Sobre la base de su mandato de fomentar la resiliencia de la ciberseguridad en el mercado único de la UE, ENISA ha estado trabajando más activamente en el desarrollo de mecanismos para fomentar el uso de prácticas de divulgació coordinada de vulnerabilitats
(CVD). ENISA va promoure activament les ECV i va recolzar als CSIRT de la UE en l'adopció i el desenvolupament de polítiques d'ECV a nivell nacional. Per a això, l'Agència ha publicat contínuament directrius, recomanacions i anàlisis. Diversos Estats membres de la UE ja han implementat amb èxit polítiques de drets compensatoris.
ENISA està ampliant el seu recolzo en matèria de drets compensatoris als Estats membres amb una nova funció que ofereix un servei de registre de vulnerabilitats. Després d'incorporar-se com a Autoritat de Numeració CVE (CNA) , l'Agència ara està autoritzada a assignar Identificadors CVE (ANEU CVE) i publicar Registres CVE per a vulnerabilitats descobertes pels CSIRT de la UE o notificades a ells, d'acord amb les seves funcions de coordinador dedicat.
A més, segons NIS2, ENISA està desenvolupant i mantenint una base de dades europea sobre vulnerabilitats (EUVD) que permet l'accés transparent a informació enriquida sobre vulnerabilitats proporcionada per múltiples fonts, com CSIRT, proveïdors i bases de dades existents. Per ajudar a les organitzacions a aconseguir una major eficiència en la classificació i priorització dels esforços de gestió de vulnerabilitats, l'EUVD introdueix l'automatització recolzant el Marco Assessor de Seguretat Comuna (CSAF).
Otros desarrollos legislativos en curso también abordarán la divulgación de vulnerabilidades, con requisitos de manejo de vulnerabilidades ya previstos en la Ley de Resiliencia Cibernética (CRA).
Les novetats més significatives que suposen aquest nomenament
- Divulgació coordinada de vulnerabilitats (CVD)
La CVD pot descriure's com un model de divulgació de vulnerabilitats que intenta limitar l'amenaça d'explotació de vulnerabilitats, garantint que les vulnerabilitats es divulguin al públic després que a les parts responsables se'ls hagi concedit el temps adequat per desenvolupar una solució, un pegat o proporcionar mesures de mitigació.
- Programa de vulnerabilitats i exposicions comunes (CVE)
La missió del programa CVE és identificar, definir i catalogar vulnerabilitats de ciberseguretat divulgades públicament. Hi ha un registre CVE per a cada vulnerabilitat del catàleg. Les vulnerabilitats són descobertes, després assignades i publicades per organitzacions de tot el món que s'han associat amb el Programa CVE. Els socis publiquen registres CVE per comunicar descripcions consistents de vulnerabilitats. Els professionals de tecnologia de la informació i ciberseguretat utilitzen CVE Records per assegurar-se que estan discutint el mateix tema i per coordinar els seus esforços per prioritzar i abordar les vulnerabilitats.
- Autoritats de numeració CVE (CNA)
Les CNA són organitzacions responsables de l'assignació periòdica d'ANEU CVE a vulnerabilitats i de crear i publicar informació sobre la vulnerabilitat en el registre CVE associat. Cada CNA té un àmbit de responsabilitat específic per a la identificació i publicació de vulnerabilitats. ENISA ara està autoritzada a assignar identificadors CVE (ANEU CVE) i publicar registres CVE per a vulnerabilitats descobertes pels CSIRT de la UE o notificades a ells, d'acord amb les seves funcions de coordinador específic.
- Marco Consultivo de Seguridad Común (CSAF)
CSAF és un estàndard per a avisos de seguretat llegibles per màquina. Aquest format estandarditzat per incorporar informació d'assessorament sobre vulnerabilitats simplifica els processos de classificació i remediación per als propietaris d'actius. En publicar avisos de seguretat utilitzant CSAF, els proveïdors reduiran el temps necessari perquè les empreses comprenguin l'impacte organitzacional i impulsin una solució oportuna.
Font original de la notícia (ENISA)
