Programas de divulgación de vulnerabilidades, otra forma de ciberprotección
Toda protección es poca frente a los riesgos de ciberseguridad actuales.
Por ello, la colaboración con actores externos está creciendo dentro de las maneras de ejercer esa lucha.
Todas las infraestructuras de TI albergan vulnerabilidades en sus sistemas y aplicaciones, y los cibercriminales buscan constantemente esas vulnerabilidades para violar las defensas de seguridad.
Cada vez son más las empresas que optan por la implementación de programas de divulgación de vulnerabilidades (VDP), un marco integral que pone a disposición de actores externos una vía clara y precisa para reportar las amenazas de ciberseguridad. Mediante procesos de crowdsourcing, el VDP define un canal con el que hackers éticos, investigadores y público en general puedan informar sobre vulnerabilidades a la organización.
Implementar un VDP, además, envía un mensaje a clientes e inversores y a la opinión pública. Demuestra que la organización se toma en serio su seguridad y proporciona un proceso para una participación positiva y productiva desde la comunidad, promoviendo el objetivo común de detectar y mitigar amenazas. Synack, plataforma líder en soluciones de pruebas de penetración (pentesting), da las claves para una correcta implementación de un VDP.
Claves para la correcta implementación de un VDP
Una aplicación de software promedio puede tener decenas de errores por cada mil líneas de código. Errores no descubiertos durante el proceso de desarrollo que, una vez en producción, pueden ser localizados por los hackers. También los errores de configuración son fuente de vulnerabilidades, especialmente en aplicaciones cloud.
El objetivo de los programas de divulgación de vulnerabilidades es reducir el riesgo asociado con la explotación de vulnerabilidades. Un buen programa de divulgación de vulnerabilidades especificará cómo se debe informar sobre nuevas vulnerabilidades descubiertas, cómo recibirá la organización dichos informes y cómo los procesará para la correspondiente reparación. Como mínimo, el VDP deberá proporcionar:
• Una definición clara de la política de la organización en materia de vulnerabilidades.
• Una metodología clara y accesible para la presentación de informes (email, portal web, etc.)
• Un proceso definido de respuesta esperada (ventanas de tiempo, resultados de remediación, reconocimiento al investigador, etc.).
• Un proceso definido para analizar y remediar la vulnerabilidad reportada, incluyendo opciones de colaboración y remuneración si corresponde.
• Una idea clara y documentada de lo que está o no fuera del alcance de los investigadores.
• Declaración de que las actividades de investigación validadas no darán lugar a acciones legales.
Cómo los VDP pueden reducir el coste de los incidentes
Normalmente, los costes inmediatos asociados a un incidente de ciberseguridad se perciben fácilmente: pérdida de ingresos por inactividad, pago de rescates, impacto en la reputación, etc. Pero, además, la organización también habrá incurrido en costes de personal (y no sólo de TI) y por el tiempo dedicado por los diferentes equipos a trabajar en el incidente. Cada vez que una persona -ya sea un agente de atención al cliente, un gerente de seguridad o el propio CIO- examina un informe, lo documenta, determina su gravedad, desarrolla una solución, hace seguimiento, verifica una respuesta o emite recomendaciones, se produce un coste para la empresa. Por lo tanto, definir el proceso para hacerlo más eficiente puede aportar importantes reducciones de costes asociados al manejo de incidentes de seguridad.
Y estos costes de los empleados se aplican no sólo a las brechas, sino también a las vulnerabilidades reportadas voluntariamente. No tener una forma organizada de manejar estos reportes genera ineficiencias tanto en las personas involucradas en el informe como en el tiempo que tarda la organización en responder al investigador.
El VDP garantiza que el informe se manejará de manera eficiente con un impacto mínimo en el tiempo de los empleados. También garantiza que el investigador que envía el informe recibirá una respuesta oportuna, a fin de que se desanime o incluso que revele públicamente la vulnerabilidad antes de comunicarla.
VDP gestionados: gestión de vulnerabilidades sin cargas
La implantación de programas VDP ayuda a descubrir y abordar vulnerabilidades, mantiene a la empresa conectada con la comunidad de ciberseguridad y puede suponer ahorros significativos. Pero siempre habrá que gestionarlo, y los equipos de seguridad suelen estar ya sobrecargados.
Para aquellas empresas donde el tiempo o el personal es un tema sensible, la opción idónea es optar por un tercero para administrar el VDP. Generalmente, empresas de ciberseguridad con recursos y experiencia en pruebas de penetración y gestión de vulnerabilidades que gestionan el programa desde fuera. En el caso de Synack, la compañía ofrece, junto con un VDP integral, una opción de servicios VDP gestionados. Esto mejora la productividad, portando una alternativa que alivia gran parte de la carga administrativa al manejar la clasificación de vulnerabilidades, incluyendo la comunicación con los investigadores y su reconocimiento, y la generación de datos para respaldar los informes ante la dirección.
En definitiva, los programas VDP permiten a las organizaciones visualizar y priorizar más rápidamente el panorama de amenazas para adelantarse a las actividades peligrosas, integrándose en una comunidad global y permitiendo a todas las partes intercambiar datos de manera formal y consistente para crear un mejor contexto de evaluación de riesgos.
