Contamos con un equipo de seguridad diverso y bien capacitado, especializado en diferentes industrias, lo que nos permite cubrir todos los componentes de la plataforma, monitorear 24 horas al día, 7 días a la semana, los ataques que recibimos y realizar pruebas de seguridad internas antes de poner en producción nuevas funciones, capacitar a los desarrolladores. El OWASP Top 10 [1] investiga vulnerabilidades de día cero [2] y otras tareas que demuestran que estamos haciendo un buen trabajo.
Pero, en pocas palabras, queremos centrarnos en dos términos clave: el primero es la Política de divulgación de vulnerabilidades (VOP) y el segundo es el Programa de recompensas por errores (BPP), porque creemos que todas las empresas deberían adoptar al menos estos dos programas. el.
Una política de divulgación de vulnerabilidades o un programa de divulgación de vulnerabilidades (VDP) es un programa que proporciona pautas claras sobre cómo una organización desea recibir notificaciones sobre posibles vulnerabilidades de seguridad descubiertas por terceros o piratas informáticos externos.
El objetivo es proporcionar a los piratas informáticos éticos instrucciones sobre cómo y dónde informar una vulnerabilidad para que el equipo adecuado pueda solucionarla.
El BBP (Programa Bug Bounty), por otro lado, incentiva a terceros o piratas informáticos a encontrar vulnerabilidades de seguridad en una organización e informarlas directamente para que puedan parchearse de forma segura.
Pero a diferencia de los POS, las personas que encuentran defectos reciben recompensas monetarias.
¿Por qué es una buena idea tener una política de divulgación de vulnerabilidades?
Es una buena práctica tener una política de divulgación de vulnerabilidades de cara al público porque anima a otros a informar sobre los riesgos de seguridad que descubren.
Es común que un hacker ético encuentre una vulnerabilidad de seguridad en sistemas de terceros, lo que generalmente le deja dos opciones:
- O denunciarlo al equipo de seguridad, a riesgo de ser denunciado por tal acto (incluso si tuviera buenas intenciones),
- o guárdalo para ti mismo, precisamente para evitar repercusiones tan negativas.
En el caso de que el hacker ético haya decidido guardar silencio en lugar de denunciar, esto demuestra, en nuestra opinión, una estrategia de seguridad débil o deficiente por parte de la organización vulnerable y, por tanto, pone en riesgo su propia seguridad y la de sus usuarios.
De hecho, un ciberdelincuente puede acceder a la misma vulnerabilidad en cualquier momento y explotarla con fines maliciosos. Los ciberdelincuentes no duermen.
Las decisiones de los piratas informáticos éticos de no informar vulnerabilidades para evitar riesgos legales tienen un impacto directo y, a menudo, trágico en una organización, lo que lleva a ransomware u otros incidentes graves.
Los PDV tienen cinco puntos esenciales:
- Objeto : La declaración inicial del POS, que debe incluir por qué tiene un POS y por qué es importante tenerlo.
- Campo de aplicación : Indica las propiedades disponibles y los tipos de vulnerabilidades que queremos que se informen. Esto permite a los piratas informáticos saber en qué activos y posibles vulnerabilidades deberían centrar su atención.
- Acción segura : Una declaración que garantiza a los piratas informáticos que no serán penalizados ni procesados por las vulnerabilidades encontradas.
- Proceso de presentación de informes : Cómo los piratas informáticos pueden enviar informes de seguridad y qué información se debe proporcionar.
- Cómo se evaluarán los informes : Esto puede incluir, entre otras cosas, indicar que los tiempos de respuesta varían según la gravedad y el recurso afectado, que los piratas informáticos pueden revelar públicamente las vulnerabilidades descubiertas o que deben esperar un correo electrónico de confirmación.
¿Tenemos un programa de recompensas por vulnerabilidad en Factorial?
Actualmente, nuestro programa de recompensas está limitado a un grupo selecto de hackers conocidos por su gran reputación y alto nivel de resultados.
De esta forma nos aseguramos de recibir únicamente informes de alta calidad de la mano de los mejores profesionales.
HackerOne es una empresa que permite a las organizaciones tener su propio VDP o BBP en su plataforma, donde los piratas informáticos pueden generar informes y el equipo de seguridad interno de cada organización puede evaluar esos informes.
Una vez verificado el informe, en el caso de un programa de recompensas por errores, el pirata informático recibirá una compensación monetaria proporcional al nivel de riesgo de la vulnerabilidad informada.
¿Tenemos un programa de divulgación de vulnerabilidades en Factorial?
Para nosotros es gratificante y fundamental contar con una forma segura de recibir informes de vulnerabilidad de terceros. Además, nos gusta recibir nuevos informes de seguridad y mejorar la seguridad de nuestros sistemas.
Obtenga más información sobre nuestra política de seguridad.
Cualquier hacker externo que encuentre una vulnerabilidad de seguridad puede informarnos de ello, incluso si no participa en nuestro programa privado de recompensas por errores.
Por lo tanto, cualquier persona puede encontrar nuestra política de DAP y reportarnos posibles vulnerabilidades de seguridad a security@factorial.co. Estaremos encantados de revisar los informes.