En este medio de la tecnología y de Internet todo es basado en los estándares, los cuales nos entregan las pautas que nos guían en como realizar todos los procesos que implican comunicaciones en la red mundial de la información. Es por esto que es usual que las grandes empresas del sector se unan con el fin de generar estándares, esta vez se unieron Microsoft, Cisco, Intel, IBM y Juniper para crear una entidad sin animo de lucro llamada ICASI (Industry Consortium for Advancement of Security on the Internet), con el de emitir un estándar que permita reportar vulnerabilidades de IT de forma neutral sin importar la plataforma.
La comunidad que conforma Internet se ha esforzado siempre en generar mecanismos por medio de los cuales todas las empresas que lo conforman puedan desarrollar sus productos y servicios que puedan ser usados sin importar su origen, para esto son todos los estándares, sin embargo, en el campo de las vulnerabilidades existen varios mecanismos de que entregan categorías o rangos de severidad, pero no
entregan una guía clara y unificada de como reportarlos, documentarlos y presentarlos sin importar su origen o plataforma a la que se refieran.
En sus primeros comunicados ICASI ha indicado que busca llenar ese hueco que ellos han indicado como “Hasta la fecha no ha existido un entorno de suministrador fiable que permitiera a las empresas identificar, valorar y mitigar peligros de seguridad global y multiproducto de una forma neutral”, y por esto presentan la primera versión de un estándar que han denominado CVRF (Common Vulnerability Reporting Framework), que busca ser la guía que faltaba para hacer frente a las amenazas y entregar un informe claro que le permita reducir los posibles impactos a los usuarios finales. El estándar se puede descargar en formato PDF.
Es así como esta organización ha publicado en su sitio web la primera versión de una guía abierta y asequible desde cualquier equipo, que entrega esa guía para la creación de informes sobre las vulnerabilidades detectadas en cualquier plataforma analizada. Este marco es completamente gratuito buscando con esto que no solo las empresas de seguridad de TI lo implementes sino que sea un formato para investigadores, consultores, administradores de infraestructura, gerentes de TI y demás personas que interactúen con este tipo de análisis.
Debido a su formato en XML que permite gran adaptación y manejo sin importar el equipo que lo use, el respaldo de un equipo que ha indicado que continuara desarrollando este marco de referencia y el apoyo de las grandes empresas del sector, le dan a este proyecto un solido inicio y un futuro sostenible en el mercado de la seguridad de la información.
fuente: blog.segu-info.com.ar
