فريق الأمان
فريق الأمان هو الطرف المعني الأكثر أهمية في VDP. بالإضافة إلى العمل المطلوب للاستعداد لتشغيل VDP وتشغيله، من الصعب الاستعانة بأعضاء فريق الأمان من خارج فريق الأمان لشرائه.
في بعض الأحيان، يمكن أن يكون هناك شعور بالفخر أو الدفاع عندما يتعلق الأمر بتقديم VDP. قد يشعر فريق الأمن أن باحثي الأمان الخارجيين الذين يحددون الثغرات الأمنية التي فاتتهم سيسلطون الضوء على أخطاءهم. تمتلك الشركات مساحات عرض كبيرة ومعقدة للهجوم، ولا يكون من المتوقع أن يحصل فريق الأمن على تغطية مثالية. لا ينبغي أن يكون السرد يشير بالأصابع أو اللوم على أي شخص. وعندما يجد الباحثون ثغرات أمنية، يجب استخدام هذه البيانات كملاحظات قابلة للتنفيذ لمساعدة فريقك على تحسين الوضع الأمني لمؤسستك. سيكون تغيير طريقة تفكير فريق الأمان في التعامل مع المخترقين الخارجيين امتدادًا لفريقك، وليس خصومك، أمرًا ضروريًا. كما ذكرنا سابقًا، عليك أيضًا التأكّد من أنّ فريق الأمان قد أجرى محادثة استباقية حول كيفية التعامل مع آليات الرصد والاستجابة من حيث صلتها بـ VDP.
إيطاليا
تعني تكنولوجيا المعلومات أشياء مختلفة للمؤسسات المختلفة، ولكل شركة مجموعة خاصة بها من الأدوار المتعلقة بتكنولوجيا المعلومات. لغرض هذا الدليل، نفترض أن تكنولوجيا المعلومات تشير إلى الأفراد والفرق المسؤولين عن إعداد وصيانة ودعم الأنظمة والخدمات التي تعتمد عليها الشركة. ترغب فِرق تكنولوجيا المعلومات بشكل عام في الحفاظ على استمرارية العمل. غالبًا ما يرتبط هذا بشكل مباشر بمقاييس النجاح (على سبيل المثال، وقت التشغيل بدون انقطاع). على الرغم من أن فكرة دعوة المخترقين للاختبار مقابل الأنظمة والخدمات التي لديهما قد تبدو مخيفة، إلا أنها تفيد قسم تكنولوجيا المعلومات بشكل كبير. لا يلتزم المجرمون بأي قواعد، وقد يحاولون مهاجمة مؤسستك. من خلال إنشاء قناة موحّدة للمخترقين الجيدين للعمل مع مؤسستك، يمكنك زيادة فرص تحديد المشاكل الأمنية وإصلاحها قبل أن يستغلها المجرمون. وتتحمل عمليات اختراق البيانات تكاليف ضخمة مرتبطة بها، بما في ذلك الوقت الذي يقضيه فريق تكنولوجيا المعلومات وجهات أخرى، بالإضافة إلى فترات توقُّف عن العمل محتملة إذا احتاجت أصولاً إلى إغلاقها أو تقسيمها مؤقتًا نتيجة حدوث اختراق لها. يمكن أن يساعد وجود VDP في تقليل مخاطر الخرق. بالإضافة إلى ذلك، يمكن لاستطلاع المخترقين المساعدة في اكتشاف الأصول وتحديد الأنظمة والخدمات المخادعة التي تم انشغالها بدون تدخُّل فريق تكنولوجيا المعلومات.
هندسة
ما لم يتولّى فريق الأمان مهمة إصلاح الثغرات الأمنية نيابةً عن فريقك الهندسي، ستحتاج إلى مؤسستك الهندسية للانضمام إلى VDP. لا أحد يحب العمل غير المتوقع، وتقدم VDP مجموعة جديدة من الثغرات الأمنية التي تحتاج الفِرق الهندسية إلى معالجتها. من المهم العمل مع القيادة في المؤسسة الهندسية للتأكّد من إدراكهم للجدول الزمني المرتبط بإطلاق VDP، والحصول على دعمهم من أجل تخصيص موارد لإصلاح الأخطاء. عند إطلاق VDP، عادةً ما يكون هناك ارتفاع مفاجئ في عدد الأخطاء في البداية، ثم يتلاعب بعد ذلك إلى مستوى معتدل. إن وجود هندسة جاهزة لإصلاح الكثير من الأخطاء في الأسابيع القليلة الأولى من البرنامج يمكن أن يساعد في جعل العملية أكثر سلاسة للفريق الهندسي وفريق الأمان والمخترقين المشاركين في VDP. نظرًا لأنك تطلب من الفريق الهندسي القيام بعمل إضافي، فمن المفيد توضيح الفوائد التي سيحصلون عليها من VDP.
شؤون قانونية
تحب الفرق القانونية تقليل المخاطر. إنّ مفهوم دعوة المخترقين بشكل استباقي لاختراق مؤسستك، بدون سياق إضافي، قد يبدو محفوفًا بالمخاطر للغاية. من المهم العمل مع فريقك القانوني لمعرفة كيف يمكن لـ VDP تقليل المخاطر الأمنية ليس فقط، بل أيضًا تقليل المخاطر القانونية. وسواء كان لديك VDP أم لا، ستكون الثغرات الأمنية موجودة. بدون VDP، لن يكون للمخترقين الذين يريدون فعل الشيء الصحيح وإبلاغك بالمشكلة طريقة قياسية للوصول إليك. إنّ استخدام VDP يوفّر وسيلة للباحثين الأمنيين لمساعدتك في العثور على الثغرات الأمنية وإصلاحها قبل أن تصبح مشكلة قانونية. وبدون وجود قناة لقبول تقارير الثغرات الأمنية، قد يتخلى الأشخاص الذين يكتشفون وجود ثغرات أمنية عن محاولة الإبلاغ عنها لك، أو ربما يفصحون عن المشكلة علانيةً في محاولة للفت الانتباه إليها وضمان إصلاحها.
علاقات عامة
واستنادًا إلى تجربة فريق العلاقات العامة في ما يتعلّق بأمان المعلومات، قد تتراوح ردود أفعال فريق العلاقات العامة حول أمان المعلومات حول اقتراح إطلاق VDP من "متى سنبدأ؟" أو حدوث صدمة أو رفض تام للفكرة. على الرغم من أنّ النظرة العامة حول عمليات الاختراق قد بدأت في التغير بشكل إيجابي، إنّ كلمة هاكر لا تزال تحمل دلالات سلبية لدى العديد من الأشخاص. يوضح الجدول التالي الأسئلة والمخاوف الشائعة من العلاقات العامة، بالإضافة إلى كيفية التعامل مع هذه الاعتراضات.
السؤال/الاعتراض | الإجابة المحتملة |
---|---|
أليس المتطفلون شرًا؟ هل دعوتهم لاختراق مؤسستنا مجرد طلب للمشكلة؟ | لا، لأنّ المجرمين موجودين دائمًا ويريدون اختراقنا واستغلالنا، إلا أنّ برنامج VDP يوفّر وسيلة للعمل مع المخترقين الذين يريدون فعل الإجراء الصحيح ومساعدتنا في العثور على الثغرات الأمنية وإصلاحها. إذا أراد شخص ما أن يكون شريرًا، فلن يمنعه VDP. |
ماذا لو اخترقنا المخترِق فعلاً بدلاً من مساعدتنا؟ | إذا كانت لدى المستخدم نوايا سيئة، من المرجّح ألّا يشارك في البرنامج. بدلاً من ذلك، قد يحاولون البقاء مجهولين قدر الإمكان عند مهاجمتهم. يتيح لنا توفّر VDP العمل مع الباحثين في مجال الأمان الذين يرغبون في تقديم المساعدة. |
من خلال طلب المساعدة من المخترِقين، هل نعترف بأنّ أماننا سيئ؟ | ما مِن مؤسسة لديها مستوى أمان مثالي. تعمل العديد من المؤسسات المعروفة في العديد من المجالات على تنفيذ برامج الإفصاح عن الثغرات الأمنية العامة أو تقديم مكافآت الأخطاء البرمجية لتعزيز العمليات الأمنية الحالية. إن الاستفادة من مجتمع القرصنة العالمي يُعد شبكة أمان للمساعدة في العثور على أي شيء يمكن تفاديه وإصلاحها. في الواقع، يمكن استخدام VDP من أجل علاقات عامة للأمان الإيجابي. |
ماذا لو كشف أحد المتطفلين علنًا عن كيفية اختراقنا؟ ألن نبدو سيئين؟ | ويعتمد ذلك على طبيعة الإفصاح وسرده. إنّ الأمر متروك لنا للعمل مع المخترقين لتحديد بنود مقبولة حول آلية عمل الإفصاح. لا تشجع معظم المؤسسات الكشف العام عن المشكلات المحددة إلا بعد إصلاحها، وعادة ما تعمل مع المخترِق على الموقع الإلكتروني أو المدونة. وبدون وسيلة منظمة لقبول تقارير الثغرات الأمنية والمشاركة في هذا الحوار مع المخترقين، يزيدنا من خطر شعور أحد الأشخاص بالإحباط والتوجه مباشرة إلى الصحافة لعدم قدرتهم على الاتصال بنا. تشجّع العديد من المؤسسات الباحثين في مجال الأمان بشكل استباقي على كتابة خبراتهم في العمل مع المؤسسة، لأنها تسلط الضوء على نجاح "برنامج الحماية المتقدّمة" (VDP). وهذا يشجع على المشاركة من المخترِقين المهرة الآخرين في المجتمع. |
كيف يمكننا التأكد من أنّ برنامج VDP مناسب لنا؟ ماذا لو ذهبنا إلى الجمهور وحدث شيء سيئ؟ | تبدأ معظم برامج VDP في الوضع "الخاص"، حيث لا يتم الإعلان عن البرنامج علنًا، وتتم دعوة عدد قليل من المخترقين للمشاركة فقط. وبمرور الوقت، تتم دعوة المزيد من المخترقين، ويتم توسيع نطاق البرنامج تدريجيًا نحو مرحلة الإطلاق والإعلان "العام". سنظل على اطّلاع على التوقيت ونبقيك على اطلاع دائم بموعد إطلاق البرنامج للجمهور. عندما يتم ذلك، يمكننا إبرازها كقصة إيجابية في كيفية عمل المؤسسة مع مجتمع الباحثين في مجال الأمان الخارجي لتحسين الأمان والحفاظ على أمان المستخدمين. |
مجال المبيعات
يحتاج فريق المبيعات لديك إلى دليل لإثبات الفوائد التي يجب أن تقدمها شركتك على المنافسين. كجزء من عملية المبيعات، غالبًا ما تخضع المؤسسات لمراجعة أو تدقيق أمان البائع لضمان ثقة العملاء. إنّ استخدام VDP يثبت لعملائك أنّ لديك برنامج أمان متقنًا ويعززه من خلال العمل مع باحثين أمنيين خارجيين. بالإضافة إلى ذلك، إذا لم يكن لدى منافسيك القريبين منك مؤشر VDP، يمكن استخدام ذلك كميزة عند التحدث مع العملاء المحتملين. اعمل مع فريق المبيعات لإنشاء سرد لمشاركته مع العملاء المحتملين عند ظهور أسئلة حول أمان المؤسسة.
على سبيل المثال:
نستخدم برنامج الإفصاح عن الثغرات الأمنية من أجل تعزيز عمليات الأمان الفعّالة الحالية، والتي تعمل كشبكة أمان أو مراقبة الحيز للمساعدة في تحديد أي مشاكل أمنية في مرحلة الإنتاج في الوقت الفعلي تقريبًا. يساعدنا ذلك في ضمان أمان بياناتك من خلال الحدّ من احتمال حدوث انتهاكات. يمنحنا هذا ميزة قوية على منافسينا الذين لا يمتلكون برنامج الكشف عن الثغرات الأمنية. |
شؤون مالية
من المرجح أن يكون الشؤون المالية أكثر تفاعلاً عند الانتقال من VDP إلى برنامج مكافآت الثغرات الأمنية (VRP)، ولكن يجب تضمينها إذا اشتريت خدمات من نظام أساسي تابع لجهة خارجية. إذا قررت التعامل مع بائع تابع لجهة خارجية للمساعدة في إعداد VDP، ستحتاج على الأرجح إلى إعداد ميزانية لهذه الخدمات. قد يبدو الأمر بسيطًا، لكن من الجيد التحدث مع فريقك المالي في وقت مبكر لفهم عمليته.
نهج الاتصالات
لتحقيق موافقة الطرف المعني، ستحتاج إلى تحديد أفضل أساليب التواصل لمؤسستك. وإذا كنت تتوقع أن يكون معظم أفراد مؤسستك مقبولين، يمكنك المضي قدمًا في اقتراح واحد، وطلب الملاحظات، وإجراء اجتماع واحد لمناقشة أي أسئلة ومخاوف. إذا لم ينجح هذا النهج في مؤسستك، فقد يكون الاجتماع مع الأطراف المعنية بشكل فردي لمناقشة أسئلتهم أو مخاوفهم الشخصية نهجًا أفضل. كن مستعدًا للتعامل مع الاعتراضات أو الأسئلة المتعلقة بالمخاطر المرتبطة ببدء برنامج VDP. عند عرض فكرة برنامج VDP على مستوى مؤسستك، ستحتاج إلى بيع المزايا والتعامل بثقة مع المخاطر الحقيقية والمتوقّعة.