Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/05/2011
Nuevo estándar para reportar vulnerabilidades TI
El consorcio ICASI (Industry Consortium for Advancement of Security on the Internet), creado hace tres años con el fin de fomentar la ciberseguridad, ha anunciado el estándar CVRF 1.0, un nuevo marco estandarizado para reportar vulnerabilidades en los sistemas de TI.
CVRF (Common Vulnerability Reporting Framework) es un formato XML que permite compartir información crítica sobre vulnerabilidades en un sistema abierto y legible por cualquier equipo. Hasta el momento no había ningún estándar para informar de vulnerabilidades TI, por lo que CVRF viene a cubrir una necesidad manifestada por los distintos actores de la industria de seguridad informática en cuanto a un marco común, ya que hasta ahora, cada proveedor creaba sus informes según su criterio. La disponibilidad de CVRF 1.0 acelera, además, el intercambio y procesamiento de información entre distintas plataformas.
El marco de trabajo CVRF es gratuito y no solo empresas tecnológicas y suministradores de software podrán beneficiarse de su adopción; también podrán hacer uso de este formato investigadores, equipos de detección temprana (CERT), grandes empresas y gobiernos. Además, según señala Linda Betz, presidenta de ICASI y directora de políticas TI y Seguridad de la Información de IBM, en el comunicado del nuevo método de reporting de vulnerabilidades TI, “los usuarios finales podrán encontrar, procesar y actuar en base a información relevante de forma más rápida y fácil, con un mayor nivel de confianza en que los datos manejados son fiables y completos. En última instancia, los consumidores se beneficiarán de sistemas y aplicaciones más seguros”.
A pesar de que la industria de la seguridad informática ha hecho significativos avances en otros campos, como la categorización de las vulnerabilidades en los sistemas de información, hasta ahora no había ningún sistema estandarizado para la documentación de vulnerabilidades. CVRF es gratuito y predefine un gran número de campos, coherentes en nombres y tipos de datos, con el que cualquier organización que lo adopte podrá producir documentos o leer aquellos generados por otras organizaciones usuarias de CVRF para compartir información crítica relacionada con vulnerabilidades.