Güvenlik ekibi
Güvenlik ekibi, VDP'nizin en önemli paydaşıdır. Bir VDP başlatmaya ve yürütmeye hazırlanmak için gereken çalışmaların yanı sıra, güvenlik ekibiniz bu çalışmaya dahil değilse güvenlik ekibinin dışındakilerin ikna olması daha zor olur.
Bazen bir VDP tanıtılırken gurur veya savunma hissi oluşabilir. Güvenlik ekibi, gözden kaçırdıkları güvenlik açıklarını tespit eden kuruluş dışından güvenlik araştırmacılarının hatalarını aydınlatacağını düşünebilir. Şirketler büyük ve karmaşık saldırı yüzeylerine sahiptir ve güvenlik ekibinden kusursuz bir kapsama sahip olması beklenemez. Anlatımda kimseyi suçlamamalı veya suçlama olmamalıdır. Araştırmacılar güvenlik açıklarını bulurken bu veriler, ekibinizin kuruluşunuzun güvenlik durumunu iyileştirmesine yardımcı olacak işlem yapılabilir geri bildirim olarak kullanılmalıdır. Güvenlik ekibinizin düşünce yapısını, dış bilgisayar korsanlarını düşman olarak değil, ekibinizin bir uzantısı olarak kabul edecek şekilde değiştirmek hayati önem taşır. Daha önce de belirtildiği gibi, güvenlik ekibinizin VDP'nizle ilgili olarak tespit ve müdahale mekanizmalarını nasıl ele alacakları konusunda proaktif bir konuşma yapmasını da istersiniz.
IT
Bilgi teknolojisi farklı kurumlar için farklı anlamlara gelir ve her şirketin BT ile ilgili kendine özgü rolleri vardır. Bu kılavuzun amacı doğrultusunda, BT'nin işletmenin dayandığı sistemleri ve hizmetleri kurmak, sürdürmek ve desteklemekten sorumlu olan kişileri ve ekipleri belirttiğini varsayıyoruz. BT ekipleri genellikle her şeyin yolunda gitmesini ister. Bu genellikle doğrudan başarı metrikleriyle ilgilidir (örneğin, kesintisiz kesintisiz çalışma süresi). Bilgisayar korsanlarını, sundukları sistemler ve hizmetlerle ilgili testler yapmaya davet etme düşüncesi korkunç görünse de aslında BT'ye büyük fayda sağlar. Suçlular hiçbir kurala uymaz ve kuruluşunuza saldırmaya çalışabilir. İyi bilgisayar korsanlarının kuruluşunuzla birlikte çalışabilmesi için standartlaştırılmış bir kanal oluşturarak güvenlik sorunlarını suçlular tarafından istismar edilmeden önce tanımlama ve düzeltme şansını artırabilirsiniz. Güvenlik ihlalleri, büyük maliyetlere yol açar. BT ve diğer çalışanlar tarafından harcanan süre ve varlıkların bir ihlal nedeniyle geçici olarak kapatılması veya segmentlere ayrılması gerekirse kapalı kalma süresi olasılığı da bulunur. Bir VDP'nin olması, ihlal riskini azaltmaya yardımcı olabilir. Ayrıca, bilgisayar korsanı keşfi, varlık keşfine ve BT ekibinin müdahalesi olmadan oluşturulan dolandırıcı sistemlerin ve hizmetlerin tespit edilmesine de yardımcı olabilir.
Mühendislik
Güvenlik ekibiniz, güvenlik açıklarını mühendislik ekibiniz adına düzeltme görevini üstlenmediği sürece mühendislik organizasyonunuzun VDP'nize katılmasını sağlamanız gerekir. Hiç kimse beklenmedik çalışmaları sevmez ve VDP'ler, mühendislik ekiplerinin ele alması gereken yeni bir güvenlik açıkları akışı getirir. VDP'nizin lansmanıyla ilişkili zaman çizelgesinden haberdar olmalarını sağlamak ve hataları düzeltmek için kaynakları tahsis etmek üzere kendilerinden onları ikna etmek amacıyla mühendislik organizasyonundaki liderlerle çalışmak önemlidir. Bir VDP başlatıldığında genellikle başta hatalarda ani bir artış olur, daha sonra orta düzeyde bir değişiklik olur. Programınızın ilk birkaç haftasında çok sayıda hatayı düzeltmeye hazır mühendisliğe sahip olmak; mühendislik ekibi, güvenlik ekibi ve VDP'nize katılan bilgisayar korsanları için süreci çok daha sorunsuz hale getirmeye yardımcı olabilir. Mühendislik ekibinden ek iş yapmalarını istediğinizden, bir VDP'den elde edecekleri faydaları göstermek yararlı olacaktır.
Legal
Hukuk ekipleri riski azaltmayı sever. Bilgisayar korsanlarını kuruluşunuza saldırmaları için proaktif olarak davet etme kavramı çok riskli görünebilir. VDP'nin yalnızca güvenlik risklerini değil, aynı zamanda yasal riskleri de nasıl azaltabileceğini görmek için hukuk ekibinizle çalışmanız önemlidir. VDP'niz olsun veya olmasın, güvenlik açıkları olacaktır. VDP olmadan, doğru şeyi yapmak isteyen ve sorun hakkında sizi bilgilendiren bilgisayar korsanlarının size ulaşmak için standart bir yolu olmayacaktır. VDP'nin uygulanıyor olması, güvenlik araştırmacılarının yasal bir sorun haline gelmeden önce güvenlik açıklarını bulup düzeltmenize yardımcı olmaları için bir araç sağlar. Güvenlik açığı raporlarını kabul eden bir kanal olmadan, güvenlik açıklarını tespit eden kişiler durumu size bildirme girişiminden vazgeçebilir veya dikkat çekmek ve düzeltilmesini sağlamak için sorunu herkese açık bir şekilde ifşa edebilir.
Halkla ilişkiler
Halkla ilişkiler (PR) ekibinizin bilgi güvenliği konusundaki deneyimine bağlı olarak, Halkla İlişkiler ekibinizin bir VDP başlatma teklifiyle ilgili tepkileri "ne zaman başlıyoruz?" veya şoke etme ve fikri tamamen reddetme olabilir. Bilgisayar korsanlığıyla ilgili genel algı daha olumlu yönde değişmeye başlamış olsa da bilgisayar korsanlığı kelimesi hâlâ birçok kişi için olumsuz çağrışımlar taşımaya devam ediyor. Aşağıdaki tabloda, halkla ilişkiler departmanının yaygın olarak sorduğu sorular ve endişelerin yanı sıra bu itirazların nasıl ele alınacağı özetlenmiştir.
| Soru/İtiraz | Olası Cevap |
|---|---|
| Bilgisayar korsanları kötü değil midir? Onları bize saldırmaya davet etmek sadece sorun istemek mi istiyor? | Hayır. Suçlular her zaman var olacak ve bize saldırıp istismar etmek isteyecekler. Ancak VDP, doğru şeyi yapmak ve güvenlik açıklarını bulup düzeltmemize yardımcı olmak isteyen bilgisayar korsanlarıyla çalışmak için bir alan oluşturur. Birisi kötü olmak isterse VDP onu durdurmaz. |
| Peki bir bilgisayar korsanı bize yardımcı olmak yerine gerçekten bize saldırırsa ne olur? | Bir kişi kötü niyetliyse büyük olasılıkla VDP'ye katılmayacaktır. Bunun yerine, bize saldırırken mümkün olduğunca anonim kalmayı deneyebilirler. VDP'mizin olması, yardımcı olmak isteyen güvenlik araştırmacılarıyla çalışabilmemizi sağlar. |
| Bilgisayar korsanlarından yardım isteyerek kendi güvenliğimizin kötü olduğunu kabul etmiş olur muyuz? | Hiçbir kuruluşun güvenliği kusursuz değildir. Çeşitli sektörlerde tanınmış birçok kuruluş, mevcut güvenlik süreçlerini artırmak için herkese açık güvenlik açıklarını ortaya çıkarma veya hata bulma ödül programları yürütmektedir. Küresel bilgisayar korsanlığı topluluğundan yararlanmak, çatlaklardan dökülen her şeyi bulup düzeltmeye yardımcı olacak bir güvenlik ağıdır. Aslında, bir VDP'nin olması pozitif güvenlik PR'si için kullanılabilir. |
| Bir bilgisayar korsanı bize nasıl saldırıldığını herkese açık bir şekilde ifşa ederse ne olur? Bu, kötü görünmemize yol açmayacak mı? | Bu, açıklamanın anlatımına ve doğasına bağlıdır. Bilgisayar korsanlarıyla, açıklamanın nasıl yapılacağı konusunda üzerinde anlaşmaya varılabilecek şartlar tanımlamak için çalışmak bize düşer. Çoğu kuruluş, tanımlanan sorunların düzeltilene kadar herkese açık şekilde ifşa edilmemesinden vazgeçer ve genellikle yazıda veya blogda bilgisayar korsanıyla birlikte çalışır. Güvenlik açığı raporlarını kabul etmek ve bilgisayar korsanlarıyla bu diyaloga katılmak için yapılandırılmış bir yöntem olmadan, birinin bizimle iletişime geçemediği için öfkelenmesi ve doğrudan basına gitme riskini artırıyoruz. Birçok kuruluş, VDP'nin başarısını vurguladığı için güvenlik araştırmacılarını kuruluşla çalışma deneyimlerini yazmaları için proaktif olarak teşvik eder. Bu, topluluktaki diğer yetenekli bilgisayar korsanlarının katılımını teşvik eder. |
| VDP'nin işimize yarayacağından nasıl emin olabiliriz? Herkese açık olsun ve kötü bir şey olursa ne olur? | Çoğu VDP "gizli" modda başlar. Bu modda program herkese açık olarak duyurulmaz ve programa yalnızca birkaç bilgisayar korsanı davet edilir. Zamanla daha fazla bilgisayar korsanı davet edilir ve programın ölçeği yavaş yavaş "herkese açık" bir lansman ve duyuruya doğru ölçeklendirilir. Zamanlamaya bağlı kalacağız ve programın ne zaman herkese açık olarak başlatılacağı konusunda sizi bilgilendireceğiz. Böyle olduğunda, bunu kuruluşun güvenliği artırmak ve kullanıcıların güvenliğini sağlamak için harici güvenlik araştırmacı topluluğuyla nasıl çalıştığına dair olumlu bir hikaye olarak vurgulayabiliriz. |
Satış
Satış ekibinizin, şirketinizin rakiplere karşı sunduğu avantajları göstermek için kanıta ihtiyacı vardır. Satış sürecinin bir parçası olarak kuruluşlar, müşterilerin güvenini kazanmak için genellikle tedarikçi güvenlik incelemesinden veya denetiminden geçer. Bir VDP'nin yürürlükte olması, müşterilerinize olgun bir güvenlik programınız olduğunu gösterir ve dışarıdan güvenlik araştırmacılarıyla çalışarak bu programı daha da zenginleştirir. Buna ek olarak, yakın rakiplerinizin VDP'si yoksa potansiyel müşterilerle konuşurken bu durum bir avantaj olarak kullanılabilir. Kuruluşun güvenliğiyle ilgili sorular ortaya çıktığında potansiyel müşterilerle paylaşılacak bir hikaye oluşturmak için satış ekibiyle birlikte çalışın.
Örneğin,
| Mevcut sağlam güvenlik süreçlerimizi geliştirmek için bir güvenlik açığı ortaya çıkarma programı uyguluyoruz. Bu program, üretimdeki güvenlik sorunlarını neredeyse gerçek zamanlı olarak belirlemeye yardımcı olan bir güvenlik ağı veya mahalle emniyeti gibi işlev görür. Bu, güvenlik ihlali olasılığını azaltarak verilerinizin güvenliğini sağlamamıza yardımcı olur. Bu, bize güvenlik açığı açıklama programı olmayan rakiplerimize göre önemli bir avantaj sağlar. |
Finans
Bir VDP'den güvenlik açığı ödül programına (VRP) geçtiğinizde finans muhtemelen daha ayrıntılı olacaktır, ancak bir üçüncü taraf platformundan hizmet satın aldığınızda bunların dahil edilmesi gerekir. VDP'nizi oluşturmanıza yardımcı olması için bir üçüncü taraf tedarikçiyle çalışmaya karar verirseniz muhtemelen bu hizmetler için bütçe ayırmanız gerekir. Bu küçük bir iş gibi görünse de, süreçlerini anlamak için erkenden finans ekibinizle konuşmak iyi bir fikirdir.
İletişim yaklaşımı
Paydaşları ikna edebilmek için kurumunuz için en iyi iletişim yöntemlerini belirlemeniz gerekir. Kuruluşunuzun büyük kısmının kabul edilebilir olacağını bekliyorsanız genellikle tek bir teklifle ilerleyebilir, geri bildirim isteyebilir ve herhangi bir soru ve endişeyi tartışmak için tek bir toplantı düzenleyebilirsiniz. Bu yaklaşım kurumunuzda işe yaramazsa paydaşlarla kişisel sorularını ya da endişelerini konuşmak için tek tek toplantı yapmak daha iyi bir yaklaşım olabilir. Bir VDP başlatmayla ilişkili risklerle ilgili itirazları veya soruları ele almaya hazır olun. Kuruluşunuz genelinde bir VDP fikrini tanıtırken avantajları satmanız, gerçek ve algılanan riskleri kendinizden emin bir şekilde ele almanız gerekir.