Tim keamanan
Tim keamanan adalah pemangku kepentingan terpenting untuk VDP Anda. Selain pekerjaan yang diperlukan untuk mempersiapkan peluncuran dan menjalankan VDP, jika tim keamanan tidak bergabung, akan lebih sulit untuk mendapatkan dukungan dari orang-orang di luar tim keamanan.
Terkadang ada rasa bangga atau defensif saat memperkenalkan VDP. Tim keamanan mungkin merasa bahwa peneliti keamanan eksternal yang mengidentifikasi kerentanan yang mereka lewatkan akan mengungkap kesalahan mereka. Perusahaan memiliki permukaan serangan yang besar dan kompleks dan tim keamanan tidak bisa diharapkan memiliki cakupan yang sempurna. Narasi tidak boleh mengarahkan jari atau menyalahkan siapa pun. Saat peneliti menemukan kerentanan, data ini sebaiknya digunakan sebagai masukan yang dapat ditindaklanjuti untuk membantu tim Anda meningkatkan postur keamanan organisasi. Mengubah pola pikir tim keamanan untuk mempertimbangkan peretas eksternal sebagai perpanjangan dari tim Anda, bukan sebagai musuh, sangatlah penting. Seperti disebutkan sebelumnya, pastikan juga tim keamanan telah melakukan percakapan proaktif tentang cara menangani mekanisme deteksi dan respons terkait dengan VDP Anda.
IT
Teknologi informasi memiliki arti yang berbeda di berbagai organisasi, dan setiap perusahaan memiliki peran terkait IT sendiri. Untuk tujuan panduan ini, kami menganggap IT mengacu pada individu dan tim yang bertanggung jawab untuk menyiapkan, memelihara, dan mendukung sistem serta layanan yang diandalkan oleh bisnis. Tim IT umumnya ingin menjaga semuanya tetap berjalan. Hal ini sering kali terkait langsung dengan metrik keberhasilan (misalnya, waktu beroperasi tanpa gangguan). Meskipun mengundang peretas untuk melakukan pengujian terhadap sistem dan layanan yang mereka kelola mungkin terlihat menakutkan, sebenarnya hal tersebut sangat menguntungkan IT. Penjahat tidak mematuhi aturan apa pun, dan dapat mencoba menyerang organisasi Anda. Dengan membuat saluran standar bagi peretas yang baik untuk bekerja sama dengan organisasi, Anda dapat meningkatkan peluang mengidentifikasi dan memperbaiki masalah keamanan sebelum dieksploitasi oleh penjahat. Pelanggaran menimbulkan biaya besar, termasuk waktu yang dihabiskan oleh IT dan lainnya, serta potensi periode nonaktif jika aset perlu dinonaktifkan atau disegmentasikan untuk sementara waktu sebagai akibat dari pelanggaran. Adanya VDP dapat membantu mengurangi risiko pelanggaran. Selain itu, pengintaian oleh peretas dapat membantu penemuan aset serta identifikasi sistem dan layanan jahat yang berkembang tanpa melibatkan tim IT.
Teknik
Jika tim keamanan Anda tidak bertugas memperbaiki kerentanan atas nama tim engineer, organisasi teknis Anda harus mengaktifkan VDP. Tidak ada yang suka dengan pekerjaan yang tidak terduga, dan VDP memunculkan aliran kerentanan baru yang perlu diatasi oleh tim engineer. Anda sebaiknya bekerja sama dengan pimpinan tim engineer untuk memastikan bahwa mereka mengetahui jangka waktu yang terkait dengan peluncuran VDP, serta mendapatkan dukungan dari mereka untuk menyediakan resource guna memperbaiki bug. Saat VDP diluncurkan, biasanya akan ada lonjakan bug di awal, lalu perubahannya berkurang hingga ke tingkat yang sedang. Menyiapkan engineer untuk memperbaiki banyak bug dalam beberapa minggu pertama program dapat membantu memperlancar proses tersebut bagi tim engineer, tim keamanan, dan peretas yang berpartisipasi dalam VDP Anda. Karena Anda meminta tim engineer untuk melakukan pekerjaan tambahan, sebaiknya gambarkan manfaat yang akan mereka dapatkan dari VDP.
Hukum
Tim penasihat hukum ingin mengurangi risiko. Konsep mengundang peretas secara proaktif untuk meretas organisasi Anda, tanpa konteks tambahan, bisa jadi sangat berisiko. Anda harus bekerja sama dengan tim hukum untuk mengetahui bagaimana adanya VDP tidak hanya dapat mengurangi risiko keamanan, tetapi juga risiko hukum. Terlepas dari apakah Anda memiliki VDP atau tidak, akan ada kerentanan. Tanpa VDP, peretas yang ingin melakukan hal yang benar dan memberi tahu Anda tentang masalah ini tidak akan memiliki cara standar untuk menghubungi Anda. Dengan adanya VDP, periset keamanan dapat membantu Anda menemukan dan memperbaiki kerentanan sebelum berpotensi menjadi masalah hukum. Tanpa saluran untuk menerima laporan kerentanan, individu yang mengidentifikasi kerentanan mungkin akan berhenti berusaha melaporkannya kepada Anda, atau mungkin mengungkapkan masalah secara publik sebagai upaya untuk menarik perhatian dan memastikan masalah tersebut diperbaiki.
Hubungan masyarakat
Bergantung pada pengalaman tim PR Anda terkait keamanan informasi, reaksi dari tim Humas terhadap proposal untuk memulai VDP dapat berkisar dari "kapan kita mulai?" hingga terkejut dan sepenuhnya menolak ide tersebut. Meskipun persepsi publik tentang peretasan mulai bergeser ke positif, kata peretas masih memiliki konotasi negatif bagi banyak orang. Tabel berikut menguraikan pertanyaan dan masalah umum dari Humas (PR), serta cara menangani keberatan ini.
| Pertanyaan/Penolakan | Kemungkinan Jawaban |
|---|---|
| Bukankah peretas jahat? Apakah mengundang mereka untuk meretas hanya untuk menanyakan masalah? | Tidak. Penjahat akan selalu ada dan ingin meretas serta mengeksploitasi kita, tetapi VDP menciptakan cara untuk bekerja sama dengan peretas yang ingin melakukan hal yang benar dan membantu kami menemukan serta memperbaiki kerentanan. Jika seseorang ingin berbuat jahat, VDP tidak akan menghentikannya. |
| Bagaimana jika peretas benar-benar meretas kita, bukan membantu kita? | Jika seseorang memiliki niat buruk, mereka mungkin tidak akan berpartisipasi dalam VDP. Sebaliknya, mereka mungkin berusaha untuk tetap anonim saat menyerang kita. Dengan adanya VDP, kami dapat bekerja sama dengan periset keamanan yang ingin membantu. |
| Dengan meminta bantuan kepada peretas, apakah kami mengakui bahwa keamanan kami buruk? | Tidak ada organisasi yang memiliki keamanan sempurna. Banyak organisasi yang sangat terkenal di berbagai industri menjalankan pengungkapan kerentanan publik atau program pencarian bug untuk meningkatkan proses keamanan yang ada. Memanfaatkan komunitas peretasan global merupakan jaring pengaman untuk membantu menemukan dan memperbaiki apa pun yang gagal. Bahkan, memiliki VDP dapat digunakan sebagai PR keamanan yang positif. |
| Bagaimana jika peretas mengungkapkan cara mereka meretas kita secara publik? Tidakkah kita akan terlihat buruk? | Hal ini bergantung pada narasi dan sifat pengungkapan. Kita bisa bekerja sama dengan peretas untuk mendefinisikan persyaratan yang bisa disepakati tentang cara kerja pengungkapan. Sebagian besar organisasi mencegah pengungkapan secara publik atas masalah yang teridentifikasi hingga diperbaiki, dan biasanya bekerja sama dengan peretas di artikel atau blog tersebut. Tanpa cara yang terstruktur untuk menerima laporan kerentanan dan terlibat dalam dialog dengan peretas, kami meningkatkan risiko seseorang menjadi frustrasi dan langsung menghubungi pers karena mereka tidak dapat menghubungi kami. Banyak organisasi secara proaktif mendorong periset keamanan untuk menuliskan pengalaman mereka bekerja sama dengan organisasi tersebut, karena hal ini menyoroti keberhasilan VDP. Hal ini mendorong partisipasi dari peretas terampil lainnya di komunitas. |
| Bagaimana kita bisa yakin bahwa VDP akan berhasil untuk kita? Bagaimana jika kita melakukannya secara publik dan sesuatu yang buruk terjadi? | Sebagian besar VDP dimulai dalam mode "pribadi" sehingga program tidak diumumkan secara publik dan hanya beberapa peretas yang diundang untuk berpartisipasi. Seiring waktu, lebih banyak peretas akan diundang, dan skala program secara perlahan akan ditingkatkan hingga mencapai peluncuran dan pengumuman "publik". Kami akan terus menyelaraskan waktu dan terus memberi informasi terbaru tentang kapan program akan diluncurkan secara publik. Setelah itu, kami dapat menyorotinya sebagai kisah positif tentang kerja sama organisasi dengan komunitas peneliti keamanan eksternal untuk meningkatkan keamanan dan menjaga keamanan pengguna. |
Penjualan
Tim penjualan membutuhkan bukti untuk menunjukkan manfaat yang ditawarkan perusahaan dibandingkan pesaing. Sebagai bagian dari proses penjualan, organisasi sering kali melakukan peninjauan atau audit keamanan vendor untuk memastikan kepercayaan pelanggan. Dengan adanya VDP, Anda dapat menunjukkan kepada pelanggan bahwa Anda memiliki program keamanan yang matang dan meningkatkannya lebih lanjut melalui kerja sama dengan peneliti keamanan eksternal. Selain itu, jika pesaing dekat Anda tidak memiliki VDP, hal ini dapat digunakan sebagai keuntungan saat berbicara dengan calon pelanggan. Bekerja samalah dengan tim penjualan untuk menyusun narasi yang akan dibagikan kepada calon pelanggan jika ada pertanyaan tentang keamanan organisasi.
Misalnya,
| Kami menggunakan program pengungkapan kerentanan untuk meningkatkan proses keamanan kami yang sudah ada, yang berfungsi seperti jaring pengaman atau pengawasan lingkungan untuk membantu mengidentifikasi masalah keamanan apa pun dalam produksi secara hampir real time. Hal ini membantu kami memastikan data Anda aman dengan mengurangi kemungkinan pelanggaran. Hal ini memberi kami keuntungan yang kuat atas pesaing yang tidak memiliki program pengungkapan kerentanan. |
Keuangan
Tim keuangan mungkin akan lebih terlibat saat Anda beralih dari VDP ke program reward kerentanan (VRP), tetapi program ini perlu disertakan jika Anda membeli layanan dari platform pihak ketiga. Jika memutuskan untuk bekerja sama dengan vendor pihak ketiga guna membantu menyiapkan VDP, Anda mungkin perlu membuat anggaran untuk layanan tersebut. Hal ini mungkin tampak sepele, tetapi ada baiknya untuk berbicara dengan tim keuangan Anda sejak awal untuk memahami proses mereka.
Pendekatan komunikasi
Untuk mendapatkan dukungan pemangku kepentingan, Anda harus menentukan metode komunikasi terbaik untuk organisasi Anda. Jika Anda memperkirakan sebagian besar organisasi akan setuju, sering kali Anda dapat melanjutkan dengan satu proposal, meminta masukan, dan mengadakan satu rapat untuk mendiskusikan pertanyaan dan kekhawatiran. Jika pendekatan ini tidak akan berhasil di organisasi Anda, pertemuan dengan pemangku kepentingan satu per satu untuk mendiskusikan masalah atau pertanyaan pribadi mungkin menjadi pendekatan yang lebih baik. Bersiaplah untuk menangani keberatan atau pertanyaan seputar risiko yang terkait dengan dimulainya VDP. Saat mempromosikan ide tentang VDP di seluruh organisasi, Anda harus menjual manfaatnya dan mengatasi risiko nyata serta yang dirasakan dengan percaya diri.