CVRF, nuevo estándar para reportar vulnerabilidades TI
ICASI ha publicado CVRF 1.0, un nuevo formato estandarizado para reportar vulnerabilidades en sistemas de TI.
El consorcio ICASI (Industry Consortium for Advancement of Security on the Internet), formado hace tres años por grandes empresas del sector como Microsoft, Cisco e IBM, entre otras, con el fin de fomentar la ciberseguridad, ha anunciado sus primeros frutos: el entorno CVRF 1.0, un nuevo marco estandarizado para reportar vulnerabilidades en los sistemas de TI.
CVRF (Common Vulnerability Reporting Framework) es un formato XML que permite compartir información crítica sobre vulnerabilidades en un sistema abierto y legible por cualquier equipo. Hasta el momento no había ningún estándar para informar de vulnerabilidades TI, por lo que CVRF viene a cubrir una necesidad manifestada por los distintos actores de la industria de seguridad informática en cuanto a un marco común, ya que hasta ahora, cada proveedor creaba sus informes según su criterio. La disponibilidad de CVRF 1.0 acelera, además, el intercambio y procesamiento de información entre distintas plataformas.
El marco de trabajo CVRF es gratuito y no solo empresas tecnológicas y suministradores de software podrán beneficiarse de su adopción; también podrán hacer uso de este formato investigadores, equipos de detección temprana (CERT), grandes empresas y gobiernos. Además, según señala Linda Betz, presidenta de ICASI y directora de políticas TI y Seguridad de la Información de IBM, en el comunicado del nuevo método de reporting de vulnerabilidades TI, “los usuarios finales podrán encontrar, procesar y actuar en base a información relevante de forma más rápida y fácil, con un mayor nivel de confianza en que los datos manejados son fiables y completos. En última instancia, los consumidores se beneficiarán de sistemas y aplicaciones más seguros”.
A pesar de que la industria de la seguridad informática ha hecho significativos avances en otros campos, como la categorización de las vulnerabilidades en los sistemas de información, hasta ahora no había ningún sistema estandarizado para la documentación de vulnerabilidades. CVRF es gratuito y predefine un gran número de campos, coherentes en nombres y tipos de datos, con el que cualquier organización que lo adopte podrá producir documentos o leer aquellos generados por otras organizaciones usuarias de CVRF para compartir información crítica relacionada con vulnerabilidades.
El consorcio ICASI ha manifestado su intención de continuar desarrollando este marco de trabajo con el apoyo de la industria.
