Choses à considérer lors de la recherche d'un fournisseur de piratage éthique - parapharmacie

L'externalisation du piratage éthique est très populaire et constitue un excellent moyen pour les organisations d'avoir une perspective impartiale de leur sécurité de l'information. L'impartition vous permet d'avoir un système de vérification et d'équilibre que les clients, les partenaires commerciaux, les vérificateurs et les organismes de réglementation aiment voir.

L'externalisation du piratage éthique peut être coûteuse. De nombreuses organisations dépensent des milliers de dollars - souvent des dizaines de milliers - en fonction des tests nécessaires. Cependant, faire tout cela vous-même n'est pas bon marché - et très probablement ce n'est pas aussi efficace, non plus!

Beaucoup d'informations confidentielles sont en jeu, vous devez donc faire confiance à vos consultants et fournisseurs externes. Tenez compte des questions suivantes lorsque vous recherchez un expert ou un fournisseur indépendant avec lequel vous pouvez vous associer:

• Votre fournisseur de piratage éthique est-il de votre côté ou d'un fournisseur tiers? Le fournisseur tente-t-il de vous vendre des produits ou le fournisseur du fournisseur est-il neutre? Beaucoup de fournisseurs pourraient essayer de gagner quelques dollars de plus, ce qui pourrait ne pas être nécessaire pour vos besoins. Assurez-vous simplement que ces conflits d'intérêts potentiels ne sont pas mauvais pour votre budget et votre entreprise.

• Quels autres services informatiques ou de sécurité le prestataire propose-t-il? Le fournisseur se concentre-t-il uniquement sur la sécurité? Avoir un spécialiste de la sécurité de l'information fait souvent ce test pour vous, plutôt que de travailler avec une organisation généraliste informatique. Après tout, embaucheriez-vous un avocat spécialisé en droit des sociétés pour vous aider à obtenir un brevet, un omnipraticien généraliste pour effectuer une intervention chirurgicale ou un technicien en informatique pour recâbler votre maison?

• Quelles sont les politiques d'embauche et de licenciement de votre fournisseur? Recherchez les mesures prises par le fournisseur pour minimiser les risques qu'un employé utilise vos informations sensibles.

• Le fournisseur comprend-il les besoins de votre entreprise? Demandez au fournisseur de répéter la liste de vos besoins et de les mettre par écrit pour vous assurer que vous êtes tous les deux sur la même page.

• Dans quelle mesure le fournisseur communique-t-il? Faites-vous confiance au fournisseur pour vous tenir informé et assurer un suivi dans les meilleurs délais?

• Savez-vous exactement qui va effectuer les tests? Une personne fera-t-elle le test, ou les experts en la matière se concentreront-ils sur les différents domaines? (Ce n'est pas une rupture d'entente, mais c'est bon à savoir.)

• Le fournisseur a-t-il l'expérience nécessaire pour recommander des contre-mesures pratiques et efficaces aux vulnérabilités trouvées? Le fournisseur ne devrait pas simplement vous remettre un rapport de réflexion et dire: «Bonne chance avec tout ça!"Vous avez besoin de solutions réalistes.

• Quels sont les motifs du fournisseur? Avez-vous l'impression que le fournisseur est en affaires pour obtenir rapidement des services, avec un minimum d'effort et de valeur ajoutée, ou est-ce que le fournisseur est en affaires pour fidéliser et établir une relation à long terme?

Trouver une bonne organisation pour travailler à long terme rendra vos efforts continus beaucoup plus simples. Demandez plusieurs références et des produits livrables assainis (c'est-à-dire des rapports ne contenant pas d'informations sensibles) provenant de fournisseurs potentiels. Si l'organisation ne peut pas les produire sans difficulté, cherchez un autre fournisseur.

Votre fournisseur doit avoir pour vous votre propre contrat de service incluant une déclaration de non-divulgation mutuelle. Assurez-vous de signer tous les deux pour protéger votre organisation.

Les anciens hackers - ce sont les hackers au chapeau noir qui ont piraté les systèmes informatiques dans le passé - peuvent être très bons dans ce qu'ils font. Beaucoup de gens jurent en embauchant des hackers réformés pour faire du piratage éthique. D'autres comparent cela à l'embauche du renard proverbial pour garder le poulailler. Si vous envisagez de faire appel à un ancien pirate non éthique pour tester vos systèmes, tenez compte des points suivants:

• Voulez-vous vraiment récompenser les comportements malveillants avec les activités de votre entreprise?

• Affirmer être réformé ne signifie pas qu'il ou elle l'est. Il pourrait y avoir des problèmes psychologiques profondément enracinés ou des défauts de caractère auxquels vous allez devoir faire face. Acheteur méfiez-vous!

• Les informations collectées et consultées pendant le piratage éthique sont parmi les informations les plus sensibles de votre organisation. Si cette information entre dans de mauvaises mains - même dix ans plus tard - elle pourrait être utilisée contre votre organisation. Certains hackers et criminels réformés traînent dans des groupes sociaux serrés. Vous ne souhaitez peut-être pas partager vos informations dans leurs cercles.

Cela dit, tout le monde mérite une chance d'expliquer ce qui s'est passé dans le passé. La tolérance zéro est insensée. Écoutez son histoire et utilisez votre discrétion de bon sens pour savoir si vous faites confiance à la personne pour vous aider. Le prétendu hacker au chapeau noir aurait pu être un hacker au chapeau gris ou un hacker au chapeau blanc mal guidé qui s'intègre bien dans votre organisation.