Als u uw bedrijf wilt beschermen, kunt u nooit te voorzichtig zijn. Dat is de reden waarom in een tijdperk van DDoS-aanvallen en phishing, het kan helpen om een ​​verzekering bij je te hebben. Ethische hackers, soms aangeduid als 'witte hoeden', bezitten dezelfde vaardigheden als criminele hackers, maar gebruiken ze alleen om zwakke punten in de internettechnologie van een bedrijf te vinden en op te lossen in plaats van ze te exploiteren. Als je een ethische hacker nodig hebt, begin dan met het formuleren van een duidelijke missie waarin je aangeeft wat je met hun hulp wilt bereiken. U kunt vervolgens zoeken naar gekwalificeerde kandidaten via officiële certificeringsprogramma's of online marktplaatsen voor hackers.

Deel een van de drie:
De positie vullen

  1. 1 Evalueer de risico's van onbeschermd gaan. Het kan verleidelijk zijn om te proberen geld te besparen door vast te houden aan uw bestaande IT-team. Zonder gespecialiseerde back-up zijn de IT-systemen van uw bedrijf echter kwetsbaar voor aanvallen die veel te ingewikkeld zijn voor de gemiddelde computervliegtuig die u kunt vangen. Het enige dat nodig is, is een van deze aanvallen om de financiën en reputatie van uw bedrijf ernstig te schaden.[1]
    • Alles bij elkaar genomen is de gemiddelde kostprijs van het beveiligen en opschonen van een online datalek ongeveer $ 4 miljoen.[2]
    • Denk aan het huren van een witte hoed als het afsluiten van een verzekering. Wat hun dienstenopdracht ook is, het is een kleine prijs die u moet betalen voor uw gemoedsrust.
  2. 2 Identificeer de cyberbeveiligingsbehoeften van uw bedrijf. Het volstaat niet om eenvoudigweg te besluiten dat u uw internetverdediging moet verbeteren. Verzin een missieverklaring waarin precies wordt geschetst wat u hoopt te bereiken door een externe expert in dienst te nemen. Op die manier hebben zowel u als uw kandidaat een duidelijk beeld van hun taken.[3]
    • Uw financiële bedrijf kan bijvoorbeeld meer bescherming tegen spoofing van inhoud of social engineering nodig hebben, of uw nieuwe winkel-app kan klanten het risico laten lopen dat hun creditcardgegevens worden gestolen.[4]
    • Uw verklaring zou moeten werken als een soort omgekeerde sollicitatiebrief. Niet alleen zal het de positie adverteren, maar ook de specifieke ervaring beschrijven waarnaar u op zoek bent. Hiermee kunt u toevallige kandidaten verwijderen en de beste persoon voor de baan vinden.
  3. 3 Wees bereid om competitieve beloningen aan te bieden. Een ethische hacker aan je zijde hebben is een verstandige zet, maar het is geen goedkope. Volgens PayScale kunnen de meeste witte hoeden verwachten om $ 70.000 of meer per jaar te verdienen. Nogmaals, het is belangrijk om te onthouden dat de taak die ze zullen vervullen de moeite waard is wat ze vragen. Het is een investering die u zich waarschijnlijk niet kunt veroorloven niet maken.[5]
    • Een te hoog salaris is een kleine financiële tegenvaller in vergelijking met een gat in het IT-systeem waar uw bedrijf van afhankelijk is om winst te maken.
  4. 4 Kijk of je een hacker bij de baan kunt inhuren. Het is misschien niet nodig om full time een witte hoed op uw IT-personeel te houden. Geef als onderdeel van uw doelstellingenverklaring aan dat u op zoek bent naar een consultant om een ​​belangrijk project te leiden, misschien een externe penetratietest of een herschrijving van bepaalde beveiligingssoftware. Op deze manier kunt u hen een eenmalige provisie betalen in plaats van een continu salaris.
    • Het vreemde advieswerk kan perfect zijn voor freelance hackers of degenen die onlangs hun certificering hebben ontvangen.
    • Als u tevreden bent met de prestaties van uw cybersecurity-expert, kunt u hen een kans bieden om opnieuw met u samen te werken bij toekomstige projecten.

Tweede deel van de drie:
Een gekwalificeerde kandidaat opsporen

  1. 1 Zoek naar kandidaten met Certified Ethical Hacker (CEH) -certificering. De International Council of Electronic Commerce Consultants (afgekort EG-Raad) heeft gereageerd op de groeiende vraag naar ethische hackers door een speciaal certificeringsprogramma te ontwikkelen dat is bedoeld om hen op te leiden en hen te helpen een baan te vinden. Als de beveiligingsdeskundige die u interviewt, kan verwijzen naar de officiële CEH-certificering, kunt u er zeker van zijn dat dit het echte artikel is en niet iemand die zijn ambacht in een donkere kelder heeft geleerd.[6]
    • Hoewel het hacken van inloggegevens lastig te verifiëren is, moeten uw kandidaten aan dezelfde strenge normen worden gehouden als alle andere aanvragers.
    • Vermijd het inhuren van iemand die geen bewijs van CEH-certificering kan leveren. Omdat ze geen derde partij hebben om voor hen te instaan, zijn de risico's gewoon te hoog.
  2. 2 Blader door een online ethische marktplaats voor hackers. Bekijk enkele vermeldingen op sites als Hackers List en Neighborhoodhacker.com. Net als bij gewone zoekplatforms zoals Monster en Indeed, verzamelen deze sites inzendingen van in aanmerking komende hackers die op zoek zijn naar mogelijkheden om hun vaardigheden toe te passen. Dit is wellicht de meest intuïtieve optie voor werkgevers die gewend zijn aan een meer traditioneel aanwervingsproces.[7]
    • Ethische marktplaatsen voor hackers promoten alleen juridische, gekwalificeerde specialisten, wat betekent dat u gemakkelijk kunt slapen, wetende dat uw bestaansmiddelen in goede handen zijn.
  3. 3 Organiseer een open hackwedstrijd. Een leuke oplossing die werkgevers zijn begonnen met het aantrekken van potentiële kandidaten, is om concurrenten tegen elkaar op te zetten in head-to-head hacking-simulaties. Deze simulaties zijn gemodelleerd naar videogames en zijn ontworpen om algemene expertise en snel denkend vermogen om beslissingen te nemen op de proef gesteld. De winnaar van je competitie is wellicht degene die de ondersteuning biedt waarnaar je op zoek was.[8]
    • Laat je technische team een ​​reeks puzzels maken die gemodelleerd zijn naar gangbare IT-systemen, of koop een meer geavanceerde simulatie van een externe ontwikkelaar.[9]
    • Ervan uitgaande dat het bedenken van je eigen simulatie te veel werk of kost is, kun je ook proberen contact te leggen met winnaars uit het verleden van internationale wedstrijden zoals Global Cyberlympics.[10]
  4. 4 Leid een lid van uw personeel op om uw taken als tegen hacker te kunnen uitvoeren. Iedereen kan zich inschrijven voor het EC-Council-programma dat witte hoeden gebruiken om hun CEH-certificering te behalen.Als u liever een dergelijke spraakmakende positie intern houdt, kunt u overwegen een van uw huidige IT-medewerkers door de cursus te laten gaan. Daar zullen ze worden geleerd om penetratietesttechnieken uit te voeren die vervolgens kunnen worden gebruikt om op lekkages te onderzoeken.[11]
    • Het programma is gestructureerd als een 5-daagse praktijkcursus, met een 4 uur durende uitgebreide test op de laatste dag. Deelnemers moeten een score van ten minste 70% halen om te slagen.[12]
    • Het kost $ 500 om deel te nemen aan het examen, plus een extra vergoeding van $ 100 voor studenten die ervoor kiezen om zelfstandig te studeren.[13]

Derde deel van de drie:
Een ethische hacker in uw bedrijf brengen

  1. 1 Voer een grondige achtergrondcontrole uit. Het is noodzakelijk om uw kandidaten grondig te laten onderzoeken voordat u erover nadenkt om ze op uw loonlijst te zetten. Stuur hun informatie naar HR of een externe organisatie en kijk wat ze te zien krijgen. Besteed bijzondere aandacht aan eventuele criminele activiteiten in het verleden, met name die met betrekking tot online misdrijven.[14]
    • Elk soort crimineel gedrag dat opduikt in de resultaten van een achtergrondcontrole moet worden beschouwd als een rode vlag (en waarschijnlijk als reden voor diskwalificatie).[15]
    • Vertrouwen is de sleutel tot elke werkrelatie. Als je de persoon niet kunt vertrouwen, horen ze niet thuis in jouw bedrijf, hoe ervaren ze ook zijn.
  2. 2 Interview uw kandidaat uitvoerig. Ervan uitgaande dat uw prospect met succes zijn achtergrondcontrole doorstaat, is de volgende stap in het proces om een ​​interview af te nemen. Laat uw IT-manager, lid van HR, samen met de kandidaat een lijst met vragen opstellen, zoals "hoe bent u betrokken geraakt bij ethisch hacken?", "Heeft u ooit ander betaald werk verricht?", "Wat soorten van tools gebruik je om bedreigingen te zoeken en te neutraliseren? " en "geef me een voorbeeld van hoe ons systeem te verdedigen tegen een aanval van externe penetratie."[16]
    • Maak een persoonlijke ontmoeting in plaats van te vertrouwen op telefoon of e-mail, zodat u een goed beeld krijgt van het karakter van de aanvrager.
    • Als u nog twijfels hebt, maak dan een of meerdere vervolgafspraken met een ander lid van het managementteam, zodat u een second opinion kunt krijgen.
  3. 3 Wijs uw cybersecurity-expert toe om nauw samen te werken met uw ontwikkelteam. In de toekomst moet de grootste prioriteit van uw IT-team het voorkomen van cyberaanvallen zijn in plaats van opschonen na hen. Door deze samenwerking leren de mensen die de online inhoud van uw bedrijf maken, veiliger coderingsmethoden, uitgebreidere producttests en andere technieken om oplichters te slim af te zijn.[17]
    • Het hebben van een ethische hacker om elke nieuwe functie te controleren, kan het ontwikkelingsproces enigszins vertragen, maar de nieuwe luchtdichte beveiligingsfuncties die ze bedenken, zullen de vertraging waard zijn.[18]
  4. 4 Stel uzelf op de hoogte van de gevolgen van cyberbeveiliging voor uw bedrijf. Profiteer van de rijkdom aan kennis van je witte hoed en leer een beetje over de soorten tactieken die gewoonlijk door hackers worden gebruikt. Wanneer je begint te begrijpen hoe cyberaanvallen worden gepland en uitgevoerd, kun je ze zien aankomen.[19]
    • Vraag uw consultant om regelmatige, gedetailleerde briefings in te dienen over wat ze hebben blootgelegd. Een andere manier om op te poetsen, is om hun bevindingen te analyseren met behulp van uw IT-team.
    • Moedig je ingehuurde hacker aan om uit te leggen welke maatregelen ze implementeren, in plaats van ze gewoon te laten om hun ding onbetwist te doen.
  5. 5 Houd uw ingehuurde hacker goed in de gaten. Hoewel het onwaarschijnlijk is dat ze iets gewetenloos zullen proberen, ligt het niet buiten het rijk van mogelijkheden. Instrueer de andere leden van uw IT-team om uw beveiligingsstatus te controleren en kwetsbaarheden te zoeken die er eerder niet waren. Uw missie is om uw bedrijf koste wat het kost te beschermen. Verlies het feit niet uit dat bedreigingen van binnenuit en vanbuiten kunnen komen.[20]
    • De onwil om hun exacte plannen of methodes aan u uit te leggen, kan een waarschuwing zijn.
    • Als u reden hebt om te vermoeden dat een uitbestede specialist uw bedrijf schade berokkent, aarzel dan niet om hun baan te beëindigen en een nieuwe te zoeken.