Divulgación Responsable

Una de las actividades que realizamos como FINSIN son las investigaciones de seguridad. Éstas consisten en verificar si es que algún producto o servicio ofrecido al público nacional cuenta con las medidas de seguridad adecuadas.

Estas investigaciones pueden encontrar algunos fallos que requieran ser parchados. Como FINSIN estamos a favor de una divulgación responsable (o Revelación Responsable) de estos fallos. de seguridad Para esto, se necesitan cuidados especiales que hay que tener al publicar o comentar una vulnerabilidad que esté explotable.

Existen muchas formas de implementar estas políticas de divulgación responsable, por ejemplo OWASP tiene un buen resumen (https://www.owasp.org/index.php/Vulnerability_Disclosure_Cheat_Sheet). Nosotros nos alineamos con las políticas de Google Project Zero, para lo cual definimos lo siguiente.

Pasos de Divulgación Responsable FINSIN

Como política de divulgación de FINSIN establecemos los siguientes pasos, los cuales serán guardados en una bitácora de divulgación de eventos:

  • Primer paso, comunicación con el ente afectado. Este proceso se hace a través del canal de comunicación que tenga disponible, generalmente es a través de un correo electrónico dedicado para estos propósitos (se recomienda seguir el estándar de security.txt).
  • Si no se concreta el canal de comunicación, luego de 30 días se notifica a la institución supervisora (de existir alguna), a través de la cual esperamos generar este canal de comunicación.
  • Luego de 90 días de la primera notificación se genera el reporte público que va a estar disponible en el sitio web de FINSIN.
    • Puede existir un período de gracia de 14 días, de acuerdo a la magnitud de la vulnerabilidad. Con esto, tratamos de esperar la respuesta de la institución supervisora del ente afectado, para que nos genere el canal de comunicación.
  • Si se concreta el canal de comunicación, se coordina un formato de divulgación y un canal técnico para aquello. Además, se coordina con el equipo legal de la institución para confirmar que desean recibir nuestro reporte aceptando no generar acciones legales.
    • Se le reporta al equipo designado para la resolución de vulnerabilidades informáticas con una prueba de concepto, y con las posibles soluciones definidas por el equipo técnico de FINSIN.
    • Luego de trabajar para que el ente afectado pueda generar las soluciones a las vulnerabilidades, se genera un acuerdo de divulgación, en el cual se establecen en común acuerdo la profundidad del reporte.
FINSIN Reporte con respuesta
Flujo de divulgación con respuesta del ente afectado

 

FINSIN Reporte sin respuesta
Flujo de divulgación sin respuesta del ente afectado

 

 

Crea una web o blog en WordPress.com

Subir ↑