¿Qué es una política CVD (Coordinated Vulnerability Disclosure)? ¿Por qué interesa a Europa y cuál es el grado de madurez en la definición/adopción de las mismas en los países miembros? Este post se dirige a informar sobre estas preguntas, incluyendo un pequeño resumen a modo de tabla sobre el último punto.

La coordinación durante el descubrimiento de vulnerabilidades es esencial para la ciberseguridad, ya que una buena política de notificación y gestión ahorra tiempo que puede invertirse en proteger nuestros sistemas. Estas políticas CVD permiten a su vez mantener la buena harmonía entre los diferentes interesados en todo el proceso.
ENISA cuenta con varios documentos donde se detalla en qué consisten las políticas CVD y cuáles serían los actores involucrados.


De entre ellos, el documento de buenas prácticas que data de 2015 nos proporciona una visión bastante amplia sobre todo el flujo de procesos y los requisitos durante el descubrimiento de vulnerabilidades, procesos que pueden comprender varias fuentes de información.


Pasos más destacados durante el descubrimiento de vulnerabilidades de seguridad. Fuente: ENISAUna buena política de CVD debe adecuarse al contexto para el cual es definida, combinando adecuadamente los procesos y herramientas involucrados durante el proceso de descubrimiento de las vulnerabilidades así como las diferentes técnicas y expertos. Por ejemplo, las metodologías de bug bounty también se incluyen como parte de las técnicas que pueden contribuir a la política de CVD. No obstante, para que estos procesos sean efectivos las soluciones actuales para recopilar, clasificar y cuantificar el riesgo de las vulnerabilidades tienen que ser conocidas y comprendidas igualmente por los expertos del sector.

Pese a que, como se indica, el documento de ENISA tiene ya varios años (así como otros), la adopción de políticas CVD como parte de una estrategia de ciberseguridad común no es a día de hoy una realidad en muchos países. El CEPS realizó un estudio en 2018 sobre el estado de el descubrimiento de vulnerabilidades en Europa, del que se desprende que varios países no tenían por entonces estrategias de ciberseguridad que contemplasen de forma activa políticas CVD.
Tres años después el escenario ha variado favorablemente, como muestra la tabla siguiente, realizada por Rafael López Gómez, alumno en prácticas de la Universidad de Málaga. Sin embargo, aún hay países europeos sin una estrategia clara en materia de ciberseguridad nacional, y esto probablemente dificultará una puesta en común en esta materia.

País 2018 2021
Austria En progreso
Bélgica En progreso
Bulgaria No No
Croacia No No
Chipre No No
República Checa No
Dinamarca No Sin mención explícita en su estrategia nacional de ciberseguridad 2018-2021
Estonia No
Finlandia No No
Macedonia del Norte En progreso
Francia
Alemania En progreso
Grecia No Estrategia nacional de ciberseguridad de 2020, en griego
Hungría No Estrategia nacional de ciberseguridad de 2018, en húngaro
Irlanda No Sin mención explícita en su estrategia nacional de ciberseguridad 2019-2022
Italia En progreso En progreso
Letonia En progreso Estrategia nacional de ciberseguridad 2019-2022, en letón
Lituania En progreso
Luxemburgo En progreso
Malta No No
Países Bajos
Polonia No No
Rumanía No No
Eslovaquia No
Eslovenia En progreso En progreso
España No
Suecia No No
Suiza [Externo UE] No No
Reino Unido [Externo UE] En progreso
Evolución de las políticas CSV – Europa, Suiza y Reino UnidoMientras que las políticas CVD definen grosso modo el marco general, las reglas del juego, actores, etc., por detrás están también las tecnologías y condicionantes específicos que pueden acabar afectando a las políticas en última instancia.

Es interesante por ejemplo conocer que los entornos industriales tienen sus propias características que requieren la adaptación de las métricas que se emplean para clasificar las vulnerabilidades, como detalla el artículo de INCIBE al respecto. Disponer de un marco común en materia de políticas CVD contemplando las necesidades de los diferentes sectores tal vez podría contribuir a mejorar la cooperación en este ámbito entre países de la unión, algunos de los cuales parecen alejados de intuir la importancia de este tipo de materias.

Si aplicamos el símil de los eslabones de la cadena a Europa (una cadena es tan fuerte como lo sean cada uno de sus eslabones) igual nos queda aún mucho camino por recorrer.

Más información:



Por Ana Nieto en https://unaaldia.hispasec.com/2021/09/europa-y-el-descubrimiento-coordinado-de-vulnerabilidades.html