Coisas a considerar quando se procura um Fornecedor de Ethical Hacking
Terceirização de hacking ético é muito popular e uma ótima maneira para as organizações a obter uma perspectiva de terceiros imparcial de sua segurança da informação. A terceirização permite que você tenha um sistema de cheques-e-contrapesos que clientes, parceiros de negócios, auditores e reguladores gostaria de ver.
Terceirização de hacking ético pode ser caro. Muitas organizações gastam milhares de dólares - muitas vezes dezenas de milhares - de acordo com o teste necessária. No entanto, fazer tudo isso sozinho não é barato - e muito possivelmente não é tão eficaz, qualquer um!
Um monte de informações confidenciais está em jogo, portanto, você deve confiar em seus consultores externos e fornecedores. Considere as seguintes perguntas quando à procura de um perito independente ou o fornecedor para sócio com:
É seu fornecedor ético-pirataria do seu lado ou do lado de um fornecedor de terceiros? É o fornecedor a tentar vender produtos, ou é o fornecedor do provedor neutro? Muitos provedores pode tentar fazer mais alguns dólares fora do negócio, o que pode não ser necessário para suas necessidades. Apenas certifique-se de que estes potenciais conflitos de interesse não são ruins para o seu orçamento e seu negócio.
Que outros serviços de TI ou de segurança que oferece o provedor? O provedor se concentrar apenas na segurança? Ter um especialista em segurança da informação fazer este teste para você é muitas vezes melhor do que trabalhar com uma organização generalista de TI. Afinal, você iria contratar um advogado geral corporativa para ajudá-lo com uma patente, um médico de família em geral para realizar a cirurgia, ou de um técnico de computador para reprogramar a sua casa?
Quais são as políticas de contratação e rescisão do seu fornecedor? Procure medidas o prestador tome para minimizar as chances de que um funcionário vai a pé com sua informação sensível.
O provedor entender suas necessidades de negócios? Ter o provedor de repetição da lista de suas necessidades e colocá-las por escrito para se certificar de que vocês dois estão na mesma página.
Até que ponto o fornecedor comunicar? Você confia o provedor para mantê-lo informado e acompanhar com você em tempo hábil?
Sabe exatamente o que irá realizar os testes? Será que uma pessoa fazer o teste, ou especialistas no assunto se concentrar nas diferentes áreas? (Este não é um disjuntor do negócio, mas é bom saber.)
O provedor tem a experiência para recomendar contramedidas práticas e eficazes para as vulnerabilidades encontradas? O provedor não deve apenas entregar-lhe um relatório pensam e dizem, # Sorte 147-Bom com tudo isso! # 148- Você precisa de soluções realistas.
Quais são os motivos do provedor? Você tem a impressão de que o provedor está no negócio para fazer um dinheirinho rápido fora dos serviços, com o mínimo de esforço e valor acrescentado, ou é o fornecedor no negócio para construir a lealdade com você e estabelecer um relacionamento de longo prazo?
Encontrar uma boa organização para trabalhar com a longo prazo fará com que seus esforços em curso muito mais simples. Peça várias referências e amostra higienizado entregáveis (isto é, relatórios que não contenham informações sensíveis) de potenciais fornecedores. Se a organização não pode produzir estes sem dificuldade, procurar outro provedor.
Seu provedor deve ter o seu próprio contrato de serviço para você que inclui uma declaração de confidencialidade mútua. Certifique-se de que ambos assinar este para ajudar a proteger sua organização.
Ex-hackers - estes são os hackers black-hat que invadiu sistemas de computador no passado - pode ser muito bom no que fazem. Muitas pessoas juram pela contratação de hackers reformadas para fazer hacking ético. Outros comparar isso com a contratação do proverbial raposa para vigiar o galinheiro. Se você está pensando em trazer um ex-hacker ético testar seus sistemas, considere estas questões:
Você realmente quer recompensar o comportamento malicioso com o negócio da sua organização?
Alegando ser reformado não significa que ele ou ela é. Não poderia haver problemas psicológicos profundamente enraizadas ou falhas de caráter que você vai ter que enfrentar. Comprador cuidado!
As informações recolhidas e acessado durante hacking ético é uma das informações mais sensíveis a sua organização possui. Se esta informação fica nas mãos erradas - mesmo dez anos de estrada - que poderia ser usado contra sua organização. Alguns hackers e criminosos reformados sair em grupos sociais apertadas. Você não pode querer suas informações compartilhadas em seus círculos.
Dito isto, todo mundo merece uma chance de explicar o que aconteceu no passado. Tolerância zero é sem sentido. Ouça a sua história e usar o bom senso critério para saber se você confiar na pessoa para ajudá-lo. O hacker black-hat deveria, na verdade, poderia ter sido um hacker cinza-chapéu ou um hacker white-hat equivocada que se encaixa bem em sua organização.