Las organizaciones se enfrentan a un panorama de amenazas en constante evolución, esa es una de las circunstancias que hacen es imperativo que las organizaciones mantengan una política de gestión de vulnerabilidades actualizada para corregir y controlar las vulnerabilidades de seguridad que pueden conducir a una brecha en la seguridad de la información. Con esto en cuenta, una buena política de gestión de vulnerabilidades debe contener lo siguiente:

Una visión normal de lo que se pretende hacer con la política.El alcance de la política.Roles y responsabilidades en la organización.Remediación de vulnerabilidades / Mitigación de riesgos.

Visión normal

Tomarse el tiempo para dar un breve resumen de la política, así como quién y qué implica, ayudará a desarrollar mejor la política que la organización está tratando de implementar. Describir qué tipos de dispositivos, software program y redes están sujetos a escaneo de vulnerabilidades disminuirá la probabilidad de vulnerabilidades futuras y mantendrá actualizada la infraestructura de seguridad de la información de una organización.

Además de mantener actualizada la infraestructura de seguridad de la información de una organización, implementar una política sólida de gestión de vulnerabilidades es esencial para ayudar a reducir sus posibles riesgos financieros, de reputación y regulatorios que podrían afectar a una organización con una política más débil.

Alcance de la política

No existe una talla única cuando se trata de seguridad. Las diferentes áreas de la infraestructura de TI requerirán consideraciones diferentes y, por lo tanto, deben dividirse en alcances. Algunos alcances pueden considerar incluir infraestructura de pink, dispositivos propiedad de la empresa, servidores, sistemas operativos, máquinas virtuales, servidores alojados en la nube, servidores de base de datos, aplicaciones y equipos de pink. Un programa de gestión de vulnerabilidades claramente definido ayudará a reducir la confusión de lo que se espera y se requiere para proteger los activos dentro de la organización.

Funciones y responsabilidades

Tener roles claramente definidos para el private bajo los cuales se promulga la política de gestión de vulnerabilidades ayuda a los empleados a comprender a quién deben acudir si un problema se encuentra dentro de la política de gestión de vulnerabilidades. Algunos roles comúnmente definidos son el director de seguridad de la información (CISO), administradores de sistemas / aplicaciones, private de aseguramiento de la información y private normal de TI. Cada uno de estos roles representa diferentes aspectos de la responsabilidad por la seguridad de una organización.

El dicho “La automatización es su amiga” entra en juego durante el análisis de vulnerabilidades. Como tarea automatizada, el escaneo de vulnerabilidades ayudará a identificar posibles vulnerabilidades de software program mediante la prueba de software program no parcheado y configuraciones inseguras. La frecuencia con la que se analizan los activos dependerá de algunos factores, es decir, los estándares de cumplimiento y los objetivos del programa de seguridad. Hay varios estándares de cumplimiento que requieren una mayor frecuencia de análisis de vulnerabilidades comparado con otros. Estos incluyen ISO (Organización Interna de Estándares), que requiere escaneos trimestrales de vulnerabilidades internas y externas; PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago), que requiere escaneo de vulnerabilidades interno y externo por parte de un ASV (Proveedor de seguridad aprobado); y NIST (Instituto Nacional de Estándares y Tecnología), que requiere análisis de vulnerabilidad trimestrales o mensuales según el marco NIST específico.

Una vez que se completa el análisis de vulnerabilidades, la siguiente prioridad debe ser categorizar las vulnerabilidades que se han descubierto según la gravedad. NIST evalúa las vulnerabilidades publicadas utilizando el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS). Según este sistema, una puntuación de 7-8.9 representa un riesgo alto, mientras que 9 o más indica un riesgo crítico.

Las vulnerabilidades que se detectan y que potencialmente podrían poner en riesgo el “huge information” o sistemas de misión crítica deben priorizarse primero y recibir el plazo más corto para implementar la mitigación recomendada. La introducción de un marco de tiempo estricto para la reparación en función de la gravedad de las vulnerabilidades es un paso en la dirección correcta. Los datos de inteligencia de amenazas también se pueden aprovechar para priorizar aún más los esfuerzos de remediación en función de la probabilidad percibida de que se explote una condición determinada.

Conclusión

Es importante mantener la perspectiva de cómo se trata de un enfoque en capas. Hay muchas partes móviles en una política de gestión de vulnerabilidades, por lo que incorporar otros aspectos de seguridad mediante la expansión de la educación y la búsqueda de otras iniciativas como programas de recompensas por errores, pruebas de penetración y equipos rojos ayudará a una organización a llevar su gestión de vulnerabilidades al siguiente nivel.

Este weblog se publicó originalmente en inglés aquí: https://www.tripwire.com/state-of-security/vulnerability-management/things-good-vulnerability-management-policy-should-include/