ISO/IEC 29147
ISO/IEC 29147 es una norma internacional que proporciona directrices para los procesos de divulgación de vulnerabilidades. Establece recomendaciones sobre cómo las organizaciones deben informar a los proveedores sobre posibles vulnerabilidades en sus productos y cómo los proveedores deben procesar y gestionar estas divulgaciones.
Solicitar una demostración de Secureframe Custom FrameworksDefinición y propósito
El propósito de ISO/IEC 29147 es establecer un protocolo claro para la divulgación responsable de vulnerabilidades. Su objetivo es garantizar que cuando se encuentren vulnerabilidades de seguridad, se aborden de manera sistemática y estandarizada, minimizando el posible daño y maximizando la eficacia del proceso de remediación.
Organismo Gobernante
La norma es desarrollada y mantenida por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
Última Actualización
ISO/IEC 29147 se publicó inicialmente en 2014. Fue retirada y actualizada en 2018.
Se Aplica a
ISO/IEC 29147 se aplica a todo tipo de organizaciones, independientemente de su tamaño o de la naturaleza de su negocio. Es particularmente relevante para desarrolladores de software, profesionales de ciberseguridad, departamentos de TI y cualquier organización que desarrolle o utilice productos de software y TI.
Controles y Requisitos
ISO/IEC 29147 incluye directrices sobre varios aspectos clave del proceso de divulgación de vulnerabilidades, tales como:
- Recepción y Manejo de Informes de Vulnerabilidades: Procesos sobre cómo las organizaciones deben recibir y manejar informes de vulnerabilidades.
- Divulgación de Información: Directrices sobre cuándo y cómo se debe divulgar al público la información sobre vulnerabilidades.
- Retroalimentación y Comunicación: Asegurando una comunicación efectiva con la persona o entidad que informa de la vulnerabilidad.
- Aspectos de Confidencialidad: Manteniendo la confidencialidad de la información relacionada con las vulnerabilidades.
- Tiempo de Divulgación: Plazos para reconocer, investigar y divulgar vulnerabilidades.
Consulte la documentación oficial de ISO/IEC 29147:2018 para obtener detalles sobre controles y requisitos.
Tipo, Frecuencia y Duración de la Auditoría
Las auditorías generalmente implican revisar los procesos y políticas de divulgación de vulnerabilidades de una organización para garantizar el cumplimiento con ISO/IEC 29147. La frecuencia de las auditorías puede variar dependiendo del tamaño, la complejidad y la naturaleza de la infraestructura de TI de la organización. También puede estar influenciada por la frecuencia de descubrimientos de vulnerabilidades.
La duración de una auditoría depende del tamaño de la organización, la complejidad de su infraestructura de TI y el alcance de la auditoría.