• Ronaldo Mota

'Bug bounty' e as profissões do futuro



Bug bounty, em tradução livre, seria “recompensa por descobrir falhas”. Ou seja, bug hunters (os profissionais da área de bug bounty) são indivíduos que podem receber recompensas por identificarem e resolverem vulnerabilidades nos sistemas de tecnologia da informação em organizações, especialmente aquelas falhas relacionadas a questões de segurança.


Na prática, em geral, em nome de garantir a segurança cibernética, uma comunidade de especialistas, a convite da própria empresa interessada, é estimulada a descobrir e explorar vulnerabilidades em seus sistemas digitais. As primeiras iniciativas similares datam da década 1990, motivadas na época pela Netscape.


Hoje em dia, trata-se de atividade bem estabelecida e com protocolos bem definidos, onde os especialistas assinam junto à empresa contratante um Termo de Adesão e Política de Privacidade, comprometendo-se a cumprir rigorosamente as regras de cada programa em que participam, bem como garantindo confidencialidade dos dados aos quais eles terão acesso.


No modelo mais comum, os especialistas são recompensados de acordo com a gravidade do problema encontrado, em geral, compatível com a construção, a implementação e o monitoramento do programa. Assim, são previamente estabelecidos em contrato itens tais como: o escopo da procura, os detalhes da política adotada e a régua de recompensa, bem como a quantidade e os perfis dos profissionais envolvidos. Normalmente, para cada vulnerabilidade identificada, apenas o especialista que enviou o primeiro relatório válido é recompensado, mas há inúmeros outros modelos de remuneração e reconhecimento.


Na prática, cada vez mais, há a clara percepção do quanto uma empresa pode economizar, sendo muito mais barato custear uma ação preventiva do que responder depois pelos danos causados por criminosos digitais que, ao identificarem uma vulnerabilidade no sistema, possam explorá-la maldosamente.


É extremamente conveniente para a organização contratante esse modelo de negócios, dado que ela só tem despesas à medida que vulnerabilidades são encontradas, qualificadas e quantificadas. Além disso, dispensa, em geral, a empresa de ter um número excessivo de profissionais permanentes e administrar de forma mais racional seus investimentos em softwares, tanto aqueles de natureza geral como os específicos associados à segurança na rede.


Cabe destacar também que, no item segurança de informações, o objetivo é proteger a integridade e a privacidade dos dados, tanto no armazenamento como no trânsito. Este tema, em especial, tem sido agravado mais recentemente em função da Lei Geral de Proteção de Dados (LGPD). A LGPD entrou em vigor no Brasil em setembro de 2020, com sanções previstas a partir de agosto de 2021.


Portanto, certamente, entre as profissões promissoras e éticas para as próximas décadas está incluído o bug hunter, seja trabalhando isoladamente, a depender do tamanho da organização demandante, ou em equipe. Tanto pode ser exercida em tempo integral como, em muitos casos, uma atividade extra de profissionais de tecnologia da informação atuando em áreas paralelas, principalmente desenvolvedores de software.

Por fim, penso que o primeiro melhor conselho a quem se interessar pela área é que faça o quanto antes um curso de cibersegurança com os melhores profissionais do mundo. O segundo diz respeito à necessidade de se atualizar permanentemente, sendo matéria extremamente dinâmica. Poucos meses (ou semanas) de descuido informativo podem representar uma eternidade em termos de novos conhecimentos disponíveis e, normalmente, indispensáveis para que as missões sejam adequadamente cumpridas.


Boa sorte a quem se interessar pelo tema e pela atividade. Tenho convicção de que, sendo um bom profissional, todas as expectativas serão plenamente atendidas, seja do ponto de vista de reconhecimento social, de remuneração e de satisfação pessoal.


* * *


Ronaldo Mota é diretor acadêmico do ITuring.


O artigo acima é de responsabilidade do autor e não reflete necessariamente a visão do Educa 2022.