Guía ISO 29147 sobre informes de vulnerabilidad (FREE)

Ahora es posible acceder de forma gratuita al documento de la ISO/IEC 29147 que ayuda a las organizaciones a manejar la divulgación de vulnerabilidades responsables.

El documento ISO/IEC 29147:20018 establece cómo los proveedores de hardware y software, y otras organizaciones que proporcionan aplicaciones como instituciones financieras y gobiernos, pueden integrar la gestión de la divulgación de vulnerabilidades en sus procesos comerciales normales.

ISO 29147 proporciona pautas para la divulgación de vulnerabilidades potenciales en productos y servicios en línea. Detalla los métodos que un proveedor debe usar para abordar los problemas relacionados con la divulgación de vulnerabilidades.

• proporciona pautas para los proveedores sobre cómo recibir información sobre posibles vulnerabilidades en sus productos o servicios en línea,
• proporciona pautas para los proveedores sobre cómo difundir información de resolución sobre vulnerabilidades en sus productos o servicios en línea,
• proporciona los elementos de información que deben producirse a través de la implementación del proceso de divulgación de la vulnerabilidad de un proveedor, y
• proporciona ejemplos de contenido que deben incluirse en los elementos de información.

La organización de estándares aprobó una solicitud de la investigadora de seguridad de Luta Kate Moussouris y Art Manion del Centro de coordinación CERT (CERT / CC) de EE.UU. para ofrecer ISO/IEC 29147:2014 sin costo alguno.

Los dos han trabajado como coeditores del estándar desde la publicación de la versión gratuita, y han ayudado a editarlo desde alrededor de 2008. "La razón fue que hacerlo disponible de forma gratuita ayudaría a impulsar la adopción no solo del estándar de divulgación de vulnerabilidades, sino también del estándar relacionado con los procesos de manejo de vulnerabilidades, ISO 30111", dijo Moussouris.

Propuesto por primera vez en 2005 y publicado en forma definitiva en febrero pasado, el estándar ISO tiene como objetivo asesorar a las organizaciones sobre cómo responder a los informes de vulnerabilidad de seguridad.

Esto incluye cómo recibir informes de vulnerabilidad de los investigadores y cómo procesarlos para crear potencialmente correcciones para las fallas.

Si se crea una solución o solución para la vulnerabilidad, el estándar también guía a las organizaciones sobre cómo comunicarlo a los clientes afectados.

"La divulgación inadecuada de una vulnerabilidad podría no solo retrasar el despliegue de la resolución de la vulnerabilidad, sino también dar a los atacantes sugerencias para explotarla", señala el documento de estándares.

ISO / IEC 29147 interactúa con el estándar de proceso de manejo de vulnerabilidades ISO/IEC 30111. Este último proporciona pautas sobre cómo procesar y resolver la información de vulnerabilidad potencial.

El documento ISO/IEC 29147:2014 se puede descargar como un archivo ZIP con un archivo PDF.

Fuente: ITNews