सुरक्षा टीम
सिक्योरिटी टीम, आपके वीडीपी में सबसे अहम हिस्सेदार है. वीडीपी को लॉन्च करने और चलाने के लिए बताने के अलावा, अगर आपकी सुरक्षा टीम इसमें शामिल नहीं होती है, तो इसे सुरक्षा टीम के बाहर ले जाना ज़्यादा मुश्किल होता है.
कभी-कभी वीडीपी को पेश करते समय गर्व या बचाव का एहसास होता है. सुरक्षा टीम को लग सकता है कि बाहरी सुरक्षा शोधकर्ता, जोखिम की आशंकाओं की पहचान करके उनकी गड़बड़ियों पर नज़र रख सकेंगे. कंपनियों के पास हमले का बड़ा और जटिल तरीका होता है और सुरक्षा टीम से इस बात की उम्मीद नहीं की जा सकती कि उसके पास सटीक कवरेज होगी. कहानी में इस बात का ध्यान रखना ज़रूरी नहीं कि उसमें किसी को नीचा दिखाया जाए या किसी को दोषी ठहराया जाए. रिसर्च करने वाले लोगों को जोखिम की आशंकाओं को देखते हुए, इस डेटा का इस्तेमाल कार्रवाई करने लायक सुझाव के तौर पर किया जाना चाहिए. इससे आपकी टीम को आपके संगठन की सुरक्षा को बेहतर बनाने में मदद मिलेगी. बाहरी हैकर को अपनी टीम का हिस्सा मानने के लिए, अपनी सुरक्षा टीम की मानसिकता को बदलना ज़रूरी है. जैसा कि पहले बताया जा चुका है, आप यह भी पक्का करना चाहेंगे कि आपकी सुरक्षा टीम ने इस बारे में पहले से बातचीत की हो कि पहचान और जवाब देने के तरीकों को कैसे मैनेज किया जाए, क्योंकि वे आपके वीडीपी से जुड़े हैं.
इटली
अलग-अलग संगठनों के लिए इन्फ़ॉर्मेशन टेक्नोलॉजी का मतलब अलग-अलग हो सकता है और हर कंपनी के पास आईटी से जुड़ी भूमिकाओं का अपना सेट होता है. इस गाइड में, हम यह मानते हैं कि आईटी का मतलब उन लोगों और टीमों से है जो ऐसे सिस्टम और सेवाओं को सेट अप करने, उनका रखरखाव करने, और उन्हें सपोर्ट करने के लिए ज़िम्मेदार होती हैं जिन पर कारोबार का भरोसा करता है. आम तौर पर, आईटी टीमें इस काम को बेहतर तरीके से करना चाहती हैं. यह अक्सर सफलता मेट्रिक से सीधे जुड़ा होता है (उदाहरण के लिए, बिना किसी रुकावट के चालू रहने का समय). वैसे तो अपने सिस्टम और सेवाओं पर टेस्ट करने के लिए हैकर को न्योता देना काफ़ी डरावना लग सकता है, लेकिन असल में इससे आईटी को काफ़ी फ़ायदा होता है. अपराधियों किसी भी नियम का पालन नहीं करते हैं और आपके संगठन पर हमला करने की कोशिश कर सकते हैं. अच्छे हैकर के लिए एक स्टैंडर्ड चैनल बनाकर, उन्हें अपने संगठन के साथ काम करने में मदद मिल सकती है. इससे, सुरक्षा से जुड़ी समस्याओं की पहचान करने और उन्हें ठीक करने की संभावना बढ़ जाती है, ताकि अपराधी इन हैकर का फ़ायदा उठा सकें. ब्रीच में काफ़ी खर्चा होता है. इसमें आईटी और दूसरी कंपनियों का बिताया गया समय शामिल है. साथ ही, अगर उल्लंघन की वजह से ऐसेट को कुछ समय के लिए बंद या सेगमेंट करना पड़ता है, तो इसमें लगने वाला समय भी शामिल है. वीडीपी का इस्तेमाल करने से डेटा के गलत इस्तेमाल के जोखिम को कम किया जा सकता है. इसके अलावा, हैकर की टोहली ढूंढने से एसेट की खोज करने और आईटी टीम की भागीदारी के बिना बनाए गए ख़राब सिस्टम और सेवाओं की पहचान करने में मदद मिल सकती है.
इंजीनियरिंग टीम
जब तक आपकी सुरक्षा टीम आपकी इंजीनियरिंग टीम की ओर से जोखिम की आशंकाओं को ठीक करने का काम नहीं संभालती, आपको अपने इंजीनियरिंग संगठन को वीडीपी से जोड़ना होगा. किसी को भी अनचाहे काम पसंद नहीं होते और वीडीपी, जोखिम की आशंकाओं की एक नई स्ट्रीम पेश करता है, जिसे इंजीनियरिंग टीम को ठीक करना ज़रूरी है. इंजीनियरिंग संगठन के लीडर के साथ मिलकर काम करना ज़रूरी है, ताकि उन्हें आपके वीडीपी के लॉन्च से जुड़ी समयावधि की जानकारी हो. साथ ही, गड़बड़ी ठीक करने के लिए संसाधनों का इस्तेमाल करने के लिए तैयार हो जाएं. जब कोई वीडीपी लॉन्च होता है, तो शुरुआत में आम तौर पर गड़बड़ियां बढ़ जाती हैं. इसके बाद, यह गड़बड़ी ठीक नहीं होती. अपने प्रोग्राम के पहले कुछ हफ्तों में कई गड़बड़ियों को ठीक करने के लिए इंजीनियरिंग की तैयारी कर लेने से, आपकी वीडीपी में हिस्सा लेने वाली इंजीनियरिंग टीम, सुरक्षा टीम, और हैकर के लिए प्रोसेस को आसान बनाने में मदद मिल सकती है. आपको इंजीनियरिंग टीम को कुछ और काम करने के लिए कहना है, इसलिए यह समझने में मदद मिलेगी कि वीडीपी से उन्हें क्या फ़ायदे मिलेंगे.
Legal
कानूनी टीमें जोखिम कम करना चाहती हैं. अतिरिक्त संदर्भ के बिना, हैकर को अपने संगठन को हैक करने के लिए लगातार न्योता देने का सिद्धांत बहुत जोखिम भरा लग सकता है. अपनी कानूनी टीम के साथ मिलकर काम करना ज़रूरी है. इससे पता चलता है कि वीडीपी की मदद से न सिर्फ़ सुरक्षा से जुड़े जोखिमों को कैसे कम किया जा सकता है, बल्कि कानूनी जोखिम को भी कैसे कम किया जा सकता है. चाहे आपके पास वीडीपी हो या न हो, जोखिम की आशंकाएं मौजूद होंगी. वीडीपी के बिना, जो हैकर सही काम करना चाहते हैं और समस्या के बारे में आपको बताते हैं उनके पास आप तक पहुंचने का कोई सामान्य तरीका नहीं होता. वीडीपी होने से सुरक्षा पर रिसर्च करने वाले लोगों को, जोखिम की आशंकाओं का पता लगाने और उन्हें कानूनी समस्या बनने से पहले ही ठीक करने में मदद मिलती है. जोखिम की आशंकाओं की रिपोर्ट स्वीकार करने के लिए कोई चैनल न मिलने पर, जोखिम की आशंकाओं की पहचान करने वाले लोग या तो इसकी शिकायत करने की कोशिश करते ही नहीं हैं. इसके अलावा, लोगों का ध्यान खींचने और उन्हें ठीक करने के लिए, सार्वजनिक तौर पर समस्या के बारे में बता सकते हैं.
जन संपर्क
सूचना सुरक्षा के बारे में आपकी जनसंपर्क (पीआर) टीम के अनुभव के आधार पर, वीडीपी शुरू करने के प्रस्ताव के बारे में आपकी पीआर टीम की प्रतिक्रियाएं "हम कब शुरू करें?" से लेकर हैरान होने और आइडिया को पूरी तरह से नकारने तक हो सकती हैं. हालांकि, हैकिंग को लेकर आम लोगों की सोच में नए-नए बदलाव आने लगे हैं, लेकिन अब भी कई लोगों के लिए हैकर शब्द के गलत मतलब निकाले गए हैं. नीचे दी गई टेबल में PR से आम तौर पर पूछे जाने वाले सवालों और चिंताओं के बारे में बताया गया है. साथ ही, इन आपत्तियों को दूर करने का तरीका भी बताया गया है.
| सवाल/आपत्ति | यह जवाब दिया जा सकता है |
|---|---|
| क्या हैकर बुरे नहीं हैं? क्या सिर्फ़ उन्हें हैक करने के लिए बुलाना, परेशानी की बात है? | नहीं. अपराधी हमेशा मौजूद रहेंगे और वे हमें हैक करके हमारा शोषण करना चाहते हैं, लेकिन एक वीडीपी उन हैकर के साथ काम करने का रास्ता बनाता है जो सही काम करना चाहते हैं और जोखिम की आशंकाओं को ढूंढने और उन्हें ठीक करने में हमारी मदद करना चाहते हैं. अगर कोई व्यक्ति बुरा करना चाहता है, तो वीडीपी उसे नहीं रोकेगा. |
| क्या होगा अगर कोई हैकर वाकई हमारी मदद करने के बजाय हमें हैक कर ले? | अगर किसी का इरादा गलत है, तो वह वीडीपी में हिस्सा नहीं लेगा. इसके बजाय, वे हम पर हमला करते समय ज़्यादा से ज़्यादा अनाम रहने की कोशिश कर सकते हैं. वीडीपी होने से हम सुरक्षा से जुड़े रिसर्चर के साथ काम कर पाते हैं जो हमारी मदद करना चाहते हैं. |
| हैकर से सहायता मांगकर, क्या हम यह मान रहे हैं कि हमारी अपनी सुरक्षा ख़राब है? | किसी भी संगठन की सुरक्षा से जुड़ी सुविधाएं पूरी तरह से सुरक्षित नहीं हैं. अलग-अलग उद्योगों में मौजूद कई जाने-माने संगठन, सुरक्षा से जुड़ी मौजूदा प्रक्रियाओं को बेहतर बनाने के लिए, सार्वजनिक तौर पर जोखिम की आशंका की जानकारी देने वाले या बग बाउंटी प्रोग्राम चलाते हैं. हैकिंग से जुड़ी ग्लोबल कम्यूनिटी का इस्तेमाल, एक सुरक्षा उपाय के तौर पर किया जाना चाहिए. इससे, जोखिम की आशंकाओं को खोजने और उन्हें ठीक करने में मदद मिलती है. असल में, वीडीपी होने का इस्तेमाल पॉज़िटिव सुरक्षा पीआर (पीआर) के लिए किया जा सकता है. |
| क्या होगा अगर कोई हैकर सार्वजनिक रूप से यह बता दे कि उसने हमें कैसे हैक किया है? क्या हम बुरा नहीं लगेंगे? | यह जानकारी और ज़ाहिर किए जाने वाले तरीके पर निर्भर करती है. यह हम पर निर्भर करता है कि हम हैकर के साथ मिलकर यह तय करें कि जानकारी देने की प्रक्रिया कैसे काम करती है. ज़्यादातर संगठन पहचाने गए मुद्दों को ठीक कर दिए जाने तक उनके बारे में सार्वजनिक रूप से जानकारी ज़ाहिर करने की सलाह नहीं देते हैं. आम तौर पर, वे राइटअप या ब्लॉग पर हैकर के साथ काम करते हैं. जोखिम की आशंकाओं की रिपोर्ट स्वीकार करने और हैकर से बातचीत करने के व्यवस्थित तरीके के बिना, किसी के हताश होने और सीधे प्रेस के पास जाने का खतरा बढ़ जाता है. ऐसा इसलिए होता है, क्योंकि वे हमसे संपर्क नहीं कर पाते. कई संगठन सुरक्षा पर रिसर्च करने वालों को, संगठन के साथ काम करने के अनुभव को लिखने के लिए प्रेरित करते हैं. ऐसा इसलिए है, क्योंकि इसमें वीडीपी की सफलता को हाइलाइट किया गया है. यह समुदाय के अन्य कुशल हैकर की भागीदारी को प्रोत्साहित करता है. |
| हम यह कैसे पक्का कर सकते हैं कि वीडीपी हमारे लिए काम करेगा? क्या होगा अगर हम सार्वजनिक हो जाएं और कुछ गलत हो जाए? | ज़्यादातर वीडीपी "निजी" मोड में शुरू होते हैं. इसमें प्रोग्राम का एलान सार्वजनिक तौर पर नहीं किया जाता है. साथ ही, इसमें कुछ ही हैकर को हिस्सा लेने का न्योता दिया जाता है. समय के साथ, और भी हैकरों को न्योता भेजा जाता है और प्रोग्राम को धीरे-धीरे "सार्वजनिक" लॉन्च और एलान के तौर पर तैयार किया जाता है. हम समय के हिसाब से आपको बताते रहेंगे कि प्रोग्राम को सार्वजनिक तौर पर कब लॉन्च किया जाएगा. ऐसा होने पर, हम इसे एक सकारात्मक कहानी के तौर पर हाइलाइट कर सकते हैं. इससे पता चलेगा कि संगठन, सुरक्षा को बेहतर बनाने और उपयोगकर्ताओं को सुरक्षित रखने के लिए, बाहरी सुरक्षा पर रिसर्च करने वालों के समुदाय के साथ कैसे काम करता है. |
बिक्री
आपकी सेल्स टीम को इससे पता चलेगा कि आपकी कंपनी को, अपने प्रतियोगियों के मुकाबले क्या फ़ायदे मिल रहे हैं. बिक्री प्रक्रिया के हिस्से के तौर पर, ग्राहकों का भरोसा पक्का करने के लिए संगठनों को अक्सर वेंडर की सुरक्षा समीक्षा या ऑडिट से गुज़रना पड़ता है. वीडीपी से आपके ग्राहकों को पता चलता है कि आपके पास एक मैच्योर सुरक्षा प्रोग्राम है. साथ ही, बाहरी सुरक्षा पर रिसर्च करने वालों के साथ काम करके, इसे बेहतर बनाया जा सकता है. इसके अलावा, अगर आपके जैसे दूसरे कारोबारों के पास वीडीपी नहीं है, तो संभावित ग्राहकों से बात करते समय इसका इस्तेमाल फ़ायदा के तौर पर किया जा सकता है. सेल्स टीम के साथ मिलकर संगठन की सुरक्षा से जुड़े सवालों के आने पर संभावित ग्राहकों के साथ शेयर करने के लिए एक कहानी बनाएँ.
उदाहरण के लिए,
| हम अपनी मौजूदा मज़बूत सुरक्षा प्रोसेस को बेहतर बनाने के लिए, जोखिम की आशंका की जानकारी देने वाले प्रोग्राम का इस्तेमाल करते हैं. यह प्रोग्राम, सुरक्षा या आस-पास के लोगों पर नज़र रखने के लिए किया जाता है. इससे प्रोडक्शन में सुरक्षा से जुड़ी समस्याओं का पता लगाने में, रीयल टाइम में मदद मिलती है. इससे हमें यह पक्का करने में मदद मिलती है कि आपका डेटा सुरक्षित रहे. साथ ही, डेटा के गलत इस्तेमाल की आशंका भी कम हो जाती है. इससे हमें अपने प्रतियोगियों के मुकाबले ज़्यादा फ़ायदा मिलता है, जिनके पास जोखिम की आशंका की जानकारी देने वाला कोई कार्यक्रम नहीं है. |
वित्त
अगर आप वीडीपी को जोखिम की आशंका से जुड़े इनाम वाले प्रोग्राम (वीआरपी) में ले जाते हैं, तो फ़ाइनेंस की मांग ज़्यादा हो सकती है. हालांकि, किसी तीसरे पक्ष के प्लैटफ़ॉर्म से सेवाएं खरीदने पर, फ़ाइनेंस ग्रुप को शामिल करना ज़रूरी होगा. अगर आपने वीडीपी सेट अप करने के लिए किसी तीसरे पक्ष के वेंडर से संपर्क करने का फ़ैसला किया है, तो आपको इन सेवाओं के लिए बजट सेट करना पड़ सकता है. यह छोटी सी बात लग सकती है, लेकिन बेहतर होगा कि आप फ़ाइनेंस टीम से शुरुआत ही बात करके उसकी प्रोसेस को समझ लें.
कम्यूनिकेशन का तरीका
हिस्सेदार के तौर पर खरीदारी करने के लिए, आपको अपने संगठन के लिए, बातचीत करने के सबसे सही तरीके तय करने होंगे. अगर आपको लगता है कि आपके संगठन के ज़्यादातर सदस्य सहमत हैं, तो अक्सर किसी एक प्रस्ताव, सुझाव, और शिकायत के साथ आगे बढ़ा जा सकता है. साथ ही, किसी भी सवाल और समस्या पर चर्चा करने के लिए एक ही मीटिंग की जा सकती है. अगर आपके संगठन में यह तरीका काम नहीं करता, तो हिस्सेदारों से उनके निजी सवालों या समस्याओं पर चर्चा करने के लिए निजी तौर पर मिलना बेहतर विकल्प हो सकता है. वीडीपी शुरू करने से जुड़े जोखिमों से जुड़ी आपत्तियों या सवालों को हल करने के लिए तैयार रहें. अपने संगठन में वीडीपी का आइडिया पिच करते समय, आपको इसके फ़ायदे बेचने होंगे. साथ ही, असल और अनुमानित जोखिमों को भी ठीक करना होगा.