عندما يتعلق الأمر بحماية عملك ، لا يمكنك أبدًا توخي الحذر الشديد. لهذا السبب في عصر هجمات DDoS والتصيد الاحتيالي ، يمكن أن يكون لديك بعض التأمين إلى جانبك. يمتلك المتسللون الأخلاقيون ، الذين يشار إليهم أحيانًا باسم "القبعات البيضاء" ، نفس مجموعة مهارات المتسللين المجرمين ، فهم يستخدمونها فقط للعثور على نقاط الضعف في تقنية الإنترنت الخاصة بالشركة وإصلاحها بدلاً من استغلالها. إذا كنت بحاجة إلى متسلل أخلاقي ، فابدأ بصياغة بيان مهمة واضح يحدد ما تأمل في تحقيقه بمساعدتهم. يمكنك بعد ذلك البحث عن مرشحين مؤهلين من خلال برامج الشهادات الرسمية أو أسواق المتسللين عبر الإنترنت.
خطوات
جزء 1 من 3: ملء المنصب
الخطوة الأولى: تقييم مخاطر عدم الحماية
قد يكون من المغري محاولة توفير المال بالالتزام بفريق تكنولوجيا المعلومات الحالي لديك. ومع ذلك ، بدون النسخ الاحتياطي المتخصص ، ستكون أنظمة تكنولوجيا المعلومات الخاصة بشركتك عرضة للهجمات شديدة التعقيد بحيث يتعذر على أجهزة الكمبيوتر العادية اللحاق بها. كل ما يتطلبه الأمر هو إحدى هذه الهجمات لإلحاق أضرار جسيمة بالأموال والسمعة لشركتك.
- أخيرًا ، يبلغ متوسط تكلفة تأمين وتنظيف خرق البيانات عبر الإنترنت حوالي 4 ملايين دولار.
- فكر في استئجار قبعة بيضاء على أنه أخذ بوليصة تأمين. مهما كانت أوامر خدماتهم فهو ثمن بسيط تدفعه مقابل راحة بالك.
الخطوة 2. تحديد احتياجات الأمن السيبراني لشركتك
لا يكفي أن تقرر ببساطة أنك بحاجة إلى تعزيز دفاعاتك على الإنترنت. ابتكر بيان المهمة الذي يحدد بالضبط ما تأمل في تحقيقه من خلال توظيف خبير خارجي. بهذه الطريقة ، سيكون لديك أنت ومرشحك فكرة واضحة عن واجباتهما.
- على سبيل المثال ، قد تحتاج شركتك المالية إلى حماية متزايدة من انتحال المحتوى أو الهندسة الاجتماعية ، أو قد يعرض تطبيق التسوق الجديد العملاء لخطر سرقة معلومات بطاقة الائتمان الخاصة بهم.
- يجب أن يعمل بيانك كنوع من خطاب الغلاف العكسي. لن يقتصر الأمر على الإعلان عن الوظيفة ، بل سيصف أيضًا التجربة المحددة التي تبحث عنها. سيسمح لك ذلك باستبعاد المتقدمين العرضيين والعثور على أفضل شخص للوظيفة.
الخطوة 3. كن مستعدًا لتقديم أجر تنافسي
إن وجود مخترق أخلاقي إلى جانبك هو خطوة حكيمة ، لكنها ليست رخيصة. وفقًا لـ PayScale ، يمكن أن تتوقع معظم القبعات البيضاء أن تجني 70 ألف دولار أو أكثر سنويًا. مرة أخرى ، من المهم أن تضع في اعتبارك أن الوظيفة التي سيؤدونها تستحق ما يطلبونه. إنه استثمار لا يمكنك على الأرجح عدم القيام به.
معدل الدفع المتضخم هو نكسة مالية صغيرة مقارنة بوجود ثغرة في نظام تكنولوجيا المعلومات الذي تعتمد عليه شركتك لتحقيق الربح
الخطوة 4. معرفة ما إذا كان يمكنك توظيف مخترق حسب الوظيفة
قد لا يكون من الضروري الاحتفاظ بقبعة بيضاء لموظفي تكنولوجيا المعلومات بدوام كامل. كجزء من بيان أهدافك ، حدد أنك تبحث عن مستشار لقيادة مشروع كبير ، ربما يكون اختبار اختراق خارجي أو إعادة كتابة بعض برامج الأمان. سيسمح لك هذا بدفع رواتبهم لمرة واحدة بدلاً من راتب مستمر.
- قد تكون الوظيفة الاستشارية الفردية مثالية للمتسللين المستقلين ، أو أولئك الذين حصلوا مؤخرًا على شهاداتهم.
- إذا كنت راضيًا عن أداء خبير الأمن السيبراني لديك ، فيمكنك منحه فرصة للعمل معك مرة أخرى في المشاريع المستقبلية.
جزء 2 من 3: تعقب مرشح مؤهل
الخطوة الأولى. ابحث عن مرشحين حاصلين على شهادة هاكر أخلاقي معتمد (CEH)
استجاب المجلس الدولي لمستشاري التجارة الإلكترونية (EC-Council for short) للطلب المتزايد على المتسللين الأخلاقيين من خلال إنشاء برنامج شهادات خاص مصمم لتدريبهم ومساعدتهم في العثور على عمل. إذا كان بإمكان الخبير الأمني الذي تقابله أن يشير إلى شهادة CEH الرسمية ، فيمكنك التأكد من أنها المقالة الأصلية وليست شخصًا تعلم حرفتهم في قبو مظلم.
- في حين أن اختراق بيانات الاعتماد قد يكون من الصعب التحقق منه ، يجب أن يخضع المرشحون لنفس المعايير الصارمة التي يتبعها جميع المتقدمين الآخرين.
- تجنب الاستعانة بأي شخص لا يمكنه تقديم دليل على شهادة CEH. نظرًا لعدم وجود طرف ثالث يضمن لهم ، فإن المخاطر عالية جدًا.
الخطوة الثانية. تصفح سوق القراصنة الأخلاقيين على الإنترنت
ألق نظرة على بعض القوائم الموجودة على مواقع مثل Hackers List و Neighborhoodhacker.com. على غرار منصات البحث عن الوظائف العادية مثل Monster و إنديد ، تجمع هذه المواقع إدخالات من قراصنة مؤهلين يبحثون عن فرص لتطبيق مهاراتهم. قد يكون هذا هو الخيار الأكثر سهولة لأصحاب العمل الذين اعتادوا على عملية توظيف أكثر تقليدية.
لا تشجع أسواق المتسللين الأخلاقية سوى المتخصصين القانونيين المؤهلين ، مما يعني أنه يمكنك النوم بسهولة مع العلم أن مصدر رزقك سيكون في أيد أمينة
الخطوة 3. استضف مسابقة قرصنة مفتوحة
أحد الحلول الممتعة التي بدأ أصحاب العمل في استخدامها لجذب المرشحين المحتملين هو دفع المنافسين ضد بعضهم البعض في محاكاة القرصنة وجهاً لوجه. تم تصميم هذه المحاكاة على غرار ألعاب الفيديو ، وهي مصممة لوضع الخبرة العامة وقدرات اتخاذ القرار سريع التفكير على المحك. قد يكون الفائز في منافسيك هو الشخص الذي يقدم الدعم الذي كنت تبحث عنه.
- اطلب من فريقك التقني إعداد سلسلة من الألغاز على غرار أنظمة تكنولوجيا المعلومات الشائعة ، أو شراء محاكاة أكثر تعقيدًا من مطور خارجي.
- بافتراض أن ابتكار المحاكاة الخاصة بك يتطلب الكثير من العمالة أو النفقات ، يمكنك أيضًا محاولة الاتصال بالفائزين السابقين في المسابقات الدولية مثل ألعاب Cyberlympics العالمية.
الخطوة 4. قم بتدريب أحد موظفيك على التعامل مع واجبات مكافحة القرصنة
يمكن لأي شخص التسجيل في برنامج EC-Council الذي تستخدمه القبعات البيضاء للحصول على شهادة CEH. إذا كنت تفضل الاحتفاظ بهذا المنصب الرفيع المستوى داخل الشركة ، ففكر في وضع أحد موظفي تكنولوجيا المعلومات الحاليين لديك من خلال الدورة التدريبية. هناك ، سيتم تعليمهم أداء تقنيات اختبار الاختراق التي يمكن استخدامها بعد ذلك للتحري عن التسريبات.
- يتكون البرنامج من فصل دراسي عملي لمدة 5 أيام ، مع امتحان شامل لمدة 4 ساعات في اليوم الأخير. يجب على الحضور تحقيق 70٪ على الأقل من أجل النجاح.
- يتكلف الجلوس للامتحان 500 دولار ، بالإضافة إلى رسوم إضافية قدرها 100 دولار للطلاب الذين يختارون الدراسة بمفردهم.
جزء 3 من 3: إدخال هاكر أخلاقي في عملك
الخطوة 1. قم بإجراء فحص شامل للخلفية
سيكون من الضروري أن يتم التحقيق مع المرشحين بدقة قبل أن تفكر حتى في إدراجهم في كشوف المرتبات الخاصة بك. أرسل معلوماتهم إلى قسم الموارد البشرية أو منظمة خارجية واطلع على ما سيحصلون عليه. انتبه بشكل خاص إلى أي نشاط إجرامي سابق ، لا سيما تلك التي تنطوي على جرائم عبر الإنترنت.
- يجب اعتبار أي نوع من السلوك الإجرامي يظهر في نتائج فحص الخلفية بمثابة علامة حمراء (وربما سببًا للاستبعاد).
- الثقة هي مفتاح أي علاقة عمل. إذا كنت لا تستطيع الوثوق بهذا الشخص ، فهو لا ينتمي إلى شركتك ، بغض النظر عن مدى خبرته.
الخطوة 2. مقابلة مرشحك بعمق
بافتراض نجاح العميل المحتمل في فحص الخلفية بنجاح ، فإن الخطوة التالية في العملية هي إجراء مقابلة. اطلب من مدير تكنولوجيا المعلومات لديك عضوًا في الموارد البشرية أن يجلس مع المرشح بقائمة من الأسئلة المعدة ، مثل ، "كيف شاركت في القرصنة الأخلاقية؟" ، "هل سبق لك أن أديت أي عمل آخر مدفوع الأجر؟" ، "ما هي الأنواع؟ من الأدوات التي تستخدمها للكشف عن التهديدات وتحييدها؟ " و "أعطني مثالاً عن كيفية الدفاع عن نظامنا من هجوم اختراق خارجي".
- التقِ وجهًا لوجه ، بدلاً من الاعتماد على الهاتف أو البريد الإلكتروني ، حتى تتمكن من الحصول على فكرة دقيقة عن شخصية مقدم الطلب.
- إذا كانت لديك أي مخاوف باقية ، فقم بجدولة مقابلة متابعة واحدة أو أكثر مع عضو آخر في فريق الإدارة حتى تتمكن من الحصول على رأي ثان.
الخطوة الثالثة. قم بتعيين خبير الأمن السيبراني لديك للعمل بشكل وثيق مع فريق التطوير الخاص بك
من الآن فصاعدًا ، يجب أن تكون الأولوية الأولى لفريق تكنولوجيا المعلومات لديك هي منع الهجمات الإلكترونية بدلاً من التنظيف بعدها. من خلال هذا التعاون ، سيتعلم الأشخاص الذين ينشئون المحتوى عبر الإنترنت لشركتك ممارسات تشفير أكثر أمانًا ، واختبارًا أكثر شمولاً للمنتجات ، وتقنيات أخرى للتغلب على المحتالين المحتملين.
قد يؤدي وجود متسلل أخلاقي هناك للتحقق من كل ميزة جديدة إلى إبطاء عملية التطوير بشكل طفيف ، لكن ميزات الأمان الجديدة محكمة الإغلاق التي يبتكرونها تستحق التأخير
الخطوة 4. علم نفسك كيف يؤثر الأمن السيبراني على عملك
استفد من ثروة المعرفة لدى القبعة البيضاء وتعرف قليلاً على أنواع التكتيكات التي يشيع استخدامها من قبل المخترقين. عندما تبدأ في تكوين فهم لكيفية تخطيط الهجمات الإلكترونية وتنفيذها ، ستتمكن من رؤيتها قادمة.
- اطلب من مستشارك تقديم إيجازات منتظمة ومفصلة حول ما اكتشفوه. هناك طريقة أخرى لتحسين الأداء وهي تحليل النتائج التي توصلوا إليها بمساعدة فريق تكنولوجيا المعلومات لديك.
- شجع المخترق الذي تم تعيينه على شرح الإجراءات التي ينفذها بدلاً من تركه يقوم بعمله دون أدنى شك.
الخطوة 5. راقب المخترق الذي تم تعيينه عن كثب
في حين أنه من غير المحتمل أنهم سيحاولون القيام بأي شيء عديم الضمير ، إلا أنه ليس خارج نطاق الاحتمال. قم بإرشاد الأعضاء الآخرين في فريق تكنولوجيا المعلومات لديك لمراقبة حالة الأمان الخاصة بك والبحث عن الثغرات الأمنية التي لم تكن موجودة من قبل. مهمتك هي حماية عملك بأي ثمن. لا تغفل عن حقيقة أن التهديدات يمكن أن تأتي من الداخل كما من الخارج.
- قد يكون عدم الرغبة في شرح خططهم أو طرقهم الدقيقة علامة تحذير.
- إذا كان لديك سبب للشك في أن أخصائي الاستعانة بمصادر خارجية يضر بعملك ، فلا تتردد في إنهاء عملهم والبحث عن عمل جديد.
نصائح
- يمثل الأمن السيبراني مصدر قلق حيوي لكل عمل تجاري في القرن الحادي والعشرين ، من أكبر شركة مالية إلى أصغر شركة ناشئة.
- يمكن أن يضمن شراء تأمين الأمن السيبراني أنك ستستعيد كل ما تخسره في حالة حدوث عملية احتيال أو خرق أو تسرب للبيانات.
- قد تكون فكرة جيدة أن تعلن عن حاجتك إلى مخترق أخلاقي على مواقع مثل Reddit ، حيث يُعرف عن القبعات البيضاء بالتسوق.
تحذيرات
- ابتعد عن الوكلاء الأحرار غير المعتمدين والمتسللين ذوي الميول السياسية أو الدينية القوية ومن يطلق عليهم "الناشطون في مجال القرصنة". قد يحاول هؤلاء المحتالون استخدام المعلومات التي يحصلون عليها لأغراض خبيثة.
- العمل مع مخترق ، حتى لو كان أخلاقيًا ، قد ينعكس بشكل سيء على شركتك في نظر شركائك أو عملائك.
