Divulgación Responsable

Responsable Divulgación Se refiere a la mejor práctica seguida por la mayoría de los investigadores de seguridad de no revelar información crítica. vulnerabilidad en un producto de software hasta que un parche o solución del proveedor esté disponible. Esto suele ocurrir cuando equipos como Proyecto Cero de GoogleUn equipo creado para descubrir y corregir fallas de seguridad, descubrir una vulnerabilidad y no divulgar la información al público. La razón por la que los analistas e investigadores de seguridad no pueden compartir la información públicamente es que... los piratas informáticos y delincuentes cibernéticos A menudo, atacan y explotan la vulnerabilidad anunciada con mayor rapidez que los proveedores, que pueden crear un parche. Los clientes pueden implementarlo para protegerse a sí mismos, a sus redes, datos y sistemas. Por eso se denomina Divulgación Responsable y se considera una buena práctica, aunque no existen leyes que obliguen a los investigadores de seguridad a seguirla. 

Términos relacionados: Programas de recompensas por errores,Vulnerabilidad, Vulnerabilidad de día cero

Lectura relacionada: Los desafíos de la investigación cibernética y la divulgación de vulnerabilidades para dispositivos sanitarios conectados

Fuente: CSO en línea

¿Deberían las PYMES familiarizarse con la divulgación responsable?

Sí. Muchas PYMES desarrollan software para su distribución y uso en línea. Como propietario de una PYME, debería considerar anunciar un Programa Bug Bounty para su producto que fomenta “divulgación responsable” Por investigadores de seguridad. Este es un pequeño incentivo financiero para quienes encuentren una falla crítica en su software, para que se lo traigan en lugar de venderlo en la web oscura o profunda.

En segundo lugar, las PYMES deben contar con un Proceso de Gestión de Alertas de Vulnerabilidad (VAMP) que defina los plazos para corregir vulnerabilidades críticas en el software y hardware que utilizan para operar su negocio. Para errores de gravedad 1 que podrían comprometer remotamente su red, datos o sistemas, debe aplicar el parche lo antes posible.

CyberHoot tiene un proceso VAMP para ayudar a guiar a las PYMES a desarrollar sus propias mejores prácticas relacionadas con vulnerabilidades de día cero, parches y divulgación responsable.

Para obtener más información sobre la divulgación responsable de vulnerabilidades a proveedores de hardware y software, mire este video:

https://youtube.com/watch?v=t5UKO4jjevw

¿Está haciendo lo suficiente para proteger su negocio?

Regístrate hoy en CyberHoot y duerme mejor sabiendo que tu

¡Los empleados están capacitados en ciberseguridad y en guardia!

¡Suscríbete hoy!