Las multinacionales carecen de políticas de divulgación de vulnerabilidades
- Vulnerabilidades
Mientras que líderes como American Express, Citigroup y ING tienen programas públicos de divulgación de vulnerabilidades, casi todas las demás organizaciones de servicios financieros y aseguradoras de la lista Forbes Global 2000 no los tienen. Las compañías poco a poco están adoptando programas de bug bounty.
También puedes leer... |
Hasta el 93% de las compañías de la lista Forbes Global 2000 no incluyen una política de divulgación de vulnerabilidades entre sus prioridades, según The Hacker-Powered Security Report 2018 de HackerOne, que ofrece una inmersión profunda en la divulgación de vulnerabilidades y los programas de bug bounty en los servicios financieros y aseguradoras.
Las organizaciones del sector lidian con enormes cantidades de datos personales y un ataque podría poner en grave riesgo a sus clientes. En general, los programas de recompensas y de divulgación de vulnerabilidades han aumentado un 14%. Como es de esperar, el 47% de las empresas del sector tecnológico son más conscientes de los riesgos planteados por el panorama de amenazas y han invertido gradualmente en programas de bug bounty para garantizar la seguridad de sus servicios e infraestructura.
Según el informe de HackerOne, las empresas de otras industrias igual de críticas están lanzando lentamente programas de bug bounty. Por ejemplo, un 8% de las empresas de los sectores de servicios financieros y seguros cuentan con programas de bug bounty, mientras que el 24% de las empresas de telecomunicaciones disponen de políticas de divulgación de vulnerabilidades o programas de bug bounty.
Según el informe, "la cobertura de la industria de servicios financieros y seguros es casi idéntica a la de la lista Forbes Global 2000, con aproximadamente el 93% de las organizaciones en esta industria que carecen de programas públicos de divulgación de vulnerabilidades. Mientras que líderes como American Express, Citigroup, JPMorgan Chase, ING y TD Ameritrade tienen estos programas, casi todas las demás empresas de servicios financieros y seguros de la lista no los tienen".
Las compañías tecnológicas se encuentran entre las que mejor pagan en lo que respecta a programas de bug bounty, pero las compañías de servicios financieros y seguros también han pagado fuertes sumas, con un gasto total en recompensas de 1,4 millones de dólares, señala HackerOne.