Política de gestión de vulnerabilidades

Objetivo de la política

El propósito de esta Política es explicar la política básica del Grupo Yokogawa para el tratamiento de vulnerabilidades y su proceso a clientes, organizaciones de equipos de respuesta a emergencias informáticas (CERT)(*1), proveedores, investigadores y otras partes interesadas. El Grupo Yokogawa se compromete a responder a las vulnerabilidades de nuestros productos(*2) de acuerdo con esta Política.
El Grupo Yokogawa expresa su más sincero agradecimiento a las partes interesadas por su colaboración en la mitigación del riesgo de vulnerabilidades, que son puntos débiles ante ciberataques, con vistas a garantizar la seguridad de los activos de los clientes.

Política básica

El Grupo Yokogawa trabajará para garantizar la seguridad de los activos de nuestros clientes, reconociendo que la evaluación continua de los riesgos y la adopción de medidas frente a las ciberamenazas son una de las tareas más importantes para la gestión de los activos de los clientes.
Con respecto a la gestión de vulnerabilidades, el Grupo Yokogawa ofrecerá información y contramedidas sobre las vulnerabilidades de nuestros productos con el fin de ayudar a los clientes a gestionar los riesgos asociados.

Proceso

El proceso de gestión de vulnerabilidades consta de los cuatro pasos que se describen a continuación.

1. Aceptación de la información

El Grupo Yokogawa acepta información sobre vulnerabilidades de nuestros productos de cualquier parte. Normalmente, el Grupo se pondrá en contacto con el informante en relación con la aceptación de la información sobre vulnerabilidades en el plazo de uno o dos días laborables. El Grupo puede solicitar información adicional.
Le rogamos que comunique la información sobre vulnerabilidades de la siguiente manera
https://contact.yokogawa.com/cs/gw?c-id=000983

Basándose en el concepto de Divulgación Coordinada de Vulnerabilidades (CVD)(*3), el Grupo Yokogawa solicita al informador que comunique las vulnerabilidades descubiertas al Grupo Yokogawa o a las organizaciones CERT antes de su divulgación.

 

2. Investigación de vulnerabilidades

El Grupo Yokogawa investigará los productos que se vean afectados por vulnerabilidades, El Grupo compartirá los resultados con el informador. Calificará el nivel de gravedad de las vulnerabilidades con arreglo al Common Vulnerability Scoring System (CVSS)(*4).

 

3. Preparativos para las contramedidas

El Grupo Yokogawa estudiará la adopción de las siguientes contramedidas y se preparará en función del nivel de gravedad de las vulnerabilidades.
- Remediación: Parche, arreglo, actualización y similares para eliminar o mitigar una vulnerabilidad.
- Solución provisional: Acciones y otras destinadas a reducir el impacto de los ataques que aprovechan las vulnerabilidades.

 

4. Oferta de información

El Grupo Yokogawa facilitará a los clientes el Informe de avisos de seguridad (YSAR) Yokogawa, que incluye información sobre vulnerabilidades. Antes de hacerlo, coordinará el contenido del YSAR y el momento de su suministro con el informador y con las organizaciones CERT.
- Contenido del YSAR
El YSAR incluirá la siguiente información
- Descripciones de las vulnerabilidades
- Productos y sus versiones afectados por las vulnerabilidades
- ID CVE
- Nivel de gravedad (clasificación según el CVSS)
- Detalles de las contramedidas
- Información sobre el informador (si el informador está de acuerdo)
- Contacto para consultas
- Método para proporcionar el YSAR
El Grupo Yokogawa proporcionará el YSAR de las siguientes maneras.
- Divulgación en el sitio web del Grupo Yokogawa
      https://www.yokogawa.com/library/resources/white-papers/yokogawa-security-advisory-report-list/
- Suministro de información de conformidad con los acuerdos de servicio de mantenimiento para productos individuales
- Calendario de suministro del YSAR
En principio, el grupo Yokogawa proporcionará la información una vez que esté preparado para proporcionar la solución. No obstante, considerará la posibilidad de ofrecer la información en el momento en que esté preparado para proporcionar la solución en caso de que sea necesario ofrecer rápidamente información a los clientes, como en los casos en que ya se hayan observado ataques que exploten las vulnerabilidades.

 

5. ID CVE

El grupo Yokogawa puede asignar identificadores CVE a las vulnerabilidades de nuestros productos como CVE Numbering Authority (CNA)(*5).

 


(*1) Organizaciones que aceptan y publican información sobre vulnerabilidades y que emiten alertas, como JPCERT/CC, CERT/CC y CISA.
(*2)https://www.yokogawa.com/solutions/products-platforms/
(*3) A concept that the discoverer who discovered new vulnerabilities first discloses directly to the vendor or CERT organizations privately, then make the vendor prepare the countermeasures before the vulnerability information disclosure. It means each stakeholder cooperates to make a profit of product users a primary consideration.
Reference: https://blogs.technet.microsoft.com/msrc/2010/07/22/announcing-coordinated-vulnerability-disclosure/
(*4) A system of evaluation under which the level of severity of vulnerabilities is indicated on the scale from 0.0 to 10.0
Reference: Common Vulnerability Scoring System  https://www.first.org/cvss/
(*5) CVE
https://www.cve.org/About/Overview


 

Contacto para consultas

Para cualquier consulta relativa a la gestión de vulnerabilidades, póngase en contacto con nosotros en la siguiente dirección.
https://contact.yokogawa.com/cs/gw?c-id=000498

 

Historial de revisiones

20 de noviembre de 2018: Establecido
25 de octubre de 2023: Añadido "5. CVE ID"

Noticias

¿En busca de información adicional sobre Yokogawa Iberia, tecnología y soluciones?

Contáctenos

Top