Ketika datang untuk melindungi bisnis Anda, Anda tidak pernah bisa terlalu berhati-hati. Itulah mengapa di zaman serangan DDoS dan phishing, memiliki beberapa asuransi di pihak Anda dapat membantu. Peretas etis, kadang-kadang disebut sebagai "topi putih," memiliki keahlian yang sama dengan peretas kriminal, hanya saja mereka menggunakannya untuk menemukan dan memperbaiki kelemahan dalam teknologi internet perusahaan daripada mengeksploitasinya. Jika Anda membutuhkan peretas etis, mulailah dengan merumuskan pernyataan misi yang jelas yang menguraikan apa yang ingin Anda capai dengan bantuan mereka. Anda kemudian dapat mencari kandidat yang memenuhi syarat melalui program sertifikasi resmi atau pasar peretas online.
Langkah
Bagian 1 dari 3: Mengisi Posisi
Langkah 1. Evaluasi risiko tidak terlindungi
Mungkin tergoda untuk mencoba menghemat uang dengan tetap menggunakan tim TI Anda yang sudah ada. Namun, tanpa pencadangan khusus, sistem TI perusahaan Anda akan rentan terhadap serangan yang terlalu canggih untuk ditangkap oleh rata-rata ahli komputer. Yang diperlukan hanyalah salah satu dari serangan ini untuk menyebabkan kerusakan serius pada keuangan dan reputasi bisnis Anda.
- Semua mengatakan, biaya rata-rata untuk mengamankan dan membersihkan pelanggaran data online adalah sekitar $4 juta.
- Pikirkan menyewa topi putih sebagai mengambil polis asuransi. Apa pun perintah layanan mereka adalah harga kecil yang harus dibayar untuk ketenangan pikiran Anda.
Langkah 2. Identifikasi kebutuhan keamanan siber perusahaan Anda
Tidak cukup hanya dengan memutuskan bahwa Anda perlu memperkuat pertahanan internet Anda. Buatlah pernyataan misi yang menguraikan dengan tepat apa yang ingin Anda capai dengan mempekerjakan seorang ahli dari luar. Dengan begitu, Anda dan kandidat Anda akan memiliki gagasan yang jelas tentang tugas mereka.
- Misalnya, perusahaan keuangan Anda mungkin memerlukan peningkatan perlindungan dari pemalsuan konten atau manipulasi psikologis, atau aplikasi belanja baru Anda dapat membuat pelanggan berisiko dicuri informasi kartu kreditnya.
- Pernyataan Anda harus berfungsi sebagai semacam surat pengantar terbalik. Tidak hanya akan mengiklankan posisi, tetapi juga menggambarkan pengalaman spesifik yang Anda cari. Ini akan memungkinkan Anda untuk menyingkirkan pelamar biasa dan menemukan orang terbaik untuk pekerjaan itu.
Langkah 3. Bersiaplah untuk menawarkan gaji yang kompetitif
Memiliki peretas etis di pihak Anda adalah langkah yang bijaksana, tetapi itu tidak murah. Menurut PayScale, sebagian besar topi putih dapat mengharapkan untuk menarik $70.000 atau lebih per tahun. Sekali lagi, penting untuk diingat bahwa pekerjaan yang akan mereka lakukan sepadan dengan apa yang mereka minta. Ini adalah investasi yang kemungkinan besar Anda tidak mampu untuk tidak melakukannya.
Tingkat pembayaran yang meningkat adalah kemunduran finansial kecil dibandingkan dengan lubang besar dalam sistem TI yang menjadi sandaran perusahaan Anda untuk menghasilkan keuntungan
Langkah 4. Lihat apakah Anda dapat mempekerjakan seorang peretas untuk pekerjaan itu
Mungkin tidak perlu untuk menjaga topi putih pada staf TI Anda penuh waktu. Sebagai bagian dari pernyataan tujuan Anda, tentukan bahwa Anda sedang mencari konsultan untuk mempelopori proyek besar, mungkin tes penetrasi eksternal atau penulisan ulang beberapa perangkat lunak keamanan. Ini akan memungkinkan Anda untuk membayar mereka satu kali punggawa daripada gaji terus-menerus.
- Pekerjaan konsultasi yang aneh mungkin cocok untuk peretas lepas, atau mereka yang baru saja menerima sertifikasi mereka.
- Jika Anda puas dengan kinerja pakar keamanan siber Anda, Anda dapat menawarkan mereka kesempatan untuk bekerja dengan Anda lagi di proyek mendatang.
Bagian 2 dari 3: Melacak Kandidat yang Memenuhi Syarat
Langkah 1. Cari kandidat dengan sertifikasi Certified Ethical Hacker (CEH)
Dewan Internasional Konsultan Perdagangan Elektronik (disingkat EC-Council) telah menanggapi meningkatnya permintaan akan peretas etis dengan membuat program sertifikasi khusus yang dirancang untuk melatih mereka dan membantu mereka menemukan pekerjaan. Jika pakar keamanan yang Anda wawancarai dapat menunjukkan sertifikasi CEH resmi, Anda dapat yakin bahwa itu adalah artikel asli dan bukan seseorang yang mempelajari keahlian mereka di ruang bawah tanah yang gelap.
- Meskipun kredensial peretasan bisa menjadi hal yang sulit untuk diverifikasi, kandidat Anda harus memiliki standar ketat yang sama dengan yang akan dilakukan oleh semua pelamar lainnya.
- Hindari mempekerjakan siapa pun yang tidak dapat memberikan bukti sertifikasi CEH. Karena mereka tidak memiliki pihak ketiga untuk menjamin mereka, risikonya terlalu tinggi.
Langkah 2. Jelajahi pasar peretas etis online
Lihatlah beberapa daftar di situs seperti Daftar Peretas dan Neighborhoodhacker.com. Mirip dengan platform pencarian kerja biasa seperti Monster dan Memang, situs-situs ini mengumpulkan entri dari peretas yang memenuhi syarat yang mencari peluang untuk menerapkan keterampilan mereka. Ini mungkin pilihan paling intuitif bagi pemberi kerja yang terbiasa dengan proses perekrutan yang lebih tradisional.
Pasar peretas etis hanya mempromosikan spesialis legal dan berkualifikasi, yang berarti Anda dapat tidur nyenyak karena mengetahui bahwa mata pencaharian Anda akan berada di tangan yang tepat
Langkah 3. Selenggarakan kompetisi peretasan terbuka
Salah satu solusi menyenangkan yang mulai digunakan oleh pengusaha untuk menarik calon kandidat adalah dengan mengadu pesaing satu sama lain dalam simulasi peretasan head-to-head. Simulasi ini dimodelkan setelah video game, dan dirancang untuk menguji keahlian umum dan kemampuan pengambilan keputusan berpikir cepat. Pemenang kompetisi Anda mungkin adalah orang yang memberikan dukungan yang Anda cari.
- Mintalah tim teknologi Anda membuat serangkaian teka-teki yang dimodelkan setelah sistem TI umum, atau beli simulasi yang lebih canggih dari pengembang pihak ketiga.
- Dengan asumsi bahwa merancang simulasi Anda sendiri terlalu banyak tenaga atau biaya, Anda juga dapat mencoba menghubungi pemenang kompetisi internasional sebelumnya seperti Global Cyberlympics.
Langkah 4. Latih anggota staf Anda untuk menangani tugas counter-hacking Anda
Siapapun bebas untuk mendaftar di program EC-Council yang digunakan white hat untuk mendapatkan sertifikasi CEH mereka. Jika Anda lebih suka mempertahankan posisi profil tinggi di perusahaan, pertimbangkan untuk memasukkan salah satu karyawan TI Anda saat ini melalui kursus. Di sana, mereka akan diajari untuk melakukan teknik pengujian penetrasi yang kemudian dapat digunakan untuk menyelidiki kebocoran.
- Program ini disusun sebagai kelas praktik selama 5 hari, dengan ujian komprehensif 4 jam yang diberikan pada hari terakhir. Peserta harus membuat skor minimal 70% untuk lulus.
- Biayanya $500 untuk mengikuti ujian, bersama dengan biaya tambahan $100 untuk siswa yang memilih untuk belajar sendiri.
Bagian 3 dari 3: Membawa Peretas Etis ke dalam Bisnis Anda
Langkah 1. Lakukan pemeriksaan latar belakang secara menyeluruh
Kandidat Anda perlu diselidiki secara menyeluruh bahkan sebelum Anda berpikir untuk memasukkan mereka ke dalam daftar gaji Anda. Kirim informasi mereka ke HR atau organisasi luar dan lihat apa yang mereka temukan. Berikan perhatian khusus pada aktivitas kriminal di masa lalu, terutama yang melibatkan pelanggaran online.
- Semua jenis perilaku kriminal yang muncul dalam hasil pemeriksaan latar belakang harus dianggap sebagai tanda bahaya (dan mungkin alasan untuk didiskualifikasi).
- Kepercayaan adalah kunci untuk setiap hubungan kerja. Jika Anda tidak dapat mempercayai orang itu, mereka tidak termasuk dalam perusahaan Anda, tidak peduli seberapa berpengalaman mereka.
Langkah 2. Wawancara kandidat Anda secara mendalam
Dengan asumsi prospek Anda berhasil melewati pemeriksaan latar belakang mereka, langkah selanjutnya dalam proses ini adalah melakukan wawancara. Mintalah manajer TI Anda seorang anggota SDM duduk bersama kandidat dengan daftar pertanyaan yang disiapkan, seperti, "bagaimana Anda terlibat dalam peretasan etis?", "Apakah Anda pernah melakukan pekerjaan berbayar lainnya?", "Jenis apa alat yang Anda gunakan untuk menyaring dan menetralisir ancaman?" dan "berikan saya contoh bagaimana mempertahankan sistem kami dari serangan penetrasi eksternal."
- Bertemu tatap muka, daripada mengandalkan telepon atau email, sehingga Anda bisa mendapatkan gambaran yang akurat tentang karakter pelamar.
- Jika Anda masih memiliki kekhawatiran, jadwalkan satu atau lebih wawancara lanjutan dengan anggota tim manajemen lain sehingga Anda bisa mendapatkan pendapat kedua.
Langkah 3. Tetapkan pakar keamanan siber Anda untuk bekerja sama dengan tim pengembangan Anda
Ke depan, prioritas nomor satu tim TI Anda harus mencegah serangan dunia maya daripada membersihkannya. Melalui kolaborasi ini, orang-orang yang membuat konten online perusahaan Anda akan mempelajari praktik pengkodean yang lebih aman, pengujian produk yang lebih lengkap, dan teknik lain untuk mengakali calon penipu.
Memiliki peretas etis di sana untuk memeriksa setiap fitur baru mungkin sedikit memperlambat proses pengembangan, tetapi fitur keamanan kedap udara baru yang mereka rancang akan sepadan dengan penundaannya
Langkah 4. Beri tahu diri Anda tentang bagaimana keamanan siber memengaruhi bisnis Anda
Manfaatkan kekayaan pengetahuan topi putih Anda dan pelajari sedikit tentang jenis taktik yang biasa digunakan oleh peretas. Ketika Anda mulai membentuk pemahaman tentang bagaimana serangan dunia maya direncanakan dan dilakukan, Anda akan dapat melihatnya datang.
- Minta konsultan Anda untuk mengirimkan pengarahan rutin dan terperinci tentang apa yang telah mereka temukan. Cara lain untuk memoles adalah menganalisis temuan mereka dengan bantuan tim TI Anda.
- Dorong peretas sewaan Anda untuk menjelaskan langkah-langkah yang mereka terapkan daripada hanya membiarkan mereka melakukan hal yang tidak perlu dipertanyakan lagi.
Langkah 5. Perhatikan baik-baik peretas yang Anda sewa
Meskipun tidak mungkin mereka akan mencoba sesuatu yang tidak bermoral, itu tidak di luar kemungkinan. Instruksikan anggota tim TI Anda yang lain untuk memantau status keamanan Anda dan mencari kerentanan yang sebelumnya tidak ada. Misi Anda adalah untuk melindungi bisnis Anda dengan segala cara. Jangan lupa fakta bahwa ancaman bisa datang dari dalam maupun dari luar.
- Keengganan untuk menjelaskan rencana atau metode mereka yang tepat kepada Anda mungkin merupakan tanda peringatan.
- Jika Anda memiliki alasan untuk mencurigai bahwa spesialis outsourcing merugikan bisnis Anda, jangan ragu untuk menghentikan pekerjaan mereka dan mencari yang baru.
Tips
- Keamanan siber adalah perhatian penting bagi setiap bisnis abad ke-21, dari perusahaan keuangan terbesar hingga startup terkecil.
- Membeli asuransi keamanan siber dapat menjamin bahwa Anda akan mendapatkan kembali apa pun yang hilang jika terjadi penipuan, pelanggaran, atau kebocoran data.
- Mungkin ide yang baik untuk mengiklankan kebutuhan Anda akan peretas etis di situs seperti Reddit, di mana topi putih dikenal sebagai toko pembicaraan.
Peringatan
- Jauhi agen gratis yang tidak bersertifikat, peretas dengan kecenderungan politik atau agama yang kuat, dan apa yang disebut "peretas". Penyamun ini mungkin mencoba menggunakan informasi yang mereka peroleh aksesnya untuk tujuan berbahaya.
- Bekerja dengan seorang peretas, bahkan yang etis, dapat berdampak buruk pada perusahaan Anda di mata mitra atau klien Anda.
