Skip to content
Permalink
Branch: master
Find file Copy path
Find file Copy path
Fetching contributors…
Cannot retrieve contributors at this time
38 lines (27 sloc) 3.58 KB

Procedimiento para el reporte y difusión de vulnerabilidades

Este documento describe el procedimiento que sigue el Programa de Seguridad en TIC de la Fundación Dr. Manuel Sadosky de Argentina para publicar y difundir información sobre vulnerabilidades descubiertas por sus investigadores o por terceros que se la reporten.

El propósito principal de los boletines de seguridad es informar sobre fallas y defectos de seguridad del software a la población potencialmente vulnerable, ya sean organizaciones o individuos, dándoles los detalles necesarios para identificar los problemas descubiertos, evaluar el riesgo asociado y solucionarlos o mitigar el impacto de ataques informáticos que los exploten.

A continuación se detallan los pasos a seguir para cada vulnerabilidad identificada en un producto, servicio o tecnología determinada:

  1. Intentar identificar al responsable o fabricante y obtener su información de contacto.

  2. Notificar el problema al responsable, informándole la intención de ayudar a su resolución y aclarándole que con el propósito de informar y ayudar a proteger de ataques a los usuarios potencialemnte vulnerables, se publicará y difundirá un reporte del problema incluyendo una descripción general, análisis de impacto, detalles técnicos que faciliten su identificación y reproducción, e instrucciones para solucionarlo o mitigarlo.

  3. Acordar y coordinar con el responsable o fabricante la forma y tiempo necesario para la resolución del problema.

  4. En los casos en los que el fabricante o responsable sea una persona física o jurídica radicada en la Argentina y que las vulnerabilidades detectadas pongan en riesgo la confidencialidad de datos personales protegidos en virtud de la ley 25.326, el Programa STIC notificará a la Dirección Nacional de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos de la Nación, Argentina.

  5. Resuelto el problema de seguridad o cumplido el plazo acordado con el fabricante para tal fin, publicar un reporte técnico (boletín de seguridad o security advisory) que incluirá:

  • Descripción general (no técnica) del problema, alcance e impacto.
  • Detalles técnicos necesarios para identificarlo o reproducirlo.
  • Recomendación sobre cómo solucionarlo o mitigar sus efectos.
  • Descripción detallada de las comunicaciones entre las partes:
    • Descubridor del problema
    • Programa de Seguridad en TIC que reporta el problema.
    • El fabricante o responsable del producto, servicio o tecnología con el problema.

El Programa de Seguridad en TIC podrá decidir unilateralamente publicar el boletín de seguridad cuando se cumplan una o más de las siguientes condiciones:

  1. No se pudo identificar al fabricante o responsable del software con problemas.
  2. No se pudo identificar al contacto del fabricante o responsable adecuado para reportarle problemas de seguridad o al encargado de su resolución.
  3. Se determinó que el fabricante o responsable no tiene intención o capacidad para resolver el problema.
  4. La información sobre el problema fué publicada por un tercero.
  5. Se determinó que el problema ya está siendo explotado.

El Programa de Seguridad en TIC prodrá decidir unilaterlamente notificar a terceros tales como equipos de respuesta a incidentes de seguridad (CSIRTs), equipo de respuestas emergencias de seguriddad (CERTs), proveedores de servicios de IT, prooveedores de servicios o productos de seguridad informática, grupos de investigación o cualquier otra organización que el Programa STIC determine que esta en condiciones de resolver los problemas descubiertos o mitigar su impacto.

You can’t perform that action at this time.