Fuente: www.hackerone.com – Autor: elizabeth@hackerone.com. Recientemente, la directora de seguridad de la información de la secretaria de estado de Ohio, Jillian Burner, y el cofundador y jefe de servicios profesionales de HackerOne, Michiel Prins, se presentaron en la 46.ª conferencia anual de la IACA en Indianápolis para compartir los beneficios de los VDP y las lecciones aprendidas del programa de la secretaria de estado de Ohio. y asesorar sobre formas sencillas en que otras agencias pueden seguir el ejemplo de Ohio para mejorar continuamente la seguridad y proteger los datos de los electores. Continúe leyendo para conocer las cinco ideas principales de la presentación de Jillian y Michiel. 1. Un VDP es un primer paso imprescindible en la ciberdefensa. “La ciberseguridad está en el radar de todos, pero no todos conocen todos los detalles específicos para garantizar la protección. Sabemos que los malos actores buscan constantemente grietas en nuestras defensas y aplicaciones. Por eso es tan importante para nosotros trabajar con hackers éticos. Saben qué vulnerabilidades buscan los malos actores y saben cómo encontrarlas antes de que los malos puedan hacerlo”, dice Jillian. Para Jillian, trabajar con hackers éticos es de suma importancia y ayuda a su equipo a defenderse de lo desconocido. Con la ayuda de la inteligencia ética de los piratas informáticos, puede garantizar la continuidad del negocio salvaguardando los sistemas digitales, las redes y los datos de los constituyentes, manteniendo al mismo tiempo la excelente reputación por la que la agencia es conocida. 2. Un VDP proporciona vigilancia continua sobre los activos digitales. Para mantenerse a la ofensiva, el Secretario de Estado de Ohio sabía que las pruebas de seguridad continuas eran una de las formas más importantes de ayudarlos a mantenerse al día con los entornos de seguridad cambiantes y adelantarse a las amenazas. Cuando llegaron a HackerOne, realizaban análisis externos y recibían un informe semanal, pero después de eso, dependía de su pequeño equipo resolverlo todo. Sabían que necesitaban un enfoque más continuo y querían agregar inteligencia humana a su programa. Dado que el 92 % de los piratas informáticos éticos afirman que pueden encontrar vulnerabilidades que los escáneres no pueden, el equipo de Jillian sabía que podía haber puntos ciegos. No estaban dispuestos a correr el riesgo. “La implementación del VDP nos ayudó a realizar la clasificación y complementó el equipo interno que estábamos formando. También sabíamos que el gobierno federal estaba exigiendo políticas VDP para sus agencias, y queríamos estar a la vanguardia en la adopción de esa política de seguridad para nuestros propios electores”, dice Jillian. Los resultados hasta la fecha confirman el éxito del programa. En los tres años transcurridos desde que el Secretario de Estado de Ohio lanzó su VDP, los piratas informáticos éticos han ayudado a identificar docenas de vulnerabilidades válidas, varias de las cuales fueron clasificadas como críticas o altas. 3. Las relaciones con hackers éticos refuerzan su seguridad. El objetivo principal del equipo de Jillian era obtener visibilidad de cualquier vulnerabilidad potencial para adelantarse a lo que podrían estar haciendo los malos actores. “Sabemos que los malos actores nos escanean constantemente, por lo que también sabemos que necesitamos que los buenos vigilen constantemente nuestro entorno. La clave para nosotros es que es desde una postura externa, no interna, donde los recursos pueden verse atraídos en demasiadas direcciones”. El primer paso fue tener una política formal para brindar a los piratas informáticos éticos una forma de contactar a las personas adecuadas en la Secretaría de Estado de Ohio en caso de encontrar una vulnerabilidad. A partir de ahí, crear una declaración de puerto seguro y compartir reglas de participación les ayudó a iniciar una integración perfecta con la comunidad global de hackers. Otro beneficio de la relación fue que al adoptar un enfoque público, proactivo y continuo, pudieron generar una confianza más profunda con sus electores. 4. Pueden surgir objeciones, pero se pueden superar. El enfoque de ciberseguridad del Secretario de Estado de Ohio establece una cultura de confianza y colaboración. Los equipos de seguridad de los sectores público y privado han comprendido desde hace mucho tiempo el valor que pueden aportar los piratas informáticos éticos, pero los miembros que no pertenecen al equipo de seguridad pueden expresar su preocupación por invitar a piratas informáticos éticos a probar su seguridad. Puede superar estas preocupaciones mediante la educación, la sensibilización y la creación de un plan estratégico detallado. Como dice Jillian: “No sabemos lo que no sabemos. Los escáneres y la automatización nunca podrán proporcionar lo que la inteligencia humana puede proporcionar. Estamos pidiendo a los investigadores que encuentren vulnerabilidades que ya existen antes de que los malos actores las encuentren. ” Algunas de las recomendaciones de Jillian para obtener aceptación interna y lanzar un programa exitoso incluyen comenzar poco a poco y hacer crecer el programa después de comprender el recorrido de seguridad de su organización. A medida que aumenta su madurez en materia de seguridad, recomienda pasar de un VDP a un programa de recompensas por errores para atraer más atención y aumentar la participación de los piratas informáticos éticos. Para Jillian, encontrar un socio confiable como HackerOne le permitió obtener asesoramiento de un experto de la industria y tener confianza en el éxito de su programa. Es posible que haya algunos obstáculos que superar, incluidos el proceso de adquisición y los umbrales, por lo que es útil comprender cuáles son esos procesos e informar a su socio de VDP para que pueda ayudarlo a navegar a través del proceso de ventas. También es crucial ayudar a los miembros del equipo que no pertenecen a seguridad a comprender los beneficios de involucrar a los piratas informáticos éticos conectándolos con otros líderes de agencias como Jillian, cuyo equipo ya está interactuando activamente con los piratas informáticos éticos. 5. Proteja sus activos digitales las 24 horas del día con piratas informáticos éticos “Se siente cómodo sabiendo que contamos con ayuda para encontrar cosas que son difíciles de encontrar y sabiendo que los piratas informáticos éticos complementan nuestro escaneo las 24 horas del día, los 7 días de la semana. Nos ayuda a dormir por la noche”, dice Jillian. El Secretario de Estado de Ohio ha observado muchos beneficios en su estrategia de ciberseguridad desde que implementó su VDP, incluida la mejora de sus procesos internos de gestión de cambios. También han visto buenos compromisos con la comunidad de hackers. “La calidad superó las expectativas”, dice Jillian. “Algunos de sus informes y pasos de reproducción nos han ayudado a hacer cosas que de otro modo serían realmente difíciles. En particular, tenemos un investigador principal con muchos conocimientos y habilidades que no tenemos en nuestra oficina”. Los VDP siguen siendo una mejor práctica, ya que el gobierno federal los adopta y los exige, pero Jillian los considera una obviedad. “Los VDP añaden otro control para ayudar a las organizaciones a adelantarse a las amenazas, garantizar la continuidad del negocio y brindar defensa de la reputación”, dice Jillian. “Lo último que desea hacer durante un ciclo electoral o una fecha límite de presentación de solicitudes es ver una vulnerabilidad explotada”. Mientras el Secretario de Estado de Ohio planifica para el futuro, busca expandir su VDP a un programa de recompensas por errores para lograr una mayor participación y atención en sus entornos. También planean continuar mejorando su gestión de cambios internos junto con sus programas de gestión de vulnerabilidades. En última instancia, buscan proporcionar informes más formalizados, con el objetivo de educar a sus equipos internos y continuar identificando y abordando de manera preventiva las vulnerabilidades para mantener protegidos los datos de los constituyentes. – Haga clic aquí para obtener más información sobre el VDP del Secretario de Estado de Ohio Obtenga más información sobre el proceso de divulgación de vulnerabilidades aquí Vea cómo otras agencias estatales y federales trabajan con piratas informáticos éticos aquí URL de la publicación original: https://www.hackerone.com/vulnerability-disclosure/ cinco-conclusiones-historia-de-éxito-del-secretario-de-estados-de-ohio