Programa de bonificación para garantizar la actividad


Contamos con un equipo de seguridad diverso y bien capacitado, especializado en diferentes industrias, lo que nos permite cubrir todos los componentes de la plataforma, monitorear 24 horas al día, 7 días a la semana, los ataques que recibimos y realizar pruebas de seguridad internas antes de poner en producción nuevas funciones, capacitar a los desarrolladores. El OWASP Top 10 [1] investiga vulnerabilidades de día cero [2] y otras tareas que demuestran que estamos haciendo un buen trabajo.

Pero, en pocas palabras, queremos centrarnos en dos términos clave: el primero es la Política de divulgación de vulnerabilidades (VOP) y el segundo es el Programa de recompensas por errores (BPP), porque creemos que todas las empresas deberían adoptar al menos estos dos programas. el.

Una política de divulgación de vulnerabilidades o un programa de divulgación de vulnerabilidades (VDP) es un programa que proporciona pautas claras sobre cómo una organización desea recibir notificaciones sobre posibles vulnerabilidades de seguridad descubiertas por terceros o piratas informáticos externos.

El objetivo es proporcionar a los piratas informáticos éticos instrucciones sobre cómo y dónde informar una vulnerabilidad para que el equipo adecuado pueda solucionarla.

El BBP (Programa Bug Bounty), por otro lado, incentiva a terceros o piratas informáticos a encontrar vulnerabilidades de seguridad en una organización e informarlas directamente para que puedan parchearse de forma segura.

Pero a diferencia de los POS, las personas que encuentran defectos reciben recompensas monetarias.

¿Por qué es una buena idea tener una política de divulgación de vulnerabilidades?

Es una buena práctica tener una política de divulgación de vulnerabilidades de cara al público porque anima a otros a informar sobre los riesgos de seguridad que descubren.

Es común que un hacker ético encuentre una vulnerabilidad de seguridad en sistemas de terceros, lo que generalmente le deja dos opciones:

  • O denunciarlo al equipo de seguridad, a riesgo de ser denunciado por tal acto (incluso si tuviera buenas intenciones),
  • o guárdalo para ti mismo, precisamente para evitar repercusiones tan negativas.

En el caso de que el hacker ético haya decidido guardar silencio en lugar de denunciar, esto demuestra, en nuestra opinión, una estrategia de seguridad débil o deficiente por parte de la organización vulnerable y, por tanto, pone en riesgo su propia seguridad y la de sus usuarios.

De hecho, un ciberdelincuente puede acceder a la misma vulnerabilidad en cualquier momento y explotarla con fines maliciosos. Los ciberdelincuentes no duermen.

Las decisiones de los piratas informáticos éticos de no informar vulnerabilidades para evitar riesgos legales tienen un impacto directo y, a menudo, trágico en una organización, lo que lleva a ransomware u otros incidentes graves.

Los PDV tienen cinco puntos esenciales:

  • Objeto : La declaración inicial del POS, que debe incluir por qué tiene un POS y por qué es importante tenerlo.
  • Campo de aplicación : Indica las propiedades disponibles y los tipos de vulnerabilidades que queremos que se informen. Esto permite a los piratas informáticos saber en qué activos y posibles vulnerabilidades deberían centrar su atención.
  • Acción segura : Una declaración que garantiza a los piratas informáticos que no serán penalizados ni procesados ​​por las vulnerabilidades encontradas.
  • Proceso de presentación de informes : Cómo los piratas informáticos pueden enviar informes de seguridad y qué información se debe proporcionar.
  • Cómo se evaluarán los informes : Esto puede incluir, entre otras cosas, indicar que los tiempos de respuesta varían según la gravedad y el recurso afectado, que los piratas informáticos pueden revelar públicamente las vulnerabilidades descubiertas o que deben esperar un correo electrónico de confirmación.

¿Tenemos un programa de recompensas por vulnerabilidad en Factorial?

Actualmente, nuestro programa de recompensas está limitado a un grupo selecto de hackers conocidos por su gran reputación y alto nivel de resultados.

De esta forma nos aseguramos de recibir únicamente informes de alta calidad de la mano de los mejores profesionales.

HackerOne es una empresa que permite a las organizaciones tener su propio VDP o BBP en su plataformadonde los piratas informáticos pueden generar informes y el equipo de seguridad interno de cada organización puede evaluar esos informes.

Una vez verificado el informe, en el caso de un programa de recompensas por errores, el pirata informático recibirá una compensación monetaria proporcional al nivel de riesgo de la vulnerabilidad informada.

¿Tenemos un programa de divulgación de vulnerabilidades en Factorial?

Para nosotros es gratificante y fundamental contar con una forma segura de recibir informes de vulnerabilidad de terceros. Además, nos gusta recibir nuevos informes de seguridad y mejorar la seguridad de nuestros sistemas.

Obtenga más información sobre nuestra política de seguridad.

Cualquier hacker externo que encuentre una vulnerabilidad de seguridad puede informarnos de ello, incluso si no participa en nuestro programa privado de recompensas por errores.

Por lo tanto, cualquier persona puede encontrar nuestra política de DAP y reportarnos posibles vulnerabilidades de seguridad a security@factorial.co. Estaremos encantados de revisar los informes.

Ultimas Entradas Publicadas

Un entusiasta llega más rápido al trabajo ideal

Un entusiasta llega más rápido al trabajo ideal

El entusiasmo por su profesión y carrera puede llevarlo a su trabajo ideal. Dado que dos candidatos están igualmente calificados, ...

Emociones atractivas | Busca de empleo

¡Aquí ya está pensando en términos de colaboración y compromiso! 😉 ¿Qué haces con las emociones que todavía sientes no ...
Mide dos veces y... una vez (I)

Mide dos veces y… una vez (I)

"Resulta que la medición lo es todo. A nivel cuántico, la realidad no existe a menos que la mires". - ...

¿Qué sabes sobre la empresa para la que quieres trabajar?

...o ¿por qué los candidatos no investigan? Y desde el punto de vista el consultor de empleo y desde la ...
Preguntas clave de la entrevista de reclutamiento

Preguntas clave de la entrevista de reclutamiento

Si desea tener una imagen más completa del candidato que tiene frente a usted, debe utilizar preguntas que estimulen al ...
La palabra, el VIENTO y el avance (II)

La palabra, el VIENTO y el avance (II)

"Grita sin voz, volar sin alas Mordida desdentada Murmura sin boca." (Gollum a Bilbo Bolsón, en EL HOBBIT, de JRR ...

¿Por qué se debe preparar cuidadosamente la entrevista de trabajo?

Por el contrario, hay candidatos que se preparan seriamente para las entrevistas de trabajo. Para estos candidatos la entrevista de ...
23 formas prácticas de evolucionar que definitivamente me han influenciado

23 formas prácticas de evolucionar que definitivamente me han influenciado

Nunca olvides que la piel se arruga, el cabello se vuelve gris, los días se vuelven años… pero lo más ...

5 pasos prácticos para un cambio de carrera exitoso

Cada vez conozco más personas que ya no encuentran motivación en la carrera que han elegido. ¿Por qué? O el ...
La entrevista de trabajo es como una transacción comercial

La entrevista de trabajo es como una transacción comercial

Una entrevista de trabajo es esencialmente una proceso de ventas. El empresario ha decidido "comprar" los servicios de un profesional ...

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *