¿A quién va dirigido?
A cualquier organización, pública o privada, incluidas las pequeñas y medianas empresas (PYMES), que deseen desarrollar una política de revelación responsable de vulnerabilidades con el objetivo de fomentar una sociedad más segura y protegida frente a las ciberamenazas.
¿Qué es un programa de divulgación responsable?
Las vulnerabilidades son "defectos" o "errores" en los sistemas informáticos que pueden ser explotados para comprometer la seguridad de la red y de la información de los sistemas afectados. Proporcionan un punto de entrada para actividades maliciosas y, como tales, plantean varios riesgos de seguridad potencialmente graves.
La "divulgación de vulnerabilidades" es el proceso por el cual alguien comparte información sobre una vulnerabilidad de seguridad para que pueda ser mitigada o solucionada. La eliminación de las vulnerabilidades es, por lo tanto, crucial y el proceso de divulgación es un elemento importante que no se puede subestimar.
El panorama de la divulgación de vulnerabilidades es complejo, con varias partes interesadas que incluyen a los vendedores, proveedores de seguridad informática, investigadores independientes, medios de comunicación, usuarios malintencionados y, en última instancia, el público en general.
Las tecnologías digitales y dependientes del software están cada vez más integradas en la vida cotidiana. Por lo tanto, es vital para la economía y la sociedad en general que existan procedimientos responsables para revelación de vulnerabilidades.
Objetivos
En el contexto específico del complejo ecosistema de divulgación de vulnerabilidades, se pretende alcanzar los objetivos prioritarios enumerados más adelante, de forma que se puedan aplicar para todas las partes interesadas en la divulgación de vulnerabilidades, incluidos proveedores, investigadores, responsables políticos, equipos de respuesta a incidentes de seguridad informática, así como el público en general.
El Programa de Divulgación de Vulnerabilidades se puede resumir en los siguientes puntos:
- Hacer un balance de la situación actual en materia de divulgación de vulnerabilidades.
- Identificar los retos de la situación actual con respecto a la divulgación de vulnerabilidades.
- Identificar las buenas prácticas.
- Proponer recomendaciones concretas de mejora para afrontar los retos y potenciar la adopción de buenas prácticas.
Beneficios
- Un programa de divulgación de vulnerabilidades demuestra el compromiso de una empresa con la protección de sus activos digitales y la madurez de respuesta ante riesgos conocidos.
- Compromete y mantiene una relación positiva con la comunidad de investigadores de seguridad.
- Establece y promueve una cooperación más positiva entre las partes internas y externas implicadas cuando se trata de vulnerabilidades.
Buenas prácticas para la divulgación de vulnerabilidades
Para establecer un programa de divulgación de vulnerabilidades, es importante identificar los retos asociados y presentar recomendaciones de mejora de cara a potenciar la adopción de buenas prácticas con la intención de mejorar el ecosistema global de las vulnerabilidades.
A continuación, se resume una lista de buenas prácticas identificadas:
- Utilizar documentos existentes: Existen públicamente documentos que recopilan una serie de buenas prácticas en el área de divulgación de vulnerabilidades, así como para describir la implementación de una política adecuada. Para evitar la reinvención de la rueda, estos documentos deberían ser utilizados por las partes interesadas y deberían utilizarse para desarrollar nuevas iniciativas.
- Comunicación: los investigadores de seguridad deben disponer de un punto de contacto claro y accesible para tratar los informes de vulnerabilidad. Además, se debe establecer una política que aborde la divulgación de vulnerabilidades y describa cómo responder ante un informe de vulnerabilidades. Esta política también indicará a los investigadores que información deben proporcionar. Durante el proceso de un reporte de vulnerabilidades, la comunicación con las partes interesadas requiere respeto mutuo, paciencia y transparencia. También es importante mantener una comunicación continua para acusar el recibo del informe e indicar los próximos pasos.
- Difusión de información: La información sobre la vulnerabilidad, así como su solución (si existe), debe difundirse para informar a los usuarios de los avances y darles la oportunidad de defenderse. La cantidad de información que debe difundirse es un tema de debate entre las partes interesadas.
- Plazos: Los plazos pueden variar, pero se debe acordar un periodo de tiempo para asegurarse de que el proveedor abordará la vulnerabilidad de la manera más oportuna.
- Flexibilidad a la hora de informar y divulgar: No existe una solución universal en materia de divulgación de vulnerabilidades, por lo que la flexibilidad es necesaria para adaptar el informe de la vulnerabilidad.
¿Dónde recibir asesoramiento o contratar la elaboración de un programa de divulgación de vulnerabilidades?
Desde el BCSC, se pone a disposición de las empresas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.
El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.
Referencias
https://www.enisa.europa.eu/publications/vulnerability-disclosure
https://www.bugcrowd.com/glossary/vulnerability-disclosure-program-vdp/
