El mercado mundial de la ciberseguridad está floreciendo. Los expertos de Gartner predicen que el gasto de los usuarios finales en el mercado de gestión de riesgos y seguridad de la información crecerá de 172 500 millones de dólares en 2022 a 267 300 millones de dólares en 2026.
Una gran área de gasto incluye el arte de poner bajo presión las defensas de seguridad cibernética, comúnmente conocido como pruebas de seguridad. MarketsandMarkets pronostica que se espera que el tamaño del mercado global de pruebas de penetración (pentesting) crezca a una tasa de crecimiento anual compuesta (CAGR) del 13,7% de 2022 a 2027. Sin embargo, los costos y las limitaciones involucradas en la realización de una prueba de penetración ya están obstaculizando el mercado. crecimiento y, en consecuencia, muchos profesionales de la ciberseguridad están tomando medidas para encontrar una solución alternativa.
Los pentests no resuelven los problemas de ciberseguridad
Pentesting puede servir para propósitos específicos e importantes para las empresas. Por ejemplo, los posibles clientes pueden solicitar los resultados de uno como prueba de cumplimiento. Sin embargo, para ciertos desafíos, este tipo de metodología de prueba de seguridad no siempre es la mejor opción.
1 — Entornos en constante cambio
Asegurar entornos en constante cambio dentro de panoramas de amenazas en rápida evolución es particularmente difícil. Este desafío se vuelve aún más complicado cuando se alinea y administra el riesgo comercial de nuevos proyectos o lanzamientos. Dado que las pruebas de penetración se centran en un momento en el tiempo, el resultado no será necesariamente el mismo la próxima vez que realice una actualización.
2 — Crecimiento rápido
Sería inusual que las empresas de rápido crecimiento no experimentaran dolores de crecimiento. Para los CISO, mantener la visibilidad de la superficie de ataque en expansión de su organización puede ser particularmente doloroso.
Según HelpNetSecurity, el 45 % de los encuestados realiza pentests solo una o dos veces al año y el 27 % lo hace una vez al trimestre, lo que es lamentablemente insuficiente dada la rapidez con la que cambian la infraestructura y las aplicaciones.
3 — Escasez de habilidades en ciberseguridad
Además de las limitaciones en los presupuestos y los recursos, encontrar los conjuntos de habilidades disponibles para los equipos internos de ciberseguridad es una batalla constante. Como resultado, las organizaciones no tienen la destreza para detectar y remediar rápidamente vulnerabilidades de seguridad específicas.
Si bien las pruebas de penetración pueden ofrecer una perspectiva externa, a menudo es solo una persona la que realiza la prueba. Para algunas organizaciones, también existe un problema de confianza cuando se depende del trabajo de una o dos personas. Sándor Incze, CISO de CM.com, da su perspectiva:
“No todos los pentesters son iguales. Es muy difícil determinar si el pentester que estás contratando es bueno”.
4 — Las amenazas cibernéticas están evolucionando
La lucha constante por mantenerse al día con las últimas técnicas y tendencias de ciberataques pone en riesgo a las organizaciones de medios. Contratar habilidades especializadas para cada nuevo tipo de amenaza cibernética sería poco realista e insostenible.
HelpNetSecurity informó que el 71 por ciento de los pentesters tarda de una semana a un mes en realizar un pentest. Luego, más del 26 por ciento de las organizaciones deben esperar entre una y dos semanas para obtener los resultados de la prueba, y el 13 por ciento espera incluso más que eso. Dado el rápido ritmo de evolución de las amenazas, este período de espera puede dejar a las empresas sin darse cuenta de los posibles problemas de seguridad y abiertas a la explotación.
5 — Soluciones de prueba de seguridad mal ajustadas para entornos ágiles
Los ciclos de vida de desarrollo continuo no se alinean con los ciclos de prueba de penetración (que a menudo se realizan anualmente). Por lo tanto, las vulnerabilidades creadas por error durante las largas brechas de prueba de seguridad pueden permanecer sin descubrir durante algún tiempo.
Llevando las pruebas de seguridad al impacto del siglo XXI
Una solución comprobada para estos desafíos es utilizar comunidades de hackers éticos además de una prueba de penetración estándar. Las empresas pueden confiar en el poder de estas multitudes para ayudarlos en sus pruebas de seguridad de manera continua. Un programa de recompensas por errores es una de las formas más comunes de trabajar con comunidades de hackers éticos.
¿Qué es un programa de recompensas por errores?
Los programas de recompensas por errores permiten a las empresas trabajar de manera proactiva con investigadores de seguridad independientes para informar errores a través de incentivos. A menudo, las empresas lanzan y administran su programa a través de una plataforma de recompensas por errores, como Intigriti.
Las organizaciones con madurez de alta seguridad pueden dejar su programa de recompensas por errores abierto para que todos los piratas informáticos éticos de la comunidad de la plataforma contribuyan (lo que se conoce como un programa público). Sin embargo, la mayoría de las empresas comienzan trabajando con un grupo más pequeño de talentos de seguridad a través de un programa privado. .
Cómo los programas de recompensas por errores admiten estructuras de pruebas de seguridad continuas
Si bien recibirá un certificado para decir que está seguro al final de una prueba de penetración, no significará necesariamente que siga siendo así la próxima vez que realice una actualización. Aquí es donde los programas de recompensas por errores funcionan bien como seguimiento de las pruebas de penetración y habilitan un programa continuo de pruebas de seguridad.
El impacto del programa de recompensas por errores en la ciberseguridad
Al lanzar un programa de recompensas por errores, las organizaciones experimentan:
- Protección más robusta: Los datos, la marca y la reputación de la empresa tienen protección adicional a través de pruebas de seguridad continuas.
- Objetivos comerciales habilitados: Postura de seguridad mejorada, lo que lleva a una plataforma más segura para la innovación y el crecimiento.
- Productividad mejorada: Mayor flujo de trabajo con menos interrupciones en la disponibilidad de los servicios. Más proyectos de TI estratégicos que los ejecutivos han priorizado, con menos “incendios” de seguridad que apagar.
- Mayor disponibilidad de habilidades: El tiempo del equipo de seguridad interna se libera mediante el uso de una comunidad para pruebas de seguridad y clasificación.
- Justificación presupuestaria más clara: Capacidad para proporcionar información más significativa sobre la postura de seguridad de la organización para justificar y motivar un presupuesto de seguridad adecuado.
- Relaciones mejoradas: Los retrasos en los proyectos se reducen significativamente sin depender de los pentest tradicionales.
¿Quiere saber más sobre cómo configurar y lanzar un programa de recompensas por errores?
Intigriti es la plataforma europea líder en recompensas por errores y piratería ética. La plataforma permite a las organizaciones reducir el riesgo de un ataque cibernético al permitir que la red de investigadores de seguridad de Intigriti pruebe sus activos digitales en busca de vulnerabilidades continuamente.
Si está intrigado por lo que ha leído y quiere saber acerca de los programas de recompensas por errores, simplemente calendario una reunión hoy con uno de nuestros expertos.
About the Author
