Երբ խոսքը վերաբերում է ձեր բիզնեսը պաշտպանելուն, երբեք չեք կարող չափազանց զգույշ լինել: Ահա թե ինչու DDoS հարձակումների և ֆիշինգի դարաշրջանում դա կարող է օգնել ձեր կողքին ունենալ որոշակի ապահովագրություն: Էթիկական հաքերները, որոնք երբեմն կոչվում են «սպիտակ գլխարկներ», ունեն նույն հմտությունները, ինչ հանցագործ հաքերները, միայն նրանք օգտագործում են դրանք ՝ գտնելու և շտկելու ընկերության ինտերնետային տեխնոլոգիայի թույլ կողմերը, այլ ոչ թե դրանք շահագործելու: Եթե դուք բարոյական հաքերի կարիք ունեք, սկսեք ՝ ձևակերպելով առաքելության հստակ հայտարարություն, որը կներկայացնի այն, ինչին հույս ունեք հասնել նրանց օգնությամբ: Այնուհետև կարող եք որակավորված թեկնածուներ փնտրել սերտիֆիկացման պաշտոնական ծրագրերի կամ հաքերների առցանց շուկաների միջոցով:
Քայլեր
Մաս 1 -ը 3 -ից. Պաշտոնը լրացնելը
Քայլ 1. Գնահատեք անպաշտպան մնալու ռիսկերը:
Հնարավոր է գայթակղիչ լինի գումար խնայելու փորձերը ՝ հավատարիմ մնալով ձեր առկա ՏՏ թիմին: Այնուամենայնիվ, առանց մասնագիտացված պահուստավորման, ձեր ընկերության ՏՏ համակարգերը խոցելի կլինեն հարձակումների համար, որոնք չափազանց բարդ են միջին համակարգչային սայթաքումները որսալու համար: Այն ամենը, ինչ կպահանջվի, այս հարձակումներից մեկն է ՝ ձեր բիզնեսի ֆինանսներին և հեղինակությանը լուրջ վնաս հասցնելու համար:
- Ընդհանուր առմամբ, առցանց տվյալների խախտման ապահովման և մաքրման միջին արժեքը կազմում է մոտ 4 մլն դոլար:
- Մտածեք սպիտակ գլխարկ վարձելը որպես ապահովագրության պայմանագիր վերցնել: Ինչ էլ որ պատվիրեն նրանց ծառայությունները, փոքր գին է վճարել ձեր մտքի հանգստության համար:
Քայլ 2. Բացահայտեք ձեր ընկերության կիբերանվտանգության կարիքները:
Բավական չէ պարզապես որոշել, որ անհրաժեշտ է ուժեղացնել ձեր ինտերնետային պաշտպանությունը: Մտեք առաքելության հայտարարություն, որտեղ հստակ նկարագրված է, թե ինչ եք ակնկալում հասնել `արտաքին փորձագետ վարձելով: Այդ կերպ և՛ դուք, և՛ ձեր թեկնածուն հստակ պատկերացում կունենան իրենց պարտականությունների կատարման մասին:
- Օրինակ, ձեր ֆինանսական ընկերությանը կարող է անհրաժեշտ լինել ավելի շատ պաշտպանվածություն բովանդակության խաբեությունից կամ սոցիալական ճարտարագիտությունից, կամ ձեր նոր գնումների ծրագիրը կարող է հաճախորդներին վտանգել վարկային քարտի տվյալները գողանալու վտանգի տակ:
- Ձեր հայտարարությունը պետք է գործի որպես հակադարձ ծածկագիր: Այն ոչ միայն գովազդելու է պաշտոնը, այլև նկարագրելու է ձեր փնտրած կոնկրետ փորձը: Սա թույլ կտա ձեզ հեռացնել պատահական դիմորդներին և գտնել աշխատանքի համար լավագույն մարդուն:
Քայլ 3. Պատրաստ եղեք առաջարկել մրցունակ աշխատավարձ:
Ձեր կողքին էթիկական հակեր ունենալը խելամիտ քայլ է, բայց էժանագին քայլ չէ: Ըստ PayScale- ի ՝ սպիտակ գլխարկների մեծ մասը կարող է ակնկալել տարեկան 70, 000 դոլար կամ ավելի եկամուտ: Կրկին, կարևոր է հիշել, որ այն աշխատանքը, որը նրանք կատարելու են, արժե այն, ինչ նրանք խնդրում են: Դա ներդրում է, որը, ամենայն հավանականությամբ, չի կարող թույլ տալ չկատարել:
Աշխատավարձի ուռճացված տոկոսադրույքը փոքր ֆինանսական հետընթաց է `ՏՏ համակարգում փոս փչելու համեմատ, որից ձեր ընկերությունը կախված է շահույթ ստանալու համար:
Քայլ 4. Տեսեք ՝ կարո՞ղ եք աշխատանքի ընթացքում հաքեր վարձել:
Հնարավոր չէ, որ անհրաժեշտ լինի սպիտակ գլխարկ պահել ձեր ՏՏ աշխատակիցների վրա լրիվ դրույքով: Որպես ձեր նպատակների հայտարարության մաս նշեք, որ դուք փնտրում եք խորհրդատու ՝ գլխավոր նախագիծը գլխավորելու համար, գուցե արտաքին ներթափանցման թեստ կամ անվտանգության որոշ ծրագրաշարի վերաշարադրում: Սա թույլ կտա նրանց վճարել միանվագ պահող, այլ ոչ թե շարունակական աշխատավարձ:
- Տարօրինակ խորհրդատվական աշխատանքը կարող է կատարյալ լինել անկախ հաքերների կամ նրանց, ովքեր վերջերս ստացել են իրենց սերտիֆիկատը:
- Եթե գոհ եք կիբերանվտանգության փորձագետի կատարումից, կարող եք նրանց հնարավորություն տալ կրկին աշխատել ձեզ հետ ապագա նախագծերում:
3 -րդ մաս 2 -ից. Որակավորված թեկնածուին հետևելը
Քայլ 1. Փնտրեք Certified Ethical Hacker (CEH) սերտիֆիկատ ունեցող թեկնածուներ:
Էլեկտրոնային առևտրի խորհրդատուների միջազգային խորհուրդը (կարճ ՝ EC-Council) արձագանքել է էթիկական հաքերների աճող պահանջարկին ՝ ստեղծելով սերտիֆիկացման հատուկ ծրագիր, որը նախատեսված է նրանց վերապատրաստելու և աշխատանք գտնելու համար: Եթե անվտանգության հարցերով փորձագետը, ում հետ դուք հարցազրույց եք վերցնում, կարող է մատնանշել CEH- ի պաշտոնական սերտիֆիկատը, ապա կարող եք վստահ լինել, որ դրանք իսկական հոդված են և ոչ թե մեկը, ով սովորել է իրենց արհեստը մութ նկուղում:
- Թեև հավատարմագրերը կոտրելու համար դժվար է ստուգել, ձեր թեկնածուները պետք է պահպանվեն նույն խիստ չափանիշներով, ինչ մյուս բոլոր դիմորդները:
- Խուսափեք այն մարդկանց վարձելուց, ովքեր չեն կարող տրամադրել CEH հավաստագրի ապացույց: Քանի որ նրանք չունեն երրորդ կողմը, որը երաշխավորելու է նրանց, ռիսկերը պարզապես չափազանց մեծ են:
Քայլ 2. Փնտրեք առցանց հաքերային էթիկական շուկա:
Նայեք մի քանի ցուցակներին այնպիսի կայքերում, ինչպիսիք են Hackers List- ը և Neighborhoodhacker.com- ը: Նման աշխատանքների որոնման սովորական հարթակներին, ինչպիսիք են Monster- ը և Իսկապես, այս կայքերը հավաքում են գրառումներ իրավասու հաքերներից, ովքեր փնտրում են իրենց հմտությունները կիրառելու հնարավորություններ: Սա կարող է լինել առավել ինտուիտիվ տարբերակը գործատուների համար, ովքեր սովոր են աշխատանքի ընդունման ավելի ավանդական գործընթացին:
Հաքերների էթիկական շուկաները խթանում են միայն օրինական, որակավորված մասնագետներին, ինչը նշանակում է, որ կարող եք հանգիստ քնել ՝ իմանալով, որ ձեր ապրուստը լավ ձեռքերում կլինի:
Քայլ 3. Կազմակերպեք բաց հակերային մրցույթ:
Գործատուները սկսել են օգտագործել ապագա թեկնածուներին գրավելու համար, դա մրցակիցներին միմյանց դեմ հանել կոտրելու սիմուլյացիաներում: Այս սիմուլյացիաները մոդելավորվում են տեսախաղերի հիման վրա և նախատեսված են ընդհանուր փորձաքննությունը և արագ մտածող որոշումներ կայացնելու ունակությունները փորձության ենթարկելու համար: Ձեր մրցույթի հաղթողը կարող է լինել այն մեկը, ով կտրամադրի այն աջակցությունը, որը դուք փնտրում էիք:
- Խնդրեք ձեր տեխնիկական թիմին պատրաստել մի շարք հանելուկներ, որոնք ձևավորված են ընդհանուր ՏՏ համակարգերից կամ գնել երրորդ կողմի մշակողից ավելի բարդ մոդելավորում:
- Ենթադրելով, որ ձեր սեփական սիմուլյացիայի ստեղծումը չափազանց մեծ աշխատանք կամ ծախս է, կարող եք նաև կապ հաստատել միջազգային մրցույթների նախկին հաղթողների հետ, ինչպիսիք են Global Cyberlympics- ը:
Քայլ 4. Սովորեցրեք ձեր անձնակազմի անդամին `զբաղվելու ձեր հակահաքերային պարտականություններով:
Oneանկացած անձ ազատ է գրանցվել ԵՀ-խորհրդի այն ծրագրին, որն օգտագործում են սպիտակ գլխարկները ՝ իրենց CEH սերտիֆիկատ ստանալու համար: Եթե նախընտրում եք նման բարձրակարգ պաշտոն զբաղեցնել տանը, հաշվի առեք ձեր ընթացիկ ՏՏ աշխատակիցներից մեկին դասընթացի անցնելը: Այնտեղ նրանց կսովորեցնեն ներթափանցման փորձարկման մեթոդներ կատարել, որոնք այնուհետև կարող են օգտագործվել արտահոսքի հետաքննության համար:
- Programրագիրը կառուցված է որպես 5-օրյա գործնական պարապմունք, 4-ժամյա համապարփակ քննությամբ `վերջին օրը: Անցնելու համար ներկաները պետք է կազմեն առնվազն 70% հաշիվ:
- Քննությանը նստելը 500 դոլար արժե, ինչպես նաև լրացուցիչ վճար ՝ 100 դոլար այն ուսանողների համար, ովքեր ինքնուրույն են սովորում:
3 -րդ մաս 3 -ից. Էթիկական հակերին ձեր բիզնես բերելը
Քայլ 1. Իրականացրեք ֆոնի մանրակրկիտ ստուգում:
Անհրաժեշտ կլինի ձեր թեկնածուներին մանրակրկիտ հետաքննել, նախքան նույնիսկ մտածեք նրանց ձեր աշխատավարձի մեջ դնելու մասին: Ուղարկեք նրանց տվյալները HR կամ այլ կազմակերպություն և տեսեք, թե ինչ են նրանք հայտնվում: Հատուկ ուշադրություն դարձրեք նախկինում կատարված ցանկացած հանցավոր գործունեության, հատկապես առցանց հանցագործությունների հետ կապված:
- Typeանկացած տեսակի հանցավոր վարքագիծ, որը հայտնվում է նախնական ստուգման արդյունքում, պետք է համարվի կարմիր դրոշ (և, հավանաբար, որակազրկման հիմք):
- Վստահությունը ցանկացած աշխատանքային հարաբերությունների բանալին է: Եթե չեք կարող վստահել մարդուն, նա ձեր ընկերությանը չի պատկանում, անկախ նրանից, թե որքան փորձառու են նրանք:
Քայլ 2. Հարցազրույց անցկացրեք ձեր թեկնածուի հետ խորությամբ:
Ենթադրելով, որ ձեր հեռանկարը հաջողությամբ անցնում է իրենց նախնական ստուգումը, գործընթացի հաջորդ քայլը հարցազրույց անցկացնելն է: Մարդկային ռեսուրսների գծով ՏՏ ղեկավարը հանդիպե՞լ է թեկնածուի հետ ՝ կազմված հարցերի ցանկով, ինչպիսիք են ՝ «ինչպե՞ս ես ներգրավվել էթիկական հաքերության մեջ», «Երբևէ որևէ այլ վճարովի աշխատանք կատարե՞լ ես», «Ի՞նչ տեսակ ինչ գործիքներ եք օգտագործում սպառնալիքները դիտելու և չեզոքացնելու համար »: և «ինձ օրինակ բերեք, թե ինչպես պաշտպանել մեր համակարգը արտաքին ներթափանցման հարձակումից»:
- Հանդիպեք դեմ առ դեմ, այլ ոչ թե ապավինեք հեռախոսին կամ էլ. Փոստին, որպեսզի կարողանաք ճշգրիտ պատկերացում կազմել դիմողի բնավորության մասին:
- Եթե ունեք երկարատև մտահոգություններ, նշանակեք մեկ կամ մի քանի հաջորդ հարցազրույց կառավարման թիմի մեկ այլ անդամի հետ, որպեսզի կարողանաք ստանալ երկրորդ կարծիքը:
Քայլ 3. Կիբերանվտանգության ձեր փորձագետին հանձնարարեք սերտորեն աշխատել ձեր զարգացման թիմի հետ:
Առաջ գնալով ՝ ձեր ՏՏ թիմի թիվ մեկ առաջնահերթությունը պետք է լինի կիբեր հարձակումների կանխումը, քան դրանցից մաքրվելը: Այս համագործակցության միջոցով ձեր ընկերության առցանց բովանդակություն ստեղծող մարդիկ կսովորեն ապահով կոդավորման ավելի անվտանգ գործելակերպեր, արտադրանքի ավելի սպառիչ փորձարկում և հավանական խաբեբաներին գերազանցելու այլ տեխնիկա:
Յուրաքանչյուր նոր գործառույթ ստուգելու համար բարոյական հաքեր ունենալը կարող է փոքր -ինչ դանդաղեցնել զարգացման գործընթացը, սակայն նրանց ստեղծած անվտանգության նոր հերմետիկ հատկությունները արժանի են ուշացման:
Քայլ 4. Տեղեկացրեք ինքներդ ձեզ, թե ինչպես է կիբերանվտանգությունը ազդում ձեր բիզնեսի վրա:
Օգտվեք ձեր սպիտակ գլխարկի հարուստ գիտելիքներից և մի փոքր իմացեք հաքերների կողմից սովորաբար օգտագործվող մարտավարության տեսակների մասին: Երբ սկսեք պատկերացում կազմել այն մասին, թե ինչպես են պլանավորվում և իրականացվում կիբերհարձակումները, դուք կկարողանաք տեսնել դրանք:
- Խնդրեք ձեր խորհրդատուին ներկայացնել կանոնավոր և մանրամասն ճեպազրույցներ այն բանի վերաբերյալ, ինչ նրանք հայտնաբերել են: Մեկ այլ միջոց ՝ ձեր ՏՏ թիմի օգնությամբ վերլուծել դրանց արդյունքները:
- Խրախուսեք ձեր վարձու հաքերին բացատրել այն միջոցառումները, որոնք նրանք իրականացնում են, այլ ոչ թե պարզապես թողնել նրանց իրենց գործն անվիճելի անելու համար:
Քայլ 5. Ուշադիր հետևեք ձեր վարձու հակերին:
Թեև քիչ հավանական է, որ նրանք ինչ -որ անբարեխիղճ բան անեն, դա հնարավորությունների տիրույթից դուրս չէ: Հանձնարարեք ձեր ՏՏ թիմի մյուս անդամներին վերահսկել ձեր անվտանգության կարգավիճակը և փնտրել խոցելիություններ, որոնք նախկինում չկային: Ձեր առաքելությունն է պաշտպանել ձեր բիզնեսը ամեն գնով: Մի՛ մոռացեք այն փաստի մասին, որ սպառնալիքները կարող են լինել ինչպես ներսից, այնպես էլ դրսից:
- Նրանց ճշգրիտ ծրագրերը կամ մեթոդները ձեզ բացատրելու չցանկանալը կարող է նախազգուշական նշան լինել:
- Եթե հիմքեր ունեք կասկածելու, որ արտաքին աութսորսինգի ենթարկվող մասնագետը վնասում է ձեր բիզնեսին, մի հապաղեք դադարեցնել նրանց աշխատանքը և փնտրել նորը:
Խորհուրդներ
- Կիբերանվտանգությունը կենսական խնդիր է 21 -րդ դարի յուրաքանչյուր բիզնեսի համար ՝ սկսած ամենամեծ ֆինանսական ընկերությունից մինչև ամենափոքր ստարտափը:
- Կիբերանվտանգության ապահովագրություն գնելը կարող է երաշխավորել, որ դուք կվերադարձնեք այն, ինչ կկորցնեք խարդախության, խախտման կամ տվյալների արտահոսքի դեպքում:
- Հնարավոր է, որ լավ գաղափար լինի գովազդել բարոյական հակեր ունենալու ձեր կարիքը Reddit- ի նման կայքերում, որտեղ հայտնի է, որ սպիտակ գլխարկները զրուցում են:
Գուշացումներ
- Հեռու մնացեք չստուգված ազատ գործակալներից, ուժեղ քաղաքական կամ կրոնական հակումներ ունեցող հաքերներից և այսպես կոչված «հաքտիվիստներից»: Այս սրիկաները կարող են փորձել օգտագործել իրենց հասանելիք տեղեկատվությունը ստոր նպատակների համար:
- Հաքերի հետ աշխատելը, նույնիսկ բարոյական, կարող է վատ անդրադառնալ ձեր ընկերության վրա ՝ ձեր գործընկերների կամ հաճախորդների աչքում:
