Para gestionar eficazmente los puntos débiles de su empresa, vale la pena seguir varios pasos preparatorios. En primer lugar, es necesario evaluar la infraestructura de TI y los procesos actuales de seguridad de la información, identificar los tipos de vulnerabilidades más peligrosos, determinar las áreas de responsabilidad del personal, etc. Averigüemos qué preguntas debe responder antes de iniciar una gestión de vulnerabilidades programa en una organización de implementación.

Las vulnerabilidades de software, los errores de configuración y los recursos de TI no registrados existen en todas las empresas. Algunos de estos problemas son más peligrosos desde la perspectiva de la seguridad de la información, otros menos. Pero en cualquier caso, abren el camino a los atacantes hacia la infraestructura interna de la empresa. Puede reducir la cantidad de amenazas de seguridad cibernética existentes y potenciales mediante la creación de un programa de administración de vulnerabilidades. Este es un proceso que consta de varios pasos importantes:

  • Inventario regular de infraestructura
  • Escaneo de vulnerabilidades
  • Procesamiento de resultados de escaneo
  • Eliminación de vulnerabilidades
  • Control de la ejecución de las tareas anteriores

Como se mencionó anteriormente, no puede iniciar un programa de gestión de vulnerabilidades «sobre la marcha». Primero, debe hacer la «tarea»: ​​evaluar la infraestructura y los procesos de seguridad de la información existentes, comprender qué tan bien capacitado está el personal y elegir una herramienta y un método de escaneo. De lo contrario, la gestión de vulnerabilidades y las vulnerabilidades existen por separado.

Evaluación de los procesos de seguridad de la información en la empresa

El primer paso para una gestión eficaz de vulnerabilidades es una evaluación de los procesos de seguridad de la información y del negocio. La organización puede hacer esto por sí misma o contratar a un auditor externo.

Al evaluar los procesos de seguridad de la información, vale la pena responder las siguientes preguntas:

  • ¿Existe un proceso para el control centralizado de todos los activos de TI de la empresa y qué tan efectivo es?
  • ¿Existe actualmente un procedimiento establecido para encontrar y corregir vulnerabilidades de software? ¿Qué tan regular y efectivo es?
  • ¿Se describe el proceso de control de vulnerabilidades en la documentación interna de seguridad de la información y todos están familiarizados con estos documentos?

Supongamos que las respuestas a estas preguntas no se corresponden con la situación real de la empresa. En este caso, la evaluación resultará incorrecta y aparecerán muchos errores en la implementación o el perfeccionamiento del programa de gestión de vulnerabilidades.

Por ejemplo, es común que una organización tenga una solución de administración de vulnerabilidades, pero no está configurada correctamente o no hay un especialista que la administre de manera efectiva.

Formalmente, existe la gestión de vulnerabilidades, pero en realidad parte de la infraestructura de TI es invisible para la herramienta y no se escanea, o los resultados del escaneo se malinterpretan. Estos resultados de interpretación mal entendidos deben ser abordados en las empresas.

Con base en los resultados de la auditoría, se debe crear un informe que muestre claramente cómo están diseñados los procesos en la empresa y qué deficiencias tienen actualmente.

Elegir una herramienta de escaneo

Hoy en día existen varias formas de implementar la gestión de vulnerabilidades. Algunos proveedores ofrecen autoservicio y simplemente venden el escáner. Otros ofrecen servicios de expertos. Puede alojar escáneres en la nube o en perímetros corporativos. Pueden monitorear hosts con o sin agentes y usar diferentes fuentes de datos para llenar sus bases de datos de vulnerabilidad.

En esta fase se deben responder las siguientes preguntas:

  • ¿Cómo está estructurada la infraestructura de TI de la organización y qué tan específica es?
  • ¿Existen peculiaridades regionales en el trabajo de la empresa?
  • ¿Hay muchos hosts remotos?
  • ¿La empresa cuenta con especialistas calificados para mantener el escáner?
  • ¿Su presupuesto le permite comprar software adicional?

Establecer interacción entre la seguridad de la información y los equipos de TI

Esta es quizás la etapa más difícil, ya que aquí es necesario construir adecuadamente la interacción de las personas. Por lo general, los especialistas en seguridad de una organización son responsables de la seguridad de la información y el equipo de TI es responsable de eliminar las vulnerabilidades. También sucede que los problemas de seguridad informática y de la información son responsabilidad de un equipo o incluso de un empleado.

Sin embargo, esto no cambia el enfoque de la distribución de tareas y responsabilidades y, a veces, en este punto, resulta que la cantidad actual de tareas supera el poder de una persona.

Como resultado, se debe establecer un proceso de remediación de vulnerabilidad consistente y sincrónico. Para ello, se deben definir los criterios para transferir la información sobre las vulnerabilidades descubiertas desde el equipo de seguridad de la información a TI (es decir, un método de transferencia de datos que sea conveniente para todos).

De hecho, el mayor problema es la falta de un buen analista que pueda revisar de manera competente las fuentes de noticias y priorizar las vulnerabilidades. Las noticias, los boletines de seguridad y los informes de proveedores a menudo indican qué vulnerabilidades deben corregirse primero. Según mi experiencia, los analistas deberían centrarse en las vulnerabilidades más peligrosas. El resto del trabajo debe realizarse automáticamente procesando los parches que recibió de los proveedores de software.

Algunos tipos de vulnerabilidades (Malwarefox dotcom; ataque de día cero) y ataques son difíciles de detectar. Para controlar de manera efectiva todos los procesos, en esta etapa de creación de un programa de gestión de vulnerabilidades, debe analizar y acordar los KPI y SLA para los equipos de TI y seguridad.

Por ejemplo, es importante para la seguridad de la información establecer requisitos para la velocidad de detección de vulnerabilidades y la precisión para determinar su importancia, y para TI para la velocidad de remediación de vulnerabilidades de cierta gravedad.

Implementación de un programa de gestión de vulnerabilidades

Después de evaluar la efectividad y disponibilidad de los procesos, decidir sobre una herramienta de escaneo y administrar cómo interactúan los equipos, puede comenzar a implementar un programa de administración de vulnerabilidades.

En la etapa inicial, no se recomienda utilizar todos los módulos funcionales disponibles en la herramienta de escaneo. Anteriormente, si no se realizaba un monitoreo constante de vulnerabilidades en la organización, lo más probable era que los equipos de seguridad de la información y de TI encontraran dificultades. Esto puede generar conflictos e incumplimiento de los KPI y los SLA.

Es mejor introducir la gestión de vulnerabilidades paso a paso. Puede pasar por un ciclo completo de administración de vulnerabilidades (inventario, escaneo, análisis, remediación) a un ritmo más lento. Por ejemplo, escanee toda la infraestructura una vez al trimestre y los segmentos críticos para el negocio una vez al mes.

En aproximadamente medio año, sus equipos podrán «trabajar juntos», encontrar y corregir las vulnerabilidades más críticas, comprender las fallas obvias en los procesos y proporcionar un plan para eliminar esas fallas.

Además, puede traer expertos externos que ayudarán a reducir significativamente el trabajo rutinario de los empleados de tiempo completo de la empresa. Por ejemplo, un proveedor de servicios puede estar involucrado en el inventario y escaneo, y en el procesamiento de los resultados. El enfoque de servicio también ayuda a los gerentes a planificar el trabajo y monitorear el progreso.

Entonces, por ejemplo, si el informe del proveedor muestra que las vulnerabilidades encontradas durante el escaneo anterior no fueron reparadas, el gerente, luego de mirar el SLA de sus empleados, comprenderá que el departamento de seguridad de la información no tiene tiempo para transferir el escaneo datos o TI: el equipo no tiene tiempo para solucionar los problemas identificados.

Conclusión

Al crear un programa de gestión de vulnerabilidades, una organización puede encontrar los siguientes errores:

  • Sobreestimación de los procesos actuales y su eficacia dentro de la organización.
  • Juicio erróneo al elegir un método y una herramienta de escaneo. Esto sucede porque algunos especialistas eligen un escáner basándose en una evaluación subjetiva o «según las indicaciones» sin una evaluación adecuada de los procesos y el análisis. Si los empleados de tiempo completo no tienen suficiente experiencia y habilidades, es mejor elegir un proveedor de servicios para escanear, analizar resultados y corregir vulnerabilidades.
  • Falta de delimitación de responsabilidades entre los equipos de seguridad de la información y TI.
  • Implementación de todo a la vez. “Supervisaremos regularmente todos los servidores, estaciones de trabajo y nubes. También nos centraremos en ISO 12100 y PCI DSS. Instalaremos una solución de administración de parches y John controlará todo”. Este enfoque es peligroso. En un mes, John estará discutiendo con TI y en tres meses renunciará. El proceso es reconocido como ineficiente y olvidado hasta el primer incidente de ciberseguridad.

Por lo tanto, es mejor primero «poner los cimientos» y solo después comenzar a construir el programa de gestión de vulnerabilidades.

Crédito de las imágenes seleccionadas: Christina Morillo; píxel; ¡Muchas gracias!

alex wakulov

alex wakulov

Alex Vakulov es un investigador de ciberseguridad con más de 20 años de experiencia en análisis de malware. Alex tiene fuertes habilidades para eliminar malware. Escribe para numerosas publicaciones relacionadas con la tecnología y comparte sus experiencias de seguridad.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí