Hoy es viernes y no tengo muchas ganas de escribir, por lo tanto voy a realizar algunas preguntas.
De tiempo en tiempo cuando encuentro una vulnerabilidad en algún sitio que visito, envio un email al responsable y guardo el link.
Tengo una serie de bookmarks con vulnerabilidades de sitios que llevan mas de 5 meses sin resolverse.
Cuanto tiempo toma a tu empresa solucionar una vulnerabilidad ?
Cual es el procedimiento que utilizan para resolver el problema ?
Las descubren por medio de pentest o por información de terceros ?
Estas son unas respuestas breves de mi parte.
Por mi experiencia, dependiendo de la vulnerabilidad y la criticidad de la aplicación, resolverlo puede tomar desde una semana, meses o nunca. Algunas vulnerabilidades no son resueltas y se asume el riesgo ya que implementar una solucion puede poner en peligro el negocio. Por supuesto que se deja constancia en una carta de riesgo el motivo de esto y quien asume la responsabilidad.
En los casos en los que trabaje, participaba en un comite formado por gente de desarrollo, seguridad informática ,operaciones y representantes de las areas a las cuales pertenecía la aplicación. Independientemente de las areas de gestion de riesgo si esto tenia impacto en el negocio.
Cuando no se cuenta con una metodologia de desarrollo seguro, la mayoría de los problemas se encuentran en un pentest o en el peor de los casos por defacements o por notificaciones de usuarios.
No comments:
Post a Comment