¿Deberían las empresas pagar a los empleados por las divulgaciones responsables?

Recientemente descubrí una importante vulnerabilidad de seguridad (inyección SQL) en uno de los proyectos de mi empresa en mi tiempo libre. Estoy trabajando allí como desarrollador, no como investigador de seguridad, pero después de desarrollar muchas cosas, sabes dónde buscar vulnerabilidades :)

Como es una gran empresa, en realidad no estoy trabajando en el proyecto vulnerable y nadie que conozco lo está haciendo.

Para informar sobre la vulnerabilidad, utilicé el programa de "divulgación responsable" abierto al público. Básicamente es una forma de informar una vulnerabilidad, darles un tiempo razonable para que la solucionen y sean reconocidos por ello. No tengo conocimiento de ningún otro proceso dentro de la empresa para informar vulnerabilidades.

Sin embargo, me sorprendió descubrir que los empleados están excluidos del "programa de divulgación responsable" en términos de recompensa (es decir, figurar en el sitio web del programa de divulgación como colaborador y/o recibir una compensación monetaria)

Por un lado, puede haber conflictos de intereses. Los empleados que trabajan en proyectos pueden agregar una vulnerabilidad de seguridad a propósito para luego reclamar la recompensa o conspirar con sus compañeros de trabajo para hacerlo. Y probablemente lo mejor para el empleado sea informar los problemas de seguridad, ya que estos pueden afectar la reputación de la empresa y, en el peor de los casos, incluso pueden costarle el trabajo.

Por otro lado, no importa dónde esté trabajando el empleado si la vulnerabilidad se detecta mientras está fuera de horario. Las recompensas pueden alentar a los empleados a buscar vulnerabilidades fuera de horario, lo que beneficia a la empresa al eliminar los problemas de seguridad y pagar solo por la investigación si se encuentran problemas reales. Los empleados también podrían buscar problemas de seguridad en otras empresas que recompensan los hallazgos.

No me quejo del hecho de que no fui recompensado. Disfruto buscando problemas de seguridad y ya fue lo suficientemente divertido y mi trabajo es excelente. Pero estoy tratando de entender el razonamiento detrás de esta política y si esto es habitual en la industria.

Me imagino que depende de la empresa específica.
@Kilisi De hecho, depende de la empresa. Pueden crear políticas como mejor les parezca. Solo quería ver si esto es habitual y razonable.
En la mayoría de los lugares, encontrar errores se considera su trabajo si es un desarrollador de software. Si el chef de la cafetería de la empresa encuentra un error de seguridad, es mucho más probable que obtenga una recompensa.
@ gnasher729 Cierto de hecho.
Si es un empleado, probablemente tenga acceso a un sistema de seguimiento de errores. La próxima vez, use eso en lugar de un sistema de informes de cara al público. De esa manera, ese equipo lo reconocerá como capaz de informar errores importantes.

Respuestas (2)

La política general es que, _ no, _ las empresas no pagarán a los empleados por encontrar errores, ya que algunos idiotas toman eso como un estímulo para crear errores que luego pueden "encontrar" y reclamar la recompensa.

La búsqueda y corrección de errores es simplemente parte de su trabajo. Ya te están pagando por ese tiempo.

Si realmente siente la necesidad de ser recompensado por esto, recuerde que detectar y reparar un problema grave se verá maravilloso en su evaluación de fin de año.

Como dije, realmente no esperaba ser recompensado por esto, solo quería ver si esto es normal. Sin embargo, no estoy trabajando en el proyecto, no participaré en la solución y esto no se reflejará en mi evaluación. Sin embargo, es un buen punto sobre la creación de errores para encontrarlos.
De hecho, una buena respuesta, la acepté. Demasiado conflicto de intereses y ya me pagan para encontrar errores. Gracias por su confirmación, estaba pensando en lo mismo desde el principio, pero solo quería estar seguro (tal vez algún día administre una empresa y tenga que decidir sobre este tema)
Para agregar a esta respuesta, ni siquiera necesitaría necesariamente que alguien decidiera CREAR errores para que se convierta en un problema ... también crearía un incentivo para ignorar los errores que encuentra mientras está en el reloj y luego fingir que los encontró fuera del reloj más tarde. ¿Por qué anunciar un problema lo antes posible o solucionarlo de inmediato mientras está en el reloj si puede recibir un pago más para decir que lo encontró fuera del reloj?

No para productos propios, pero está bien si no.

No en sus propios productos de software, porque a los empleados ya se les paga por mantenerlos. Incluso si el empleado pertenece a un departamento que no desarrolla directamente el producto, se espera que su contribución (no solo sugerencias, sino también informes de problemas) no sea pagada.

Pero es bueno si recompensan informar cualquier otra vulnerabilidad de seguridad.. De esta manera están motivando el enfoque proactivo de la gente en temas de seguridad. Tal vez no todas las divulgaciones responsables merezcan una recompensa, pero las de seguridad a menudo sí lo hacen. Por ejemplo, supongamos que un empleado descubre accidentalmente una forma relativamente fácil de acceder a cualquier información almacenada en el sistema de recursos humanos de la empresa impulsado por un producto de software de terceros implementado internamente y lo informa sin demoras. He visto suceder cosas así, por ejemplo, después de la actualización. Mediante una advertencia temprana, el empleado puede ahorrarle muchos problemas a la empresa. (Su preocupación es: tal vez otro empleado podría encontrarlo sin informar y potencialmente usarlo de manera indebida). Luego, el gerente del empleado o el departamento a cargo de la seguridad de ese programa puede decidir sobre algún incentivo. Ya sea directo (algo de dinero) o al menos indirecto (hey, we'

¿Deberían las empresas pagar a los empleados por las divulgaciones responsables?
RespuestasAquíPolítica de privacidad1y, 0v