¿Alguien tiene experiencia en establecer un procedimiento de divulgación responsable para una empresa?
Estoy interesado en tomar una asignación universitaria que involucre esto.
He leído las directrices de mis gobiernos sobre las responsabilidades tanto del informador como de la organización a cargo del sistema de información, pero todavía tengo algunas preguntas sobre la implementación real. Para que mi universidad acepte esta tarea, tiene que haber algunos desafíos técnicos que superar para que este proyecto sea aceptable. Básicamente, si el proyecto es demasiado fácil, se rechaza. Hasta ahora, las únicas cosas que puedo hacer son:
- Usar una conexión segura para asegurarse de que ningún atacante pueda interceptar informes de vulnerabilidades.
- Encripta los informes almacenados para que no haya una lista de vulnerabilidades fácilmente disponible / legible en el sitio web para personas externas.
- Autorización para ver los datos
- Configuración de un procedimiento automatizado para el manejo de informes (una persona de confianza dentro de la organización recibe el informe e intenta replicar la vulnerabilidad, y se lo pasa a la parte responsable para que lo corrija).
Si alguien ya ha configurado un sistema de divulgación responsable y está dispuesto a compartir: ¿con qué otros desafíos se enfrentó al configurar su sistema de DR?