ING lanza en España el programa Responsible Disclosure para seguir mejorando su seguridad tecnológica

Para ING es crucial contar con todos los sistemas y protocolos necesarios para que las operaciones de sus clientes se realicen siempre bajo altos estándares de seguridad. Es por eso que, para seguir mejorando su seguridad tecnológica, ING lanza en España el programa Responsible Disclosure.

Con este objetivo de continua escucha y mejora, el programa invita a la comunidad hacker a reportar todo tipo de vulnerabilidades que puedan suponer riesgo alguno para los sistemas de ING. Se trata de una iniciativa innovadora que es pionera en nuestro país, y que el Grupo ING lleva aplicando de forma global desde 2013, obteniendo resultados muy positivos.

¿En qué consiste el programa y cómo se pueden reportar vulnerabilidades?

La seguridad de la banca online es una cuestión fundamental para ING. Es por eso que los profesionales de ING trabajan diariamente para mejorar y mantener la seguridad de la plataforma. En esa línea, y conscientes de los cambios constantes que se producen en este entorno, el objetivo es anticiparse a las posibles vulnerabilidades que puedan surgir en los sistemas.

Alejandro Ramos, responsable de Seguridad IT de ING DIRECT, lo resume muy bien en esta entrevista, en la que también nos explica las diferentes medidas de seguridad del banco: “se trata de aprovechar la fuerza de la comunidad y su conocimiento para llevar a cabo una mejora continua en un mundo tan cambiante como es el tecnológico”.

Responsible Disclosure ofrece a los expertos la posibilidad de reportar fallos o vulnerabilidades que encuentren, recibiendo a cambio un reconocimiento a su labor y una gratificación económica simbólica. Las vulnerabilidades encontradas se pueden reportar enviando un correo electrónico a la dirección responsible-disclosure@ingdirect.es con la siguiente información presentada de forma clara y concisa, bien en castellano o en inglés:

  • URL completa donde se ha encontrado la vulnerabilidad
  • Objetos involucrados en el hallazgo
  • Pasos a seguir para reproducir la vulnerabilidad

Durante la investigación de una vulnerabilidad, ING no entrará a valorar las acciones que sea necesario realizar, siempre y cuando se lleven a cabo sin ánimo de perjudicar a la entidad, se realicen de forma cuidadosa y de acuerdo a las normas establecidas. En caso contrario, como es lógico, ING se reservaría el derecho a ejercer las correspondientes acciones legales.

El reporte será considerado válido cuando los técnicos de ING hayan reproducido el fallo siguiendo los pasos indicados y hayan comprobado que se trate de un posible riesgo para la compañía y su resolución suponga una mejora para los sistemas. Una vez validada la vulnerabilidad, será reconocida por ING y compensada con una remuneración que dependerá del tipo de vulnerabilidad que se detecte, siendo valorada individualmente por el equipo de seguridad IT de ING. 

¿Qué objetivos se buscan?

Se busca detectar y corregir posibles fallos cuya solución suponga una mejora de los servicios que se ofrecen clientes. El objetivo es que los sistemas sigan a la vanguardia de la seguridad en un entorno en constante cambio y evolución, una apuesta por la innovación para adaptarse y mejorar con la sociedad.

El programa nace de este marco de continuo progreso y mejora, poniendo a disposición de todos los investigadores de seguridad la posibilidad de colaborar con el banco reportando dichas vulnerabilidades de manera responsable y a cambio de su reconocimiento y gratificación.

Es importante recalcar que este Responsible Disclosure no sustituye en ningún momento a las auditorías de seguridad interna que ING realiza. Es simplemente una nueva vía de mejora que refuerza el trabajo de ING, que cuenta con todos los sistemas y protocolos necesarios para que las operaciones y comunicaciones se realicen en todo momento siguiendo los más altos estándares de seguridad.

Imagen | The Preiser Project

Conversación