ისინი თავიანთი საქმის უდავო.
ნაბიჯი 5. თვალყური ადევნეთ თქვენს დაქირავებულ ჰაკერს
მიუხედავად იმისა, რომ ნაკლებად სავარაუდოა, რომ ისინი ცდილობენ არაკეთილსინდისიერი რამის გაკეთებას, ეს არ არის შესაძლებლობის სფეროს მიღმა. დაავალეთ თქვენი IT გუნდის სხვა წევრებს, გააკონტროლონ თქვენი უსაფრთხოების სტატუსი და მოძებნონ დაუცველობები, რომლებიც აქამდე არ იყო. თქვენი მისიაა დაიცვათ თქვენი ბიზნესი ნებისმიერ ფასად. არ დაივიწყოთ ის ფაქტი, რომ საფრთხეები შეიძლება მოდიოდეს როგორც შიგნიდან, ასევე გარედან.
- მათი ზუსტი გეგმის ან მეთოდების ახსნის სურვილი არ შეიძლება იყოს გამაფრთხილებელი ნიშანი.
- თუ თქვენ გაქვთ ეჭვი, რომ აუთსორსინგის სპეციალისტი ზიანს აყენებს თქვენს ბიზნესს, ნუ დააყოვნებთ სამუშაოს შეწყვეტას და ახლის ძიებას.
Რჩევები
- კიბერუსაფრთხოება არის სასიცოცხლო საზრუნავი 21 -ე საუკუნის ყველა ბიზნესისთვის, ყველაზე დიდი ფინანსური ფირმიდან დაწყებული და ყველაზე პატარა სტარტაპით დამთავრებული.
- კიბერუსაფრთხოების დაზღვევის შეძენა გარანტიას გაძლევთ, რომ თქვენ დაგიბრუნებთ რასაც დაკარგავთ თაღლითობის, დარღვევის ან მონაცემთა გაჟონვის შემთხვევაში.
- შეიძლება კარგი იდეა იყოს ეთიკური ჰაკერების საჭიროების რეკლამირება ისეთ საიტებზე, როგორიცაა Reddit, სადაც ცნობილია თეთრი ქუდები სასაუბრო მაღაზიებში.
გაფრთხილებები
- თავი შეიკავეთ დაუდასტურებელი უფასო აგენტებისგან, ძლიერი პოლიტიკური თუ რელიგიური მიდრეკილების ჰაკერებისგან და ეგრეთწოდებული "ჰაკტივისტებისგან". ამ თაღლითებმა შეიძლება სცადონ გამოიყენონ ინფორმაცია, რომელზეც მათ აქვთ წვდომა მზაკვრული მიზნებისთვის.
- ჰაკერთან მუშაობა, თუნდაც ეთიკური, შეიძლება ცუდად აისახოს თქვენს კომპანიაზე თქვენი პარტნიორების ან კლიენტების თვალში.
