lunes, 25 de septiembre de 2017

La voz de la experiencia

La entrevista de la semana

“La tendencia está cambiando y están llegando días mejores.” Cuando estas palabras salen de la boca de alguien como Mårten, la luz atraviesa las nubes. Mårten Mickos, CEO de HackerOne, es el actual CEO de HackerOne, una plataforma de coordinación de vulnerabilidades de seguridad  y de ‘bug bounties’ 

La historia profesional de Mårten le ha hecho pasar por distintas etapas. Desde producción de software, cifrado de información, pasando por la propagación de Internet. Ha tenido un amplio bagaje que hace que sus palabras cobren aún más peso. Sobre la situación actual lo tiene claro: “El estado de la seguridad de aplicaciones y productos online es miserable a día de hoy”. Esto en lugar de sonar derrotista es un hecho que le impulsa a dedicarse a este negocio.

Actualmente trabaja para HackerOne, una de las empresas punteras del sector de la ciberseguridad. Su intención no era trabajar en seguridad: “Lo consideraba una industria de pesimistas que venden productos aprovechándose del miedo de la gente. Tenía un anticuado prejuicio acerca del sector”. Su punto de vista cambió al comenzar a trabajar en HackerOne. 

Descubrió que la seguridad creada por white-hackers está basada en la colaboración y la transparencia. Y tiene claro que dentro de poco este modelo será indispensable para cualquiera que desarrolle software. Además de apostar ciegamente por este sector es capaz de convencer a cualquiera que  no termine de confiar en los bug bounty programs: “Las plataformas de ‘bug bounty programs’ sólo contratan a aquellos que busquen bugs para el bien de la empresa.”

A pesar de lo oscuro del panorama Mårten lo tiene claro “Nunca he visto a un white-hacker pasarse al lado oscuro. La única posibilidad de duda que veo es que alguien encuentre un fallo que valga tanto en el mercado negro que se sienta tentado a venderlo. Pero la capacidad de encontrar algo de tales características solo te la dan los años. Y una vez que tienes años de experiencia también posees un perfil profesional que te ata a tus logros. Por lo que no valdría la pena correr el riesgo.” 

Es consciente que aunque las vulnerabilidades que afrontamos actualmente desaparecerán, en un futuro aparecerán otras nuevas. Es novedosa su manera de ver el mercado de la ciberseguridad: “Es como una carrera armamentística. Nunca serás perfecto pero cada día debes ser mejor que el día anterior y tienes que correr más rápido que tus adversarios. Cuando haces esto alcanzas un estado alto de seguridad.”

Para las empresas que buscan mejorar su éxito en los ‘bug bounty programs’ no recomienda empezar por este tipo de programas. “Recomiendo comenzar por un programa de divulgación de vulnerabilidades (en los cuales se reciben informes de vulnerabilidad pero no existe recompensa económica) o con un pentest promovido por crowfunding. Estas son las mejores maneras de empezar sin sentirte sobrepasado”. 

El primer objetivo que se debería marcar cualquier empresa a la hora de querer comenzar un programa de seguridad basado en hackers es que la intención debe nacer de los puestos directivos. “En segundo lugar, se necesita tener un convencimiento por parte de los ingenieros de software que arreglaran estas vulnerabilidades”. Otro detalle que señala es la importancia de la buena relación entre desarrolladores y departamento de seguridad. "Abundan los casos de empresas en los que el número de ingenieros triplican el número de personal de seguridad, por lo que estos muchas veces no son capaces de controlar cada detalle por ellos mismos".

Los bug bounty programs son sólo una parte de este complejo entramado de la seguridad. Las empresas también tienen que disponer de soluciones para poner en marcha y mantenerse seguros una vez encontradas estas vulnerabilidades. Da gusto leer el entusiasmo y la motivación de personas como Mårten Mickos. Es gracias a gente como él que a pesar de las malas noticias y los ataques diarios tenemos claro que la unión hace la fuerza.  

0 comentarios:

Publicar un comentario