[21/06/2021] El panorama de los programas de recompensas por errores ha experimentado una evolución significativa en los últimos años. Las organizaciones de diferentes tamaños, y de todas las industrias, comúnmente invierten en algún tipo de modelo de recompensa por errores, a medida que las opciones disponibles se vuelven más diversas, personalizables y asequibles.
De orígenes humildes que se remontan a mediados de los años noventa, los programas de recompensas por errores son acuerdos que las empresas suelen ofrecer a los hackers éticos invitados, de manera pública o privada, donde pueden recibir reconocimiento y compensación por encontrar y denunciar vulnerabilidades de seguridad. El objetivo principal de un programa de recompensas por errores es descubrir y corregir estas vulnerabilidades, antes de que se conviertan en conocimiento común o sean explotadas maliciosamente por los ciberdelincuentes.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Al invertir en un programa de recompensas por errores, las organizaciones pueden expandir significativamente su fuerza laboral de seguridad, explica Sean Poris, director de seguridad de productos de Verizon Media. "Esto, naturalmente, crea una gran red mundial de investigadores que trabajan juntos en su programa, y establece un sentido de comunidad entre los investigadores y sus empleados. El nivel de talento y las técnicas de algunos hackers son increíbles y pueden producir hallazgos creativos e impresionantes, capaces de permitir que su organización aumente su posición de seguridad”.
Sin embargo, debido a la proliferación y madurez dentro del mercado de recompensas por errores, emprender y mantener un programa exitoso de recompensas por errores se está convirtiendo en un ejercicio más complejo y matizado para las organizaciones. Como resultado, las empresas deben responder estas cinco preguntas clave para garantizar que la inversión en un programa de recompensas por errores sea realista y beneficiosa.
1. ¿Lo gestionará internamente o mediante el outsourcing completo o parcial de todo el proceso?
En primer lugar, las organizaciones deben comprender las opciones de los programas de recompensas por errores que tienen a su disposición. En esencia, estos se dividen en dos campos: elaboración propia y a través de outsourcing, aunque existe cierta superposición entre ambas opciones. Un programa interno de recompensas por errores, que a menudo es lo que eligen las grandes empresas multinacionales, generalmente incluye una presentación documentada de cara al público y un proceso de recompensas administrado internamente.
Los programas de recompensar por errores vía outsourcing son 'modelos como servicio' en donde las organizaciones invierten en terceros especializados que, en nombre de la empresa, manejan varios aspectos del proceso de recompensas por errores. Dependiendo de varios factores, incluyendo el presupuesto, los recursos y las capacidades, ambos tienen méritos e inconvenientes a considerar.
Por ejemplo, al ejecutar de forma interna un programa de recompensas por errores, una empresa puede establecer sus propias estructuras, reglas y límites para el proceso, así como tener una gestión directa de cosas como la clasificación de las alertas, el afinamiento del programa y las mejores prácticas. Sin embargo, un programa interno de recompensas por errores requiere de mucho tiempo, recursos y presupuesto para su ejecución. En consecuencia, los programas internos de recompensas por errores son más adecuados para las grandes empresas que para las más pequeñas.
Las plataformas de outsourcing, por otro lado, son una opción mucho más asequible para las organizaciones que carecen de los recursos y la experiencia necesarios para ejecutar de forma interna un programa de recompensas por errores. Un tercero dedicado puede ofrecer muchas cosas, desde simples listados y presentaciones entre los que buscan los errores y las organizaciones que los piden, hasta servicios completamente gestionados para diferentes volúmenes de trabajo pesado en nombre de la organización. Esto puede incluir la clasificación de las vulnerabilidades encontradas, el enlace con cientos de miles de hackers éticos registrados y la prestación de servicios de reevaluación de vulnerabilidades.
2. ¿Su gestión de vulnerabilidades está a la altura?
Independientemente de si está considerando un enfoque interno o por medio del outsourcing, debe evaluar cuan preparado se encuentra para un programa de recompensas por errores, prestando especial atención a sus capacidades para gestionar las vulnerabilidades. "Los líderes de seguridad pueden tener la sensación de que puede ser el momento de probar un esquema de recompensas por errores cuando están seguros de que existe un compromiso interno para ejecutar el descubrimiento de vulnerabilidades y llegar hasta su corrección”, explica Tim Wade, director técnico del equipo de CTO en el proveedor de plataforma de respuesta y detección de amenazas Vectra. "Sin embargo, si existen vulnerabilidades conocidas en el software o los sistemas que continuamente no se reparan, ese es un indicador de que aún no existe una alineación interna en torno a las realidades del riesgo del software moderno”.
Alice Collins, gerente de comunicaciones del proveedor de la plataforma de recompensas por errores HackerOne, está de acuerdo en la importancia de tener sólidos procesos internos de gestión de vulnerabilidades antes de invitar a los hackers a descubrir vulnerabilidades. "Si no se tienen procesos claros y viables para hacer frente a las vulnerabilidades, cuando se encuentran, los equipos de seguridad y desarrollo se verán abrumados y los hackers se sentirán frustrados”, agrega.
"Si sus procesos internos de gestión de vulnerabilidades no están perfeccionados o si no tiene un inventario de activos claro que se corresponda con el alcance que está abriendo a la recompensa de errores, simplemente no está listo todavía y necesita primero enfocar sus esfuerzos en estos elementos del programa de seguridad”, explica Poris de Verizon.
Un posible ejercicio de evaluación que las organizaciones pueden llevar a cabo es realizar un programa interno de prueba de recompensas por errores a pequeña escala, con los empleados/personal existentes y personas invitadas, afirma Tom Brennan, CIO de Mandelbaum Salsburg PC y presidente de CREST en Estados Unidos. "Tener un proyecto bien pensado y a pequeña escala, con una fecha de inicio y finalización, proporcionará una medición de las acciones”.
3. ¿Ha definido los objetivos y el alcance de las recompensas por errores?
Desde el principio, las organizaciones deben establecer tanto los objetivos como el alcance de su programa, incluyendo las declaraciones sobre por qué se está creando su política y qué se espera lograr. "Comprender y articular sus objetivos le dará un enfoque claro para su programa, ya sea que se utilice para la divulgación de vulnerabilidades básicas, demostrar 'pruebas de penetración' a evaluadores externos, o actuar como un elemento estratégico de su programa de seguridad general”, afirma Poris.
En términos de alcance, es importante identificar qué se considera juego limpio dentro del proceso de recompensa por errores y dónde se solicita, o no, la atención de los hackers, agrega Collins. Por ejemplo, sugiere aclarar lo siguiente:
- Cómo los hackers deben enviar informes y la información que le gustaría ver a la organización. Se prefiere un formulario web seguro a los informes enviados por correo electrónico, que pueden generar información incompleta y no estructurada.
- Los tipos de vulnerabilidades que deben notificarse y las que deben excluirse.
- Cualquier limitación para proteger datos o propiedad intelectual, o sobre productos o versiones.
Un modelo como servicio puede ayudarle a una organización con estos problemas. Sin embargo, en última instancia, la organización deberá establecer los parámetros en función de sus requisitos.
Las organizaciones también deben demostrar un compromiso de buena fe con los clientes y otras partes interesadas que se ven potencialmente afectadas por las vulnerabilidades de seguridad, afirma Collins. "Básicamente, el compromiso postulará que la organización no emprenderá acciones legales cuando se revele una vulnerabilidad. El uso de un lenguaje claro y atractivo en el compromiso brindará la tranquilidad necesaria a los hackers que trabajan en el programa”.
4. ¿Puede articular claramente lo que los hackers pueden esperar del programa?
La comunicación clara y completa de los elementos más finos de un programa de recompensas por errores es clave para su éxito continuo, afirma Collins. Esto incluye:
- Después de enviarle un error, qué tan rápido puede esperar un hacker una respuesta suya
- Confirmación de la vulnerabilidad
- Expectativa de reconocimiento
- Comunicaciones de seguimiento
- Si los hackers éticos tienen permiso para divulgar públicamente sus hallazgos. Si lo tienen, cuándo.
"Establecer expectativas con los hackers y educarlos sobre los procesos internos, así como la manera en que eso afecta el programa de recompensas por errores, reducirá el riesgo de frustración de los hackers y hará que regresen”, afirma Collins.
Adoptar un enfoque tan transparente y comunicativo también puede ayudar a evaluar si lo que su programa puede ofrecer coincide con lo que esperan los hackers éticos, agrega Poris. "Los investigadores quieren un alcance interesante, un programa desafiante, un equipo receptivo y una buena compensación”.
5. ¿Comprende el riesgo asociado con los programas de recompensas por errores?
Por último, las organizaciones deben reconocer los riesgos que conllevan los programas de recompensas por errores, y estos no se limitan a la incapacidad de cumplir con los requisitos de corrección de errores cuando se informan vulnerabilidades, como se mencionó anteriormente. "Es posible que las empresas no sean plenamente conscientes de su infraestructura de acceso a Internet y de la huella de sus productos”, advierte Poris. "¿Cuál es el impacto empresarial de un error si no conoce el nivel de riesgo del activo al que afecta? Además, no todos los investigadores cooperarán. Debe tener una estrategia para anticiparse a los investigadores que cometen errores o actúan de mala fe”.
Collins advierte que una definición clara de la política facilitará anticipadamente la aplicación de las reglas de la política de recompensas por errores, en el caso que los investigadores las infrinjan. "A través de la coherencia, los investigadores llegarán a reconocer que su programa está organizado y bien gestionado, lo que ayudará a reducir el riesgo del programa”.
Es más, los programas de recompensas por errores, como cualquier otro enfoque de seguridad, deben ser flexibles, porque lo que es adecuado hoy, puede ser deficiente mañana. "A medida que los requerimientos de seguridad de una organización cambian y se adaptan debido a la transformación digital, o la introducción de nuevos productos, el programa de recompensas por errores también deberá cambiar y adaptarse”, afirma Collins. Si no lo hace, las organizaciones pueden verse expuestas a nuevas amenazas, a medida que cambian las prioridades del negocio, agrega. Por lo tanto, los programas de recompensas por errores deben adaptarse a las necesidades del negocio muy específicas y en constante cambio.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú
Puede ver también: