En todas las infraestructuras de TI existen vulnerabilidades en sus sistemas y aplicaciones, siendo objetivo constante de los cibercriminales que buscan aprovechar estas debilidades para evadir las defensas de seguridad. Cada vez más empresas están adoptando programas de divulgación de vulnerabilidades (VDP), un enfoque integral que establece un canal claro y preciso para que actores externos informen sobre amenazas de ciberseguridad. A través de procesos de crowdsourcing, el VDP proporciona una vía para que hackers éticos, investigadores y el público en general puedan reportar vulnerabilidades a la organización.
La implementación de un VDP también envía un mensaje claro a los clientes, inversores y al público en general. Demuestra que la organización se toma en serio la seguridad y ofrece un proceso para la participación positiva y productiva de la comunidad, promoviendo el objetivo compartido de detectar y mitigar amenazas. Synack, una plataforma de soluciones de pruebas de penetración (pentesting), ofrece pautas clave para implementar un VDP de manera efectiva.
Claves para la correcta implementación de un VDP
Una aplicación de software promedio puede contener numerosos errores por cada mil líneas de código, algunos de los cuales pueden pasar desapercibidos durante el proceso de desarrollo y ser descubiertos por hackers una vez que la aplicación está en producción. Además, los errores de configuración pueden generar vulnerabilidades, especialmente en aplicaciones en la nube.
El propósito de los programas de divulgación de vulnerabilidades es mitigar el riesgo asociado con la explotación de estas vulnerabilidades. Un programa eficaz especificará cómo deben reportarse las nuevas vulnerabilidades descubiertas, cómo la organización recibirá esos informes y cómo los procesará para su debida reparación. Como mínimo, el VDP deberá proporcionar:
Una definición clara de la política de la organización en materia de vulnerabilidades.
Una metodología clara y accesible para la presentación de informes (email, portal web, etc.)
Un proceso definido de respuesta esperada (ventanas de tiempo, resultados de remediación, reconocimiento al investigador, etc.)
Un proceso definido para analizar y remediar la vulnerabilidad reportada, incluyendo opciones de colaboración y remuneración si corresponde.
Una idea clara y documentada de lo que está o no fuera del alcance de los investigadores
Declaración de que las actividades de investigación validadas no darán lugar a acciones legales.
Cómo los VDP pueden reducir el coste de los incidentes
Los costos inmediatos asociados a un incidente de ciberseguridad son evidentes: pérdida de ingresos, pagos de rescate, daño a la reputación, entre otros. Sin embargo, también existen costos de personal y tiempo dedicado por diversos equipos al incidente. Cada acción, desde revisar un informe hasta desarrollar soluciones y hacer seguimiento, conlleva un costo para la empresa. Por ello, optimizar este proceso puede reducir significativamente los costos asociados al manejo de incidentes de seguridad.
Estos costos de personal se aplican tanto a las brechas como a las vulnerabilidades reportadas. La falta de un proceso organizado para manejar estos informes genera ineficiencias tanto en los empleados como en el tiempo de respuesta de la organización.
Un Programa de Divulgación de Vulnerabilidades (VDP) asegura un manejo eficiente de los informes con un impacto mínimo en el tiempo de los empleados. Además, garantiza respuestas oportunas a los investigadores, desalentándolos de revelar públicamente la vulnerabilidad antes de comunicarla.
VDP gestionados: gestión de vulnerabilidades sin cargas
La implementación de programas VDP no solo ayuda a descubrir y abordar vulnerabilidades, sino que también mantiene a la empresa conectada con la comunidad de ciberseguridad y puede resultar en ahorros significativos. Sin embargo, gestionar estos programas puede representar un desafío, especialmente para equipos de seguridad ya sobrecargados.
Para empresas con limitaciones de tiempo o personal, la opción ideal es recurrir a un tercero para administrar el VDP. Generalmente, empresas de ciberseguridad con experiencia en pruebas de penetración y gestión de vulnerabilidades pueden gestionar el programa externamente. En el caso de Synack, la compañía ofrece servicios VDP gestionados, lo que mejora la productividad al aliviar la carga administrativa y manejar la clasificación de vulnerabilidades, la comunicación con los investigadores, su reconocimiento y la generación de datos para respaldar los informes.
En resumen, los programas VDP permiten a las organizaciones visualizar y priorizar rápidamente el panorama de amenazas, integrándose en una comunidad global y facilitando el intercambio de datos para crear un mejor contexto de evaluación de riesgos.
Fuente: Revista Ciberseguridad
Comentários