Empresas de tecnologia formalizam organização para reforçar segurança na Internet

27 set 2002 15:40

Este artigo tem mais de 21 anos

Foi ontem oficialmente criada a OIS, uma organização constituída por 11 empresas da área do software e da segurança que visa a proposta e institucionalização de melhores práticas no tratamento das vulnerabilidades informáticas.

Um conjunto de 11 empresas da área do software e da segurança anunciou ontem a formação oficial da Organization for Internet Safety (OIS), um grupo que pretende definir e institucionalizar regras para um melhor tratamento da informação sobre vulnerabilidades em aplicações informáticas.

Com os novos princípios de actuação, os membros do grupo, que se têm vindo a reunir desde há um ano para cá, esperam assegurar uma protecção mais efectiva dos utilizadores da Internet. "Actualmente não existe acordo acerca dos processos para lidar com os buracos de segurança", afirma o OIS numa declaração disponível a partir do seu site.

"A falta de procedimentos consensuais complica o processo para a resolução das vulnerabilidades, e consequentemente aumenta o risco enfrentado pelos utilizadores de computador", acrescenta o comunicado. A organização indica ainda que deverá apresentar algumas propostas no início de 2003.

No início do ano, os membros do recente grupo apoiaram um conjunto de princípios orientadores provisórios, remetidos à Internet Engineering Task Force (ver Notícias Relacionadas), mas recusados pelo corpo técnico por estarem fora do seu âmbito, segundo o noticiado pela News.com.

Estes princípios provisórios pretendiam acalmar os ânimos entre as duas partes envolvidas no debate da segurança, uma vez que as empresas de software querem resolver as vulnerabilidades dos seus produtos sem estarem sujeitas ao embaraço, por um lado, e os investigadores da área da segurança preferem divulgar as conclusões para seu próprio enaltecimento, por outro.

As regras propostas sugeriam que as empresas respondessem aos investigadores de segurança no prazo de alguns dias depois de terem sido notificadas sobre uma potencial falha e que esses mesmos investigadores dessem às fabricantes 30 dias para resolver a vulnerabilidade antes de tornar pública a informação sobre a mesma.

Além da ISS, entre os membros da recém-constituida OIS estão igualmente as empresas @Stake, BindView, Foundstone, Guardent, NAI e Symantec assim como as fabricantes de software Caldera, Microsoft, Oracle e SGI.