Aumenta la madurez de ciberseguridad de tu empresa y la resiliencia en ciberataques, recurriendo a los mejores hackers éticos de América latina. Recordemos que solo podemos proteger lo que somos capaces de visibilizar. Laura Gaudino nos habla de CyScope el programa de Bug Bounty de Dreamlab Technologies y cómo este ayuda a comprender la creciente superficie de ataque, buscar errores y fallos, poner a prueba aplicaciones y asegurarnos de solucionar las vulnerabilidades antes que los ciberdelincuentes sepan que existen. 

1. ¿Cómo y cuándo nació la idea de crear la plataforma CyScope?
La idea surgió en el 2017. Nos dimos cuenta que el bug bounty era un modelo complementario al pentesting tradicional, lo veíamos como un modelo ágil, rentable para conseguir resultados rápidos. Queríamos unir la comunidad de Hackers de América Latina y de alguna manera aprovechar la ausencia de competencia en este mercado.

2. Mucho se habla sobre los programas de bug bounty y su importancia para la seguridad informática en un mundo digitalizado. ¿De qué maneras concretas crees que la plataforma beneficia a los sistemas hoy en día?
En el mundo del bug bounty, la unión hace la fuerza. Si tienes a una gran cantidad de talentos y profesionales investigando tus sistemas en un entorno competitivo, la posibilidad de encontrar una gran cantidad de vulnerabilidades, fallos de seguridad críticos en un lapso de tiempo corto incrementa. Además, la comunidad de hackers opera bajo un escenario real, es decir tienen el tiempo suficiente para buscar fallos de seguridad más sofisticados como cualquier tipo de ciberatacante.

3. Los programas de bug bounty son mucho más utilizados en Europa y otras regiones fuera de LatAm. ¿A qué crees que se debe?
El bug bounty es bastante joven en América Latina. En Europa y en los Estados Unidos por ejemplo el modelo tiene más de 10 años. En estos continentes, las empresas entienden el win-win de este modelo y lo usan de manera pública para mostrar su compromiso con la ciberseguridad. Es un argumento de marketing potente.

El mercado latinoamericano está empezando a adoptar el bug bounty, pero pensamos que todavía existe un cierto miedo al momento de lanzar un programa. El equipo de CyScope está haciendo un gran trabajo de evangelización y sensibilización con las empresas para tranquilizarlas y explicarles que tienen todo el interés en asegurarse que las vulnerabilidades lleguen a sus equipos internos para facilitar una rápida mitigación y no a sus clientes a través de las redes sociales. CyScope ofrece un canal de divulgación para reportar vulnerabilidades de manera controlada. 

4. ¿Cómo evalúan la ética o confiabilidad de los hackers que forman parte de CyScope?
La ética y el profesionalismo de nuestra comunidad de hackers son fundamentales. En CyScope privilegiamos la calidad y no tanto la cantidad. Por esta razón nuestra comunidad es privada es decir, los hackers no pueden acceder a nuestros programas de bug bounty sin haber pasado por un proceso de selección previo basado en distintas etapas que nos permiten evaluar tanto sus antecedentes como su compromiso con el marco legal de CyScope. Además, hemos implementado varios controles para proteger tanto a los clientes como a los hackers al momento de ejecutar las pruebas.

5. Hablemos de costos: ¿es más rentable contratar un servicio para detectar vulnerabilidades o pagarle a alguien para remediar el incidente después de que ocurrió?
En ciberseguridad, recomendamos la proactividad al 100%. Eso significa tomar las medidas adecuadas para reforzar los niveles de protección y las capacidades de detección de una empresa antes de que ocurra el incidente.

Si una empresa sufre un incidente, tendrá que pagar un costo para recuperarse. Sin embargo, si se tiene una sólida estrategia de ciberseguridad y si se han implementado los controles de seguridad necesarios, este costo puede bajar.

En conclusión, una empresa que no se preocupa por la ciberseguridad no solamente tendrá que asumir las pérdidas financieras asociadas al incidente sino también el daño a la imagen cuyo costo es más difícil de calcular pero sabemos que el impacto a mediano plazo puede ser alto.

6. ¿Qué retos te has encontrado siendo product manager de CyScope?
Siendo Product Manager, creo que el reto principal con el cual me encuentro todos los días es orientar el desarrollo de una plataforma que sea útil y atractiva tanto para las empresas como para los hackers además de centralizar y priorizar las ideas. El proceso de expansión internacional también es un reto. Es otra cultura y las expectativas de los clientes pueden variar.