第1部分第1部分，共3部分：填补职位空缺

1. 1评估未受保护的风险。为了省钱，你可能会坚持使用现有的It团队。但是，如果没有专门的备份，您公司的IT系统将很容易受到攻击，这些攻击过于复杂，普通计算机高手无法捕捉到。所有这些攻击都会对你的企业财务和声誉造成严重损害。总而言之，保护和清理在线数据泄露的平均成本约为400万美元。把雇佣一顶白帽子想象成购买一份保险单。无论他们的服务是什么，这都是让你心平气和的小小代价。

2. 2确定贵公司的网络安全需求。仅仅决定你需要加强你的网络防御是不够的。提出一份任务宣言，明确列出你希望通过聘请外部专家来实现的目标。这样，你和你的候选人都将清楚地了解他们的职责。例如，您的金融公司可能需要加强对内容欺骗或社会工程的保护，或者您的新购物应用可能会让客户面临信用卡信息被盗的风险。你的陈述应该像一封反向的求职信。它不仅会为这个职位做广告，还会描述你想要的具体经历。这将让你剔除临时应聘者，找到最适合这份工作的人。

3. 3准备好提供有竞争力的薪酬。让一个有道德的黑客站在你这边是明智之举，但这并不是一个廉价之举。根据PayScale的数据，大多数白帽每年的收入有望达到70000美元或更多。同样，重要的是要记住，他们将要完成的工作是值得他们要求的。这是你最有可能承担不起的投资。与公司赖以盈利的IT系统漏洞相比，过高的薪酬是一个小小的财务挫折。

4. 4.看看你能否根据工作雇佣一名黑客。可能没有必要让It员工全职戴白帽子。作为目标声明的一部分，请指定您正在寻找一名顾问来领导一个重大项目，可能是外部渗透测试或重写一些安全软件。这将允许你支付给他们一次性的聘用费，而不是连续的薪水。这项奇怪的咨询工作可能非常适合自由职业黑客或最近获得认证的黑客。如果你对网络安全专家的表现感到满意，你可以为他们提供一个机会，让他们在未来的项目中再次与你合作。

第2部分第2部分，共3部分：追踪合格候选人

1. 1寻找具有认证道德黑客（CEH）认证的候选人。国际电子商务顾问委员会（简称EC委员会）针对道德黑客日益增长的需求，创建了一个专门的认证计划，旨在培训他们并帮助他们找到工作。如果你采访的安全专家能指出CEH的官方认证，你就可以确定他们是真品，而不是在黑暗的地下室里学会这门手艺的人。虽然黑客认证可能很难验证，但你的候选人应该遵守与所有其他申请人相同的严格标准。避免雇佣任何不能提供CEH认证证明的人。由于他们没有第三方担保，风险太高了。

2. 2浏览在线道德黑客市场。看看黑客列表和社区黑客等网站上的一些列表。通用域名格式。与Monster等普通求职平台类似，实际上，这些网站收集了合格黑客的条目，以寻求应用技能的机会。对于习惯了更传统招聘流程的雇主来说，这可能是最直观的选择。道德黑客市场只宣传合法的、合格的专家，这意味着你可以安心睡觉，因为你知道自己的生计将掌握在好手中。

3. 3主持公开黑客竞赛。雇主们已经开始使用一个有趣的解决方案来吸引潜在的候选人，那就是在头对头的黑客模拟中让竞争对手相互竞争。这些模拟以电子游戏为模型，旨在测试一般专业知识和快速思考的决策能力。你的竞争对手的获胜者可能就是那个提供你一直在寻找的支持的人。让你的技术团队模仿普通IT系统制作一系列谜题，或者从第三方开发者那里购买更复杂的模拟。假设设计自己的模拟太费时费力，你也可以试着与全球网络奥运会等国际赛事的过去获奖者取得联系。

4. 4培训你的员工来处理你的反黑客任务。任何人都可以免费参加白帽公司用来获得CEH认证的EC委员会项目。如果你愿意在公司里保持如此高调的职位，可以考虑让你现在的IT员工通过这门课程。在那里，他们将学习渗透测试技术，然后可以用来探测泄漏。该课程的结构为5天的实践课，最后一天进行4小时的综合考试。与会者必须取得至少70%的分数才能通过考试。参加考试要花500美元，选择自学的学生还要额外支付100美元。

第三部分第三部分共三部分：将道德黑客带入你的企业

1. 1进行彻底的背景调查。在你考虑将候选人列入工资单之前，有必要对他们进行彻底调查。将他们的信息发送给人力资源部或外部组织，看看他们会发现什么。特别注意任何过去的犯罪活动，尤其是那些涉及网络犯罪的活动。背景调查结果中出现的任何类型的犯罪行为都应被视为危险信号（可能还有取消资格的理由）。信任是任何工作关系的关键。如果你不能信任这个人，他们就不属于你的公司，不管他们有多经验。

2. 2深入面试候选人。假设你的潜在客户成功地通过了背景调查，下一步就是进行面试。让你的IT经理作为人力资源部的一名成员与候选人坐下来，准备好一系列问题，例如，“你是如何参与道德黑客攻击的？”，“你做过其他有报酬的工作吗？”，“你使用什么样的工具来筛选和消除威胁？”“给我举个例子，说明如何保护我们的系统免受外部渗透攻击。”面对面会面，而不是依靠电话或电子邮件，这样你就可以准确了解申请人的性格。如果你有任何挥之不去的顾虑，安排一次或多次与管理团队的另一名成员进行后续访谈，以便获得第二种意见。

3. 3指派网络安全专家与开发团队密切合作。展望未来，您的IT团队的首要任务应该是防止网络攻击，而不是事后清理。通过这种合作，创建公司在线内容的人将学习更安全的编码实践、更详尽的产品测试，以及其他胜过潜在骗子的技术。让一个道德黑客在那里检查每一个新功能可能会稍微减慢开发过程，但他们设计的新的密封安全功能值得延迟。

4. 4了解网络安全如何影响您的业务。利用白帽的丰富知识，了解黑客常用的战术类型。当你开始了解网络攻击是如何策划和实施的，你就能看到它们的到来。让你的顾问定期提交详细的简报，说明他们发现了什么。另一种方法是在IT团队的帮助下分析他们的发现。鼓励你雇佣的黑客解释他们正在实施的措施，而不是让他们毫无疑问地做自己的事情。

5. 5密切监视你雇佣的黑客。虽然他们不太可能做出任何不择手段的尝试，但这并不是不可能的。指示IT团队的其他成员监控您的安全状态，并查找以前不存在的漏洞。你的使命是不惜一切代价保护你的企业。不要忽视这样一个事实：威胁可能来自内部，也可能来自外部。不愿意向你解释他们的确切计划或方法可能是一个警告信号。如果你有理由怀疑外包专家正在损害你的业务，请毫不犹豫地终止他们的雇佣关系，寻找新的专家。

• 从最大的金融公司到最小的初创公司，网络安全是21世纪每一个企业都非常关心的问题。
• 购买网络安全保险可以保证在发生欺诈、漏洞或数据泄露时，你会得到你失去的任何东西。
• 在Reddit这样的网站上宣传你对道德黑客的需求可能是一个好主意，在那里，白帽子被称为聊天室。