این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

خرید سهامداران

تیم امنیتی

تیم امنیتی مهمترین ذینفع در VDP شماست. علاوه بر کاری که برای آماده‌سازی برای راه‌اندازی و اجرای یک VDP لازم است، اگر تیم امنیتی شما در آنبورد نباشد، جذب افراد خارج از تیم امنیتی برای خرید سخت‌تر است.

گاهی اوقات وقتی صحبت از معرفی VDP می شود، احساس غرور یا حالت تدافعی وجود دارد. تیم امنیتی ممکن است احساس کند که محققان امنیتی خارجی با شناسایی آسیب‌پذیری‌هایی که از دست داده‌اند، ایرادات آنها را روشن می‌کنند. شرکت ها سطوح حمله بزرگ و پیچیده ای دارند و نمی توان انتظار داشت که تیم امنیتی پوشش کاملی داشته باشد. روایت نباید با انگشت اشاره یا سرزنش کسی باشد. از آنجایی که محققان آسیب‌پذیری‌ها را پیدا می‌کنند، این داده‌ها باید به عنوان بازخورد عملی برای کمک به تیم شما برای بهبود وضعیت امنیتی سازمان شما استفاده شوند. تغییر طرز فکر تیم امنیتی خود به منظور در نظر گرفتن هکرهای خارجی به عنوان امتداد تیم خود، نه دشمنان، حیاتی خواهد بود. همانطور که قبلا ذکر شد، شما همچنین می خواهید مطمئن شوید که تیم امنیتی شما گفتگوی فعالانه ای در مورد نحوه مدیریت مکانیسم های شناسایی و پاسخ در ارتباط با VDP شما داشته است.

**شکل 1** : مزایای کلیدی VDP برای تیم های امنیتی

آی تی

فناوری اطلاعات برای سازمان های مختلف معنای متفاوتی دارد و هر شرکتی مجموعه ای از نقش های مرتبط با فناوری اطلاعات خود را دارد. برای هدف این راهنما، فرض می‌کنیم فناوری اطلاعات به افراد و تیم‌هایی اطلاق می‌شود که مسئول راه‌اندازی، نگهداری و پشتیبانی از سیستم‌ها و خدماتی است که کسب‌وکار به آن‌ها متکی است. تیم‌های فناوری اطلاعات عموماً می‌خواهند همه چیز را حفظ کنند. این اغلب مستقیماً با معیارهای موفقیت (به عنوان مثال، زمان بدون وقفه) مرتبط است. در حالی که تصور دعوت از هکرها برای آزمایش در برابر سیستم‌ها و خدماتی که آنها نگهداری می‌کنند می‌تواند ترسناک به نظر برسد، اما در واقع به نفع IT است. مجرمان از هیچ قانونی پیروی نمی کنند و می توانند به سازمان شما حمله کنند. با ایجاد یک کانال استاندارد برای همکاری هکرهای خوب با سازمان شما، می توانید شانس شناسایی و رفع مشکلات امنیتی را قبل از سوء استفاده توسط مجرمان افزایش دهید. نقض هزینه‌های هنگفتی به همراه دارد، از جمله زمان صرف شده توسط فناوری اطلاعات و سایرین، و همچنین در صورت نیاز به رد یا تقسیم موقت دارایی‌ها در نتیجه نقض، زمان از کار افتادگی احتمالی. داشتن VDP می تواند به کاهش خطر نقض کمک کند. علاوه بر این، شناسایی هکرها می‌تواند به کشف دارایی‌ها و شناسایی سیستم‌ها و سرویس‌های سرکشی که بدون دخالت تیم فناوری اطلاعات ایجاد شده‌اند، کمک کند.

مهندسی

مگر اینکه تیم امنیتی شما وظیفه رفع آسیب پذیری ها را از طرف تیم مهندسی شما بر عهده نگیرد، به سازمان مهندسی خود با VDP خود نیاز دارید. هیچ کس کار غیرمنتظره را دوست ندارد و VDP ها جریان جدیدی از آسیب پذیری ها را معرفی می کنند که تیم های مهندسی باید آنها را برطرف کنند. این مهم است که با رهبری در سازمان مهندسی کار کنید تا اطمینان حاصل کنید که آنها از جدول زمانی مرتبط با راه اندازی VDP شما آگاه هستند و همچنین از آنها برای تخصیص منابع برای رفع اشکالات خرید دریافت کنید. وقتی یک VDP راه‌اندازی می‌شود، معمولاً در ابتدا تعداد زیادی باگ وجود دارد، سپس به سطح متوسطی کاهش می‌یابد. داشتن مهندسی آماده برای رفع بسیاری از اشکالات در چند هفته اول برنامه شما می تواند به آسان تر شدن فرآیند برای تیم مهندسی، تیم امنیتی و هکرهای شرکت کننده در VDP شما کمک کند. از آنجایی که از تیم مهندسی می‌خواهید کارهای بیشتری انجام دهند، توضیح دادن مزایایی که از VDP به دست خواهند آورد مفید است.

مجاز

تیم های حقوقی دوست دارند ریسک را کاهش دهند. مفهوم دعوت فعالانه هکرها برای هک کردن سازمان شما، بدون زمینه اضافی، می تواند بسیار خطرناک به نظر برسد. این مهم است که با تیم حقوقی خود کار کنید تا ببینید چگونه داشتن VDP می تواند نه تنها خطرات امنیتی، بلکه خطرات قانونی را نیز کاهش دهد. چه VDP داشته باشید چه نداشته باشید، آسیب پذیری ها وجود خواهند داشت. بدون VDP، هکرهایی که می خواهند کار درست را انجام دهند و شما را از موضوع مطلع کنند، هیچ راه استانداردی برای دسترسی به شما نخواهند داشت. وجود یک VDP ابزاری را برای محققان امنیتی فراهم می‌کند تا به شما کمک کنند آسیب‌پذیری‌ها را قبل از اینکه به طور بالقوه تبدیل به یک مسئله قانونی شوند پیدا کنید و آن‌ها را برطرف کنید. بدون کانالی برای پذیرش گزارش‌های آسیب‌پذیری، افرادی که آسیب‌پذیری‌ها را شناسایی می‌کنند ممکن است از تلاش برای گزارش آن به شما منصرف شوند یا احتمالاً در تلاش برای جلب توجه به آن و اطمینان از رفع آن، موضوع را به صورت عمومی افشا کنند.

**شکل 4** : مزایای کلیدی VDP برای تیم های حقوقی

روابط عمومی

بسته به تجربه تیم روابط عمومی (PR) شما در زمینه امنیت اطلاعات، واکنش‌های تیم روابط عمومی شما در مورد پیشنهادی برای راه‌اندازی یک VDP می‌تواند از « چه زمانی شروع کنیم؟ » تا شوکه شدن و رد کامل این ایده متغیر باشد. در حالی که درک عمومی از هک به طور مثبت تری تغییر کرده است، کلمه هکر هنوز برای بسیاری از مردم مفاهیم منفی دارد. جدول زیر به تشریح سوالات و نگرانی های رایج در روابط عمومی و همچنین نحوه رسیدگی به این اعتراضات می پردازد.

سوال/ اعتراض	پاسخ ممکن
آیا هکرها شیطان نیستند؟ آیا دعوت از آنها برای هک کردن ما فقط برای دردسر است؟	خیر. مجرمان همیشه وجود خواهند داشت و می‌خواهند ما را هک کنند و از ما سوءاستفاده کنند، اما یک VDP راهی برای کار با هکرهایی ایجاد می‌کند که می‌خواهند کار درست را انجام دهند و به ما در یافتن و رفع آسیب‌پذیری‌ها کمک کنند. اگر کسی بخواهد شرور باشد، VDP او را متوقف نخواهد کرد.
اگر یک هکر به جای اینکه به ما کمک کند واقعاً ما را هک کند چه؟	اگر کسی نیت بدی داشته باشد، احتمالاً در VDP شرکت نخواهد کرد. در عوض، ممکن است سعی کنند هنگام حمله به ما تا حد امکان ناشناس بمانند. داشتن یک VDP به ما امکان می دهد با محققان امنیتی که می خواهند کمک کنند کار کنیم.
آیا با درخواست کمک از هکرها، می پذیریم که امنیت خودمان بد است؟	هیچ سازمانی امنیت کامل ندارد. بسیاری از سازمان‌های بسیار معروف در صنایع مختلف برنامه‌های افشای آسیب‌پذیری عمومی یا برنامه‌های پاداش باگ را برای تقویت فرآیندهای امنیتی موجود خود اجرا می‌کنند. استفاده از جامعه جهانی هک یک شبکه ایمنی برای کمک به یافتن و رفع هر چیزی است که از طریق شکاف می افتد. در واقع داشتن VDP می تواند برای روابط عمومی امنیتی مثبت استفاده شود.
اگر یک هکر به طور عمومی نحوه هک ما را فاش کند چه؟ بد نگاه نخواهیم کرد؟	این بستگی به روایت و ماهیت افشا دارد. این به ما بستگی دارد که با هکرها برای تعریف شرایط قابل قبول در مورد نحوه عملکرد افشا همکاری کنیم. بیشتر سازمان‌ها از افشای عمومی مسائل شناسایی شده تا زمانی که رفع نشده‌اند، منع می‌کنند و معمولاً با هکر در نوشتن یا وبلاگ کار می‌کنند. بدون ابزاری ساختاریافته برای پذیرش گزارش‌های آسیب‌پذیری و درگیر شدن در این گفت‌وگو با هکرها، خطر ناامید شدن افراد و رفتن مستقیم به مطبوعات را افزایش می‌دهیم زیرا قادر به تماس با ما نیستند. بسیاری از سازمان ها فعالانه محققان امنیتی را تشویق می کنند تا تجربیات خود را در کار با سازمان بنویسند، زیرا موفقیت VDP را برجسته می کند. این امر مشارکت سایر هکرهای ماهر در جامعه را تشویق می کند.
چگونه می توانیم مطمئن باشیم که VDP برای ما کار می کند؟ اگر عمومی شویم و اتفاق بدی بیفتد چه؟	اکثر VDP ها در حالت "خصوصی" شروع می شوند، جایی که برنامه به صورت عمومی اعلام نمی شود و تنها تعداد انگشت شماری از هکرها برای شرکت دعوت می شوند. با گذشت زمان، هکرهای بیشتری دعوت می شوند و برنامه به آرامی به سمت راه اندازی و اعلام "عمومی" افزایش می یابد. ما در زمان‌بندی هم‌تراز خواهیم بود و شما را در جریان زمان راه‌اندازی عمومی برنامه قرار می‌دهیم. وقتی این کار انجام شد، می‌توانیم آن را به‌عنوان یک داستان مثبت در نحوه همکاری سازمان با جامعه پژوهشگران امنیت خارجی برای بهبود امنیت و حفظ امنیت کاربران برجسته کنیم.

**شکل 5** : مزایای کلیدی VDP برای تیم های روابط عمومی

حراجی

تیم فروش شما برای نشان دادن مزایایی که شرکت شما نسبت به رقبا ارائه می دهد به شواهد نیاز دارد. به عنوان بخشی از فرآیند فروش، سازمان ها اغلب تحت بازبینی یا ممیزی امنیتی فروشنده قرار می گیرند تا از اعتماد مشتری اطمینان حاصل کنند. وجود یک VDP به مشتریان خود نشان می دهد که شما یک برنامه امنیتی بالغ در اختیار دارید و با همکاری با محققان امنیتی خارجی، آن را بیشتر تقویت می کنید. علاوه بر این، اگر رقبای نزدیک شما VDP ندارند، این می تواند به عنوان یک مزیت در هنگام صحبت با مشتریان احتمالی استفاده شود. با تیم فروش همکاری کنید تا در صورت بروز سؤالاتی در مورد امنیت سازمان، روایتی برای به اشتراک گذاشتن با مشتریان بالقوه ایجاد کنید.

مثلا،

ما از یک برنامه افشای آسیب‌پذیری برای تقویت فرآیندهای امنیتی قوی خود استفاده می‌کنیم، که مانند یک شبکه ایمنی یا دیده‌بان محله عمل می‌کند تا به شناسایی هر گونه مشکل امنیتی در تولید تقریباً در زمان واقعی کمک کند. این به ما کمک می کند با کاهش احتمال نقض، مطمئن شویم داده های شما ایمن هستند. این به ما یک مزیت قوی نسبت به رقبایمان می دهد که برنامه افشای آسیب پذیری ندارند.

**شکل 6** : مزایای کلیدی VDP برای تیم های فروش

دارایی، مالیه، سرمایه گذاری

وقتی از VDP به برنامه پاداش آسیب پذیری (VRP) می روید، احتمالاً امور مالی بیشتر درگیر خواهد شد، اما اگر خدماتی را از یک پلت فرم شخص ثالث خریداری می کنید، باید شامل آنها شود. اگر تصمیم دارید با یک فروشنده شخص ثالث برای کمک به تنظیم VDP خود تعامل داشته باشید، احتمالاً باید برای این خدمات بودجه اختصاص دهید. ممکن است چیز کوچکی به نظر برسد، اما ایده خوبی است که زودتر با تیم مالی خود صحبت کنید تا روند آنها را درک کنید.

**شکل 7** : مزایای کلیدی VDP برای تیم های مالی

رویکرد ارتباطات

برای دستیابی به خرید سهامداران، باید بهترین روش های ارتباطی را برای سازمان خود تعیین کنید. اگر پیش‌بینی می‌کنید که بیشتر سازمان‌تان موافق باشد، اغلب می‌توانید با یک پیشنهاد واحد پیش بروید، بازخورد خود را بخواهید و یک جلسه برای بحث در مورد هرگونه سؤال و نگرانی برگزار کنید. اگر این رویکرد در سازمان شما کارساز نیست، ملاقات با ذینفعان به صورت جداگانه برای بحث در مورد سؤالات یا نگرانی های شخصی آنها ممکن است رویکرد بهتری باشد. برای رسیدگی به ایرادات یا سوالات در مورد خطرات مرتبط با شروع یک VDP آماده باشید. همانطور که ایده یک VDP را در سراسر سازمان خود مطرح می کنید، باید مزایای آن را بفروشید و با اطمینان به خطرات واقعی و درک شده رسیدگی کنید.