Video: Why does the universe exist? | Jim Holt 2025
Outsourcing etisk hacking er meget populær og en god måde for organisationer at få et upartisk tredjepartsperspektiv af deres informationssikkerhed. Outsourcing giver dig mulighed for at få et check-and-balance-system, som kunder, samarbejdspartnere, revisorer og tilsynsmyndigheder kan lide at se.
Outsourcing etisk hacking kan være dyrt. Mange organisationer bruger tusinder af dollars - ofte titusinder - afhængigt af den nødvendige testning. Men det er ikke billigt at gøre alt dette selv - og måske er det heller ikke så effektivt!
Der er mange fortrolige oplysninger på spil, så du skal stole på dine eksterne konsulenter og leverandører. Overvej følgende spørgsmål, når du leder efter en uafhængig ekspert eller leverandør til partner med:
-
Er din etiske hacking-udbyder på din side eller en tredjepartsleverandør side? Er leverandøren forsøger at sælge dig produkter, eller er leverandørleverandøren neutral? Mange udbydere kan forsøge at gøre nogle få dollars ud af aftalen, hvilket måske ikke er nødvendigt for dine behov. Bare sørg for, at disse potentielle interessekonflikter ikke er dårlige for dit budget og din virksomhed.
-
Hvilke andre it- eller sikkerhedstjenester tilbyder udbyderen? Tænker udbyderen udelukkende på sikkerhed? Har du en informationssikkerhedsspecialist, er denne testning for dig ofte bedre end at arbejde med en it-generalistorganisation. Tager du alligevel en generel forretningsadvokat til at hjælpe dig med et patent, en generel familiepraktiker til at udføre operation eller en computertekniker til at rewire dit hus?
-
Hvad er din udbyders ansættelses- og opsigelsespolice? Se efter foranstaltninger, som udbyderen tager for at minimere chancerne for, at en medarbejder vil gå væk med dine følsomme oplysninger.
-
Er leverandøren forstå for dine forretningsbehov? Har leverandøren gentaget listen over dine behov og stillet dem skriftligt for at sikre, at du begge er på samme side.
-
Hvor godt kommunikerer leverandøren? Har du tillid til udbyderen at holde dig orienteret og følge op med dig rettidigt?
-
Ved du præcis, hvem der udfører testene? Vil en person gøre testen, eller vil fagpersoner fokusere på de forskellige områder? (Dette er ikke en deal breaker, men det er godt at vide.)
-
Har leverandøren erfaring med at anbefale praktiske og effektive modforanstaltninger til de konstaterede sårbarheder? Udbyderen bør ikke bare give dig en tænk rapport og sige, "Held og lykke med alt det!"Du har brug for realistiske løsninger.
-
Hvad er udbyderens motiver? Får du indtryk af, at udbyderen er i erhvervslivet for hurtigt at aflevere ydelserne, med minimal indsats og værditilvækst, eller er leverandøren i erhvervslivet i stand til at skabe loyalitet med dig og etablere et langsigtet forhold?
At finde en god organisation til at arbejde på lang sigt vil gøre din løbende indsats meget enklere. Bed om flere referencer og prøve sanitized leverancer (det vil sige rapporter, der ikke indeholder følsomme oplysninger) fra potentielle udbydere. Hvis organisationen ikke kan producere disse uden problemer, skal du søge efter en anden udbyder.
Din udbyder skal have sin egen serviceaftale for dig, der indeholder en fælles oplysningserklæring. Sørg for, at du begge underskriver dette for at beskytte din organisation.
Tidligere hackere - det er de svarte hackere, der har hakket ind i computersystemer tidligere - kan være meget gode til, hvad de gør. Mange mennesker sværger ved at ansætte reformerede hackere for at gøre etisk hacking. Andre sammenligner dette med at ansætte den ordsomme ræv for at beskytte hønehuset. Hvis du tænker på at bringe i en tidligere uetisk hacker til at teste dine systemer, skal du overveje disse problemer:
-
Vil du virkelig belønne ondsindet adfærd med din virksomheds forretning?
-
At hævde at blive reformeret betyder ikke, at han eller hun er. Der kan være dybtgående psykologiske problemer eller tegnfejl, du bliver nødt til at kæmpe med. Køber pas på!
-
Oplysninger indsamlet og adgang til under etisk hacking er nogle af de mest følsomme oplysninger, som din organisation har. Hvis denne information kommer i de forkerte hænder - selv ti år ned ad vejen - kan den bruges til din organisation. Nogle hackere og reformerede kriminelle hænger ud i stramme sociale grupper. Du ønsker måske ikke, at dine oplysninger deles i deres cirkler.
Når det er sagt, fortjener alle en chance for at forklare, hvad der skete i fortiden. Zero tolerance er meningsløst. Lyt til hans eller hendes historie og brug almindeligt fornuftigt skøn om, hvorvidt du stoler på, at personen hjælper dig. Den formodede black hat hacker kunne faktisk have været en gråhatt hacker eller en misguided white hat hacker, som passer godt i din organisation.
