Política de gestión de vulnerabilidades del grupo Yokogawa

Objetivo de la política

El propósito de esta Política es explicar la política básica del Grupo Yokogawa para el tratamiento de vulnerabilidades y su proceso a clientes, organizaciones de equipos de respuesta a emergencias informáticas (CERT)(*1), proveedores, investigadores y otras partes interesadas. El Grupo Yokogawa se compromete a responder a las vulnerabilidades de nuestros productos(*2) de acuerdo con esta Política.
El Grupo Yokogawa expresa su más sincero agradecimiento a las partes interesadas por su colaboración en la mitigación del riesgo de vulnerabilidades, que son puntos débiles ante ciberataques, con vistas a garantizar la seguridad de los activos de los clientes.

Política básica

El Grupo Yokogawa trabajará para garantizar la seguridad de los activos de nuestros clientes, reconociendo que la evaluación continua de los riesgos y la adopción de medidas frente a las ciberamenazas son una de las tareas más importantes para la gestión de los activos de los clientes.
Con respecto a la gestión de vulnerabilidades, el Grupo Yokogawa ofrecerá información y contramedidas sobre las vulnerabilidades de nuestros productos con el fin de ayudar a los clientes a gestionar los riesgos asociados.

Proceso

El proceso de gestión de vulnerabilidades consta de los cuatro pasos que se describen a continuación.

1. Aceptación de la información

El Grupo Yokogawa acepta información sobre vulnerabilidades de nuestros productos de cualquier parte. Normalmente, el Grupo se pondrá en contacto con el informante en relación con la aceptación de la información sobre vulnerabilidades en el plazo de uno o dos días laborables. El Grupo puede solicitar información adicional.
Le rogamos que comunique la información sobre vulnerabilidades de la siguiente manera
https://contact.yokogawa.com/cs/gw?c-id=000983 

Basándose en el concepto de Divulgación Coordinada de Vulnerabilidades (CVD)(*3), el Grupo Yokogawa solicita al informador que comunique las vulnerabilidades descubiertas al Grupo Yokogawa o a las organizaciones CERT antes de su divulgación.

 

2. Investigación de vulnerabilidades

El Grupo Yokogawa investigará los productos que se vean afectados por vulnerabilidades, El Grupo compartirá los resultados con el informador. Calificará el nivel de gravedad de las vulnerabilidades con arreglo al Common Vulnerability Scoring System (CVSS)(*4).

 

3. Preparativos para las contramedidas

El Grupo Yokogawa estudiará la adopción de las siguientes contramedidas y se preparará en función del nivel de gravedad de las vulnerabilidades.
- Remediación: Parche, arreglo, actualización y similares para eliminar o mitigar una vulnerabilidad.
- Solución provisional: Acciones y otras destinadas a reducir el impacto de los ataques que aprovechan las vulnerabilidades.

 

4. Oferta de información

El Grupo Yokogawa facilitará a los clientes el Informe de avisos de seguridad (YSAR) Yokogawa, que incluye información sobre vulnerabilidades. Antes de hacerlo, coordinará el contenido del YSAR y el momento de su suministro con el informador y con las organizaciones CERT.
- Contenido del YSAR
El YSAR incluirá la siguiente información
- Descripciones de las vulnerabilidades
- Productos y sus versiones afectados por las vulnerabilidades
- ID CVE
- Nivel de gravedad (clasificación según el CVSS)
- Detalles de las contramedidas
- Información sobre el informador (si el informador está de acuerdo)
- Contacto para consultas
- Método para proporcionar el YSAR
El Grupo Yokogawa proporcionará el YSAR de las siguientes maneras.
- Divulgación en el sitio web del Grupo Yokogawa
      https://www.yokogawa.com/library/resources/white-papers/yokogawa-security-advisory-report-list/ 
- Suministro de información de conformidad con los acuerdos de servicio de mantenimiento para productos individuales
- Calendario de suministro del YSAR
En principio, el grupo Yokogawa proporcionará la información una vez que esté preparado para proporcionar la solución. No obstante, considerará la posibilidad de ofrecer la información en el momento en que esté preparado para proporcionar la solución en caso de que sea necesario ofrecer rápidamente información a los clientes, como en los casos en que ya se hayan observado ataques que exploten las vulnerabilidades.

 

5. ID CVE

El grupo Yokogawa puede asignar identificadores CVE a las vulnerabilidades de nuestros productos como CVE Numbering Authority (CNA)(*5).

 

A los periodistas

Incluiremos la información del denunciante en el Informe de asesoramiento anterior a modo de reconocimiento. (Si el denunciante está de acuerdo)

---

(*1) Organizaciones que aceptan y publican información sobre vulnerabilidades y que emiten alertas, como JPCERT/CC, CERT/CC y CISA.
(*2)https://www.yokogawa.com/solutions/products-platforms/ 
(*3) Concepto según el cual el descubridor de nuevas vulnerabilidades las comunica primero directamente al vendedor o a las organizaciones CERT en privado, y luego hace que el vendedor prepare las contramedidas antes de la divulgación de la información sobre la vulnerabilidad. Significa que cada parte interesada coopera para que el beneficio de los usuarios del producto sea una consideración primordial.
Referencia:https://blogs.technet.microsoft.com/msrc/2010/07/22/announcing-coordinated-vulnerability-disclosure/ 
(*4) Sistema de evaluación según el cual el nivel de gravedad de las vulnerabilidades se indica en la escala de 0,0 a 10,0.
Referencia: Sistema común de puntuación de vulnerabilidadeshttps://www.first.org/cvss/ 
(*5) CVE
https://www.cve.org/About/Overview 

---

 

Contacto para consultas

Para cualquier consulta relativa a la gestión de vulnerabilidades, póngase en contacto con nosotros en la siguiente dirección.
https://contact.yokogawa.com/cs/gw?c-id=000498 

 

Historial de revisiones

20 de noviembre de 2018: Establecido
25 de octubre de 2023: Añadido "5. CVE ID"