Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/05/2011
Nou estàndard per a reportar vulnerabilitats TI
El consorci ICASI (Industry Consortium for Advancement of Security on the Internet), creat fa tres anys a fi de fomentar la ciberseguretat, ha anunciat l'estàndard CVRF 1.0, un nou marc estandarditzat per a reportar vulnerabilitats en els sistemes de TI.
CVRF (Common Vulnerability Reporting Framework) és un format XML que permet compartir informació crítica sobre vulnerabilitats en un sistema obert i llegible per qualsevol equip. Fins al moment no hi havia cap estàndard per a informar de vulnerabilitats TI, per la qual cosa CVRF ve a cobrir una necessitat manifestada pels distints actors de la indústria de seguretat informàtica quant a un marc comú, ja que fins ara cada proveïdor creava els seus informes segons el seu criteri. La disponibilitat de CVRF 1.0 accelera, a més, l'intercanvi i processament d'informació entre distintes plataformes.
El marc de treball CVRF és gratuït i no sols empreses tecnològiques i subministradors de programari podran beneficiar-se de la seua adopció; també podran fer ús d'aquest format investigadors, equips de detecció primerenca (CERT), grans empreses i governs. A més, segons assenyala Linda Betz, presidenta d'ICASI i directora de polítiques TI i Seguretat de la Informació d'IBM, en el comunicat del nou mètode de relació (reporting) de vulnerabilitats TI, «els usuaris finals podran trobar, processar i actuar, basant-se en informació rellevant de forma més ràpida i fàcil, amb un major nivell de confiança, en què les dades manejades són fiables i completes. En última instància, els consumidors es beneficiaran de sistemes i aplicacions més segurs».
A pesar que la indústria de la seguretat informàtica ha fet significatius avanços en altres camps –com per exemple en la categorització de les vulnerabilitats en els sistemes d'informació– fins a hores d’ara no hi havia cap sistema estandarditzat per a la documentació de vulnerabilitats. CVRF és gratuït i predefineix un gran nombre de camps, coherents en noms i tipus de dades, amb què qualsevol organització que l’adopte podrà produir documents o llegir aquells generats per altres organitzacions usuàries de CVRF, per tal de compartir informació crítica relacionada amb vulnerabilitats.