abril 11, 2023

[Carreira] Quando o nosso trabalho importa

O Relatório Anual de 2021 do C6 Bank (o mais recente disponível no site deles) dedica quatro páginas para o tema da Segurança, aonde destaca quatro projetos principais:
  • Identificação segura - graças ao uso de biometria facial, liveness e ativação do dispositivo seguro (via token)
  • Testes de Segurança
  • Melhoria contínua
  • Prevenção de riscos
Mas, o mais legal, é que o relatório dá destaque a duas iniciativas que eu conduzi enquanto trabalhava no banco: a parceria com o MIT (Instituto de Tecnologia de Massachusetts) e o programa de Bug Bounty.


Desde meus primeiros dias no C6 Bank eu fui colocado em contato com o pessoal do consórcio interdisciplinar Cibersecurity at MIT Sloan, que permitiu uma grande troca de conhecimento nesses últimos 4 anos. Além de ter tido a oportunidade de escrever 2 papers de pesquisa captaneado pelo Nelson Novaes Neto (e junto com a Natasha Malara), eu participei de um estudo de caso sobre o projeto de conscientização do banco, realizei 5 apresentações para os membros do consórcio (sobre esses papers, sobre o programa de Bug Bounty do C6 Bank e sobre as perspectivas pós-pandemia) e participava religiosamente de todas as reuniões semanais e encontros periódicos do grupo. Foi uma oportunidade de aprendizagem única. Infelizmente, eu era a única pessoa do time de segurança que se interessava e se dedicava a essa tarefa.


O meu comprometimento com o programa de Bug Bounty surgiu no momento da contratação, quando recebi a responsabilidade por esse projeto. O C6 Bank ainda não possuía um aplicativo bancário, que ainda estava em desenvolvimento e não havia empresas brasileiras publicamente realizando tais programas. Mesmo assim, eu já estava em contato com as grandes empresas do segmento buscando um parceiro. No final de 2018 fui responsável pela assinatura do contrato de parceria com a HackerOne, que até hoje é a plataforma utilizada pelo banco para o seu programa de recompensas. Desde então, eu fui responsável pela gestão do programa, incluindo a primeira triagem, interação com pesquisadores e pelo encerramento dos chamados (incluindo o pagamento de recompensas, quando aplicável). Foi uma grande oportunidade de interagir com os times de resposta a incidentes e red team, pois juntos fazíamos as análises e encaminhávamos internamente o tratamento dos reports recebidos. Nesse tempo, eu vi o mercado de bug bounty surgir no Brasil e começar a crescer. Tive o privilégio de realizar diversas palestras sobre o assunto nos últimos 4 anos, compartilhando minha experiência.

Revendo esses anos de experiência, vejo como foi gratificante ter tido a experiência de liderar projetos tão únicos e pioneiros. Também sinto que pude colaborar na criação de uma comunidade brasileira de profissionais de conscientização e na popularização do bug bounty no mercado nacional.

https://cms-assets-p.c6bank.com.br/uploads/relatorio-anual-2021-pt.pdf

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.