¿Debería una empresa tener un programa de recompensas de errores?

Todas las empresas (y otras organizaciones) que desarrollan e implementan software pueden beneficiarse de un programa de recompensas de errores (o más generalmente, de un programa de divulgación de vulnerabilidades).

Un programa de recompensas de errores es la “trampa” de las vulnerabilidades del sistema cuando el software se activa. Es una parte esencial del ciclo de vida de desarrollo de software (SDLC). Cuando encuentra una vulnerabilidad en el software en vivo, no solo repara el error que lo causó, sino que también regresa a las etapas anteriores en el SDLC para mejorar sus procesos y prácticas para evitar ese tipo de vulnerabilidades en el futuro. El software se está volviendo más seguro a medida que el SDLC se perfecciona gradualmente.

Un programa de recompensas de errores puede cubrir todo tipo de vulnerabilidades del sistema (es decir, tiene una amplia cobertura), produce resultados muy rápidamente (dentro de las 24 horas posteriores al inicio de un programa) y es un orden de magnitud más rentable que otros métodos. La recompensa promedio es de aproximadamente $ 500. El costo promedio por error o vulnerabilidad encontrado al usar escáneres o pentesting es fácilmente 10-20 veces mayor. (Y el costo de NO encontrar y corregir una vulnerabilidad corre en millones de dólares o euros).

Las principales compañías digitales ejecutan grandes programas de recompensas de errores y están muy contentos con ellos: Google, Microsoft, Facebook, Uber, Twitter, Snapchat, Riot Games, Slack, Quora, Github, Salesforce, etc.

Si la propuesta de valor de los programas de recompensas de errores es tan convincente, ¿por qué no todos están ejecutando uno? Aquí hay algunas razones que hemos observado:

Los programas de recompensas de errores representan una nueva forma de ver la seguridad del software, y algunas organizaciones necesitan tiempo para conocerlos y ver los beneficios.
Al igual que algunos humanos, algunas compañías simplemente no quieren saber qué les pasa
Algunas compañías tienen implementaciones de software con tantos defectos conocidos en los que la compañía está trabajando actualmente que no tiene sentido iniciar un programa de recompensas de errores en ese momento. De todos modos, se han apilado mucho para arreglar. Una vez que hayan solucionado la mayoría de sus problemas conocidos, será hora de un programa de recompensas de errores.
Algunas compañías son tan pequeñas o carecen de personal que no pueden operar un programa de recompensas de errores con éxito. Los programas dejan de responder y esto irrita y ahuyenta a los hackers éticos que intentan ayudarlos.
Algunas compañías operan bajo estrictas regulaciones o reglas de cumplimiento, y no están seguras de si un programa de recompensas de errores se ajusta a su conjunto de reglas, o si primero se debe cambiar la regulación.
El software de algunas empresas se utiliza en situaciones críticas para la vida (por ejemplo, aviones, vehículos, sistemas hospitalarios). Para ejecutar un programa de recompensas de errores, necesitan configurar un entorno de prueba separado. Esto es absolutamente factible (y a menudo se hace), pero inevitablemente agrega una capa de complejidad.
Algunas compañías no implementan software por sí mismas (una pequeña ley o práctica médica sería un ejemplo típico). Usan el software como un servicio de los vendedores. Son esos proveedores los que deberían ejecutar programas de recompensas por errores, pero no sus clientes.
Algunas compañías creen que sus sistemas no tienen vulnerabilidades serias. Cada vez, esta creencia es incorrecta.

Todas las objeciones anteriores pueden ser tratadas y están siendo tratadas. Una vez que obtengamos todas las organizaciones que desarrollan e implementan software para ejecutar programas de recompensas de errores, Internet y toda la sociedad conectada en la que vivimos estarán más seguros.

InternetPruebas de penetraciónseguridad deseguridad de redSeguridad informáticasoftware

Related Content

¿Los dispositivos Apple tienen virus?

¿Cuál es la diferencia entre los cursos de piratería ética y seguridad cibernética?

Definiciones de palabras, terminología y jerga: ¿Cuál es la diferencia entre codificación, cifrado y hash?

¿Qué educación y trabajo hiciste para ingresar a tu trabajo de seguridad cibernética?

Si se conecta accidentalmente a una red wi-fi desconocida utilizando un dispositivo iOS, ¿debería cambiar alguna de sus contraseñas?

¿Cuál es la diferencia entre un enrutador WI-FI, un extensor de rango, un repetidor, un amplificador y un punto de acceso?

¿Qué métodos de autenticación y autorización utilizan los sistemas operativos y dispositivos que no son de Windows?

Los piratas informáticos no autorizados son más comunes en estos días y pueden tener consecuencias catastróficas para la organización que sufre una violación. Entonces, gigantes tecnológicos como Facebook y Microsoft han estado generando recompensas por errores durante años, cuando Apple y Uber se unieron a la flota un poco más tarde.

Así es como este pirata informático de 25 años ganó $ 80,000 en 8 meses como un ‘cazarrecompensas’ ¿Suena interesante? Sí, un programa de recompensas de errores le pagará una gran recompensa en función de la importancia del error que caza.

La búsqueda de errores es una profesión relativamente nueva, pero, en los últimos años, se ha convertido en una medida de seguridad significativa para las empresas de tecnología, especialmente si estas empresas dependen en gran medida de Internet y aquellos que descubren la vulnerabilidad del producto primero pueden hacer una gran diferencia.

Hay numerosos artículos y blogs que puedes encontrar en línea para obtener una pista para comenzar a cazar. (Solo busca en Google)

¡Feliz cacería!

Mårten Mickos

Los programas de recompensas de errores están progresando rápidamente de una tendencia de la comunidad a un componente recomendado de las prácticas empresariales de seguridad cibernética.

Las recompensas de errores también se conocen como programas de divulgación responsable. Las organizaciones los inician para alentar a los profesionales de seguridad a probar sus productos y descubrir errores y vulnerabilidades. Los cazadores de recompensas de errores exitosos pueden ser recompensados con dinero, botín o mención de honor.

Los investigadores de seguridad tienen mucho que ganar al participar en proyectos de recompensas de errores: además de brindar la oportunidad de practicar y perfeccionar sus habilidades y ser reconocidos en la comunidad profesional, también podrían obtener una recompensa considerable. Puede leer más sobre la recompensa de errores en esta publicación: 3 millones de razones Los programas de recompensa de errores son beneficiosos para todos. En ese sentido, es importante aprender las mejores prácticas en la industria, permanecer cerca de la comunidad de expertos y continuar administrándola para lograr la máxima seguridad, manteniendo los productos y servicios de su empresa innovadores y sin riesgos.

Mårten Mickos

Sí, para que puedan asegurar sus productos.

Mårten Mickos

More Interesting

¿Qué sabemos sobre el sistema de seguridad de la información en la firma de abogados en el centro del escándalo de los Papeles de Panamá?

¿Cómo se accede a la configuración de seguridad del correo electrónico?

¿Cómo es la carrera profesional de la seguridad de la información?

¿Cómo puede un juego defenderse de un ataque DDoS?

¿Hay algún futuro para la seguridad de la red en Australia?

Cómo eliminar los restos de un virus

¿El sistema operativo Android requiere un antivirus? ¿Crees que las aplicaciones antivirus en Google Play son de alguna utilidad / beneficio?

¿Cómo almacenan los sitios web las contraseñas y los nombres de usuario?