Adopción de la gestión de vulnerabilidades por el bien común

Identificar y administrar las vulnerabilidades del software siempre ha sido un componente clave de una buena higiene de la seguridad y esto se ha vuelto cada vez más importante para los CISO a medida que el mundo se vuelve más interconectado y las empresas avanzan con la transformación digital de sus negocios.

Los investigadores de seguridad son parte del ecosistema de gestión de vulnerabilidades y aprovechan su oficio para identificar vulnerabilidades que, si se explotan, presentan un riesgo claro y presente para los consumidores. Pero cuando un investigador identifica esas vulnerabilidades, impartir la información de manera efectiva y constructiva ha sido un desafío histórico.

Los proveedores y los ejecutivos de la empresa a menudo ponían los ojos en blanco con sospecha y trataban un enfoque como un acto de agresión o intimidación, negándose a entablar una conversación o, peor aún, amenazando a las partes con acciones legales. Estos comportamientos dieron como resultado que las vulnerabilidades no se trataran o que el investigador tomara el asunto en sus propias manos y lo hiciera público de todos modos, poniendo a todos a la defensiva.

Los enfoques de los investigadores adoptan muchas formas. Algunas son éticas, otras conflictivas, otras intimidantes. Algunos pueden ser indirectos a través de periodistas o blogueros, quienes considerarán sus propios códigos morales y éticos para el interés público. El mejor consejo es no meter la cabeza en la arena, sino determinar de antemano lo que quiere hacer en caso de que surja una situación de este tipo.

Y ahí es donde entra en juego la divulgación responsable (RD).

El principal objetivo de la RD es definir su política para recibir y gestionar las vulnerabilidades identificadas por parte de los investigadores de forma transparente, práctica y colaborativa. El resultado deseado es que ambas partes trabajen juntas para minimizar el potencial de cualquier daño derivado de la vulnerabilidad. Los tiempos para la comunicación deben acordarse para permitir la máxima reducción del riesgo y el impacto (tal vez con un poco de gestión de la reputación y relaciones públicas en buena medida) y ambas partes deben tener una comprensión clara de cómo se ve el éxito, incluido cualquier aspecto financiero o otra recompensa por vulnerabilidades confirmadas reveladas a través del programa.

No existe un estándar particular para definir su enfoque de las ER o incluso qué tan activamente lo promueve. Los esquemas de incentivos, como los programas de recompensas por errores, pueden ser útiles, pero también pueden presentar diferentes desafíos, incluido el aumento de la carga de trabajo impulsada en algunos casos por lucrativos incentivos financieros. Organizaciones como el Centro Nacional de Seguridad Cibernética del Reino Unido ahora brindan kits de herramientas útiles para comenzar.

Sin embargo, es importante reconocer que, aunque establecer una política y un proceso para las ER es un paso práctico, las circunstancias de cualquier divulgación pueden variar mucho. Esté preparado para operar fuera del proceso dependiendo de las circunstancias, siempre que alcance el resultado “bueno” deseado y publicado al final.

Cuando se hace una divulgación, la clasificación inicial de esa información ayuda a determinar los próximos pasos. El objetivo aquí es reducir el daño y gestionar el riesgo, pero a veces puede ser difícil tomar decisiones de juicio. Declarar una vulnerabilidad antes de que un parche esté disponible puede causar angustia entre los clientes, pero el contrapeso es que puede tener una conversación transparente sobre soluciones y mitigación.

Si la vulnerabilidad se relaciona con un activo crítico para la seguridad, cualquier divulgación sin antes tener un parche podría ser de alto riesgo, especialmente si el potencial de explotación de la vulnerabilidad es alto.

Del mismo modo, puede haber cuestiones morales y éticas que debatir. ¿Qué pasa si una vulnerabilidad es lo suficientemente grande como para trascender a múltiples proveedores, productos y usuarios finales? En este caso, ¿debería hacerlo público rápidamente para que el problema pueda resolverse como un esfuerzo colaborativo, aunque eso pueda ensombrecer su propia organización? ¿Qué pasa si esta vulnerabilidad ya es de dominio público? ¿Qué pasa si la parte reveladora ya se ha comunicado fuera de su proceso de RD?

Te arriesgas a dañar tu reputación si resulta que te habían advertido desde el principio y, de manera perceptiva, no hiciste nada al respecto. Una comunicación preventiva puede aliviar ese riesgo o puede crear otro. Cada situación es diferente, pero al menos no abordará el problema fríamente si lo ha planeado con anticipación.

Tener una postura clara sobre las ER impulsa la transparencia y demuestra compromiso con la causa. Cada parte sabrá desde el principio cómo participar y cuál es su posición en términos de posibles resultados. Planificar lo que hará antes de que surja la circunstancia es un paso práctico, pero debe tener en cuenta la incertidumbre, reconociendo que no hay dos escenarios iguales pero es probable que presenten un conjunto diferente de desafíos morales, éticos y logísticos que superar.

Leave a Comment