HackerOne propone poner fin a la seguridad por oscuridad

0
15

HackerOne, un proveedor de plataformas de caza de errores, ofreció una propuesta para una mayor responsabilidad corporativa en materia de seguridad, e hizo un llamamiento para pasar del secretismo a la transparencia a la hora de tratar las vulnerabilidades en un informe publicado el jueves.

Las organizaciones examinan cada vez más las prácticas de sus proveedores, basan sus decisiones de compra en las credenciales de seguridad, y cambian de proveedor si la empresa ha sufrido un incidente de seguridad, señala el informe. Demostrar las mejores prácticas de seguridad es ahora un diferenciador competitivo.

Para demostrar que una empresa se adhiere a las mejores prácticas, el informe recomienda que se comprometa con los cuatro principios de la responsabilidad de seguridad corporativa: transparencia, colaboración, innovación y diferenciación.

Desconfianza entre las organizaciones y los investigadores de terceros
Según los datos de la encuesta realizada a 800 responsables de seguridad, el 64% mantiene una cultura de seguridad a través de la oscuridad. No admitir los puntos débiles y pedir ayuda para solucionarlos puede causar un daño importante a una marca en caso de que se explote una vulnerabilidad «secreta», explica el informe.

Para crear una mayor transparencia, el informe recomienda crear una cultura de apertura, evitar culpar a alguien cuando se produzcan incidentes, proporcionar a los investigadores externos un proceso claro para informar de las vulnerabilidades, y adoptar un enfoque abierto con las partes interesadas en caso de que se produzca una infracción.

El informe también reveló una gran desconfianza entre las organizaciones y los investigadores externos. El 67% dijo que prefería aceptar las vulnerabilidades del software antes que trabajar con los hackers, mientras que el 50% de los hackers admitió que no había revelado una falla debido a una experiencia negativa anterior o a la falta de un canal para informar.

La falta de confianza convierte a todo el mundo en un potencial ciberenemigo, anota el informe. Para evitarlo y promover la colaboración, HackerOne recomendó animar a terceros a informar de las vulnerabilidades, establecer sesiones informativas periódicas sobre seguridad con los altos cargos de la empresa y traducir el riesgo de seguridad en riesgo para el negocio.

Las mejores prácticas de ciberseguridad de los proveedores son tan importantes como el costo
Una crítica habitual a la seguridad es que frena la innovación al aumentar el tiempo que tardan los equipos de desarrollo en producir software. Esto no tiene por qué ser así, según el informe. Las pruebas tempranas y las continuas a lo largo del ciclo de vida del desarrollo son formas de evitar los problemas de seguridad. «Los equipos de seguridad deben facilitar el desarrollo, no bloquearlo», señala el informe.

Para reducir las fricciones entre los equipos de seguridad y los desarrolladores, el informe recomienda implicar a los equipos de desarrollo en el proceso de seguridad, recompensar a los desarrolladores por solucionar problemas de seguridad, y celebrar sesiones de concienciación sobre ciberseguridad en toda la organización.

Según el informe, las buenas prácticas cibernéticas pueden ser un factor de diferenciación importante para una empresa, y una consideración importante a la hora de elegir proveedores. El 63% de las organizaciones dijo a los investigadores de HackerOne que las buenas prácticas de ciberseguridad son tan importantes como el costo a la hora de elegir un proveedor, y el 62% dijo que se iría a otro sitio si un proveedor sufriera una violación de datos. El 53% de las organizaciones admitió haber perdido clientes como resultado de una violación de datos.

El informe recomendó que se realicen comprobaciones de seguridad sólidas a los proveedores, que incluyan una prueba de cumplimiento de las leyes de privacidad, una auditoría de terceros de un marco de seguridad, pen-tests actuales, autenticación multifactor, una política de divulgación de vulnerabilidades y un inicio de sesión único. También recomendó seguir las directrices de producto seguro mínimo viable de Google.

«No hay una forma segura de probar sus credenciales de seguridad o de saber si uno de sus proveedores podría ser la próxima víctima de una violación de datos», señala el informe. «Sin embargo, animar a su organización y a su cadena de suministro a comprometerse con los principios de la responsabilidad de la seguridad corporativa impulsará la confianza de la marca, y diferenciará a su organización como una que demuestra su compromiso activo con la seguridad».

John P. Mello Jr CSO

Artículo anteriorLos grandes de la industria unen fuerzas para avanzar en el ecosistema 5G vRAN
Artículo siguienteJava 19 promete ser un éxito