Zespół ds. bezpieczeństwa
Zespół ds. bezpieczeństwa jest najważniejszą stroną w sprawach dotyczących Twojego VDP. Jeśli Twój zespół ds. zabezpieczeń nie został włączony, oprócz przygotowania zespołu do uruchomienia i uruchomienia VDP trudniej jest poprosić o pomoc osoby spoza Twojego zespołu.
Czasami dumnie lub bardzo defensywnie walczysz o wprowadzenie VDP. Zespół ds. bezpieczeństwa może uważać, że zewnętrzni specjaliści ds. bezpieczeństwa identyfikujący luki w zabezpieczeniach, rzucają światło na ich błędy. Firmy mają duże i złożone obszary ataku, a zespoły ds. bezpieczeństwa nie są w stanie zapewnić wszystkich usług. Nie pisz o palcach ani oskarżać innych o ich obecność. Ponieważ badacze znajdują luki w zabezpieczeniach, te dane powinny służyć jako przydatne informacje, które pomogą Twojemu zespołowi poprawić bezpieczeństwo organizacji. Niezbędna jest zmiana nastawienia zespołu ds. zabezpieczeń do roli zewnętrznych hakerów jako rozszerzenia zespołu, a nie przeciwników. Jak już wspomnieliśmy, warto zadbać o to, aby Twój zespół ds. bezpieczeństwa prowadził aktywną rozmowę na temat obsługi mechanizmów wykrywania i reagowania w odniesieniu do VDP.
IT
Technologia informacyjna oznacza różne rzeczy dla różnych organizacji, a każda firma ma swój własny zestaw ról informatycznych. Na potrzeby tego przewodnika zakładamy, że dział IT odnosi się do osób i zespołów odpowiedzialnych za konfigurację, obsługę oraz obsługę systemów i usług obsługiwanych przez firmę. Zwykle zespoły IT chcą, aby wszystko działało. Często jest to bezpośrednio powiązane ze wskaźnikami sukcesu (na przykład bez przerwy). Chociaż zaproś użytkowników do przeprowadzenia testów na systemach i w usługach, które oferuje, może wydawać się straszny, w rzeczywistości przynosi to jednak wiele korzyści informatykom. Przestępcy nie przestrzegają żadnych reguł i mogą próbować zaatakować Twoją organizację. Utworzenie ustandaryzowanego kanału, który umożliwia dobrym hakerom współpracę z organizacją, zwiększa szanse na zidentyfikowanie i rozwiązanie problemów związanych z bezpieczeństwem, zanim zostaną one wykorzystane przez przestępców. Z postępami naruszenia zasad wiążą się wysokie koszty, w tym czas poświęcany przez działy IT i innych podmiotów, a także potencjalne przerwy w ich działaniu, jeśli w wyniku naruszenia prawa wymagane jest tymczasowe wyłączenie zasobów lub ich podział na segmenty. Korzystanie z VDP może pomóc w zmniejszeniu ryzyka naruszenia bezpieczeństwa. Ponadto rekonstrukcja ataków może ułatwić wykrywanie zasobów oraz identyfikację oszukańczych systemów i usług, które pojawiły się bez udziału informatyków.
Inżynieria
Jeśli Twój zespół ds. bezpieczeństwa nie zajmuje się naprawą luk w zabezpieczeniach w Twoim imieniu, Twój zespół inżynierów musi wziąć udział w projekcie VDP. Nikt nie lubi nieoczekiwanych efektów, a VDP wprowadza nowy strumień luk w zabezpieczeniach, którym muszą się zająć zespoły inżynierów. Ważne jest, aby współpracować z liderami w organizacji inżynierskiej, aby mieć świadomość tego, jaki jest harmonogram wprowadzania VDP, oraz jak zachęcić do tego osoby, które poświęcą zasoby na naprawę błędów. Po uruchomieniu VDP na początku występuje zwykle nagły wzrost liczby błędów, a następnie ingeruje on w umiarkowaną wagę. W ciągu pierwszych kilku tygodni przygotowań do usunięcia wielu błędów pomoże Ci znacznie usprawnić cały proces. Prosimy zespół inżynierów o wykonanie dodatkowych czynności, dlatego warto pokazać, jakie korzyści mogą odnieść dzięki VDP.
Legal
Zespoły prawne lubią ograniczać ryzyko. Istnieje koncepcja proaktywnego zapraszania hakerów – bez dodatkowej kontekstu – może być bardzo ryzykowna. Ważne jest, aby we współpracy z zespołem prawnym przeanalizować, w jaki sposób używanie VDP może ograniczyć nie tylko zagrożenia dla bezpieczeństwa, ale również kwestie prawne. Niezależnie od tego, czy masz VDP, luki w zabezpieczeniach będą widoczne. Bez VDP hakerzy, którzy chcą działać prawidłowo i informować Cię o problemie, nie będą mogli w standardowy sposób się z Tobą skontaktować. Platforma VDP jest przeznaczona dla badaczy bezpieczeństwa, którzy mogą znaleźć i naprawić luki w zabezpieczeniach, zanim staną się potencjalnie niezgodne z prawem. Jeśli nie przyjmiesz zgłoszeń o lukach w zabezpieczeniach, osoby, które identyfikują luki w zabezpieczeniach, mogą zrezygnować z zgłaszania luk w zabezpieczeniach lub publicznie ujawnić ten problem, starając się go zwrócić i rozwiązać.
Public relations
W zależności od doświadczenia zespołu ds. PR i ochrony danych w zakresie bezpieczeństwa informacji reakcje zespołu ds. PR na propozycję wprowadzenia VDP mogą się wahać od „Kiedy zaczynamy?”, a nawet szokować. Choć publiczne postrzeganie ataków hakerskich zmieniło się bardziej, słowo haker wciąż ma wiele negatywnych konotacji. W tej tabeli znajdziesz odpowiedzi na najczęstsze pytania i uwagi dotyczące PR-u oraz metody radzenia sobie z tymi zastrzeżeniami.
| Pytanie/Zastrzeżenie | Przykładowa odpowiedź |
|---|---|
| Czy hakerzy nie są złe? Czy zachęcasz widzów, żeby włamali się na nasze konto? | Nie. Przestępcy zawsze będą istnieć i chcą zhakować i wykorzystywać nas, ale VDP tworzy sposób na współpracę z hakerami, którzy chcą właściwie wykonywać swoje obowiązki, i pomagają nam w znajdowaniu oraz naprawianiu luk w zabezpieczeniach. Jeśli ktoś chce być zły, platforma VDP tego nie powstrzyma. |
| Co w sytuacji, gdy haker faktycznie zaatakuje nas zamiast nam pomóc? | Jeśli ktoś ma złe zamiary, prawdopodobnie nie weźmie udziału w VDP. Mogą natomiast pozostać anonimowi podczas ataku. Dzięki VDP możemy współpracować z badaczami zabezpieczeń, którzy chcą pomóc. |
| Prosząc o pomoc hakerom, przyznajesz nam, że nasze bezpieczeństwo jest złe? | Żadna organizacja nie ma doskonałych zabezpieczeń. Wiele bardzo znanych organizacji z różnych branż korzysta z programów ujawniania informacji o lukach w zabezpieczeniach lub programów do poszukiwania błędów, aby ulepszać swoje procesy zabezpieczeń. Korzystanie z globalnej społeczności hakerskiej to dobry sposób na znalezienie i naprawienie wszystkich błędów, które mogły się pojawić. Korzystanie z platformy VDP może być korzystne dla PR. |
| Co w sytuacji, gdy haker ujawni publicznie, jak zaatakował nas? Czyż nie będziemy źle? | To zależy od narracji i charakteru oświadczenia. Zadaniem hakerów jest określenie sposobu ich działania. Większość organizacji odradza ujawnianie publicznie informacji o wykrytych problemach do czasu ich naprawienia. Zwykle współpracują z hakerem w zapisie lub na blogu. Bez strukturalnego sposobu akceptowania raportów o lukach w zabezpieczeniach i prowadzenia dialogu z hakerami zwiększamy ryzyko, że ktoś będzie denerwował się i przechodził bezpośrednio do prasy, ponieważ nie mógł się z nami skontaktować. Wiele organizacji aktywnie zachęca weryfikatorów do dzielenia się doświadczeniami we współpracy z organizacjami ds. bezpieczeństwa, ponieważ podkreślają sukces VDP. Dzięki temu zachęcasz innych, by dołączyli do społeczności. |
| Jak możemy mieć pewność, że VDP nam odpowiada? Co zrobić, jeśli upublicznimy coś i zdarzy się coś złego? | Większość VDP działa w trybie prywatnym, w którym program nie jest publikowany publicznie i jedynie garstka hakerów zaprasza do udziału w nim. Z czasem zapraszamy do tego coraz więcej hakerów, a program stopniowo rozwija się w stronę „premiery” i ogłoszenia. Będziemy na bieżąco informować Cię o terminie wprowadzenia programu na rynek. W ten sposób możemy poinformować o tym, jak organizacja współpracuje z zewnętrzną społecznością zajmującą się badaniami nad bezpieczeństwem, aby poprawić bezpieczeństwo i zapewnić użytkownikom bezpieczeństwo. |
Sprzedaż
Twój zespół sprzedażowy potrzebuje dowodów na to, że Twoja firma ma korzyści, które oferuje Twoja firma. W ramach procesu sprzedaży organizacje często poddają się kontroli bezpieczeństwa lub kontroli, aby zapewnić zaufanie klienta. Korzystanie z platformy VDP pokazuje klientom, że masz już dojrzały program zabezpieczeń, i uzupełniasz go dzięki dodatkowej współpracy z zewnętrznymi badaczami bezpieczeństwa. Dodatkowo, jeśli Twoi konkurenci nie mają VDP, możesz wykorzystać tę możliwość w przypadku rozmów z potencjalnymi klientami. Współpracuj z zespołem sprzedaży, aby utworzyć narrację, która będzie dostępna dla potencjalnych klientów w razie pytań o bezpieczeństwo organizacji.
Na przykład
| Stosujemy program ujawniania luk w zabezpieczeniach, aby uzupełniać nasze istniejące rozbudowane procesy zabezpieczeń, które działają jak siatka bezpieczeństwa lub sąsiedztwo, dzięki czemu pomagają w rozwiązywaniu problemów produkcyjnych niemal w czasie rzeczywistym. Pomaga to chronić Twoje dane, zmniejszając ryzyko naruszenia bezpieczeństwa. Daje nam to dużą przewagę nad konkurencją, która nie ma programu ujawniania luk w zabezpieczeniach. |
Finanse
Jeśli zdecydujesz się przejść z programu VDP na program luk w zabezpieczeniach, musisz uwzględnić te środki w finansach, gdy kupujesz usługi na platformie innej firmy. Jeśli chcesz skonfigurować VDP przy współpracy z zewnętrznym dostawcą, pewnie musisz ustawić budżet dla tych usług. Może to wydawać się niewielkie, ale warto najpierw porozmawiać z zespołem finansowym na temat tych procesów.
Podejście do komunikacji
Aby go osiągnąć, musisz wybrać najlepsze metody komunikacji dla swojej organizacji. Jeśli spodziewasz się, że większość osób w Twojej organizacji będzie się z nimi zgadzać, możesz często poprosić o jedną propozycję, poprosić o opinię i przeprowadzić jedno spotkanie, aby omówić wszelkie pytania i wątpliwości. Jeśli takie podejście nie sprawdzi się w Twojej organizacji, spotkanie z zainteresowanymi osobami, by omówić ich osobiste pytania lub wątpliwości, może być lepszym sposobem. Przygotuj się do obsługi zastrzeżeń i pytań związanych z ryzykiem związanym z rozpoczęciem korzystania z VDP. Promując koncepcję VDP w swojej organizacji, musisz sprzedawać korzyści i pewnie radzić sobie z prawdziwymi i postrzegającymi zagrożeniami.