Conecta con nosotros

Opinión

Colaboración como respuesta ante fallos de seguridad

Publicado el

En el mundo eminentemente digital en el que vivimos, garantizar la seguridad del software es esencial. Las empresas funcionan mediante aplicaciones, por lo que el hecho de que un ciberatacante pueda aprovecharse de una vulnerabilidad en el código de una de ellas para hacerse con información sensible es preocupante; es más, hay momentos en los que un fallo de seguridad así llega incluso a amenazar la vida de las personas. Y esto es algo contra lo que todos debemos luchar.

Cuando se trata de solucionar un problema de software de interés público, como por ejemplo un error en dispositivos médicos, automóviles o infraestructuras críticas, las organizaciones que son transparentes y están dispuestas a trabajar con investigadores de seguridad externos que informan sobre una vulnerabilidad están mejor preparadas para actuar. ¿Por qué? Porque si todas las partes involucradas están colaborando juntas en lugar de operar por separado, pueden coordinarse de mejor manera para remediar el fallo a tiempo y evitar la exposición a riesgos significativos, como lo es una violación de datos.

Según el estudio «Explorando la divulgación coordinada» que hemos elaborado recientemente desde Veracode, los profesionales de seguridad de las compañías, los analistas y las empresas de terceros especializadas en seguridad de software tienen claro que la responsabilidad de la divulgación de las vulnerabilidades es compartida. El informe señala que el 90% de los encuestados consideran que la revelación de vulnerabilidades «sirve públicamente a un propósito mayor de mejorar la forma en que se desarrolla, utiliza y repara el software». Esto representa un punto de inflexión en la industria: el reconocimiento de que los fallos no tratados crean un enorme riesgo de consecuencias negativas para los intereses del negocio, para los consumidores e incluso para la estabilidad económica global.

La colaboración es la base de todas las acciones

¿Pero de qué clase de colaboración y de divulgación coordinada estamos hablando? De difundir y discutir el problema desde el momento en que se encuentra hasta que se resuelve, incluidas las razones por las que ha ocurrido o cómo se ha reparado el código para solucionarlo.

De esta manera, tanto las organizaciones como los investigadores de seguridad externos trabajan codo con codo para obtener un resultado positivo. Si esto no sucede, la industria no tendrá los recursos necesarios para mantenerse al día con la evolución de los ataques cibernéticos. Y en fallos de software que pueden comprometer la seguridad de las entidades, esto no solo es importante para las compañías por razones de responsabilidad civil o de reputación, o para aquellos a cargo de la seguridad, sino también para los consumidores y otras partes interesadas que podrían verse afectadas. El compromiso social aquí es ineludible.

Comunicación fluida y transparente

Para que dos agentes se entiendan entre sí, la comunicación bidireccional es necesaria. La información proporcionada por el investigador que encuentra la vulnerabilidad debe ser completamente transparente. Entre los datos que deben compartirse se encuentran: una descripción clara y evidencia del problema, la herramienta utilizada para descubrirlo, el código donde se localiza el fallo u otros detalles relevantes (a qué sistemas o aplicaciones afecta, en qué versiones, si existe un IP o URL importante, o una evaluación cualitativa de la explotabilidad y el impacto del problema, por ejemplo).

El estudio de Veracode muestra que los analistas de seguridad son generalmente razonables y están motivados por el deseo de mejorar la seguridad en aras de un bien común. El 57% de los investigadores cree que se les debe informar cuando se corrige una vulnerabilidad, el 47% espera actualizaciones periódicas sobre la corrección y el 37% busca validar la solución. Solo el 18% de los encuestados pretende que se le pague y el 16% quiere obtener un reconocimiento por su hallazgo.

Mientras tanto, las propias organizaciones deben estar preparadas para recibir dichos informes y actuar en consecuencia. El estudio revela que el 75% de las entidades admite tener un proceso establecido para recibir un informe de vulnerabilidad, y más de una de cada tres empresas (37%) indica haber recibido un informe de vulnerabilidad no solicitado en los últimos 12 meses.

Cualquier empresa que realice el mantenimiento de un software o brinde servicios a los clientes a través de la tecnología tiene que pensar en una política para recibir divulgaciones de seguridad y un status del proceso después del informe. Esto debe incluir un método de comunicación público accesible, hacer llegar el informe al personal apropiado internamente, y una guía para comunicarse con un analista sobre el proceso de reparación de la vulnerabilidad. Las organizaciones también deben elaborar políticas para solicitudes de exclusiones, como pedirle a los investigadores que no realicen ninguna prueba no solicitada que resulte en una denegación de servicio (DoS), un intento de acceso físico o cualquier cosa que pueda considerarse ingeniería social contra los empleados de una organización.

Quizás lo más importante para crear una política de este tipo es describir las expectativas para trabajar con analistas de seguridad de terceros. Las más comunes de los investigadores, después de informar sobre una vulnerabilidad, incluyen alguna forma de comunicación, ya sea avisarles de cuándo se realiza una solución, del cronograma establecido para una reparación o de las formas más cercanas de colaboración, como la validación de la solución.

En resumen, para una divulgación coordinada de los resultados, las empresas y los analistas de ciberseguridad deben establecer y mantener canales de comunicación efectivos con los que abordar estos problemas. El nivel de comodidad con la idea de análisis de seguridad de terceros, incluso las no solicitadas, entre aquellos que desarrollan, apoyan y protegen las aplicaciones debería abordarse de forma constante.

 

alejandro-novo-director-veracode-espana-portugal-italia

 

Alejandro Novo

Director de Veracode para España y Portugal

El equipo de profesionales de MCPRO se encarga de publicar diariamente la información que interesa al sector profesional TI.

Lo más leído