* Por Caio Telles, CEO da BugHunt
Os ataques cibernéticos são o assunto do momento. Somente no primeiro semestre de 2021, mais de 304 milhões de ataques de ransomware foram registrados no mundo inteiro, sendo que o Brasil está em 5º no ranking dos países que mais sofreram com ciberataques este ano. O volume já ultrapassa o número de ciberataques registrados em 2020, segundo levantamento do relatório de Ameaças Cibernéticas da SonicWall. Mas como diminuir cada vez mais esses números e tornar as empresas mais conscientes e seguras?
Primeiramente, vale lembrar que as empresas mais atacadas, com certeza, são aquelas que utilizam tecnologias defasadas e que não possuem controles mínimos de segurança. Com a velocidade da evolução das tecnologias, também evoluíram as táticas dos criminosos e contar somente com controles tradicionais em cibersegurança não é mais suficiente. Por isso, tanto os profissionais da área quanto as empresas precisam cada vez mais pensar fora da caixinha, com soluções cada vez inovadoras que acompanhem a evolução tecnológica que vivemos.
Entretanto, infelizmente, no Brasil a segurança da informação ainda é vista como um custo, e não um investimento. As instituições brasileiras, portanto, estão em processo de elevação de maturidade. Neste cenário, cada vez mais ganham espaço as plataformas de Bug Bounty, programas de recompensa por identificação de falhas, que unem empresas comprometidas com a segurança da informação e privacidade de seus usuários a profissionais considerados “hackers do bem”.
Esses programas são também uma das opções para democratizar o acesso à segurança, viáveis para empresas que não possuem grandes orçamentos para segurança, mas que valorizam o tema. As vantagens de disponibilizar sites ou sistemas para testes de especialistas são inúmeras, principalmente identificar as vulnerabilidades de maneira mais rápida e eficiente.
Algumas empresas optam por equipes internas, mas, normalmente, elas têm processos pré-definidos, que podem não identificar determinadas vulnerabilidades ou demandar um tempo maior. Nesses casos, a criatividade e o processo de identificação de falhas de cada especialista se destacaram, e, com isso, conseguem entregar uma visão muito mais profunda e com mais possibilidades.
Para outras instituições, a perspectiva de convidar “hackers” para identificar falhas em seus negócios também parece assustadora. Porém, o que a maioria dos gestores não sabe é que isso não aumenta o risco. Atualmente, as empresas já têm seus sistemas expostos na internet e, muito provavelmente, recebem ciberataques constantemente. A implementação de um programa de recompensas por vulnerabilidades busca incentivar que isso seja realizado de uma maneira organizada e que se tenha um benefício para quem identificar e reportar a falha.
A segurança deve ser vista como uma oportunidade para desbloquear insights valiosos, ousando explorar vulnerabilidades desconhecidas antes mesmo que elas aconteçam. No geral, as empresas estão mais curiosas e preocupadas com o tema, e isso é um ponto muito positivo, mas o Brasil ainda tem um caminho longo para caminhar. Para que essa maturidade aconteça, os gestores precisam dar valor e considerar que a comunidade de especialistas ajuda na evolução da cibersegurança.
Sobre a BugHunt
A BugHunt é a primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, que une empresas comprometidas com a segurança da informação e privacidade de seus usuários e/ou clientes a pesquisadores do setor. Com foco em inovação para reconhecimento e resolução de bugs e vulnerabilidades, a startup tem como objetivo democratizar o acesso à segurança de dados. Por meio de programas públicos e privados, a BugHunt gerencia a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços avaliados.