Aceptación de las partes interesadas

Equipo de seguridad

Equipo de seguridad

El equipo de seguridad es la parte interesada más importante del VDP. Además del trabajo que implica prepararse para el lanzamiento y la ejecución de un VDP, si tu equipo de seguridad no está integrado, es más difícil conseguir la aceptación de personas ajenas a él.

A veces, la introducción de un VDP puede generar un sentido de orgullo o una actitud defensiva. El equipo de seguridad puede sentir que los investigadores de seguridad externos que identifican las vulnerabilidades que se pasaron por alto permitirán aclarar sus fallas. Las empresas tienen superficies de ataque grandes y complejas, y no se puede esperar que el equipo de seguridad tenga una cobertura perfecta. La narrativa no debe ser apuntar con los dedos ni culpar a nadie. A medida que los investigadores encuentren vulnerabilidades, estos datos deberían usarse como comentarios prácticos para ayudar a tu equipo a mejorar la postura de seguridad de tu organización. Será fundamental cambiar la mentalidad de tu equipo de seguridad para que consideren a los hackers externos como una extensión del equipo, no como adversarios. Como se mencionó anteriormente, también deberás asegurarte de que tu equipo de seguridad haya tenido una conversación proactiva sobre cómo manejar los mecanismos de detección y respuesta relacionados con el VDP.

Beneficios clave del VDP para los equipos de seguridad
Figura 1: Beneficios clave del VDP para los equipos de seguridad

IT

La tecnología de la información tiene distintos significados para las diferentes organizaciones, y cada empresa tiene su propio conjunto de funciones relacionadas con la TI. Para los fines de esta guía, suponemos que TI se refiere a las personas y los equipos responsables de configurar, mantener y respaldar los sistemas y servicios de los que dependen la empresa. Por lo general, los equipos de TI quieren tener todo en funcionamiento. A menudo, esto está directamente relacionado con las métricas de éxito (por ejemplo, el tiempo de actividad sin interrupciones). Si bien la noción de invitar a hackers a probar los sistemas y servicios que mantienen puede parecer aterradora, en realidad beneficia al equipo de TI. Los delincuentes no siguen ninguna regla y podrían intentar atacar tu organización. Si creas un canal estandarizado para que los buenos hackers trabajen con tu organización, puedes aumentar las posibilidades de identificar y solucionar problemas de seguridad antes de que los criminales los aprovechen. Los incumplimientos conllevan costos enormes, incluido el tiempo dedicado al equipo de TI y a otros, así como un tiempo de inactividad potencial si es necesario apagar o segmentar temporalmente los elementos como resultado de un incumplimiento. Tener un VDP puede ayudar a reducir el riesgo de violaciones de seguridad. Además, el reconocimiento de los hacker puede ayudar a descubrir recursos y a identificar sistemas y servicios maliciosos que se iniciaron sin la participación del equipo de TI.

Beneficios clave del VDP para los equipos de seguridad
Figura 2: Beneficios clave del VDP para los equipos de TI

Ingeniería

A menos que el equipo de seguridad asuma la tarea de corregir las vulnerabilidades en nombre de tu equipo de ingeniería, necesitarás que la organización de ingeniería se integre al VDP. A nadie le gusta el trabajo inesperado, y los VDP presentan una nueva transmisión de vulnerabilidades que los equipos de ingeniería deben abordar. Es importante trabajar con los líderes de la organización de ingeniería para garantizar que conozcan el cronograma asociado con el lanzamiento del VDP y obtener su aceptación a fin de dedicar recursos a la solución de errores. Por lo general, cuando se lanza un VDP, se produce un aumento repentino de errores al principio y, luego, se manipula a un nivel moderado. Tener un equipo de ingeniería listo para corregir muchos errores en las primeras semanas del programa puede ayudar a facilitar mucho el proceso para el equipo de ingeniería, el de seguridad y los hackers que participan en el VDP. Dado que le pedirás al equipo de ingeniería que realice un trabajo adicional, es útil ilustrar los beneficios que se obtendrán del VDP.

Beneficios clave del VDP para los equipos de ingeniería
Figura 3: Beneficios clave del VDP para los equipos de ingeniería

A los equipos legales les gusta reducir el riesgo. El concepto de invitar de forma proactiva a hackers a hackear tu organización, sin contexto adicional, puede parecer muy arriesgado. Es importante trabajar con tu equipo legal para ver cómo el VDP puede reducir no solo los riesgos de seguridad, sino también los legales. Independientemente de si tienes o no un VDP, las vulnerabilidades estarán presentes. Sin un VDP, los hackers que quieran hacer lo correcto y informarte sobre el problema no tendrán una forma estándar de comunicarse contigo. La implementación de un VDP proporciona un medio para que los investigadores de seguridad te ayuden a encontrar y corregir vulnerabilidades antes de que se conviertan en un problema legal. Sin un canal para aceptar informes de vulnerabilidades, las personas que identifican vulnerabilidades podrían dejar de intentar denunciarte o divulgar el problema de forma pública con el fin de llamar la atención y asegurarse de que se solucione.

Beneficios clave del VDP para los equipos legales
Figura 4: Beneficios clave del VDP para los equipos legales

Relaciones públicas

Según la experiencia de tu equipo de relaciones públicas (RR.PP.) con la seguridad de la información, las reacciones de tu equipo acerca de la propuesta para iniciar un VDP podrían variar desde “¿cuándo empezamos?” hasta sentirse sorprendido y rechazar la idea por completo. Si bien la percepción pública sobre el hacker comenzó a cambiar de forma más positiva, la palabra hacker aún tiene connotaciones negativas para muchas personas. En la siguiente tabla, se describen las inquietudes y preguntas frecuentes del equipo de RR.PP. y se explica cómo abordarlas.

Pregunta/objeción Respuesta posible
¿No son malos los hackers? ¿Invitarlos a que nos hackeen solo quiere decir problemas? No. Los delincuentes siempre existirán y querrán hackearnos y aprovecharnos. Sin embargo, el VDP crea un medio para trabajar con los hackers que quieren hacer lo correcto y ayudarnos a encontrar y corregir vulnerabilidades. Si alguien quiere hacer el mal, el VDP no lo detendrá.
¿Qué pasa si un hacker nos hackea en lugar de ayudarnos? Si alguien tiene malas intenciones, es probable que no participe en el VDP. En cambio, intentará permanecer tan anónimo como sea posible cuando nos ataque. Tener un VDP nos permite trabajar con investigadores de seguridad que quieren colaborar.
Cuando les pedimos ayuda a hackers, ¿estamos admitiendo que nuestra propia seguridad es mala? Ninguna organización tiene una seguridad perfecta. Muchas organizaciones muy conocidas de diversos sectores ejecutan programas de divulgación pública de vulnerabilidades o programas de recompensas por errores para aumentar sus procesos de seguridad existentes. Aprovechar la comunidad global de hackers es una red de seguridad que ayuda a encontrar y solucionar cualquier problema que festeja. De hecho, tener un VDP se puede utilizar para lograr relaciones públicas de seguridad positivas.
¿Qué pasa si un hacker revela públicamente cómo nos hackeó? ¿No se verá mal? Esto depende de la narrativa y la naturaleza de la divulgación. Depende de nosotros trabajar con los hackers para definir las condiciones aceptables sobre el funcionamiento de la divulgación. La mayoría de las organizaciones desalientan la divulgación pública de los problemas identificados hasta que se corrigen, y suelen trabajar con el hacker en los comentarios o en el blog. Sin un medio estructurado para aceptar informes de vulnerabilidad y participar en este diálogo con los hackers, aumenta el riesgo de que alguien se frustre y acuda directamente a la prensa porque no pudo contactarnos. Muchas organizaciones alientan de manera proactiva a los investigadores de seguridad a escribir su experiencia de trabajo con la organización, ya que se destaca el éxito del VDP. Esto fomenta la participación de otros hackers calificados de la comunidad.
¿Cómo podemos estar seguros de que el VDP funcionará para nosotros? ¿Qué pasa si hacemos público y sucede algo malo? La mayoría de los VDP se inician en modo "privado", es decir, el programa no se anuncia de forma pública y solo se invita a algunos hackers. Con el tiempo, se invita a más hackers, y el programa escala lentamente hacia un lanzamiento y un anuncio "públicos". Estaremos alineados con los plazos y te mantendremos al tanto de la fecha de lanzamiento del programa al público. Cuando lo haga, podemos destacarlo como una historia positiva sobre cómo trabaja la organización con la comunidad de investigadores de seguridad externos para mejorar la seguridad y proteger a los usuarios.
Beneficios clave del VDP para los equipos de relaciones públicas
Figura 5: Beneficios clave del VDP para los equipos de relaciones públicas

Ventas

Tu equipo de ventas necesita evidencia para demostrar los beneficios que tu empresa tiene para ofrecer en comparación con los competidores. Como parte del proceso de ventas, las organizaciones a menudo se someten a una revisión o auditoría de seguridad del proveedor para garantizar la confianza de los clientes. La implementación del VDP les demuestra a los clientes que tienes un programa de seguridad consolidado y que puedes mejorarlo aún más con el trabajo con investigadores de seguridad externos. Además, si tus competidores cercanos no tienen un VDP, esto se puede usar como una ventaja a la hora de hablar con los clientes potenciales. Trabaja con el equipo de ventas a fin de crear una narrativa para compartir con clientes potenciales cuando surjan preguntas sobre la seguridad de la organización.

Por ejemplo,

Empleamos un programa de divulgación de vulnerabilidades para potenciar nuestros procesos de seguridad sólidos existentes, que actúa como una red de seguridad o una vigilancia local para ayudar a identificar cualquier problema de seguridad en producción casi en tiempo real. Esto nos ayuda a garantizar la seguridad de tus datos, ya que reduce la probabilidad de violaciones de seguridad. Esto nos da una sólida ventaja sobre nuestros competidores que no tienen un programa de divulgación de vulnerabilidades.
Beneficios clave del VDP para los equipos de ventas
Figura 6: Beneficios clave del VDP para los equipos de ventas

Finanzas

Es probable que el sector de finanzas se involucre más cuando cambies de un VDP a un programa de recompensas por vulnerabilidades (VRP), pero debes incluirlos si compras servicios de una plataforma de terceros. Si decides trabajar con un proveedor externo para que te ayude a configurar el VDP, es probable que debas establecer un presupuesto para estos servicios. Puede parecer algo menor, pero es una buena idea hablar con tu equipo de finanzas desde el principio para comprender su proceso.

Beneficios clave del VDP para los equipos de finanzas
Figura 7: Beneficios clave del VDP para los equipos de finanzas

Enfoque de las comunicaciones

Para lograr la aceptación de las partes interesadas, deberás determinar cuáles son los mejores métodos de comunicación para tu organización. Si crees que la mayor parte de la organización estará de acuerdo, a menudo podrás continuar con una sola propuesta, solicitar comentarios y realizar una sola reunión para analizar cualquier pregunta o inquietud. Si este enfoque no funciona en tu organización, reunirte con las partes interesadas de forma individual para analizar sus preguntas o inquietudes personales podría ser un enfoque mejor. Prepárate para manejar objeciones o preguntas relacionadas con los riesgos asociados con el inicio de un VDP. A medida que presentes la idea de un VDP a toda tu organización, deberás vender los beneficios y abordar con confianza los riesgos reales y percibidos.