En todas las infraestructuras de Tecnología de la Información (TI), existen debilidades en sus sistemas y aplicaciones que pueden ser explotadas por ciberdelincuentes. Estos delincuentes están constantemente en búsqueda de estas vulnerabilidades para superar las defensas de seguridad. Cada vez más empresas están optando por la adopción de Programas de Divulgación de Vulnerabilidades (VDP), un enfoque integral que establece una vía clara y precisa para que actores externos informen sobre posibles amenazas en ciberseguridad. A través de procesos de colaboración en masa, el VDP establece un canal mediante el cual hackers éticos, investigadores y el público en general pueden comunicar vulnerabilidades a la organización.
Además, la implementación de un VDP envía un mensaje importante a clientes, inversores y al público en general. Demuestra que la organización toma muy en serio su seguridad y proporciona un proceso estructurado para la participación constructiva de la comunidad. Esto fomenta el objetivo compartido de identificar y mitigar amenazas cibernéticas. Synack, una plataforma líder en soluciones de pruebas de penetración (pentesting), ofrece pautas esenciales para una implementación exitosa de un VDP.
Claves para la correcta implementación de un VDP
Una aplicación de software promedio puede tener decenas de errores por cada mil líneas de código. Errores no descubiertos durante el proceso de desarrollo que, una vez en producción, pueden ser localizados por los hackers. También los errores de configuración son fuente de vulnerabilidades, especialmente en aplicaciones cloud.
El objetivo de los programas de divulgación de vulnerabilidades es reducir el riesgo asociado con la explotación de vulnerabilidades. Un buen programa de divulgación de vulnerabilidades especificará cómo se debe informar sobre nuevas vulnerabilidades descubiertas, cómo recibirá la organización dichos informes y cómo los procesará para la correspondiente reparación. Como mínimo, el VDP deberá proporcionar:
- Una definición clara de la política de la organización en materia de vulnerabilidades.
- Una metodología clara y accesible para la presentación de informes (email, portal web, etc.)
- Un proceso definido de respuesta esperada (ventanas de tiempo, resultados de remediación, reconocimiento al investigador, etc.)
- Un proceso definido para analizar y remediar la vulnerabilidad reportada, incluyendo opciones de colaboración y remuneración si corresponde.
- Una idea clara y documentada de lo que está o no fuera del alcance de los investigadores
- Declaración de que las actividades de investigación validadas no darán lugar a acciones legales.
Cómo los VDP pueden reducir el coste de los incidentes
Normalmente, los costes inmediatos asociados a un incidente de ciberseguridad se perciben fácilmente: pérdida de ingresos por inactividad, pago de rescates, impacto en la reputación, etc. Pero, además, la organización también habrá incurrido en costes de personal (y no sólo de TI) y por el tiempo dedicado por los diferentes equipos a trabajar en el incidente. Cada vez que una persona -ya sea un agente de atención al cliente, un gerente de seguridad o el propio CIO- examina un informe, lo documenta, determina su gravedad, desarrolla una solución, hace seguimiento, verifica una respuesta o emite recomendaciones, se produce un coste para la empresa. Por lo tanto, definir el proceso para hacerlo más eficiente puede aportar importantes reducciones de costes asociados al manejo de incidentes de seguridad.
Y estos costes de los empleados se aplican no sólo a las brechas, sino también a las vulnerabilidades reportadas voluntariamente. No tener una forma organizada de manejar estos reportes genera ineficiencias tanto en las personas involucradas en el informe como en el tiempo que tarda la organización en responder al investigador.
El VDP garantiza que el informe se manejará de manera eficiente con un impacto mínimo en el tiempo de los empleados. También garantiza que el investigador que envía el informe recibirá una respuesta oportuna, a fin de que se desanime o incluso que revele públicamente la vulnerabilidad antes de comunicarla.
VDP gestionados: gestión de vulnerabilidades sin cargas
La implantación de programas VDP ayuda a descubrir y abordar vulnerabilidades, mantiene a la empresa conectada con la comunidad de ciberseguridad y puede suponer ahorros significativos. Pero siempre habrá que gestionarlo, y los equipos de seguridad suelen estar ya sobrecargados.
Para aquellas empresas donde el tiempo o el personal es un tema sensible, la opción idónea es optar por un tercero para administrar el VDP. Generalmente, empresas de ciberseguridad con recursos y experiencia en pruebas de penetración y gestión de vulnerabilidades que gestionan el programa desde fuera. En el caso de Synack, la compañía ofrece, junto con un VDP integral, una opción de servicios VDP gestionados. Esto mejora la productividad, portando una alternativa que alivia gran parte de la carga administrativa al manejar la clasificación de vulnerabilidades, incluyendo la comunicación con los investigadores y su reconocimiento, y la generación de datos para respaldar los informes ante la dirección. En definitiva, los programas VDP permiten a las organizaciones visualizar y priorizar más rápidamente el panorama de amenazas para adelantarse a las actividades peligrosas, integrándose en una comunidad global y permitiendo a todas las partes intercambiar datos de manera formal y consistente para crear un mejor contexto de evaluación de riesgos.
