1 74 Table of Contents 76 84

red seguridad 075

red seguridad cuarto trimestre 2016 75 vulnerabilidades opinión Las características que ofrece la plataforma se complementan con un servicio integral de gestión del bug bounty por parte de Tarlogic. el proceso de gestión de riesgos corporativo. # Apoyar la resolución y segui- miento de las vulnerabilidades: El equipo de analistas proporciona soporte al departamento encarga- do de solucionar las vulnerabilida- des, y realiza el seguimiento de las mismas para que estas puedan ser subsanadas en un plazo reducido. # Comunicación con el investi- gador: Para hacer este proceso completamente transparente a la organización, el servicio registra todas las comunicaciones con el investigador, incluyendo cualquier solicitud de información adicional para reproducir la vulnerabilidad. # Verificación de la resolución: Una vez corregida la vulnerabilidad, se comprobará que esta ha sido apli- cada correctamente y que no exis- ten formas de de evadir la solución implementada. # Reporting periódico: Creación de indicadores y de informes periódi- cos para medir la efectividad del programa, así como el retorno de inversión. A día de hoy, complementar las auditorías de seguridad con nuevas estrategias de gestión de vulnerabi- lidades como bug bounties permite detectar y mitigar amenazas en las organizaciones de manera más ágil y maximizar el rendimiento de la inver- sión en ciberseguridad. La gestión integral de bug bounties y la realización de bounties privados reduce la reticencia de uso de estos servicios en las empresas, a la vez que consolida los procesos de res- puesta ante incidentes. sus reportes y la veracidad de los mismos. Í Dentro de la comunidad per se privada, decides si el programa está abierto a la participación de todos o sólo los expertos que tú elijas en base a las clasificacio- nes existentes. 4. Definición de cláusulas específi- cas: Í Posibilidad de establecer térmi- nos de servicio específicos a los participantes. Í Acotar la tipología de vulnera- bilidades que entran dentro del alcance. 5. Asignación y pago de la recom- pensa: Í La asignación de premios y los pagos a los investigadores se realizan a través de la plataforma, simplificando de esta forma la facturación del proyecto ¿Cómo se gestiona? El bug bounty se gestiona con un dashboard que dispone de indicado- res globales del programa para medir su efectividad. Las características que ofrece la plataforma se complemen- tan con un servicio integral de gestión del bug bounty por parte de Tarlogic. Englobadas dentro del servicio de gestión integral, se encuentran las siguientes labores: # Análisis de vulnerabilidades: Con el objetivo de determinar si se trata de vulnerabilidades válidas o de falsos positivos, si están dentro del alcance y determinar el origen de la misma, pudiendo extrapolar esta vulnerabilidad a otros activos del cliente y establecer las medidas correctivas más acertadas. # Reportar en herramientas corpo- rativas del cliente: Para simplificar la gestión por parte del cliente, se adaptarán los informes al formato y/o herramienta (sistema de tickets ) preferidos por el cliente, quedan- do integrado completamente en

RkJQdWJsaXNoZXIy MTI4MzQz