Este módulo es un recurso para los catedráticos 

 

Divulgación de las vulnerabilidades 

 

Las frases seguridad de la información y seguridad cibernética se han utilizado de manera intercambiable, aunque de manera incorrecta (von Solms y van Niekerk, 2013). Si bien no existe una definición consensuada de seguridad de la información, la definición incluida en la ISO/IEC 27002 ha sido una de las más utilizadas. La ISO/IEC 27002 define la seguridad de la información como la «preservación de [la] confidencialidad, integridad y disponibilidad de la información». Así como todavía no existe una definición universal para seguridad de la información, tampoco la hay aún para seguridad cibernética. De acuerdo con la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), la «seguridad cibernética busca garantizar la obtención y el mantenimiento de las propiedades de seguridad de la organización y de los activos de los usuarios frente a los riesgos de seguridad relevantes en el entorno cibernético» (ITU-T X.1205). La seguridad cibernética no solo protege el ciberespacio, «sino que... protege a [aquellos] que operan en el ciberespacio y cualquiera de sus activos que pudieran ser alcanzados a través del ciberespacio» (von Solms y van Niekerk, 2013, p. 101).

¿Sabías que...?

La ISO/IEC 27002 contiene 14 dominios

de áreas control de seguridad de la información, así como orientación y requerimientos para la implementación de cada una de esas áreas de control. Dichas áreas de controlson los siguientes: políticas de seguridad de la información; seguridad para la organización de la información; seguridad de los recursos humanos; gestión de activos; control de acceso; criptografía; seguridad física y ambiental; seguridad para las operaciones; seguridad spara las comunicaciones; adquisición, desarrollo y mantenimiento de sistemas; relaciones con proveedores; gestión de incidentes relativos a la seguridad de la información; aspectos vinculados con la gestión de la continuidad empresarial; y cumplimiento de normas.

¿Deseas saber más?

Para mayor información sobre estas áreas,consulte ISO/IEC 27002.

La seguridad de la información y la seguridad cibernética son afectadas por la divulgación de las vulnerabilidades. Cuando los investigadores y profesionales en el campo descubren vulnerabilidades, tienen dos opciones: divulgarlas completamente (divulgación masiva) o con responsabilidad (divulgación responsable) (Trull, 2015). La divulgación masiva involucra publicar las vulnerabilidades del software o hardware en línea (p. ej., en un sitio web) antes de tener una solución disponible (Trull, 2015). En contraste, la divulgación responsable se refiere a la práctica de no revelar la vulnerabilidad hasta que la organización a cargo del hardware o software haya encontrado una solución para la vulnerabilidad (Trull, 2015). Para proceder con la divulgación responsable, el investigador o profesional se contacta con la organización afectada y espera hasta que la organización publique una solución para la vulnerabilidad identificada. Una vez que se publica una solución, el investigador o profesional puede divulgar oficialmente la información sobre la vulnerabilidad y recibir crédito por haberla identificado. Al utilizar este método de divulgación, el investigador o profesional puede pedir lo que se conoce como un identificador de Vulnerabilidades y Exposiciones Comunes (CVE). El CVE, «una lista de identificadores comunes para vulnerabilidades de seguridad cibernética ya publicadas y conocidas por el público» (CVE, s. f.), se usa para rastrear las vulnerabilidades en programas importantes, así como a aquellos que encuentran esas vulnerabilidades. Además de las opciones de divulgación masiva y responsable, el investigador o profesional también puede optar por no revelar la vulnerabilidad (Cencini, Yu y Chan, 2005). Otro método de revelación es la divulgación coordinada de vulnerabilidades (CVD), que se refiere al «proceso de recabar información de los rastreadores de vulnerabilidades, coordinando la publicación de esa información entre las partes involucradas y revelando la existencia de las vulnerabilidades de software y sus soluciones a diversos actores interesados, incluyendo al público» (Householder, Wassermann, Manion y King, 2017).

Directrices de mejores prácticas para la divulgación y el manejo de vulnerabilidades se encuentran disponibles. Algunos casos puntuales son las directrices de mejores prácticas que desarrollaron y publicaron la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) (para obtener más información sobre estas organizaciones, consulte Delitos Cibernéticos Módulo 4: Introducción al Análisis Forense Digital) sobre divulgación de vulnerabilidades (ISO/IEC 29147) y procesos de manejo de vulnerabilidades (ISO/IEC 30111).

 
Siguiente: Medidas de seguridad cibernética y usabilidad
Volver al inicio