Machine Translated by Google

rasgo
empresarial
Función de vulnerabilidad
Gestión
Las empresas de hoy en día cuentan con soluciones para
ayudar con la detección y gestión de las vulnerabilidades de sus
sistemas de información, especialmente en lo que se refiere al
software y firmware del sistema. Estas vulnerabilidades pueden
ser cualquier cosa, desde un error en el código que permite a los
atacantes obtener acceso de raíz o incluso una falla de actualización
red (los activos de la empresa). Los activos pueden incluir
firewalls, computadoras y tabletas. La herramienta también identifica
el sistema operativo y las aplicaciones que se ejecutan en el activo.
Después de recopilar esta información, la herramienta evalúa esas
aplicaciones y dispositivos en busca de vulnerabilidades. Establece
una línea de base o un

que puede corregir una vulnerabilidad, pero causar otra vulnerabilidad.
Algunos de los desafíos que enfrentan las empresas son los virus, el
malware, el spam y los esquemas de phishing. Hay varias herramientas
disponibles que pueden ayudar a detectar vulnerabilidades en todos
los sistemas empresariales.
Cada herramienta tiene pros y contras. Con la disponibilidad de
tantas opciones, los profesionales de TI deben tener una
comprensión firme de su definición de vulnerabilidad, cómo
administrar vulnerabilidades particulares y los tipos de soluciones que
mejor se adaptarán a su empresa.
Herramientas de gestión de vulnerabilidades
Una herramienta de gestión de vulnerabilidades ayuda a descubrir
e identificar cualquier cosa que esté vinculada a la empresa.
Instantánea de dónde existen actualmente la mayor cantidad de
riesgos y vulnerabilidades para que pueda informar a los
administradores de las vulnerabilidades que deben corregirse o
parchearse para garantizar que un sistema/aplicación sea seguro de ejecutar.
Aunque todas las herramientas de gestión de vulnerabilidades
tienen diferentes funciones avanzadas, todas tienen los mismos
procesos básicos: descubrimiento, priorización y remediación/
mitigación.1, 2, 3
Discovery determina todos los activos que están conectados a
la red y si tienen alguna vulnerabilidad. El proceso de
priorización evalúa las vulnerabilidades y sus activos asociados, y
los clasifica por nivel de gravedad. Por lo general, la clasificación es
del uno al cinco, siendo cinco el más crítico. La remediación/
mitigación es el proceso que proporciona una lista de recomendaciones
para abordar las vulnerabilidades y parches de proveedores para los
activos.

Los profesionales de TI deben realizar una investigación

adecuada sobre las herramientas de gestión de vulnerabilidades
disponibles para encontrar la herramienta adecuada para su
empresa. Las funciones clave que se deben buscar en una herramienta
son el escaneo y las alertas automatizados. Aunque muchas
herramientas pueden tener estas características, es posible que
algunas no puedan realizar estos pasos automáticamente. Otra
función clave es el seguimiento de vulnerabilidades a lo largo del tiempo para la empre
Este seguimiento ayuda a garantizar que estas vulnerabilidades se
corrijan lo antes posible, ya sea por parte del proveedor o del personal
interno de TI. La capacidad de alguien con capacidades administrativas
para ejecutar un análisis en un nivel más profundo, es decir, para
obtener más información que alguien que no tiene administrador

credenciales, es otra característica importante. La facilidad de

Trevor J. Dildy, CCNA Es
miembro del equipo de tecnología del aula de la Universidad de Carolina del
Este (ECU) (Carolina del Norte, EE. UU.), responsable de investigar hardware y
software de última generación para las aulas de ECU. Anteriormente, Dildy fue
miembro del equipo de seguridad de tecnología de la información en Vidant
Health, ayudando con los requisitos de administración de acceso para el sistema de salud.
uso también es importante al considerar las herramientas. Los
profesionales de TI deben buscar una herramienta que realice las
tareas que desean sin tener que pasar muchas horas tratando de
aprender el sistema y personalizar las funciones para que sea útil para
la empresa, es decir, una herramienta que tenga una configuración
bastante sencilla y pueda comenzar a funcionar como lo mas rapido
posible.

REVISTA DE ISACA VOL

©2017 ISACA. Todos los derechos reservados. isaca.org
Machine Translated by Google
Al elegir una herramienta de gestión de vulnerabilidades, es importante
tener en cuenta la frecuencia con la que el sistema requiere
mantenimiento, incluidas actualizaciones a versiones más nuevas,
actualizaciones de funciones individuales y parches para cualquier
debilidad o laguna en la programación.
Al elegir una herramienta, es de vital importancia determinar si los
usuarios finales de los activos notarán una disminución en el
rendimiento durante las operaciones de mantenimiento. Si el
escaneo debe realizarse durante el horario comercial normal, los
usuarios finales no pueden experimentar ningún tipo de reducción
del rendimiento de los sistemas, como congelamiento, pérdida de
conectividad o fallas. Debido al mayor uso de la nube y los dispositivos
móviles, es beneficioso que la herramienta seleccionada tenga
opciones para ejecutarse en la nube o desde dispositivos móviles. Esto
es útil si un usuario de la herramienta no puede estar en su estación
de trabajo para iniciar un escaneo cuando ocurre algo o si el usuario
elige usar la herramienta mientras está en un dispositivo móvil. Aunque
las opciones móviles y en la nube son ideales, no es necesario que
tengan una herramienta de gestión de vulnerabilidades muy útil y no
deberían disuadir a las empresas de comprar la mejor herramienta
para su estructura organizativa.
Otra gestión de vulnerabilidades
Soluciones
Otras soluciones aportan ideas nuevas y útiles para la gestión
de vulnerabilidades. Las cuatro capacidades (y pasos)
esenciales de la gestión de vulnerabilidades (VM) son el descubrimiento,
el escaneo, la generación de informes y la correlación de redes, y la
priorización de activos.4 Las herramientas de VM se dividen en tres
categorías amplias: dispositivos, aplicaciones de software y servicios
en la nube.
Los dispositivos son dispositivos que pueden escanear
fácilmente entornos de oficinas centrales o grandes oficinas
regionales debido a su capacidad para escanear grandes redes
rápidamente. Este tipo de ventaja tiene un alto precio.
Las aplicaciones de software pueden ser comerciales o gratuitas, lo
que hace que sea un poco más difícil tener el sistema listo de
inmediato. Por ejemplo, el software gratuito tiene una licencia abierta,
lo que puede causar problemas debido a que el sistema no se fortalece.
Las aplicaciones de software pueden tener un costo mucho menor
que los dispositivos; sin embargo, se requieren configuraciones
adicionales para las aplicaciones de software antes de que este tipo
de herramienta pueda funcionar correctamente. Requiere personalizar
el sistema operativo (SO) y hacer
©2017 ISACA. Todos los derechos reservados. isaca.org
Asegúrese de que el sistema operativo sea seguro y no vulnerable
a ataques externos.
Los servicios en la nube son una alternativa de bajo costo
a los dispositivos y aplicaciones de software, pero los servicios
en la nube conllevan un riesgo. Para escanear direcciones IP
internas con servicios en la nube, es crucial que se implemente
un dispositivo para escanear activos en la red.
Si el dispositivo no es una opción, entonces la alternativa es
colocar enormes brechas de seguridad en el firewall. Esta
alternativa no debe usarse cuando la información confidencial
reside en la red empresarial.
Garantizar la verdadera vulnerabilidad
Gestión
Garantizar que las vulnerabilidades se aborden de manera rápida y
eficiente es crucial. Las numerosas vulnerabilidades que se descubren
todos los días pueden interferir con el proceso proactivo de mantener los
sistemas empresariales parcheados y actualizados. Las vulnerabilidades
no son los únicos problemas con la gestión de vulnerabilidades. Las
malas prácticas de gestión de cambios, los servidores maliciosos y los
límites de red borrosos también causan problemas con la práctica de
una verdadera gestión de vulnerabilidades.
Al elegir una herramienta, es de
vital importancia determinar si los
usuarios finales de los activos notarán
una disminución en el rendimiento
durante las operaciones de mantenimiento.
Gestión de la información
Una forma de garantizar que se logre una verdadera
gestión de vulnerabilidades es contar con una adecuada
gestión de la información. Por lo general, cuando llega el momento
de transmitir información a las personas durante un incidente,
corresponde al equipo de respuesta a incidentes de seguridad
informática (CSIRT) administrar la información. Debido a que el
CSIRT suele estar al tanto del estado de seguridad de la empresa,
puede funcionar como el equipo de administración de vulnerabilidades
o trabajar con él. El CSIRT puede guiar al equipo de gestión de
vulnerabilidades con la planificación de parches y otros procesos.
REVISTA DE ISACA VOL
Machine Translated by Google
Evaluaciones de riesgo
Las evaluaciones de riesgos son otra forma de ayudar a
determinar el estado de la gestión de vulnerabilidades dentro de
la empresa. Las evaluaciones de riesgo determinan la cantidad
de riesgo que los sistemas particulares representan para la red.
La gerencia ejecutiva puede usar esta información para
determinar cuál de esos activos debe parchearse primero o si
algún sistema puede absorber el riesgo asociado con ellos. Sin
embargo, es difícil dar una calificación de riesgo a una nueva
vulnerabilidad sin saber cómo este riesgo afectará los activos
conectados a la red.
Evaluación de vulnerabilidad
La verdadera gestión de vulnerabilidades requiere una
sólida evaluación de vulnerabilidades (VA). Numerosas
utilidades gratuitas están disponibles para realizar VA, como
nmap o una utilidad paga como Nessus.5, 6 Estas herramientas
ayudan al equipo de administración de vulnerabilidades a
descubrir vulnerabilidades dentro de la red. Es necesario que
los profesionales de seguridad experimentados trabajen con
utilidades gratuitas para realizar evaluaciones de vulnerabilidad
efectivas. El personal sin experiencia puede causar más daño
que bien a la red. Es necesario obtener permiso del control de
cambios para ejecutar análisis de evaluación de vulnerabilidades.
Algunas de estas herramientas pueden causar interrupciones
en la red, por lo que es crucial no ejecutar estos análisis durante
los períodos de uso intensivo de la red. Aunque las evaluaciones
de vulnerabilidad pueden llevar mucho tiempo, pueden salvar a
la empresa de una brecha importante causada por una
vulnerabilidad.
Las evaluaciones de vulnerabilidad también pueden ayudar
con la funcionalidad del sistema de detección de intrusos (IDS)
y las herramientas del sistema de prevención de intrusos (IPS).
La integración de evaluaciones de vulnerabilidad con el IDS/
IPS puede ayudar al agregar más detalles a las alertas y evitar
que ocurran alertas falsas.7 Las alertas que brindan más
detalles sobre lo que ocurre en el sistema pueden aclarar la
gravedad de las vulnerabilidades descubiertas y ayudar a la
empresa a desarrollar un mejor plan de acción.
Garantizar la asignación adecuada del nivel de amenaza
puede ayudar a gestionar las vulnerabilidades de la empresa.
La asignación del nivel de amenaza debe ser fácil de entender
para el equipo y en un formato visual y/o numérico.
©2017 ISACA. Todos los derechos reservados. isaca.org
representación del nivel de amenaza actual.8 La Figura 1
muestra cinco niveles de asignación de amenaza, de severo
¿Disfrutas
a bajo.
de este artículo?
Después de definir las asignaciones de nivel de
• Obtenga más
amenaza, se pueden desarrollar contramedidas y
información,
controles de gestión de vulnerabilidades para ayudar a
discuta y
preparar a la empresa para cada nivel de amenaza.
colabore sobre la
Cuando se han identificado las vulnerabilidades, se pueden
gobernanza de TI
implementar controles para ayudar a mitigar el riesgo que
empresarial (GEIT)
crean esas vulnerabilidades particulares.
en el Centro de
conocimientos.
www.isaca.org/
governance-of-enterprise-it
Aunque
las
evaluaciones de
vulnerabilidad pueden
llevar mucho tiempo,
pueden salvar a la
empresa de una brecha
importante causada por una vulnerabilidad.
Informes y seguimiento de remediación
Otro paso que se puede agregar a los cuatro pasos
de administración de vulnerabilidades (descubrimiento de
redes, escaneo, informes y correlación, y priorización de
activos) es el seguimiento de informes y remediación.9 Este
paso adicional garantiza que se informen todas las
vulnerabilidades y se tomen medidas de remediación. Incluso si
la remediación no es necesaria porque la empresa ha optado
por absorber el riesgo, es importante mantener la documentación
adecuada sobre la vulnerabilidad particular en caso de que se
convierta en un mayor riesgo o problema en el futuro. Las
evaluaciones de vulnerabilidad ayudan a acelerar las pruebas de
penetración para la empresa; una prueba de penetración puede
ayudar a confirmar si las vulnerabilidades son graves y detectar
la presencia de vulnerabilidades en disputa.10
REVISTA DE ISACA VOL
Machine Translated by Google

Figura 1—Asignación de nivel de amenaza

Grave/5/Rojo
Ataque en curso o inminente
Se debe activar el equipo de respuesta a incidentes

Alto/4/Naranja
Comportamientos y actividades de ataque identificados en la infraestructura de la información

Deben iniciarse planes de contramedidas de gestión de vulnerabilidades

Elevado/3/Amarillo
Evidencia de capacidades de ataque y adversarios motivados identificados
Se debe revisar la eficacia de los controles

Protegido/2/Azul
Ataque posible, pero no probable
Los monitores de la infraestructura de la información deben estar atentos a posibles ataques.

Bajo/1/Verde
No hay evidencia actual de capacidades de ataque o adversarios motivados
Los planes de gestión de vulnerabilidades deben revisarse y actualizarse

Fuente: T. Dildy. Reimpreso con permiso.

Estrategia BYOD
Producir un cuadro de mando para mapear la gestión de
vulnerabilidades con la gestión de riesgos es esencial para Al desarrollar una estrategia de gestión de vulnerabilidades, se

alinear el gobierno de TI con las metas y objetivos corporativos. La deben incluir los dispositivos que no son propiedad de la empresa

Figura 2 muestra cómo se asigna un cuadro de mando integral a un y se debe desarrollar un plan para abordarlos. Traiga su propio dispositivo

cuadro de mando de tecnología de la información. Una empresa (BYOD) es una práctica común en muchas empresas, y muchos usuarios

puede modificar el cuadro de mando para reflejar la estructura de estos dispositivos no conocen la tecnología ni son conscientes de las

organizativa de la empresa. muchas vulnerabilidades potenciales que presentan sus dispositivos.

Aunque los propietarios de dispositivos pueden ver la gestión de
vulnerabilidades de sus dispositivos como una molestia o un inconveniente,
es esencial. Si los propietarios de dispositivos desean usar sus dispositivos
Figura 2: Cuadro de mando integral asignado a
personales en el sitio y en la red empresarial, se debe realizar un escaneo
Cuadro de mando integral de TI
de su dispositivo. Si el dispositivo no tiene instaladas las últimas
Financiero Negocio actualizaciones o parches, el propietario del dispositivo debe instalarlos de
Más alto Perspectiva Inteligencia, Web y
Valor de negocio "Corporativo Colaborativo
inmediato o se le negará el acceso a la red. Esta estrategia BYOD es el
Contribución"

método principal para evitar que el dispositivo personal de alguien abra la

red a atacantes externos. Mantener la red a salvo de dispositivos que no
han sido actualizados o parcheados es la mejor manera de asegurarse de
Visión y Negocios Internos
Cliente
Estrategia Procesos
Perspectiva
"Negocio
que exista una gestión integral de vulnerabilidades.
"Operacional
“Perspectiva del usuario”
Alineación" Excelencia"

Aprendizaje y
Valor mejorado Capacitación en TI de
Crecimiento
para internos y Personal en Emergentes
"Futuro
Usuarios externos Tecnologías
Orientación"

Fuente: Kapur, R.; “Uso del cuadro de mando integral para la

gestión de riesgos de TI”, ISACA® Journal, vol 5, 2010, www.isaca.org/ Inteligencia
Journal/ archives. Reimpreso con permiso.

Un componente clave de la gestión de vulnerabilidades es la

inteligencia.11 Llevar a cabo investigaciones y

REVISTA DE ISACA VOL

©2017 ISACA. Todos los derechos reservados. isaca.org
Machine Translated by Google
La recopilación de información sobre las vulnerabilidades que
afectan a otras empresas es clave para tener un plan de gestión
de vulnerabilidades bien diseñado. Asegurarse de que se recopila
toda la información adecuada sobre las vulnerabilidades actuales
y conocidas ayuda a la empresa a prepararse para cuando ocurra
un ataque. Esta inteligencia garantiza que todos estén preparados
para el ataque y puede ayudar a reducir el impacto o ayudar a
reducir el impacto del riesgo en la empresa.
Aunque el dispositivo
los propietarios
pueden ver la
gestión de vulnerabilidades
de sus dispositivos como
una molestia o un
inconveniente, es esencial.
Numerosas herramientas están disponibles para ayudar con la
gestión de vulnerabilidades. Todas estas herramientas son útiles
a su manera y pueden brindar información importante a cualquier
empresa, pero estas herramientas por sí solas no pueden
garantizar que las empresas estén haciendo todo lo posible para
asegurarse de que sus activos conectados a la red estén a salvo
de vulnerabilidades. Si bien estas herramientas pueden ayudar a
detectar los activos que están conectados a la red y aquellos que
necesitan parches, depende del equipo de administración de
vulnerabilidades determinar cuáles de estas vulnerabilidades
necesitan parches. El CSIRT es un activo que las empresas no
pueden darse el lujo de prescindir si desean tener una gestión de
vulnerabilidades efectiva. Este equipo tiene la mejor comprensión
de la seguridad que existe actualmente dentro de la empresa, lo
cual es muy útil cuando llega el momento de realizar evaluaciones
de vulnerabilidad.
Asegurarse de recopilar la cantidad adecuada de información
sobre las amenazas actuales que afectan a otros sistemas
puede ayudar a desarrollar los planes adecuados y asegurarse
de que todos estén preparados para combatir una vulnerabilidad
si se descubre en su sistema. La mayoría de las empresas
quieren hacer todo lo posible para administrar las
vulnerabilidades a medida que ocurren, al mismo tiempo que
entienden que no todas las vulnerabilidades se pueden reparar.
©2017 ISACA. Todos los derechos reservados. isaca.org
Notas finales
1 Título, E.; “Introducción a la vulnerabilidad
Herramientas de administración”, TechTarget.com, enero
de 2016, http:// searchsecurity.techtarget. com/ feature/
Introduction-to-vulnerability management-tools 2 Tittel, E.;
“Siete criterios para comprar herramientas de gestión de
vulnerabilidades”, TechTarget.com, enero de 2016, http://
searchsecurity.techtarget.com/ feature/ Seven-criteria-for-
buying-vulnerability-management-tools 3 Tittel, E.;
“Comparación de las principales vulnerabilidades
Management Tools”, TechTarget.com, febrero de 2016,
http:// searchsecurity.techtarget.com/ feature/ Comparing-the-
top-vulnerability management-tools 4 Fortinet Inc., “Gestión
de vulnerabilidades para
la empresa distribuida”, 2010, https:// www. yumpu.com/ en/
document/ view/ 20912289/ vulnerability-management-for-
the-distributed enterprise-fortinet 5 Lyon, GF; Escaneo de
red Nmap: Guía oficial del proyecto Nmap para detección
de redes y escaneo de seguridad, Insecure.Com LLC, EE. UU.,
2008
6 Escáner de vulnerabilidades Nessus, https:// www.
tenable.com/ products/ nessus-vulnerability
escáner
7 Hammons, K.; “La gestión de vulnerabilidades no es simple”,
AISS, 2014, https:// c.ymcdn.com/ sites/ www.issa.org/
resource/ resmgr/ journalpdfs/ feature0214.pdf 8 Pironti, JP;
“Elementos clave de una amenaza y
Programa de Gestión de Vulnerabilidades”, ISACA®
Revista, volumen 3, 2006, www.iparchitects. com/ wp-
content/ uploads/ Key-Elements-of-a Threat-and-
Vulnerability-Management-Program ISACA-Member-Journal-
May-2006.pdf 9 Brackin, C.; Gestión de vulnerabilidades:
herramientas, desafíos y mejores prácticas, SANS Institute, 15
de octubre de 2003, https:// www.sans.org/ reading-room/
whitepapers/ threats/ vulnerability management-tools-
challenges-practices-1267 10 Op cit, Hammons 11 Op cit,
Pironti
REVISTA DE ISACA VOL