La mayoría de las principales empresas de tecnología tienen programas de recompensas por errores, en los que investigadores independientes compiten contra la empresa para encontrar vulnerabilidades o vulnerabilidades de seguridad.
Antilavadodedinero / FCPA
Si se encuentra, confirma y repara un error, el investigador es elegible para una compensación monetaria. ¿Funcionaría un modelo similar para los programas de cumplimiento?
Con las recompensas por errores, los investigadores independientes, a veces llamados hackers éticos, son los participantes típicos.
Así es como funciona.
Un investigador aplica sus talentos de piratería, tratando de encontrar un exploit en un sistema, una página de inicio de sesión en un sitio de redes sociales, por ejemplo. Si encuentran una falla legítima, la reportan directamente a la empresa antes de que se haga pública y pueda ser explotada por malos actores, ya sea dentro o fuera de la empresa.
El investigador ético envía un informe a la empresa, con documentación completa e instrucciones de repetibilidad paso a paso. Luego, el equipo de seguridad de la empresa revisa la validez de las reclamaciones y, si es necesario, realiza las mejoras necesarias para reparar el problema y compensar al investigador.
La compensación típica para los programas de recompensas por errores comienza alrededor de $ 500, pero puede aumentar significativamente según la gravedad de la brecha de seguridad. Google paga hasta $ 31,337 por informes sobre ciertos tipos de errores en servicios web y hasta $ 1 millón por exploits de Android .
Apple presentó un programa en 2019, que ofrece recompensas que van desde $ 5,000 hasta más de $ 1 millón por descubrimientos de fallas de seguridad importantes en el sistema operativo.
En 2016, el Departamento de Defensa de EE. UU. Inició un programa de recompensas por errores. En los primeros 24 días del programa, el DOD resolvió más de 138 vulnerabilidades únicas y pagó decenas de miles de dólares a 58 piratas informáticos.
¿Por qué son importantes los programas de recompensas por errores?
La reputación de una empresa puede verse destruida en un solo incidente y repararla puede ser un proceso largo y arduo. El hackeo de 500 millones de cuentas de Yahoo en 2016 , la filtración de datos de Equifax en 2017 y el escándalo de datos de Facebook y Cambridge Analytica de 2018 son algunos ejemplos.
Los equipos de seguridad interna, como los equipos de cumplimiento, siempre están trabajando duro para proteger a la empresa, pero siempre habrá formas de vencer al sistema. Los sistemas tecnológicos en todas las industrias cambian continuamente y con los nuevos sistemas surgen nuevas vulnerabilidades.
Con los programas de recompensas por errores, las empresas más grandes y sofisticadas del mundo invitan a civiles a intentar vencerlos y, a menudo, los civiles ganan. Google ha pagado más de 21 millones de dólares en recompensas por errores durante los últimos diez años.
En lugar de solo ver los aspectos negativos de invitar a las personas a encontrar grietas en la armadura, las principales empresas del mundo adoptan una posición de humildad con los programas de recompensas de errores y reconocen que siempre se pueden encontrar fallas.
En las comunidades de seguridad, las empresas con programas eficaces de recompensa por errores son consideradas más respetadas, más receptivas a las amenazas y más preocupadas por la seguridad del usuario.
Encontrar puntos de incumplimiento antes de que puedan ser explotados también reduce el riesgo de que se tomen medidas regulatorias contra una empresa. Equifax pagó más de $ 575 millones a la Comisión Federal de Comercio por su incumplimiento que un Comité de Supervisión de la Cámara de Representantes calificó de “totalmente evitable”.
Al igual que la seguridad de los datos, los enjuiciamientos por corrupción pueden producir daños en la reputación, grandes sanciones y cambios estrictamente obligatorios en los programas de cumplimiento.
¿Podría funcionar el sistema de recompensas por errores para los departamentos de cumplimiento? ¿Abrir las puertas para una revisión independiente y recompensar a cualquier “cazador de errores” de cumplimiento emprendedor que encuentre la manera de mejorar un programa de cumplimiento?
Por qué no?
Tal vez las recompensas por errores lleguen pronto a un programa de cumplimiento cerca de usted.
