Video: I humanismens tjeneste - 60 år med kamp for frihet og likeverd 2024
Outsourcing etisk hacking er veldig populært og en fin måte for organisasjoner å få et upartisk tredjepartsperspektiv av deres informasjonssikkerhet. Outsourcing gir deg mulighet til å få et system for kontroll og balanse som kunder, samarbeidspartnere, revisorer og regulatorer liker å se.
Outsourcing etisk hacking kan være dyrt. Mange organisasjoner bruker tusenvis av dollar - ofte titusener - avhengig av testingen som trengs. Men å gjøre alt dette selv er ikke billig - og ganske muligens er det heller ikke så effektivt, heller!
Mange konfidensielle opplysninger står på spill, så du må stole på dine eksterne konsulenter og leverandører. Vurder følgende spørsmål når du leter etter en uavhengig ekspert eller leverandør til partner med:
-
Er din etisk hacking-leverandør på din side eller en tredjepartsleverandørside? Er leverandøren prøver å selge deg produkter, eller er leverandørleverandøren nøytral? Mange tilbydere kan prøve å gjøre noen få dollar ut av avtalen, noe som kanskje ikke er nødvendig for dine behov. Bare vær sikker på at disse potensielle interessekonfliktene ikke er dårlige for budsjettet og virksomheten din.
-
Hvilke andre IT- eller sikkerhetstjenester tilbyr leverandøren? Fokuserer leverandøren utelukkende på sikkerhet? Har du en informasjonsspesialist, er dette testen for deg ofte bedre enn å jobbe med en IT-generalistorganisasjon. Tross alt, vil du ansette en generell bedriftsadvokat for å hjelpe deg med et patent, en generell familieutøver for å utføre kirurgi, eller en datatekniker for å rewire huset ditt?
-
Hva er leverandørens ansettelses- og oppsigelsespolicy? Se etter tiltak som leverandøren tar for å minimere sjansene for at en ansatt vil gå av med din sensitive informasjon.
-
Forstå leverandøren din forretningsbehov? Gi leverandøren gjenta listen over dine behov og skriv dem skriftlig for å være sikker på at du er begge på samme side.
-
Hvor godt kommuniserer leverandøren? Har du tillit leverandøren å holde deg informert og følge opp med deg på en riktig måte?
-
Vet du nøyaktig hvem som skal utføre testene? Vil en person gjøre testingen, eller vil fagpersoner fokusere på de ulike områdene? (Dette er ikke en avtalebryter, men det er fint å vite.)
-
Har leverandøren erfaring med å anbefale praktiske og effektive motforanstaltninger mot de sårbarheter som er funnet? Leverandøren bør ikke bare gi deg en tankerapport og si, "Lykke til med alt det!"Du trenger realistiske løsninger.
-
Hva er leverandørens motiver? Får du inntrykk av at leverandøren er i virksomhet for å få rask service fra tjenestene, med minimal innsats og verdiøkning, eller er leverandøren i bedriften for å bygge lojalitet med deg og etablere et langsiktig forhold?
Å finne en god organisasjon for å jobbe på lang sikt, vil gjøre din pågående innsats mye enklere. Be om flere referanser og prøve sanitized leveranser (det vil si rapporter som ikke inneholder sensitiv informasjon) fra potensielle leverandører. Hvis organisasjonen ikke kan produsere disse uten problemer, se etter en annen leverandør.
Leverandøren din bør ha sin egen serviceavtale for deg som inneholder en felles opplysningserklæring. Pass på at du både skriver dette for å beskytte organisasjonen.
Tidligere hackere - dette er svartehatt hackere som har hacket inn i datasystemer tidligere - kan være veldig gode på hva de gjør. Mange sverger ved å ansette reformerte hackere for å gjøre etisk hacking. Andre sammenligner dette med å ansette den ordspråklige reven for å beskytte hønehuset. Hvis du tenker på å bringe inn en tidligere uetisk hacker for å teste systemene dine, bør du vurdere disse problemene:
-
Vil du virkelig belønne ondsinnet oppførsel med organisasjonens virksomhet?
-
Hevder å bli reformert betyr ikke at han eller hun er. Det kan være dyprotede psykologiske problemer eller tegnfeil du må kjempe med. kjøperen pass!
-
Informasjon samlet og tilgjengelig under etisk hacking er noen av de mest sensitive informasjonen din organisasjon har. Hvis denne informasjonen kommer i feil hender - selv ti år nedover veien - kan den brukes mot din organisasjon. Noen hackere og reformerte kriminelle henger ut i tette sosiale grupper. Du vil kanskje ikke at informasjonen din deles i kretsene sine.
Når det er sagt, fortjener alle en sjanse til å forklare hva som skjedde i fortiden. Null toleranse er meningsløs. Lytt til historien sin og bruk skjønnsmessig skjønn om du stoler på personen som skal hjelpe deg. Den antatte blackhat-hackeren kan faktisk ha vært en gråhatt hacker eller en misguided white-hat hacker som passer godt i din organisasjon.