Hoy en día, las empresas necesitan encontrar las posibles vulnerabilidades que pueden existir en su servidor. Esta es la finalidad de un programa de bug bounty. Para refrescar un poco más la memoria, mostramos nuestro artículo (enlace interno-claves principales en un programa de bug bounty).

Bug Bounty para las empresas

A pesar del reconocimiento que está teniendo este tipo de programas, existe hoy en día desconfianza por parte de las empresas aun sabiendo el gran número de ventajas que pueden tener a mano.

En este artículo os presentamos los cinco mitos más comunes sobre los programas de bug bounty con el fin de responder a posibles dudas que este genere:

Todos los programas de bug bounty son públicas. FALSO

La mayoría de los programas de bug bounty son privados, los cuales se necesita invitación.

Es cierto que, en los comienzos del bug bounty, organizaciones como Google, Facebook y Microsoft sublevaron la seguridad de las aplicaciones con sus lanzamientos de programas de bug bounty públicos. Es por ello que el bug bounty lleva un largo camino por las competencias públicas popularizadas por estas organizaciones, sin embargo, su gran progreso positivo fue a través de programas privados.

Los principales motivos del éxito en programas privados es el uso de ellos por investigadores de seguridad altamente cualificados con el fin de que las empresas puedan tener el control de lo que se va a testear en sus servidores.

Solo las empresas tecnológicas utilizan programas de bug bounty. FALSO

La evolución de estos programas genera libertad de funcionar en cualquier tipo de organización, inclusive el tamaño de él.

En caso de empresas con un margen de riesgo más bajo obtienen la aceptación del programa en departamentos jurídicos internos y de adquisición, mientras que empresas más tradicionales relacionadas con servicios financieros prefieren limitar la exposición de información personal de la empresa a través de programas privados.

Ejecutar un programa de bug bounty es demasiado arriesgado. FALSO

En este punto volvemos a hablar sobre la desconfianza que exponen las empresas sobre este programa por el hecho de adentrarse en sus datos más personales.

El caso es que deben entender que el riesgo de vulnerabilidad en sus áreas supera los riesgos que pueda generar este tipo de programas. Autorizar esta investigación de seguridad asegurará el descubrimiento de las vulnerabilidades desconocidas reduciendo así el riesgo que pueda tener asignada la empresa.

Los programas de bug bounty no ofrecen alta calidad de resultados. FALSO

Los programas de bug bounty contribuyen a descubrir vulnerabilidades mucho más críticas que los métodos tradicionales de seguridad.

La mayoría de empresas ya utilizan sólidos programas sobre test de seguridad, automatización y penetración, pero estos llegan a ser más limitados a ciertos puntos de vulnerabilidades. Sin embargo, con bug bounty se pueden encontrar resultados sólidos e incluso dentro de las primeras 24 horas de investigación.

Son demasiado costosos y presentan un presupuesto complicado. FALSO

Se puede controlar el tipo de presupuesto de bug bounty además de recomendarle a la empresa las necesidades más urgentes.

Aunque el mercado de bug bounty siga evolucionando, para llegar al éxito en estos programas se necesita un perfil adecuado, pero para ello se tienen que ofrecer también recompensas. Sin una guía y una metodología probada, ofrecer recompensas y administrar dicho presupuesto origina diversas incógnitas.

Para llegar al éxito con el programa minimizando los costes, se deberá exponer los puntos claros que se desea investigar. Elegir un programa público o privado, continuo o por tiempo son decisiones que se deben ejecutar para realizar el presupuesto que más se acerque al objetivo de la empresa.