Las organizaciones se enfrentan a un panorama de amenazas en constante evolución, esa es una de las circunstancias que hacen es imperativo que las organizaciones mantengan una política de gestión de vulnerabilidades actualizada para corregir y controlar las vulnerabilidades de seguridad que pueden conducir a una brecha en la seguridad de la información. Con esto en cuenta, una buena política de gestión de vulnerabilidades debe contener lo siguiente:
- Una visión general de lo que se pretende hacer con la política.
- El alcance de la política.
- Roles y responsabilidades en la organización.
- Remediación de vulnerabilidades / Mitigación de riesgos.
Visión general
Tomarse el tiempo para dar un breve resumen de la política, así como quién y qué implica, ayudará a desarrollar mejor la política que la organización está tratando de implementar. Describir qué tipos de dispositivos, software y redes están sujetos a escaneo de vulnerabilidades disminuirá la probabilidad de vulnerabilidades futuras y mantendrá actualizada la infraestructura de seguridad de la información de una organización.
Además de mantener actualizada la infraestructura de seguridad de la información de una organización, implementar una política sólida de gestión de vulnerabilidades es esencial para ayudar a reducir sus posibles riesgos financieros, de reputación y regulatorios que podrían afectar a una organización con una política más débil.
Alcance de la política
No existe una talla única cuando se trata de seguridad. Las diferentes áreas de la infraestructura de TI requerirán consideraciones diferentes y, por lo tanto, deben dividirse en alcances. Algunos alcances pueden considerar incluir infraestructura de red, dispositivos propiedad de la empresa, servidores, sistemas operativos, máquinas virtuales, servidores alojados en la nube, servidores de base de datos, aplicaciones y equipos de red. Un programa de gestión de vulnerabilidades claramente definido ayudará a reducir la confusión de lo que se espera y se requiere para proteger los activos dentro de la organización.
Funciones y responsabilidades
Tener roles claramente definidos para el personal bajo los cuales se promulga la política de gestión de vulnerabilidades ayuda a los empleados a comprender a quién deben acudir si un problema se encuentra dentro de la política de gestión de vulnerabilidades. Algunos roles comúnmente definidos son el director de seguridad de la información (CISO), administradores de sistemas / aplicaciones, personal de aseguramiento de la información y personal general de TI. Cada uno de estos roles representa diferentes aspectos de la responsabilidad por la seguridad de una organización.
Remediación de vulnerabilidades / Mitigación de riesgos
El dicho "La automatización es su amiga" entra en juego durante el análisis de vulnerabilidades. Como tarea automatizada, el escaneo de vulnerabilidades ayudará a identificar posibles vulnerabilidades de software mediante la prueba de software no parcheado y configuraciones inseguras. La frecuencia con la que se analizan los activos dependerá de algunos factores, es decir, los estándares de cumplimiento y los objetivos del programa de seguridad. Hay varios estándares de cumplimiento que requieren una mayor frecuencia de análisis de vulnerabilidades comparado con otros. Estos incluyen ISO (Organización Interna de Estándares), que requiere escaneos trimestrales de vulnerabilidades internas y externas; PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago), que requiere escaneo de vulnerabilidades interno y externo por parte de un ASV (Proveedor de seguridad aprobado); y NIST (Instituto Nacional de Estándares y Tecnología), que requiere análisis de vulnerabilidad trimestrales o mensuales según el marco NIST específico.
Una vez que se completa el análisis de vulnerabilidades, la siguiente prioridad debe ser categorizar las vulnerabilidades que se han descubierto según la gravedad. NIST evalúa las vulnerabilidades publicadas utilizando el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS). Según este sistema, una puntuación de 7-8.9 representa un riesgo alto, mientras que 9 o más indica un riesgo crítico.
Las vulnerabilidades que se detectan y que potencialmente podrían poner en riesgo el “big data” o sistemas de misión crítica deben priorizarse primero y recibir el plazo más corto para implementar la mitigación recomendada. La introducción de un marco de tiempo estricto para la reparación en función de la gravedad de las vulnerabilidades es un paso en la dirección correcta. Los datos de inteligencia de amenazas también se pueden aprovechar para priorizar aún más los esfuerzos de remediación en función de la probabilidad percibida de que se explote una condición determinada.
Conclusión
Es importante mantener la perspectiva de cómo se trata de un enfoque en capas. Hay muchas partes móviles en una política de gestión de vulnerabilidades, por lo que incorporar otros aspectos de seguridad mediante la expansión de la educación y la búsqueda de otras iniciativas como programas de recompensas por errores, pruebas de penetración y equipos rojos ayudará a una organización a llevar su gestión de vulnerabilidades al siguiente nivel.
Este blog se publicó originalmente en inglés aquí: https://www.tripwire.com/state-of-security/vulnerability-management/things-good-vulnerability-management-policy-should-include/
Tripwire Enterprise: Security Configuration Management (SCM) Software
Enhance your organization's cybersecurity with Tripwire Enterprise! Explore our advanced security and compliance management solution now to protect your valuable assets and data.