La OIS se encuentra discutiendo estrategias relativas a fallos de seguridad con la mirada puesta en encontrar un equilibrio entre el derecho de los usuarios a conocer “ipso facto” si el software que están utilizando presenta algún tipo de vulnerabilidad y el hecho de que hacer públicos estos agujeros de seguridad pueda animar a los hackers a aprovecharlos. Esta organización está formada, entre otras empresas, por: Bindview, Caldera, Foundstone, Internet Security Systems, Microsoft, Network Associates, Oracle, Silicon Graphics y Symantec.

Aunque actualmente el procedimiento más extendido consiste en que las compañías dedicadas a la seguridad informática, así como los investigadores de seguridad independientes que han descubierto una vulnerabilidad informan del asunto a la compañía responsable de ese software para que desarrolle un parche, lo cierto es que antes incluso de que el fallo sea analizado por el fabricante, ya es materia pública.

De ahí que los fabricantes de software se encuentren cada vez más preocupados por el tema y crean que es necesario el establecimiento de un comportamiento “profesional”.

En esta tarea , el OIS cuenta con un consejo asesor formado por directores de seguridad de redes que tratará de ayudar a esta organización a determinar las necesidades y preocupaciones de los departamentos de TI a la hora de informar acerca de vulnerabilidades. Está previsto que a comienzos de 2003 estén listos los borradores de unos potenciales estándares.

www.oisafety.org