Cách Thuê Một Tin Tặc Đạo Đức

Đánh giá các rủi ro khi không được bảo vệ. Có thể bạn sẽ cảm thấy hấp dẫn khi cố gắng tiết kiệm tiền bằng cách tiếp tục sử dụng đội ngũ IT hiện tại của mình. Tuy nhiên, nếu thiếu sự hỗ trợ chuyên môn, hệ thống công nghệ thông tin của công ty bạn sẽ dễ bị tấn công bởi những vụ tấn công quá phức tạp để bất kỳ chuyên gia máy tính thông thường nào bắt kịp. Chỉ cần một vụ tấn công như thế này cũng đủ gây ra thiệt hại nghiêm trọng cho tài chính và danh tiếng của doanh nghiệp của bạn.

• Toàn bộ, chi phí trung bình để bảo vệ và làm sạch một vụ vi phạm dữ liệu trực tuyến là khoảng 4 triệu đô la.
• Hãy nghĩ về việc thuê một mũ trắng như việc mua một hợp đồng bảo hiểm. Dù dịch vụ của họ đòi hỏi chi phí nhỏ so với sự yên tâm của bạn.

Xác định nhu cầu an ninh mạng của công ty của bạn. Chỉ việc quyết định rằng bạn cần nâng cao phòng thủ internet không đủ. Hãy lập một tuyên bố nhiệm vụ mô tả rõ ràng những gì bạn hy vọng đạt được bằng cách thuê một chuyên gia bên ngoài. Như vậy, cả bạn và ứng viên của bạn sẽ hiểu rõ nhiệm vụ của họ khi bắt đầu.

• Ví dụ, công ty tài chính của bạn có thể cần bảo vệ gia tăng khỏi việc làm giả nội dung hoặc kỹ thuật xã hội, hoặc ứng dụng mua sắm mới của bạn có thể đặt khách hàng trong tình trạng nguy hiểm khi thông tin thẻ tín dụng của họ bị đánh cắp.
• Tuyên bố của bạn nên hoạt động như một loại thư xin việc ngược. Không chỉ là quảng cáo vị trí, mà còn mô tả kinh nghiệm cụ thể mà bạn đang tìm kiếm. Điều này sẽ giúp bạn loại bỏ ứng viên không chuyên nghiệp và tìm ra người phù hợp nhất cho công việc.

Hãy sẵn sàng cung cấp mức lương cạnh tranh. Có một tin tặc đạo đức ở bên bạn là một động thái khôn ngoan, nhưng không phải là một động thái rẻ tiền. Theo PayScale, hầu hết các mũ trắng có thể mong đợi thu nhập 70,000 đô la hoặc hơn mỗi năm. Một lần nữa, quan trọng là nhớ rằng công việc mà họ sẽ thực hiện có giá trị bằng những gì họ đang yêu cầu. Đây là một khoản đầu tư mà bạn có thể dễ dàng chấp nhận.

• Một mức lương cao hơn là một rủi ro tài chính nhỏ so với việc hệ thống IT mà công ty bạn phụ thuộc để kiếm lời bị thủng lỗ.

Xem xét xem bạn có thể thuê một tin tặc theo dự án. Có thể không cần thiết phải giữ một mũ trắng trong đội ngũ IT của bạn toàn thời gian. Như một phần của tuyên bố mục tiêu của bạn, chỉ định rằng bạn đang tìm kiếm một tư vấn để dẫn đầu một dự án lớn, có thể là một kiểm tra xâm nhập bên ngoài hoặc viết lại một số phần mềm bảo mật. Điều này sẽ cho phép bạn thanh toán cho họ một khoản tiền giữ lại một lần thay vì một mức lương liên tục.

• Công việc tư vấn lạ lẫm có thể hoàn hảo cho những tin tặc làm việc tự do, hoặc những người vừa mới nhận chứng chỉ của họ.
• Nếu bạn hài lòng với hiệu suất của chuyên gia an ninh mạng của bạn, bạn có thể cung cấp cho họ cơ hội làm việc với bạn trên các dự án tương lai.

Tìm kiếm ứng viên có chứng chỉ Tin Tặc Đạo Đức (CEH). Hội Đồng Thương Mại Điện Tử Quốc Tế (viết tắt là EC-Council) đã đáp ứng nhu cầu ngày càng tăng về tin tặc đạo đức bằng cách tạo ra một chương trình chứng chỉ đặc biệt được thiết kế để đào tạo họ và giúp họ tìm việc làm. Nếu chuyên gia an ninh mà bạn phỏng vấn có thể trình bày chứng chỉ CEH chính thức, bạn có thể chắc chắn rằng họ là người thật sự và không phải là ai đó học nghề của mình trong một căn phòng tối tăm.

• Mặc dù các thông tin về hack có thể khó kiểm chứng, ứng viên của bạn nên được đánh giá theo các tiêu chuẩn nghiêm ngặt như tất cả các ứng viên khác.
• Hãy tránh thuê bất kỳ ai không thể cung cấp bằng chứng về chứng chỉ CEH. Vì họ không có bên thứ ba để bảo lãnh cho họ, rủi ro là quá cao.

Duyệt một thị trường tin tặc đạo đức trực tuyến. Hãy xem qua một số danh sách trên các trang web như Hackers List và Neighborhoodhacker.com. Tương tự như các nền tảng tìm kiếm việc làm thông thường như Monster và Indeed, những trang web này tổng hợp các mục từ các tin tặc đủ điều kiện đang tìm cơ hội để áp dụng kỹ năng của họ. Điều này có thể là lựa chọn trực quan nhất cho nhà tuyển dụng quen thuộc với quy trình tuyển dụng truyền thống hơn.

• Các thị trường tin tặc đạo đức chỉ quảng cáo các chuyên gia hợp pháp, có chuyên môn, điều này có nghĩa là bạn có thể yên tâm khi biết rằng sự sống cơ bản của bạn sẽ được đặt trong bàn tay an toàn.

Tổ chức một cuộc thi hacking mở. Một giải pháp thú vị mà các nhà tuyển dụng đã bắt đầu sử dụng để thu hút ứng viên tiềm năng là đối đầu nhau trong các mô phỏng hacking đối đầu. Những mô phỏng này được mô hình hóa sau các trò chơi video và được thiết kế để đặt chuyên môn tổng quát và khả năng ra quyết định nhanh chóng vào thử thách. Người chiến thắng của cuộc thi của bạn có thể chính là người cung cấp sự hỗ trợ mà bạn đang tìm kiếm.

• Hãy yêu cầu đội ngũ kỹ thuật của bạn tạo ra một loạt các câu đố dựa trên các hệ thống IT thông thường hoặc mua một mô phỏng phức tạp hơn từ một nhà phát triển bên thứ ba.
• Giả sử việc lập ra một mô phỏng của riêng bạn quá nhiều công sức hoặc chi phí, bạn cũng có thể thử liên lạc với những người chiến thắng trước đây của các cuộc thi quốc tế như Global Cyberlympics.

Đào tạo một thành viên trong nhóm của bạn để xử lý các nhiệm vụ đối phó với hacker. Bất kỳ ai cũng có thể đăng ký khóa học EC-Council mà mũ trắng sử dụng để đạt được chứng chỉ CEH của họ. Nếu bạn muốn giữ vị trí có uy tín như vậy trong nhà, hãy xem xét việc đưa một trong những nhân viên IT hiện tại của bạn qua khóa học. Tại đó, họ sẽ được dạy cách thực hiện các kỹ thuật kiểm tra xâm nhập có thể sau đó được sử dụng để thăm dò các rò rỉ.

• Chương trình được tổ chức như một lớp học thực hành 5 ngày, với một bài kiểm tra tổng hợp 4 giờ được tổ chức vào ngày cuối cùng. Người tham dự phải đạt điểm ít nhất 70% để qua môn.
• Chi phí để tham dự kỳ thi là 500 đô la, cùng với một khoản phí bổ sung là 100 đô la cho sinh viên chọn tự học.

Thực hiện một cuộc kiểm tra lý lịch kỹ lưỡng. Sẽ cần phải điều tra kỹ lưỡng ứng viên của bạn trước khi bạn cân nhắc đưa họ vào danh sách trả lương. Gửi thông tin của họ đến bộ phận nhân sự hoặc một tổ chức bên ngoài và xem họ tìm được gì. Chú ý đặc biệt đến bất kỳ hoạt động phạm tội trong quá khứ nào, đặc biệt là những hoạt động liên quan đến tội phạm trực tuyến.

• Bất kỳ loại hành vi phạm pháp nào xuất hiện trong kết quả của một cuộc kiểm tra lý lịch nên được xem xét là một tín hiệu đỏ (và có thể là lý do để loại bỏ ứng viên).
• Tin cậy là chìa khóa của mọi mối quan hệ làm việc. Nếu bạn không thể tin tưởng vào người đó, họ không thuộc về công ty của bạn, dù họ có kinh nghiệm đến đâu.

Phỏng vấn ứng viên của bạn một cách kỹ lưỡng. Giả sử ứng viên của bạn đã vượt qua thành công cuộc kiểm tra lý lịch, bước tiếp theo trong quy trình là tiến hành phỏng vấn. Hãy cho quản lý IT và một thành viên của bộ phận nhân sự ngồi xuống với ứng viên và chuẩn bị một danh sách câu hỏi, chẳng hạn như, 'bạn đã bắt đầu làm việc trong lĩnh vực hack đạo đức như thế nào?', 'Bạn đã từng làm bất kỳ công việc trả tiền nào khác chưa?', 'Các loại công cụ nào bạn sử dụng để sàng lọc và loại bỏ các mối đe dọa?' và 'hãy cho tôi một ví dụ về cách phòng thủ hệ thống của chúng tôi khỏi một cuộc tấn công xâm nhập từ bên ngoài.'

• Gặp trực tiếp, thay vì dựa vào điện thoại hoặc email, để bạn có thể có một ý kiến chính xác về tính cách của ứng viên.
• Nếu bạn còn bất kỳ lo ngại nào, hãy lên lịch một hoặc nhiều cuộc phỏng vấn tiếp theo với một thành viên khác của nhóm quản lý để bạn có thể nhận được ý kiến thứ hai.

Phân công chuyên gia an ninh mạng của bạn làm việc chặt chẽ với nhóm phát triển của bạn. Trong tương lai, ưu tiên hàng đầu của nhóm IT của bạn nên là ngăn chặn các cuộc tấn công mạng thay vì dọn dẹp sau chúng. Qua sự hợp tác này, những người tạo nội dung trực tuyến của công ty bạn sẽ học được các thực hành lập trình an toàn hơn, kiểm tra sản phẩm tỉ mỉ hơn và các kỹ thuật khác để đánh lừa những kẻ lừa đảo.

• Việc có một hacker đạo đức ở đó kiểm tra từng tính năng mới có thể làm chậm quá trình phát triển một chút, nhưng các tính năng bảo mật mới chắc chắn mà họ tạo ra sẽ đáng giá với sự trì hoãn đó.

Tự thông tin cho bản thân về cách an ninh mạng ảnh hưởng đến doanh nghiệp của bạn. Tận dụng sự giàu có kiến thức của hacker trắng của bạn và học một chút về các chiến lược thường được sử dụng bởi các hacker. Khi bạn bắt đầu hiểu cách tấn công mạng được lên kế hoạch và thực hiện, bạn sẽ có thể nhìn thấy chúng đến.

• Yêu cầu tư vấn của bạn nộp các báo cáo định kỳ, chi tiết về những gì họ đã khám phá. Một cách khác để cập nhật kiến thức là phân tích kết quả của họ với sự giúp đỡ của nhóm IT của bạn.
• Khuyến khích hacker mà bạn thuê giải thích các biện pháp họ đang thực hiện thay vì chỉ để họ làm việc của họ mà không bị đặt câu hỏi.