فريق الأمان
إنّ فريق الأمان هو أهم جهة معنيّة في VDP. بالإضافة إلى العمل اللازم للاستعداد لإطلاق VDP وتشغيله، إذا لم يكن فريق الأمان جاهزًا للعمل، من الصعب إشراك الأشخاص من خارج فريق الأمان.
في بعض الأحيان، قد يشعر الأشخاص بالفخر أو الدفاع عند بدء إنشاء VDP. قد يشعر فريق الأمان بأن باحثي الأمن الخارجيين الذين يحددون الثغرات الأمنية التي فاتهم سيُظهرون فيها أخطاءهم. فالشركات لديها مساحات كبيرة ومعقدة للهجوم ولا يمكن توقع تغطية أمنية مثالية لفريق الأمان. يجب ألا يكون السرد موجهًا بأصابع اليد أو لإلقاء اللوم على أي شخص. عندما يعثر الباحثون على ثغرات أمنية، يجب استخدام هذه البيانات كتعليقات قابلة للتنفيذ لمساعدة فريقك في تحسين الوضع الأمني لمؤسستك. ومن الضروري تغيير طريقة تفكير فريق الأمان الخاص بك لاعتبار المخترقين امتدادًا لفريقك وليس خصومًا. كما ذكرنا سابقًا، عليك التأكّد من أنّ فريق الأمان قد أجرى محادثة استباقية حول كيفية التعامل مع آليات الكشف والاستجابة في ما يتعلّق بـ VDP.
إيطاليا
تُعنى تكنولوجيا المعلومات بأشياء مختلفة لمؤسسات مختلفة، ولكل شركة مجموعتها الخاصة من الأدوار المتعلقة بتكنولوجيا المعلومات. لأغراض هذا الدليل، نفترض أن تكنولوجيا المعلومات تشير إلى الأفراد والفرق المسؤولة عن إعداد الأنظمة والخدمات وصيانتها ودعمها والتي يعتمد عليها النشاط التجاري. تريد فرق تكنولوجيا المعلومات بشكل عام الحفاظ على استمرارية العمل. وغالبًا ما يرتبط ذلك مباشرةً بمقاييس النجاح (على سبيل المثال، عدم انقطاع الوقت). في حين أنّ فكرة دعوة المخترقين للاختبار على الأنظمة والخدمات التي يحافظون عليها تبدو مخيفة، فإنها تعود بالنفع بشكل كبير على قسم تكنولوجيا المعلومات. لا يتقيّد المجرمون بأي قواعد، وقد يحاولون مهاجمة مؤسستك. من خلال إنشاء قناة موحّدة للتعامل مع المخترقين البارعين مع مؤسستك، يمكنك زيادة فرص تحديد المشاكل الأمنية وإصلاحها قبل أن يستغلها المجرمون. ويترتّب على عمليات اختراق البرامج تكاليف باهظة ترتبط بها، بما في ذلك الوقت الذي يستغرقه فريق تكنولوجيا المعلومات وغيره من المؤسسات، فضلاً عن فترات التوقف عن العمل المُحتَملة في حال الحاجة إلى إيقاف الأصول أو تقسيمها مؤقتًا نتيجةً لحدوث خرق. يمكن أن يساعد استخدام VDP في الحدّ من مخاطر الخروقات. بالإضافة إلى ذلك، يمكن أن تساعد عملية استكشاف المخترقين في اكتشاف الأصول وتحديد الأنظمة والخدمات المحتالة التي تم قطعها بدون تدخل فريق تقنية المعلومات.
هندسة
ما لم يتولَّ فريق الأمان مهمة إصلاح الثغرات الأمنية نيابة عن فريقك الهندسي، ستحتاج إلى الاستعانة بالمؤسسة الهندسية الخاصة بك مع مدير تطوير البرامج (VDP). لا أحد يحب الأعمال غير المتوقعة، وتقدّم منصات تطوير البرامج (VDP) تدفقًا جديدًا من الثغرات الأمنية التي على الفرق الهندسية معالجتها. من المهم العمل مع القيادة في المؤسسة الهندسية للتأكد من أنهم على دراية بالمخطط الزمني المرتبط بإطلاق VDP، بالإضافة إلى الحصول على تأييد منهم لتخصيص الموارد لإصلاح الأخطاء. عندما يتم تشغيل VDP، عادة ما يكون هناك ارتفاع في عدد الأخطاء في البداية، ثم يتم التلاعب بها إلى مستوى معتدل. إن تجهيز فريق العمل الهندسي لإصلاح الكثير من الأخطاء في الأسابيع القليلة الأولى من برنامجك يمكن أن يساعد في تيسير العملية للفريق الهندسي وفريق الأمان والمخترقين الذين يشاركون في VDP. بما أنّك تطلب من الفريق الهندسي إجراء المزيد من العمل، من المفيد توضيح الفوائد التي سيحصل عليها من مطوّر البرامج على VDP.
شؤون قانونية
تحب الفِرق القانونية تقليل المخاطر. قد يبدو مفهوم دعوة المخترقين مسبقًا لاختراق مؤسستك بدون سياق إضافي، أمرًا محفوفًا بالمخاطر. ومن المهم العمل مع فريقك القانوني لمعرفة مدى تأثير إنشاء مخرج فيديو (VDP) على المخاطر الأمنية، بالإضافة إلى المخاطر القانونية كذلك. وسواء كان لديك VDP أم لا، ستتعرض الثغرات الأمنية. بدون وجود VDP، لن يتمكن المخترقون الذين يريدون فعل الشيء الصحيح وإبلاغك بالمشكلة من الحصول على طريقة قياسية للتواصل معك. إن توفير VDP يوفر وسيلة للباحثين في مجال الأمان لمساعدتك في العثور على الثغرات الأمنية وإصلاحها قبل أن تصبح مشكلة قانونية. وفي حال عدم توفّر قناة لقبول تقارير الثغرات الأمنية، قد يتخلّى الأفراد الذين يحدّدون الثغرات الأمنية عن محاولة الإبلاغ عنك أو قد يكشفون عن المشكلة بشكل علني في محاولة للفت انتباه المستخدمين إلى هذه المشكلة وضمان إصلاحها.
علاقات عامة
استنادًا إلى تجربة فريق العلاقات العامّة في ما يتعلّق بأمان المعلومات، يمكن أن تتراوح ردود أفعال فريق العلاقات العامّة لديك بشأن اقتراح بدء VDP من "متى نبدأ؟" إلى الصدمة ورفض الفكرة تمامًا. بينما بدأ التصور العام بشأن القرصنة في التحول بشكل أكثر إيجابية، لا تزال كلمة هاكر تحمل دلالات سلبية للعديد من الأشخاص. يوضح الجدول التالي الأسئلة والمخاوف الشائعة من العلاقات العامة، بالإضافة إلى كيفية التعامل مع هذه الاعتراضات.
السؤال/الاعتراض | الإجابة المحتملة |
---|---|
أليس المخترقون شريرين؟ هل دعوتهم لاختراق الحسابات تطلب منا فقط مواجهة مشكلة؟ | لا، المجرمون سيظلون دائمًا يرغبون في الاختراق والاستغلال، ولكن ينشئ VDP طريقة للعمل مع المخترقين الذين يريدون فعل الشيء الصحيح، ومساعدتنا في العثور على الثغرات الأمنية وإصلاحها. وإذا أراد أحدهم التصرف بشكل شرير، فلن يمنعه VDP من ذلك. |
ماذا لو اخترق المخترق حقًا، بدلاً من مساعدتنا؟ | وإذا كان أحد المستخدِمين يمتلك نوايا سيئة، لن يتمكّن على الأرجح من المشاركة في "مؤتمر مطوّري البرامج للنشر". وبدلاً من ذلك، قد يحاولون البقاء مجهولين قدر الإمكان عند مهاجمتنا. ويُمكننا استخدام VDP من العمل مع الباحثين في مجال الأمان الذين يرغبون في المساعدة. |
من خلال طلب المساعدة من المخترقين، هل نعترف بأن أماننا يُعد سيئًا؟ | لا تمتلك أي مؤسسة أمانًا مثاليًا. تدير العديد من المؤسسات المعروفة جيدًا في العديد من المجالات مجالات إفشاء للثغرات العامة أو برامج للمكافآت لتحسين عملياتها الأمنية الحالية. يستفيد منتدى القرصنة العالمي من شبكة أمان للمساعدة في العثور على أي شيء يواجه التصدّي وإصلاحها. في الواقع، يمكن استخدام VDP لإنشاء علاقات إيجابية بشأن الأمان. |
ماذا لو كشف أحد المخترقين علنًا عن كيفية الاستيلاء علينا؟ ألن نبدو سيئين؟ | يعتمد ذلك على سرد نص الرسالة وطبيعته. وتقع على عاتقنا مسؤولية العمل مع المخترقين لتحديد البنود المقبولة حول كيفية عمل الإفشاء. لا تشجع معظم المؤسسات على الكشف بشكل عام عن المشكلات المحددة إلى أن يتم إصلاحها، وتعمل عادةً مع المخترق على الكتابة أو المدونة. فبدون وسيلة منظمة لقبول تقارير الثغرات الأمنية والمشاركة في هذا الحوار مع المخترقين، تزيد من مخاطرة شعور شخص ما بالإحباط والانتقال مباشرةً إلى الصحافة بسبب عدم تمكنه من الاتصال بنا. تشجع العديد من المؤسسات الباحثين في مجال الأمان بشكل استباقي على كتابة تجربتهم في العمل مع المؤسسة، حيث إنها تُبرز نجاح VDP. وهذا يشجع على المشاركة من المخترقين الماهرين الآخرين في المنتدى. |
كيف يمكننا التأكّد من أنّ VDP سينجح في تحقيق النتائج المرجوة؟ ماذا يحدث إذا حققنا انتشارًا عامًا وحدث أمر سيء؟ | تبدأ معظم منافذ VDP في الوضع "الخاص"، حيث لا يتم الإعلان عن البرنامج علنًا، ولا تتم دعوة سوى عدد قليل من المخترقين للمشاركة. وبمرور الوقت، تتم دعوة المزيد من المخترقين، ويتم توسيع نطاق البرنامج تدريجيًا ليشمل إطلاقًا والإعلان علنًا. وسنحرص على مواكبة التوقيت وإطلاعك على آخر المستجدات حول موعد إطلاق البرنامج علنًا. وعند حدوث ذلك، يمكننا تسليط الضوء عليه باعتباره قصة إيجابية عن كيفية عمل المؤسسة مع منتدى باحثي الأمان الخارجيين لتحسين الأمان والحفاظ على أمان المستخدمين. |
مجال المبيعات
يحتاج فريق المبيعات التابع لك إلى أدلة لتوضيح الفوائد التي تقدمها شركتك للتفوق على المنافسين. وكجزء من عملية المبيعات، تخضع المؤسسات غالبًا لمراجعة أمان أو تدقيق من المورّد لضمان ثقة العميل. يوضح وجود VDP للعملاء أن لديك برنامج أمان للكبار مخصصًا ويعززه من خلال العمل مع باحثين أمنيين خارجيين. بالإضافة إلى ذلك، إذا لم يكن لدى منافسيك المقرّبين مُمثّل تطوير نشاط تجاري، يمكن استخدام ذلك كميزة عند التحدّث إلى العملاء المحتملين. تعاون مع فريق البيع لإنشاء قصة لمشاركته مع العملاء المحتملين عندما تنشأ أسئلة حول أمان المؤسسة.
على سبيل المثال:
نستعين ببرنامج الكشف عن الثغرات الأمنية لتعزيز عمليات الأمان القوية الحالية، والتي تعمل كشبكة أمان أو مراقبة الحي للمساعدة في تحديد أي مشاكل أمنية في الإنتاج في الوقت الفعلي تقريبًا. ويساعدنا ذلك على ضمان أمان بياناتك من خلال الحد من احتمالية حدوث عمليات اختراق. يمنحنا هذا ميزة قوية عن منافسينا الذين ليس لديهم برنامج إفشاء عن الثغرات الأمنية. |
شؤون مالية
قد تكون الخدمات المالية أكثر ارتباطًا عند الانتقال من VDP إلى برنامج مكافآت الثغرات الأمنية (VRP)، ولكن يجب تضمينها إذا اشتريت خدمات من نظام أساسي تابع لجهة خارجية. إذا قرّرت التعامل مع مورّد من جهة خارجية للمساعدة في إعداد VDP، ستحتاج على الأرجح إلى وضع ميزانية لهذه الخدمات. قد يبدو هذا أمرًا بسيطًا، ولكن من الأفضل التحدث مع الفريق المالي في وقت مبكر لفهم العملية التي يتّبعها.
نهج الاتصالات
لإتمام عملية مشاركة الجهات المعنيّة، عليك تحديد أفضل طرق التواصل لمؤسستك. إذا كنت تتوقع أن معظم مؤسساتك ستقبله، يمكنك في كثير من الأحيان المتابعة باقتراح واحد، وطلب التعليقات، وعقد اجتماع واحد لمناقشة أي أسئلة ومخاوف. إذا لم تنجح هذه الطريقة في مؤسستك، فقد يكون من الأفضل عقد اجتماعات مع أصحاب المصالح بشكلٍ فردي لمناقشة أسئلتهم أو استفساراتهم الشخصية. كن مستعدًا للتعامل مع الاعتراضات أو الأسئلة حول المخاطر المرتبطة بإنشاء VDP. عندما تطرح فكرة VDP على مستوى مؤسستك، عليك بيع الفوائد ومعالجة المخاطر الحقيقية والملاحظة بثقة.