En este cuarto episodio, Luis Corvalán, Líder de Ciberseguridad de BICE VIDA comparte su experiencia utilizando CyScope. Destaca la flexibilidad y personalización de la plataforma, lo que les ha permitido priorizar áreas críticas. Además, Luis destaca la ventaja del acceso directo que tienen a la comunidad de hackers éticos de CyScope. Al trabajar de la mano con nuestros expertos, su equipo interno logra aprender y mejorar sus habilidades, fortaleciendo así sus sistemas y aplicaciones de manera más efectiva.
La plataforma de CyScope no solo les ha brindado una visión única sobre los desafíos actuales en materia de seguridad digital, sino que les ha proporcionado un soporte adicional de una red de expertos a los que pueden recurrir en caso de necesitar asesoramiento o ayuda para abordar vulnerabilidades.
La comunidad de CyScope proporciona informes detallados de sus hallazgos, incluyendo información sobre cómo identificaron la vulnerabilidad, cómo se explota y qué medidas se pueden tomar para remediarla. Además, los informes suelen incluir pruebas de concepto y código de ejemplo para demostrar cómo se puede explotar la vulnerabilidad. Esta información detallada es muy valiosa para los equipos de seguridad y desarrollo de software, ya que les permite comprender claramente la naturaleza de la vulnerabilidad y cómo abordarla de manera efectiva.
P4: Al crear un nuevo programa ¿qué criterios son importantes para asegurar resultados valiosos para BICE Vida?
Cuando nosotros contratamos el servicio de CyScope, tuvimos todo un onboarding del diseño del programa: qué debía ir, qué cosas deberíamos enfocarnos. Yo creo que eso nos sirvió para poder diseñar un buen programa. Bueno, ahora utilizamos una plantilla y los hallazgos que buscamos son los típicos, los Cross-Site Scripting, SQL Injection, lo que sea. Yo creo que está bien la forma de cómo uno lo levanta. Me gusta mucho la interacción que uno puede ver en los reportes de los hallazgos que aparecen en la plataforma CyScope.
P5: ¿Cómo evalúa la calidad de los reportes enviados por los Hackers y el apoyo del equipo de CyScope?
Bien, bien. De hecho, uno de los valores agregados que tiene la plataforma es que es una buena plataforma de entrenamiento y aprendizaje. Los hackers, en general, hay unos que destacan por la calidad de evidencia que mandaban, o cómo explicaban el hallazgo, era como un profesor o una profesora. Entonces, a mí me gusta mucho. Aprendí cosas nuevas porque son súper claritos. Muchos hackers entregan un video, por ejemplo, que te ayuda a entender de mejor forma el hallazgo, cómo explotarlo y protegerte.
P6: A nivel de Usabilidad y experiencia de usuario, ¿qué es lo que más valora de la herramienta?
Yo creo que la forma en que los hackers hacen las PoC. Eso a mí es lo que más me gusta. Cuando sale un hallazgo en CyScope, te metes a la plataforma, el hacker explica. Él tiene, yo me imagino, una pauta para llenar, pero adicionalmente en el desarrollo del ataque te lo explica paso a paso y te va entregando la evidencia y los vídeos. Yo creo que esas cosas son súper valorables. Adicionalmente, puedes interactuar con el hacker, puedes hacerle preguntas: “Oye, sabes que me falta esta parte. yo no entiendo esto. ¿Cómo hiciste esto?, ¿cómo llegaste?” y el hacker en par de horas, ya te tiene una respuesta.
Lo otro que es súper interesante, es el tiempo de explotación de los hallazgos de los productos nuevos que nosotros sacamos. En las primeras 48 horas, ya tienes varios reportes donde uno puede empezar a trabajar. Entonces, para nosotros también es súper importante eso, porque podemos llegar a una mitigación temprana de hallazgo antes de sacar a producción o si está en producción podemos tomar rápidamente carta en el asunto y poder mitigarlo. Porque lo que nosotros estamos buscando, ya sea una mitigación final o un control compensatorio, que nos permita protegernos de esas vulnerabilidades, hallazgo o de esa explotación que fue detectada.
Para ver la entrevista completa, visita: https://www.youtube.com/watch?v=ry5U2JCNR1Y