VISS

Recientemente, Zoom liberó como código abierto a su Sistema de Puntuación de Impacto de Vulnerabilidades o VISS (Vulnerability Impact Scoring System). Éste se enfoca en la puntuación de vulnerabilidades priorizando las medidas de seguridad verdaderamente demostradas. VISS se diferencia del Sistema Común de Puntuación de Vulnerabilidades (CVSS, Common Vulnerability Scoring System) al no enfocarse en los escenarios más pesimistas e intentar medir de forma más objetiva el impacto de las vulnerabilidades desde la perspectiva de la defensa. Para esto, VISS provee una interfaz web donde se puede calcular la puntuación de una vulnerabilidad basada en varios parámetros, categorizados en plataforma, infraestructura y grupos de datos, incluyendo el impacto sobre la plataforma, el número de tenants impactados, el impacto sobre los datos y más. Aunque no tenemos mucha experiencia práctica con esta herramienta en específico, basados en la industria y en el contexto, creemos que vale la pena poner en práctica este método de evaluación adaptado a prioridades.