Quando se trata de proteger sua empresa, você nunca pode ser muito cuidadoso. É por isso que, em uma era de ataques DDoS e phishing, pode ajudar ter algum seguro do seu lado. Hackers éticos, às vezes chamados de "chapéus brancos", possuem o mesmo conjunto de habilidades que os hackers criminosos, mas os usam para encontrar e consertar os pontos fracos da tecnologia de internet de uma empresa, em vez de explorá-los. Se você precisa de um hacker ético, comece formulando uma declaração de missão clara, delineando o que você espera alcançar com a ajuda dele. Você pode então procurar candidatos qualificados por meio de programas de certificação oficiais ou mercados de hackers online.
Passos
Parte 1 de 3: Preenchendo a posição
Etapa 1. Avalie os riscos de ficar desprotegido
Pode ser tentador tentar economizar dinheiro permanecendo com sua equipe de TI existente. Sem backup especializado, no entanto, os sistemas de TI da sua empresa ficarão vulneráveis a ataques sofisticados demais para serem capturados por um gênio da informática comum. Bastaria um desses ataques para causar sérios danos às finanças e à reputação de sua empresa.
- Ao todo, o custo médio de proteção e limpeza de uma violação de dados online é de cerca de US $ 4 milhões.
- Pense em contratar um chapéu branco como uma apólice de seguro. Qualquer que seja o comando de seus serviços, é um pequeno preço a pagar por sua paz de espírito.
Etapa 2. Identifique as necessidades de segurança cibernética de sua empresa
Não é suficiente simplesmente decidir que você precisa reforçar suas defesas de internet. Elabore uma declaração de missão descrevendo exatamente o que você espera realizar ao contratar um especialista externo. Dessa forma, você e seu candidato terão uma ideia clara de suas funções.
- Por exemplo, sua empresa financeira pode precisar de maior proteção contra falsificação de conteúdo ou engenharia social, ou seu novo aplicativo de compras pode colocar os clientes em risco de ter suas informações de cartão de crédito roubadas.
- Sua declaração deve funcionar como uma espécie de carta de apresentação reversa. Não só anunciará a posição, mas também descreverá a experiência específica que você está procurando. Isso permitirá que você elimine candidatos casuais e encontre a melhor pessoa para o trabalho.
Etapa 3. Esteja preparado para oferecer remuneração competitiva
Ter um hacker ético ao seu lado é uma jogada inteligente, mas não barata. De acordo com a PayScale, a maioria dos chapéus brancos pode esperar arrecadar US $ 70.000 ou mais por ano. Novamente, é importante ter em mente que o trabalho que farão vale o que estão pedindo. É um investimento que você provavelmente não pode deixar de fazer.
Uma taxa de pagamento inflacionada é um pequeno revés financeiro em comparação com um buraco aberto no sistema de TI do qual sua empresa depende para obter lucro
Etapa 4. Veja se você pode contratar um hacker para o serviço
Pode não ser necessário manter um chapéu branco em sua equipe de TI em tempo integral. Como parte de sua declaração de objetivos, especifique que você está procurando um consultor para liderar um grande projeto, talvez um teste de penetração externo ou uma reescrita de algum software de segurança. Isso permitirá que você pague a eles um retentor único em vez de um salário contínuo.
- O trabalho ocasional de consultoria pode ser perfeito para hackers freelance ou para aqueles que receberam recentemente sua certificação.
- Se estiver satisfeito com o desempenho do seu especialista em segurança cibernética, você pode oferecer a eles a chance de trabalhar com você novamente em projetos futuros.
Parte 2 de 3: Rastreando um Candidato Qualificado
Etapa 1. Procure candidatos com certificação Certified Ethical Hacker (CEH)
O Conselho Internacional de Consultores de Comércio Eletrônico (EC-Council) respondeu à crescente demanda por hackers éticos criando um programa de certificação especial projetado para treiná-los e ajudá-los a encontrar emprego. Se o especialista em segurança que você entrevistou puder apontar para a certificação CEH oficial, você pode ter certeza de que ele é o artigo genuíno e não alguém que aprendeu seu ofício em um porão escuro.
- Embora hackear credenciais possa ser difícil de verificar, seus candidatos devem seguir os mesmos padrões rigorosos que todos os outros candidatos.
- Evite contratar alguém que não possa fornecer prova de certificação CEH. Uma vez que eles não têm um terceiro para atestar por eles, os riscos são muito altos.
Etapa 2. Navegue por um mercado online de hackers éticos
Dê uma olhada em algumas das listagens em sites como Hackers List e Neighbourhoodhacker.com. Semelhante a plataformas comuns de busca de emprego, como Monster e Maybe, esses sites compilam entradas de hackers qualificados que buscam oportunidades de aplicar suas habilidades. Essa pode ser a opção mais intuitiva para os empregadores que estão acostumados com um processo de contratação mais tradicional.
Os mercados de hackers éticos apenas promovem especialistas legais qualificados, o que significa que você pode dormir tranquilo sabendo que seu sustento estará em boas mãos
Etapa 3. Organize uma competição aberta de hackers
Uma solução divertida que os empregadores começaram a usar para atrair candidatos em potencial é colocar os concorrentes uns contra os outros em simulações de hacking frente a frente. Essas simulações são modeladas a partir de videogames e são projetadas para testar a experiência geral e as habilidades de tomada de decisão de raciocínio rápido. O vencedor de sua competição pode ser apenas aquele que fornece o suporte que você está procurando.
- Faça com que sua equipe de tecnologia crie uma série de quebra-cabeças modelados a partir de sistemas de TI comuns ou adquira uma simulação mais sofisticada de um desenvolvedor terceirizado.
- Supondo que criar sua própria simulação seja muito trabalhoso ou caro, você também pode tentar entrar em contato com vencedores anteriores de competições internacionais como o Global Cyberlympics.
Etapa 4. Treine um membro de sua equipe para lidar com seus deveres de contra-hacking
Qualquer pessoa é livre para se inscrever no programa EC-Council que usa chapéus brancos para obter sua certificação CEH. Se você preferir manter uma posição de alto perfil internamente, considere colocar um de seus atuais funcionários de TI durante o curso. Lá, eles serão ensinados a realizar técnicas de teste de penetração que podem ser usadas para sondar vazamentos.
- O programa é estruturado como uma aula prática de 5 dias, com um exame abrangente de 4 horas dado no último dia. Os participantes devem fazer uma pontuação de pelo menos 70% para serem aprovados.
- Custa $ 500 para fazer o exame, junto com uma taxa adicional de $ 100 para alunos que optam por estudar por conta própria.
Parte 3 de 3: Trazendo um hacker ético para sua empresa
Etapa 1. Conduza uma verificação completa dos antecedentes
Será necessário que seus candidatos sejam investigados minuciosamente antes mesmo de pensar em incluí-los em sua folha de pagamento. Envie suas informações para o RH ou uma organização externa e veja o que eles descobrem. Preste atenção especial a qualquer atividade criminosa passada, especialmente aquelas envolvendo crimes online.
- Qualquer tipo de comportamento criminoso que apareça nos resultados de uma verificação de antecedentes deve ser considerado uma bandeira vermelha (e provavelmente motivo para desqualificação).
- A confiança é a chave para qualquer relacionamento de trabalho. Se você não pode confiar na pessoa, ela não pertence à sua empresa, não importa o quão experiente ela seja.
Etapa 2. Entreviste seu candidato em profundidade
Supondo que seu cliente potencial seja aprovado na verificação de antecedentes, a próxima etapa do processo é conduzir uma entrevista. Peça ao seu gerente de TI, um membro do RH, sentar-se com o candidato com uma lista de perguntas preparadas, como, "como você se envolveu em hacking ético?", "Você já realizou algum outro trabalho remunerado?", "Que tipo de de ferramentas que você usa para detectar e neutralizar ameaças? " e "me dê um exemplo de como defender nosso sistema de um ataque de penetração externa."
- Encontre-se cara a cara, em vez de usar o telefone ou e-mail, para ter uma ideia precisa do caráter do candidato.
- Se você tiver alguma dúvida persistente, agende uma ou mais entrevistas de acompanhamento com outro membro da equipe administrativa para que possa obter uma segunda opinião.
Etapa 3. Designe seu especialista em segurança cibernética para trabalhar junto com sua equipe de desenvolvimento
No futuro, a prioridade número um da sua equipe de TI deve ser prevenir ataques cibernéticos, em vez de limpar depois deles. Por meio dessa colaboração, as pessoas que criam o conteúdo online da sua empresa aprenderão práticas de codificação mais seguras, testes de produto mais exaustivos e outras técnicas para enganar os aspirantes a golpistas.
Ter um hacker ético para verificar cada um dos novos recursos pode desacelerar um pouco o processo de desenvolvimento, mas os novos recursos de segurança herméticos que eles desenvolverem valerão a pena
Etapa 4. Informe-se sobre como a segurança cibernética afeta seus negócios
Aproveite a riqueza de conhecimento do seu chapéu branco e aprenda um pouco sobre os tipos de táticas comumente usadas por hackers. Quando você começar a compreender como os ataques cibernéticos são planejados e realizados, você será capaz de perceber que eles estão chegando.
- Peça ao seu consultor para enviar briefings regulares e detalhados sobre o que eles descobriram. Outra maneira de atualizar é analisar suas descobertas com a ajuda de sua equipe de TI.
- Incentive seu hacker contratado a explicar as medidas que estão implementando, em vez de apenas deixá-los fazer suas coisas sem questionar.
Etapa 5. Fique de olho no hacker contratado
Embora seja improvável que eles tentem algo sem escrúpulos, isso não está fora do reino das possibilidades. Instrua os outros membros de sua equipe de TI a monitorar seu status de segurança e procurar vulnerabilidades que não existiam antes. Sua missão é proteger seu negócio a todo custo. Não perca de vista o fato de que as ameaças podem vir tanto de dentro como de fora.
- A falta de vontade de explicar seus planos ou métodos exatos para você pode ser um sinal de alerta.
- Se você tem motivos para suspeitar que um especialista terceirizado está prejudicando o seu negócio, não hesite em encerrar o contrato de trabalho e procurar outro.
Pontas
- A segurança cibernética é uma preocupação vital para todos os negócios do século 21, desde a maior empresa financeira até a menor startup.
- A aquisição de um seguro de cibersegurança pode garantir que você receberá de volta tudo o que perder no caso de um golpe, violação ou vazamento de dados.
- Pode ser uma boa ideia anunciar sua necessidade de um hacker ético em sites como o Reddit, onde chapéus brancos são conhecidos por falarem sobre o que está fazendo.
Avisos
- Fique longe de agentes livres não certificados, hackers com fortes inclinações políticas ou religiosas e os chamados "hacktivistas". Esses trapaceiros podem tentar usar as informações às quais obtêm acesso para fins insidiosos.
- Trabalhar com um hacker, mesmo que seja ético, pode refletir negativamente em sua empresa aos olhos de seus parceiros ou clientes.