En este post vamos a revisar lo que es el ciclo de gestión de vulnerabilidades el cual se debe ejecutar de forma periódica para tener una gestión adecuada de las vulnerabilidades.
Empecemos por definir que es una vulnerabilidad:
Vulnerabilidad: Debilidad en el software o en el hardware que le permite a un atacante comprometer la confidencialidad, integridad o disponibilidad del dispositivo que contiene o procesa la información.
Las vulnerabilidades pueden estar presentes en sistemas operativos, bases de datos, aplicaciones, servicios, dispositivos entre otros.
La gestión de vulnerabilidades es un proceso continuo que incluye:
- Identificar: Identificación de activos a los cuales se les va a realizar las pruebas y priorizarlos de acuerdo a su criticidad dentro del negocio.
- Planear: Definir que clase de pruebas se van a ejecutar, si se van a usar con credenciales administrativas, desde donde se van a llevar a cabo, que clase de software se va a utilizar, que métricas se van a llevar.
- Ejecutar: Llevar a cabo el análisis de vulnerabilidades de acuerdo con los datos de las dos fases anteriores.
- Priorizar: Analizar los resultados de la fase anterior, priorizar el cierre de vulnerabilidades de acuerdo con los activos más críticos de la organización y escribir el plan de remediación.
- Remediar: Ejecución del plan de remediación.
- Medir: Comparar los resultados con los obtenidos de ejercicios anteriores o con las mejores prácticas del mercado.
Estas son recomendaciones para llevar una gestión de vulnerabilidades adecuada para la mayoría de las organizaciones:
- Diseñe un plan de gestión de vulnerabilidades.
- Establezca responsables y tiempos de atención.
- Defina tipos de pruebas, escenarios, métricas.
- Ejecute un análisis de vulnerabilidades por mes.
- Incluya todos los equipos conectados a la organización.
- Para mejores resultados, emplee credenciales administrativas.
- Contrate el servicio o use software y personal especializado.
- Lleve métricas de seguimiento vulnerabilidades.
No hay comentarios:
Publicar un comentario