Những điều cần cân nhắc khi Tìm kiếm Người bán hàng Hacking Đạo đức - những con voi

Việc thuê ngoài vi rút đạo đức rất phổ biến và là một cách tuyệt vời cho các tổ chức có được quan điểm không thiên vị về bên thứ ba về an ninh thông tin của họ. Gia công phần mềm cho phép bạn có một hệ thống kiểm tra và cân bằng mà khách hàng, đối tác kinh doanh, kiểm toán viên và nhà quản lý muốn xem.

Gia công phần mềm hacking đạo đức có thể tốn kém. Nhiều tổ chức chi hàng ngàn đô la - thường là hàng chục ngàn - tùy thuộc vào việc kiểm tra cần thiết. Tuy nhiên, làm tất cả những điều này không phải là giá rẻ - và có thể nó cũng không phải là có hiệu quả, hoặc là!

Rất nhiều thông tin bí mật bị đe doạ, vì vậy bạn phải tin cậy các chuyên gia tư vấn bên ngoài và nhà cung cấp của bạn. Hãy cân nhắc các câu hỏi sau khi tìm kiếm một chuyên gia hoặc nhà cung cấp độc lập để hợp tác với:

Nhà cung cấp dịch vụ có vấn đề đạo đức-hacking của bạn ở bên bạn hay phía bên thứ ba không? Nhà cung cấp cố gắng bán sản phẩm cho bạn hay là nhà cung cấp dịch vụ trung lập? Nhiều nhà cung cấp dịch vụ có thể cố gắng kiếm thêm vài đô la khỏi thỏa thuận, điều này có thể không cần thiết cho nhu cầu của bạn. Chỉ cần đảm bảo rằng những xung đột lợi ích tiềm tàng không phải là xấu đối với ngân sách của bạn và doanh nghiệp của bạn.
Các dịch vụ CNTT hoặc bảo mật nào khác cung cấp cho nhà cung cấp? Nhà cung cấp có chỉ tập trung vào an ninh không? Có một chuyên gia bảo mật thông tin làm bài kiểm tra này cho bạn thường là tốt hơn so với làm việc với một tổ chức IT generalist. Rốt cuộc, bạn có thuê một luật sư đại diện cho công ty để giúp bạn bằng sáng chế, một bác sĩ gia đình tổng quát để thực hiện phẫu thuật, hoặc một kỹ thuật viên máy tính để thực hiện lại nhà của bạn?
Chính sách tuyển dụng và chấm dứt nhà cung cấp của bạn là gì? Tìm các biện pháp mà nhà cung cấp phải thực hiện để giảm thiểu cơ hội để nhân viên đi với thông tin nhạy cảm của bạn.
Nhà cung cấp có hiểu nhu cầu kinh doanh của bạn không? Yêu cầu nhà cung cấp lặp lại danh sách các nhu cầu của bạn và viết chúng lên để chắc chắn rằng bạn đang ở cả hai trang trên cùng một trang.
Nhà cung cấp dịch vụ tốt như thế nào? Bạn có tin cậy nhà cung cấp để giữ cho bạn thông báo và theo kịp với bạn một cách kịp thời?
Bạn có biết chính xác ai sẽ thực hiện các bài kiểm tra? Liệu một người sẽ làm bài kiểm tra, hoặc các chuyên gia chuyên môn sẽ tập trung vào các lĩnh vực khác nhau? (Đây không phải là cách giải quyết thỏa thuận nhưng cũng rất hay).
Nhà cung cấp dịch vụ có kinh nghiệm để giới thiệu các biện pháp đối phó thực tế và hiệu quả đối với các lỗ hổng được tìm thấy? Nhà cung cấp không nên chỉ đưa cho bạn một báo cáo suy nghĩ và nói, "Chúc may mắn với tất cả điều đó!"Bạn cần giải pháp thực tế.
Động cơ của nhà cung cấp là gì? Bạn có ấn tượng rằng nhà cung cấp đang trong kinh doanh để giảm nhanh các dịch vụ, với nỗ lực tối thiểu và giá trị gia tăng, hoặc là nhà cung cấp trong kinh doanh để xây dựng lòng trung thành với bạn và thiết lập một mối quan hệ lâu dài?

Tìm một tổ chức tốt để làm việc lâu dài sẽ làm cho những nỗ lực của bạn ngày càng đơn giản hơn nhiều. Yêu cầu một số tài liệu tham khảo và mẫu khử trùng sản phẩm (nghĩa là các báo cáo không chứa thông tin nhạy cảm) từ các nhà cung cấp tiềm năng. Nếu tổ chức không thể sản xuất những sản phẩm này mà không gặp khó khăn, hãy tìm nhà cung cấp khác.

Nhà cung cấp dịch vụ của bạn nên có thỏa thuận dịch vụ riêng cho bạn bao gồm tuyên bố không tiết lộ lẫn nhau. Đảm bảo rằng bạn đăng nhập cả hai để giúp bảo vệ tổ chức của bạn.

Các cựu hacker - đó là những hacker mũ đen đã xâm nhập vào hệ thống máy tính trong quá khứ - có thể rất tốt ở những gì họ làm. Nhiều người thề bằng cách thuê các hacker cải cách để làm đạo đức hack. Những người khác so sánh điều này với việc thuê những con cáo để bảo vệ mái nhà của gà mái. Nếu bạn đang nghĩ về việc đưa một cựu hacker không theo đạo đức để kiểm tra các hệ thống của bạn, hãy cân nhắc những vấn đề này:

Bạn có thực sự muốn khen thưởng những hành vi nguy hiểm với công việc của tổ chức bạn?
Tuyên bố được cải tổ không có nghĩa là họ là như vậy. Có thể có những vấn đề tâm lý sâu đậm hoặc những sai sót về nhân vật mà bạn sẽ phải đấu tranh. Người mua hãy cẩn thận!
Thông tin thu thập được và truy cập trong quá trình tấn công đạo đức là một số thông tin nhạy cảm nhất mà tổ chức của bạn sở hữu. Nếu thông tin này bị mắc sai lầm - thậm chí là mười năm nữa - nó có thể được sử dụng chống lại tổ chức của bạn. Một số tin tặc và bọn tội phạm được cải cách đi chơi trong các nhóm xã hội chặt chẽ. Bạn có thể không muốn chia sẻ thông tin của mình trong vòng kết nối của họ.

Điều đó nói rằng, tất cả mọi người xứng đáng có cơ hội để giải thích những gì đã xảy ra trong quá khứ. Không khoan dung là vô nghĩa. Lắng nghe câu chuyện của họ và sử dụng ý thức thông thường về việc bạn có tin tưởng người đó giúp bạn hay không. Các hacker mũ đen thực sự có thể đã là một hacker xám-mũ hoặc một hacker mũ trắng sai lầm phù hợp với tổ chức của bạn.