Etik Bilgisayar Korsanları İçin Organizasyonel Desteğin Güvenliğini Sağlama
CISO’lar ve diğer güvenlik liderleri, etik bilgisayar korsanlarıyla çalışmanın ve hata ödül programlarına bütçe ayırmanın ve katılım sağlamanın faydalarını gösterme konusunda zorlanıyor. Bazı HackerOne müşterilerinin, etik bilgisayar korsanlarının güvenlik üzerindeki etkisi konusunda paydaşlarına nasıl yaklaştıkları aşağıda açıklanmıştır.
“Bir hata ödül programı hakkında herhangi bir paydaşa sunum yaparken faydalarını vurgulamak istersiniz; bir yıl önce bulunduğumuz yerden bugüne ve bir yıl içindeki gelişimi gösteriyoruz. Konuyu anlaşılır kılmak ve onlar için bunun çok daha büyük bir iş hikayesinin küçük bir parçası olduğunun farkına varmak istiyorsunuz, bu nedenle onlara anlayabilecekleri, bağlam içine koyabilecekleri, kolayca aktarabilecekleri ve kendilerini açıklayabilecekleri bilgiler verin.”
— Dominik Koehler, Kıdemli Uygulama Güvenliği Uzmanı, KONE
“Güvenlik sektörü pek çok sahte süreç ve yanlış anlama icat ediyor. Kendimize endüstri sertifikalarının ve siber güvenlik yasalarının güvenliği çözebileceğini söylüyoruz, ancak sertifikalar ne zaman olayları durdurdu? Bilgisayar korsanları gerçekten özeldir; Bir saldırganı yakalamak istiyorsanız saldırgan gibi düşünmeniz gerekir ve saldırganlar elinizdeki belgeleri düşünmez. Gerçek ihlaller ve saldırılar söz konusu olduğunda, etkiyi göstermek için gerçek güvenlik açıklarını kullanırım.”
— Alexander Korotkov, küresel bir SaaS sağlayıcısının CISO’su
“Mühendisleri ikna etmem gerekmiyor çünkü müşterilerimiz bunu benim için yapıyor. Güvenlik açığı yönetimi konusunda bizim de yerine getirmemiz gereken gereksinimler ve beklentiler var.”
— Alexander Korotkov, küresel bir SaaS sağlayıcısının CISO’su
“Hata ödülü – halkla doğrudan güvenlik konusunda iletişime geçtiğiniz ve onlara para verdiğiniz bir durum – güvenliğin oldukça alışılmadık bir işlevidir. Bu nedenle, bir programa yönelik organizasyonel güven oluşturmak ve ödül düğmesine bastıklarında programın bekledikleri gibi hareket edeceğini bilerek insanların süreç konusunda rahat olmalarını sağlamak çok önemlidir.”
— Matthew Copperwaite, Kıdemli Siber Güvenlik Mühendisi, Financial Times
“Ağaç dikmenin en iyi zamanı otuz yıl öncesiydi, ikinci en iyi zamanı ise bugün. Müşterilerinizin maruz kaldığı riskleri azaltmak için daha iyi bir zaman olamaz. Keşke hata ödülünü daha önce yapsaydık. Her ne kadar insanlardan gerçekten önemsediğiniz şeyleri bozmalarını istemek doğal olmasa da, yapılması gereken doğru şey budur; içeride daha iyi bir iş çıkarabileceğinizi iddia etmeyin.
— Dmitri Lerko, Mühendislik Müdürü, loveholidays
Bunlara benzer daha fazla bilgiyi ilk elden edinmek için Security@Global Tour’un sonraki duraklarına göz atın. Etik korsanlar için organizasyonun katılımının nasıl güvence altına alınacağı hakkında daha fazla bilgi edinmek istiyorsanız bugün HackerOne uzmanlarıyla iletişime geçin.