Política de divulgación coordinada de vulnerabilidades

La Política de divulgación coordinada de vulnerabilidades, designada como P39, establece un proceso estructurado y formal para la recepción, la gestión y la divulgación pública de vulnerabilidades en las redes y sistemas de información de la organización. Esta política se ha desarrollado específicamente para abordar las brechas identificadas en políticas anteriores en relación con la notificación y la coordinación de vulnerabilidades detectadas externamente, garantizando el cumplimiento normativo proactivo del artículo 21(2)(e) de la Directiva NIS2, así como la alineación con normas internacionales, incluidas ISO/IEC 29147 y el Reglamento de Ejecución (UE) 2024/2690 de la Comisión. El propósito de esta política es doble: facilitar la detección y la resolución oportunas de vulnerabilidades de seguridad aprovechando tanto evaluaciones internas como aportaciones externas, y crear vías claras y seguras para que partes externas, como investigadores de seguridad, socios y clientes, notifiquen vulnerabilidades. En concreto, la política exige el establecimiento de un canal público de notificación de vulnerabilidades, normalmente un correo electrónico de contacto de seguridad o un formulario web cifrado publicado en el sitio web de la organización, que respalde una comunicación segura y eficaz con los notificadores. Esta política detalla las funciones y la colaboración requeridas entre todas las partes implicadas: el Equipo de Respuesta a Vulnerabilidades, responsable del triaje y de coordinar la remediación y la divulgación; los equipos de TI y de desarrollo, que validan y abordan los aspectos técnicos de las vulnerabilidades; los profesionales de comunicación, que preparan avisos para las partes interesadas y el público; y los notificadores externos, que deben cumplir las directrices de divulgación responsable. De forma importante, la política consagra un principio de «puerto seguro»: los investigadores de buena fe que actúan conforme a las reglas de la política están protegidos frente a acciones legales, fomentando una cultura cooperativa de gestión de vulnerabilidades. La política es explícita sobre los niveles de servicio y los controles: el acuse de recibo de las notificaciones está garantizado en un plazo de 2 días laborables, la gravedad se somete a triaje con prontitud y las vulnerabilidades críticas activan una mitigación acelerada y el escalado a la dirección. Se establecen plazos de divulgación (normalmente dentro de 90 días o por acuerdo mutuo), y los avisos públicos se coordinan para maximizar la seguridad, al tiempo que se reconoce a los notificadores que consientan ser nombrados. Se enfatiza la confidencialidad de las vulnerabilidades enviadas y de las identidades de los notificadores hasta que se acuerde una divulgación pública coordinada. La gobernanza del programa de divulgación coordinada de vulnerabilidades es estricta. La política se revisa anualmente o tras incidentes significativos, con requisitos de mejora continua basados en revisiones post mortem. Se realizan seguimientos de métricas, se mantienen registros y se exigen auditorías periódicas para garantizar la transparencia y la eficacia en la gestión de vulnerabilidades conforme a la política y a la normativa aplicable. Esta política no está adaptada a pymes (no hay notación de pyme como «S») y presupone funciones dedicadas de seguridad, desarrollo y comunicación para el funcionamiento adecuado del programa, cumpliendo requisitos estrictos para ISO/IEC 27001:2022 y directivas sectoriales como NIS2.