El Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio de Asuntos Económicos y Transformación Digital, ha sido nombrado como Autoridad de Numeración de Vulnerabilidades (CNA: CVE Numbering Authorities).
Designado para esta función por MITRE, asociación dependiente de la Agencia de Seguridad de la Ciberseguridad y de las Infraestructuras (CISA), del Departamento de Seguridad Nacional de Estados Unidos (DHS), INCIBE se convertirá en el único punto de contacto en España para la recepción de vulnerabilidades descubiertas en el ámbito de la Tecnología de la Información (TI), los sistemas industriales y los dispositivos de Internet de las Cosas (IoT).
Como CNA, única organización española competente para la designación del identificador estándar CVE para vulnerabilidades existentes en un determinado dispositivo que afecten a su sector y actividad, INCIBE será el responsable del estudio, gestión, documentación, asignación y divulgación pública de dichas vulnerabilidades, coordinándose con el resto de actores en esta materia.
INCIBE seguirá cinco pasos básicos en el proceso de coordinación, siempre que uno de los actores implicados le haya notificado una posible vulnerabilidad: recopilación, análisis, coordinación, mitigación y divulgación .
Proceso de gestión de vulnerabilidad de INCIBE.
Una vez recibida la notificación, INCIBE confirmará su recepción y comenzará la comunicación con el interesado en un plazo no superior a 72 horas.
El proceso de gestión de cada vulnerabilidad sigue las siguientes fases:
- Fase I: Recopilación de información
- Fase II: Análisis
- Fase III: Coordinación
- Fase IV: Mitigación
- Fase V: Divulgación
Plazos de divulgación
Como CNA, el periodo de divulgación de una vulnerabilidad se acuerda caso por caso, con el investigador que la reportó y la organización que esté realizando su solución.
El retraso entre la aceptación de la vulnerabilidad y su divulgación, solo se ampliará en el caso de que los actores involucrados estén preparando y probando una solución efectiva y eficiente al problema, dando tiempo suficiente para verificar cualquier otro problema relacionado y no generando otros en dicho proceso.
Al mismo tiempo, esta política de publicación garantizará que los usuarios finales de dicho producto no tengan el conocimiento de una vulnerabilidad publicada sin tener ningún medio de actualización de esta.
INCIBE no anunciará públicamente vulnerabilidades hasta que las correcciones estén disponibles, siempre y cuando se esté trabajando en su solución, así mismo, si por las características de la vulnerabilidad (riesgo, impacto…) fuera necesario, se reserva el derecho a poder comunicar de forma excepcional, previo a la publicación, a los actores involucrados.
Si, por cualquier circunstancia, el responsable de su subsanación no evidencia la realización de ningún tipo de actuación para su solución, por defecto la vulnerabilidad podrá ser publicada a los 45 días.
Recordaros que podéis seguirnos en nuestro Twitter, Instagram y en nuestro canal principal de Telegram y en el canal destinado a CTI.
