El precio de restringir la información sobre vulnerabilidades

The Price of Restricting Vulnerability Information es una reflexión que publica Bruce Scheneier citando a Jennifer Stisa Granick, columnista de Digital-law.net y en el cual podemos observar un curioso punto de vista referente a una de las actividades primordiales de la seguridad de la información: el descubrimiento, análisis y tratamiento de las vulnerabilidades que se hallan en el software.

La autora, de un modo bastante acertado, pone en tela de juicio el argumento que algunos sectores defienden: no publicar información de vulnerabilidades con el fin de disminuir la posibilidad de que los atacantes las exploten.

Para mí esto es absolutamente descabellado. No publicar las vulnerabilidades es un error que impediría sin duda el correcto devenir de la seguridad de la información. Publicar vulnerabilidades fomenta la mejora continua, y hace posible que el esquema PDCA (Plan, Do, Check, Act) de calidad se cumpla correctamente. Conocer las vulnerabilidades hace que podamos chequear si las sufrimos y actuar rápidamente si esto es así.

La autora enfoca el artículo desde un punto de vista legal y se refiere al código como algo con doble naturaleza: una herramienta y un motivo de objeciones o peticiones, como las que atañen a ejercer presión sobre los fabricantes de software y al impedimento de prácticas monopolísticas.

Podéis ojear el documento PDF correspondiente al artículo completo.

Un saludo.