倫理的ハッキングベンダーを求めるときに考慮すべきこと - ダミー

アウトソーシングの倫理ハッキングは非常に普及しており、企業が情報セキュリティに関する第三者の見解を得られる素晴らしい方法です。アウトソーシングでは、クライアント、ビジネスパートナー、監査人、規制当局が見たいチェック・アンド・バランスシステムを利用できます。

アウトソーシングの倫理的なハッキングは高価になる可能性があります。多くの組織では、必要なテストに応じて何千ドルも費やすことがあります。しかし、このすべてを自分で行うことは安くはないし、おそらく有効ではないかもしれません。

<！ - 1 - >

多くの機密情報が危険にさらされているため、外部のコンサルタントやベンダーを信頼する必要があります。独立した専門家またはベンダーとパートナーを探す際には、以下の質問を考慮してください。

• 倫理的ハッキングプロバイダーは、あなた側かサードパーティベンダー側ですか？プロバイダが製品を販売しようとしているのですか、またはプロバイダのベンダーが中立ですか？ 多くのプロバイダーは、あなたのニーズに必要ではないかもしれない、取引から数ドルを稼ぐつもりかもしれません。これらの潜在的な利益相反があなたの予算とビジネスにとって悪くないことを確かめてください。

  <！ - 2 - >

• その他のITサービスやセキュリティサービスには、どのようなサービスがありますか？プロバイダはセキュリティのみに焦点を当てていますか？ 情報セキュリティ専門家があれば、このテストはIT総合学術師組織よりも優れていることが多いです。結局のところ、一般的な企業の弁護士を雇い、特許を手伝ったり、手術を行う一般家庭医、あるいはあなたの家を改築するコンピュータ技術者を雇いますか？

  <！ - 3 - >

• あなたのプロバイダーの採用方針と解雇方針は何ですか？ 従業員が機密情報を使用して逃げる可能性を最小限に抑えるために、プロバイダが取る対策を探します。

• あなたのビジネスニーズをプロバイダが理解していますか？ プロバイダーにあなたのニーズのリストを繰り返して、あなたが同じページにいることを確認するために書面で書きます。

• プロバイダはどの程度うまく通信していますか？ あなたは情報提供を続け、タイムリーにフォローアップを行うことをプロバイダーに信頼していますか？

• 誰がテストを行うのか正確に分かりますか？ ある人がテストを行うのか、または対象となる専門家が異なる分野に焦点を当てますか？ （これは契約の中断はありませんが、知っておきましょう）

• 提供された脆弱性に対する実践的で効果的な対策を提供する経験がありますか？ 提供者はあなたに思考レポートを渡して、「すべてのことで幸運を祈る！「現実的なソリューションが必要です。

• 提供者の動機は何ですか？ あなたは、最小限の努力と付加価値でサービスをすばやく解消するために事業者がビジネスに参加しているという印象を受けていますか、またはあなたと忠誠心を築き長期的な関係を築くビジネスプロバイダーですか？

長期的に働く良い組織を見つけることは、あなたの継続的な努力をずっと簡単にします。潜在的なプロバイダーからいくつかの参考文献と浄化された 成果物（機密情報を含んでいない報告書）をサンプルしてください。組織が困難なくこれらを生産できない場合は、別のプロバイダーを探してください。 あなたの提供者は、相互非開示の声明を含む、独自のサービス契約を結ぶ必要があります。あなたの組織を保護するために、両方に署名してください。

これまでのハッカーは、過去にコンピュータシステムをハッキングしたブラックハットのハッカーであり、彼らがしていることを非常によくすることができます。多くの人々は倫理的なハッキングを行うために改革されたハッカーを雇って誓っています。他の人は、これを鶏舎を守るために諺のキツネを雇うことと比較しています。以前の非倫理的なハッカーを連れてシステムをテストしようと考えている場合は、次の点を考慮してください。

あなたの組織のビジネスで悪意のある行為に本当に報いたいですか？

• 改革を主張しているということは、彼または彼女であるということではありません。深い根拠を持った心理的な問題や、あなたが争わなければならないキャラクターの欠陥が存在する可能性があります。

• バイヤー 注意！ 倫理的なハッキング中に収集されアクセスされる情報は、組織が保有している最も機密性の高い情報の一部です。この情報が間違った手に入り、たとえ10年も経っても、それはあなたの組織に対して使用される可能性があります。一部のハッカーや改革犯罪者は、緊密な社会的グループに居る。自分の情報をサークルで共有したくない場合もあります。

• それは、誰もが過去に何が起こったのかを説明する機会があると言いました。ゼロ許容差は無意味です。自分の話を聞き、その人があなたを助けることを信頼するかどうかについて常識的な裁量を使います。想定されていたブラックハットハッカーは、実際にあなたの組織に合ったグレーハッハーハッカーまたは誤った白ハットハッカーかもしれません。