¿Qué es un programa de divulgación de vulnerabilidades?

Un programa de divulgación de vulnerabilidades o Vulnerability disclosure programs (VDP) es un proceso por el cual una organización recibe informes de vulnerabilidades de cualquier individuo externo. Estos pueden ser un hunter, un medio de comunicación o un organismo gubernamental, a través de un canal dedicado para ello.

Cada VPD es diferente y debe adaptarse al perfil de amenazas, requisitos de la normativa y activos de su empresa. Aunque todos los programas de divulgación de vulnerabilidades comparten 3 componentes:

  1. Un sitio web u otro canal de comunicación donde la organización pueda recibir información sobre la vulnerabilidad.
  2. Una política que establezca unas expectativas claras y unas instrucciones muy claras sobre cómo informar de los problemas.
  3. Un flujo de procesos que determine cómo se va a validar una determinada vulnerabilidad.

Principales ventajas de un VPD

Las principales ventajas de un programa de divulgación de vulnerabilidades son las siguientes:

  • Aumenta la eficacia de la divulgación de vulnerabilidades.
  • Muestra el compromiso de la organización por proteger sus activos digitales y responder a los riesgos.
  • Compromiso a mantener una buena relación con la comunidad de investigadores de seguridad.

¿Cuáles son los objetivos de establecer un programa de divulgación de vulnerabilidades?

Cada vez son más las vulnerabilidades en los softwares, por lo que las empresas necesitan aumentar su área de captación para descubrirlas. A pesar de ello, muchos de los profesionales que se dedican al sector de la ciberseguridad, afirman no poder informar sobre las vulnerabilidades que han descubierto, por no contar las organizaciones con un VPD.
Los programas de divulgación de vulnerabilidades ayudan a las organizaciones a conseguir los siguientes objetivos:

  • Reduce el riesgo.
  • Mejora el retorno de la inversión en seguridad.
  • Acelera a la transformación digital.
  • Ayuda a tomar mejores decisiones sobre seguridad.
  • Mejora la transparencia en seguridad y la confianza con los clientes.

¿Cómo empezar un VPD?

Ya sabemos la importancia que tiene para las empresas contar con un programa de divulgación de vulnerabilidades, pero… ¿cómo iniciar y gestionar uno de forma eficaz?

Te lo contamos todo en 4 pasos:

Decide entre autogestionado o alojado.

Las empresas que cuentan con pocos activos orientados a internet o recursos limitados para aceptar y corregir las vulnerabilidades, pueden elegir la autogestión, ya que podrá afrontar un flujo más manejable de vulnerabilidades. Por otro lado, puede ocurrir que los envíos de vulnerabilidades superen la capacidad de un equipo con pocos recursos para poder responder a tiempo, por lo que es más recomendable utilizar un modelo gestionado.

Codifica las expectativas.

Para que el VPD sea escalable y sólido, las organizaciones deben proporcionar acceso a los hunters. Esto debe contener indicaciones sobre la conducta que consideran las empresas aceptables, las técnicas que se consideran fuera del alcance, etc.

Se accesible

Es muy importante tener una comunicación clara con los hunters, dentro de canales específicos y seguros.

Define unas normas claras

Un programa de divulgación de vulnerabilidades debe definir unas normas claras basadas siempre en la buena fe. Estas definen la relación con los hunters, para que, tanto las empresas como ellos, se beneficien de las interacciones.

Las organizaciones deben recibir la mayor cantidad de información posible de una vulnerabilidad y los hunters deben esperar respuestas rápidas a sus envíos.