En este post veremos los pasos sugeridos que debes llevar a cabo para la ejecución de un plan de gestión de vulnerabilidades en la organización.
Empecemos por la siguiente definición: La gestión de vulnerabilidades es un proceso cíclico que busca debilidades en el software o en el hardware. Estas vulnerabilidades pueden llegar a comprometer la seguridad de la información.
- Identificar: Aquí definimos el alcance del plan, los equipos que vamos a evaluar, recuerda que actualmente todo dispositivo conectado a la red es un posible riesgo de seguridad por lo que se deben evaluar todos los equipos conectados a la red.
- Evaluar: Para la gestión de vulnerabilidades se deben evaluar los equipos con credenciales administrativas, estos te permite ver el total de las vulnerabilidades a las cuales están expuestos tus equipos.
- Analizar: No todas las vulnerabilidades críticas son "críticas", aquí debes evaluar y priorizar que es lo que debes atender primero, es decir, debes desarrollar un plan de remediación donde priorices el cierre de vulnerabilidades en los activos más críticos.
- Remediar: Desarrolla el plan de remediación diseñado en el paso anterior, recuerda que para algunos equipos críticos debes llevar un plan de control de cambios donde esté incluido un rollback en caso de que no funcione la remediación.
- Medir: indicadores como, tiempo de detección, tiempo de remediación o ventana de exposición, te pueden ayudar a ver el mejoramiento del plan de gestión de vulnerabilidades. Compara vulnerabilidades nuevas, persistentes y mitigadas en cada ciclo para ver la evolución de la mitigación de las vulnerabilidades.
Adicionalmente, ten en cuenta estos tips cuando desarrolles tu plan:
- Incluye los equipos de red, estos también tienen vulnerabilidades.
- Incluye los equipos de VoIP, nada más crítico que se intercepte una llamada.
- Periódicamente significa periódicamente, te recomiendo realizar una evaluación por lo menos una vez al mes.
- Utiliza software de pago, el desarrollo de software para detección de vulnerabilidades va más rápido que en el software libre.
- Si no tienes el software o el personal adecuado, contrata el servicio he inclúyelo dentro del plan.
Estos son los cinco pasos básicos que debe contemplar un plan de gestión de vulnerabilidades, puedes adicionar los que consideres pertinentes de acuerdo a las necesidades de tu organización.