Pague uma das grandes empresas para fazê-lo - isso não impede que esse tipo de coisa aconteça, mas você obtém um grau de proteção ao fazê-lo.
Quando você contrata alguém / empresa para entrar, como você pode ter certeza de que não terá um funcionário desonesto que faça backdoor de seus sistemas? Existe uma maneira de você confiar em alguém? Como grandes corporações fazem isso? Parece com tantas aberturas possíveis que a chance de alguém ser desonesto é muito possível.
É melhor procurar fazer você mesmo? Você contrata sua própria equipe para ter uma relação de confiança?
Basicamente, que medidas devem ser tomadas quando alguém dá direitos legais para testar seus sistemas e redes?
Basically, what steps should be taken when giving someone legal rights to hack-test your systems and network?
Faça com que o advogado da sua empresa elabore um contrato que retire os órgãos reprodutivos do contratado caso eles façam algo obscuro com os dados que adquirem.
Esses contratos geralmente incluem cláusulas de produtos do trabalho, acordos de não divulgação e (para proteger o contratado) um reconhecimento por sua empresa de que o teste de penetração está autorizado e pode resultar em interrupções / perda de dados.
Além disso, uma verificação de antecedentes é um bom começo se você está contratando um indivíduo.
Se você conhece pessoas no campo de teste de caneta, pode sempre contratar seus amigos (a quem provavelmente confia), caso contrário contratar uma grande empresa como Chopper3 sugeriu é sempre uma opção (mas esteja ciente de que muitas dessas empresas contratam "chapéus pretos reformados"). "porque essas são as pessoas com as habilidades).
Mais ou menos da mesma forma que avaliaria qualquer empresa que oferecesse serviços críticos à sua empresa - sua mesma pergunta poderia ser feita a advogados, contadores, auditores, zeladores, etc. Parte do processo de seleção deve envolver a verificação de referências cheques para funcionários) e confirmação de que os níveis adequados de vinculação e seguro estão em vigor. Um D & B (verificação de crédito) também dará uma ideia de como o negócio pode estar estabelecido. Finalmente, a natureza do contrato entre sua empresa e seu testador de caneta pode definir termos e penalidades. Mesmo com tudo isso, é importante garantir que sua empresa tenha os níveis adequados dos tipos certos de seguro - esse é precisamente o tipo de coisa que os COOs e os CFOs deveriam descobrir.
Ao contratar um testador de penetração:
Aqui está um guia para a contratação de testadores de penetração. Aproveite.