Publicidade

Como pagar recompensas por identificação de falhas acelera a proteção de empresa

Por| 18 de Setembro de 2020 às 18h00

Link copiado!

Pexels
Pexels

Por Caio Telles*

No Brasil, terceiro país que mais sofre tentativas de ataques virtuais no mundo, as empresas levam, em média, 196 dias para perceber que foram atacadas, segundo dados do setor. Muitas companhias não possuem maturidade para tratar vulnerabilidades identificadas de forma ágil e dentro de um tempo razoável.

A segurança cibernética, portanto, se tornou uma responsabilidade em todos os setores, e vai muito além das equipes de TI. Atualmente, não ter um programa de recompensa por identificação de vulnerabilidades - conhecido como Bug Bounty - coloca qualquer negócio atrás na corrida pela segurança, especialmente em tempos da Lei Geral de Proteção de Dados (LGPD), em que a privacidade está em evidência.

Continua após a publicidade

A utilização de programas desse tipo é considerada uma boa prática e tem sido cada vez mais adotada por governos e grandes empresas, como Google e Facebook. A plataforma reúne especialistas em busca de reconhecimento e instituições comprometidas com a segurança da informação e privacidade de seus clientes. A iniciativa recompensa e/ou remunera pesquisadores que comunicam falhas de segurança.

Por meio do Bug Bounty, as empresas interessadas podem abrir programas em diversas modalidades, que levam em consideração o tipo de serviço, o escopo do trabalho, a recompensa a ser oferecida, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços.

Os especialistas, então, realizam testes e buscam falhas em produtos e serviços cobertos pelo programa, como sistemas, aplicativos, websites e até dispositivos físicos, como totens e máquinas de cartão. O foco é identificar vulnerabilidades que possam representar riscos às empresas, como vazamento de dados, que impacta na LGPD; invasão; ataques por ransomware; ou outra ameaça que traga prejuízo financeiro, operacional ou de imagem.

Uma vez encontrado o problema, o especialista produz um relatório, e, em alguns casos, uma "prova de conceito", que mostra a vulnerabilidade na prática. Ele envia essas informações à empresa, que avalia os dados, confirma a falha e define o valor a ser pago. No Brasil, um hacker pode ganhar até R$ 10 mil pela descoberta de cada vulnerabilidade. Lá fora, as maiores recompensas já pagas ultrapassaram a marca de US$ 100 mil. Em geral, quanto maior a complexidade da falha e a facilidade de exploração, mais ela vale.

Continua após a publicidade

Até pouco tempo atrás, muitas empresas brasileiras procuravam plataformas estrangeiras para criar seus programas de recompensa. Diante do cenário atual, porém, é aconselhável iniciar um programa com pagamento em real, e não em dólar ou euro. Além disso, uma comunidade nacional é formada por especialistas brasileiros, o que permite um melhor entendimento de regras de negócios, legislações, regulamentações, entre outras particularidades do país. Devido ao fator cultural e ao idioma, a comunicação entre as empresas e os especialistas também é facilitada.

Os benefícios do programa de Bug Bounty para um negócio

Com mudanças recorrentes no setor de segurança e constantes publicações de vulnerabilidades, o programa de Bug Bounty permite que as empresas tenham seus sistemas testados de forma contínua, garantindo um tempo menor entre a descoberta da vulnerabilidade, a identificação da falha no sistema e a correção do bug.

Além disso, a utilização do programa oferece benefícios únicos às empresas, como:

Continua após a publicidade
  • Realização de testes de segurança que garantem conformidade com a LGPD;
  • Detecção de problemas de lógica comercial e processos, onde um scanner de vulnerabilidade não é capaz de atuar;
  • Testes contínuos com as falhas mais recentes descobertas e com diferentes metodologias;
  • Integração total a todas as fases do processo de SDLC (ciclo de vida de desenvolvimento de sistemas) da empresa;
  • Pagamento a partir do resultado obtido, e não do esforço do especialista, como acontece no PenTest, que identifica falhas de forma pontual;
  • Garantia do histórico público do compromisso da empresa com a segurança, e isso representa um diferencial competitivo;
  • Identificação de falhas em poucos minutos e, com isso, a empresa pode resolver os bugs antes que o público fique ciente das vulnerabilidades, evitando incidentes e crises à marca;
  • Quanto mais uma empresa estiver disposta a pagar, mais profissionais capacitados serão atraídos pela oferta. A marca, então, pode consertar as falhas e oferecer um serviço ou produto de maior qualidade.

Por que iniciar um programa de Bug Bounty?

Hoje em dia, contar apenas com serviços corporativos para proteção dos ativos de uma companhia não é suficiente. Os programas de Bug Bounty são necessários pois complementam outras etapas e controles implementados pelas empresas e cobrem uma lacuna que existe entre a identificação e a correção das vulnerabilidades. Por meio de uma metodologia assertiva, os programas protegem marcas e clientes e popularizam a segurança da informação, antes acessível apenas para grandes empresas.

Acreditar na comunidade e confiar em pesquisadores do setor é algo que gera valor para as instituições e para o mercado de segurança da informação. Não podemos impedir violações de dados, reduzir crimes cibernéticos e proteger a privacidade sem a ajuda de profissionais. É preciso promover o acesso à segurança e fomentar o bom relacionamento entre empresas e especialistas.

Continua após a publicidade

*Caio Telles é CEO da BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas.