Wenn es um den Schutz Ihres Unternehmens geht, können Sie nie vorsichtig genug sein. Deshalb kann es in Zeiten von DDoS-Angriffen und Phishing hilfreich sein, eine gewisse Absicherung an Ihrer Seite zu haben. Ethische Hacker, manchmal auch als „White Hats“bezeichnet, verfügen über die gleichen Fähigkeiten wie kriminelle Hacker, nur dass sie sie nutzen, um Schwachstellen in der Internettechnologie eines Unternehmens zu finden und zu beheben, anstatt sie auszunutzen. Wenn Sie einen ethischen Hacker benötigen, formulieren Sie zunächst ein klares Leitbild, in dem dargelegt wird, was Sie mit seiner Hilfe erreichen möchten. Anschließend können Sie über offizielle Zertifizierungsprogramme oder Online-Hacker-Marktplätze nach qualifizierten Kandidaten suchen.
Schritte
Teil 1 von 3: Besetzung der Position
Schritt 1. Bewerten Sie die Risiken, ungeschützt zu bleiben
Es kann verlockend sein, Geld zu sparen, indem Sie bei Ihrem bestehenden IT-Team bleiben. Ohne spezielles Backup sind die IT-Systeme Ihres Unternehmens jedoch anfällig für Angriffe, die für den durchschnittlichen Computer-Experten viel zu raffiniert sind. Alles, was Sie brauchen, ist einer dieser Angriffe, um den Finanzen und dem Ruf Ihres Unternehmens ernsthaften Schaden zuzufügen.
- Alles in allem betragen die durchschnittlichen Kosten für die Sicherung und Bereinigung einer Online-Datenverletzung rund 4 Millionen US-Dollar.
- Stellen Sie sich vor, einen weißen Hut zu mieten, als ob Sie eine Versicherungspolice abschließen. Was auch immer ihre Dienste befehlen, ist ein kleiner Preis, den Sie für Ihren Seelenfrieden zahlen müssen.
Schritt 2. Identifizieren Sie die Cybersicherheitsanforderungen Ihres Unternehmens
Es reicht nicht aus, einfach zu entscheiden, dass Sie Ihre Internet-Abwehr verstärken müssen. Entwickeln Sie ein Leitbild, das genau beschreibt, was Sie mit der Einstellung eines externen Experten erreichen möchten. Auf diese Weise haben sowohl Sie als auch Ihr Kandidat eine klare Vorstellung von ihren Aufgaben.
- Beispielsweise benötigt Ihr Finanzunternehmen möglicherweise erhöhten Schutz vor Inhalts-Spoofing oder Social Engineering, oder Ihre neue Shopping-App kann Kunden dem Risiko aussetzen, dass ihre Kreditkarteninformationen gestohlen werden.
- Ihre Aussage sollte als eine Art umgekehrtes Anschreiben fungieren. Es wird nicht nur die Stelle ausgeschrieben, sondern auch die spezifische Erfahrung beschrieben, nach der Sie suchen. So können Sie Gelegenheitsbewerber aussortieren und die beste Person für den Job finden.
Schritt 3. Bereiten Sie sich darauf vor, eine wettbewerbsfähige Bezahlung anzubieten
Einen ethischen Hacker an Ihrer Seite zu haben, ist ein kluger Schachzug, aber kein billiger. Laut PayScale können die meisten White Hats damit rechnen, 70.000 US-Dollar oder mehr pro Jahr einzunehmen. Auch hier ist es wichtig zu bedenken, dass der Job, den sie ausführen werden, das wert ist, was sie verlangen. Es ist eine Investition, die Sie sich wahrscheinlich nicht leisten können.
Ein überhöhter Lohnsatz ist ein kleiner finanzieller Rückschlag im Vergleich zu einem Loch in das IT-System, auf das Ihr Unternehmen angewiesen ist, um Gewinne zu erzielen
Schritt 4. Sehen Sie, ob Sie einen Hacker nach dem Job einstellen können
Es ist möglicherweise nicht erforderlich, Ihren IT-Mitarbeitern Vollzeit einen weißen Hut zu geben. Geben Sie als Teil Ihrer Zielsetzungserklärung an, dass Sie einen Berater suchen, der ein Großprojekt leitet, vielleicht einen externen Penetrationstest oder eine Neufassung einer Sicherheitssoftware. Auf diese Weise können Sie ihnen einen einmaligen Vorschuss statt eines kontinuierlichen Gehalts zahlen.
- Der gelegentliche Beratungsjob kann perfekt für freiberufliche Hacker sein oder für diejenigen, die kürzlich ihre Zertifizierung erhalten haben.
- Wenn Sie mit der Leistung Ihres Cybersicherheitsexperten zufrieden sind, können Sie ihm die Möglichkeit bieten, bei zukünftigen Projekten wieder mit Ihnen zusammenzuarbeiten.
Teil 2 von 3: Aufspüren eines qualifizierten Kandidaten
Schritt 1. Suchen Sie nach Kandidaten mit der Zertifizierung zum Certified Ethical Hacker (CEH)
Der International Council of Electronic Commerce Consultants (kurz EC-Council) hat auf die wachsende Nachfrage nach ethischen Hackern reagiert, indem er ein spezielles Zertifizierungsprogramm geschaffen hat, das sie ausbildet und ihnen bei der Arbeitssuche hilft. Wenn der von Ihnen befragte Sicherheitsexperte auf eine offizielle CEH-Zertifizierung verweisen kann, können Sie sicher sein, dass es sich um den echten Artikel handelt und nicht um jemanden, der sein Handwerk in einem dunklen Keller erlernt hat.
- Obwohl es schwierig sein kann, Anmeldeinformationen zu hacken, sollten Ihre Kandidaten denselben strengen Standards unterliegen wie alle anderen Bewerber.
- Vermeiden Sie es, Personen einzustellen, die keine CEH-Zertifizierung nachweisen können. Da sie keinen Dritten haben, der für sie bürgt, sind die Risiken einfach zu hoch.
Schritt 2. Durchsuchen Sie einen Online-Marktplatz für ethische Hacker
Werfen Sie einen Blick auf einige der Einträge auf Websites wie Hackers List und Neighborhoodhacker.com. Ähnlich wie bei gewöhnlichen Jobsuchplattformen wie Monster und Indeed stellen diese Websites Einträge von geeigneten Hackern zusammen, die nach Möglichkeiten suchen, ihre Fähigkeiten anzuwenden. Dies ist möglicherweise die intuitivste Option für Arbeitgeber, die an einen traditionelleren Einstellungsprozess gewöhnt sind.
Ethische Hacker-Marktplätze fördern nur legale, qualifizierte Spezialisten, was bedeutet, dass Sie ruhig schlafen können mit dem Wissen, dass Ihr Lebensunterhalt in guten Händen ist
Schritt 3. Veranstalten Sie einen offenen Hacking-Wettbewerb
Eine unterhaltsame Lösung, mit der Arbeitgeber begonnen haben, potenzielle Kandidaten anzuziehen, besteht darin, Konkurrenten in direkten Hacking-Simulationen gegeneinander auszuspielen. Diese Simulationen sind Videospielen nachempfunden und sollen das allgemeine Fachwissen und die schnelle Entscheidungsfindung auf die Probe stellen. Der Gewinner Ihres Wettbewerbs ist möglicherweise derjenige, der Ihnen die Unterstützung bietet, nach der Sie gesucht haben.
- Lassen Sie Ihr Technikteam eine Reihe von Rätseln nach dem Vorbild gängiger IT-Systeme zusammenstellen oder kaufen Sie eine anspruchsvollere Simulation von einem Drittentwickler.
- Angenommen, die Entwicklung einer eigenen Simulation ist zu arbeits- oder kostenintensiv, können Sie auch versuchen, mit früheren Gewinnern internationaler Wettbewerbe wie den Global Cyberlympics in Kontakt zu treten.
Schritt 4. Bilden Sie einen Ihrer Mitarbeiter darin aus, Ihre Aufgaben im Bereich Counter-Hacking zu bewältigen
Es steht jedem frei, sich für das EC-Council-Programm anzumelden, mit dem White Hats ihre CEH-Zertifizierung erhalten. Wenn Sie eine so hochkarätige Position lieber intern behalten möchten, sollten Sie einen Ihrer aktuellen IT-Mitarbeiter durch den Kurs schicken. Dort wird ihnen beigebracht, Penetrationstesttechniken durchzuführen, die dann verwendet werden können, um nach Lecks zu suchen.
- Das Programm ist als 5-tägiger praktischer Kurs strukturiert, mit einer 4-stündigen umfassenden Prüfung am letzten Tag. Die Teilnehmer müssen eine Punktzahl von mindestens 70 % erreichen, um zu bestehen.
- Die Teilnahme an der Prüfung kostet 500 US-Dollar, zusammen mit einer zusätzlichen Gebühr von 100 US-Dollar für Studenten, die sich für ein eigenständiges Studium entscheiden.
Teil 3 von 3: Einen ethischen Hacker in Ihr Unternehmen bringen
Schritt 1. Führen Sie eine gründliche Hintergrundüberprüfung durch
Es ist notwendig, Ihre Kandidaten gründlich zu untersuchen, bevor Sie überhaupt daran denken, sie auf Ihre Gehaltsliste zu setzen. Senden Sie ihre Informationen an die Personalabteilung oder eine externe Organisation und sehen Sie, was sie auftauchen. Achten Sie besonders auf vergangene kriminelle Aktivitäten, insbesondere auf Online-Delikte.
- Jede Art von kriminellem Verhalten, das in den Ergebnissen einer Hintergrundüberprüfung auftaucht, sollte als Warnsignal (und wahrscheinlich als Grund für die Disqualifikation) angesehen werden.
- Vertrauen ist der Schlüssel zu jeder Arbeitsbeziehung. Wenn Sie der Person nicht vertrauen können, gehört sie nicht in Ihr Unternehmen, egal wie erfahren sie ist.
Schritt 2. Interviewen Sie Ihren Kandidaten ausführlich
Vorausgesetzt, Ihr Interessent besteht den Hintergrund-Check erfolgreich, ist der nächste Schritt in diesem Prozess die Durchführung eines Vorstellungsgesprächs. Lassen Sie Ihren IT-Manager, einen Mitarbeiter der Personalabteilung, sich mit dem Kandidaten zusammensetzen und eine Liste von Fragen vorbereiten, wie z der Tools verwenden Sie, um Bedrohungen zu erkennen und zu neutralisieren?" und "geben Sie mir ein Beispiel dafür, wie Sie unser System vor einem externen Penetrationsangriff schützen."
- Treffen Sie sich persönlich, anstatt sich auf Telefon oder E-Mail zu verlassen, damit Sie sich ein genaues Bild vom Charakter des Bewerbers machen können.
- Wenn Sie weiterhin Bedenken haben, vereinbaren Sie ein oder mehrere Folgegespräche mit einem anderen Mitglied des Managementteams, damit Sie eine zweite Meinung einholen können.
Schritt 3. Weisen Sie Ihren Cybersicherheitsexperten zu, eng mit Ihrem Entwicklungsteam zusammenzuarbeiten
In Zukunft sollte die oberste Priorität Ihres IT-Teams darin bestehen, Cyber-Angriffe zu verhindern, anstatt nach ihnen aufzuräumen. Durch diese Zusammenarbeit lernen die Personen, die die Online-Inhalte Ihres Unternehmens erstellen, sicherere Codierungspraktiken, umfassendere Produkttests und andere Techniken zum Überlisten potenzieller Betrüger.
Einen ethischen Hacker zu haben, der jedes neue Feature überprüft, kann den Entwicklungsprozess etwas verlangsamen, aber die neuen luftdichten Sicherheitsfunktionen, die sie entwickeln, werden die Verzögerung wert sein
Schritt 4. Informieren Sie sich darüber, wie sich Cybersicherheit auf Ihr Unternehmen auswirkt
Nutzen Sie den Wissensschatz Ihres White Hats und lernen Sie die Taktiken von Hackern kennen. Wenn Sie beginnen, sich ein Bild davon zu machen, wie Cyberangriffe geplant und durchgeführt werden, können Sie sie kommen sehen.
- Bitten Sie Ihren Berater, regelmäßige, detaillierte Briefings zu den Erkenntnissen einzureichen. Eine andere Möglichkeit zum Auffrischen besteht darin, die Ergebnisse mit Hilfe Ihres IT-Teams zu analysieren.
- Ermutigen Sie Ihren angeheuerten Hacker, die Maßnahmen zu erklären, die er implementiert, anstatt ihn einfach ungefragt tun zu lassen.
Schritt 5. Behalten Sie Ihren angeheuerten Hacker im Auge
Es ist zwar unwahrscheinlich, dass sie etwas Skrupelloses versuchen, aber es liegt nicht außerhalb des Bereichs des Möglichen. Weisen Sie die anderen Mitglieder Ihres IT-Teams an, Ihren Sicherheitsstatus zu überwachen und nach Schwachstellen zu suchen, die zuvor nicht vorhanden waren. Ihre Mission ist es, Ihr Unternehmen um jeden Preis zu schützen. Vergessen Sie nicht, dass Bedrohungen sowohl von innen als auch von außen kommen können.
- Die mangelnde Bereitschaft, Ihnen ihre genauen Pläne oder Methoden zu erklären, kann ein Warnsignal sein.
- Wenn Sie den Verdacht haben, dass ein ausgelagerter Spezialist Ihrem Unternehmen schadet, zögern Sie nicht, das Arbeitsverhältnis zu kündigen und sich einen neuen zu suchen.
Tipps
- Cybersicherheit ist ein wichtiges Anliegen für jedes Unternehmen des 21. Jahrhunderts, vom größten Finanzunternehmen bis zum kleinsten Startup.
- Der Abschluss einer Cybersicherheitsversicherung kann garantieren, dass Sie im Falle eines Betrugs, einer Sicherheitsverletzung oder eines Datenlecks alles zurückerhalten, was Sie verlieren.
- Es kann eine gute Idee sein, auf Websites wie Reddit, auf denen White Hats bekanntermaßen fachsimpeln, für Ihren Bedarf an einem ethischen Hacker zu werben.
Warnungen
- Halten Sie sich von nicht zertifizierten freien Agenten, Hackern mit starken politischen oder religiösen Neigungen und sogenannten „Hacktivisten“fern. Diese Schurken versuchen möglicherweise, die Informationen, zu denen sie Zugang erhalten, für heimtückische Zwecke zu verwenden.
- Die Zusammenarbeit mit einem Hacker, auch einem ethischen Hacker, könnte in den Augen Ihrer Partner oder Kunden ein schlechtes Licht auf Ihr Unternehmen geben.
