Traducido del inglés al español - www.onlinedoctranslator.
com
feFa cada unotttuturmimiVulnerabilidad
Gestión
Las empresas de hoy en día cuentan con soluciones para ayudar
con la detección y gestión de las vulnerabilidades de sus sistemas
de información, especialmente en lo que se refiere al software y
firmware del sistema. Estas vulnerabilidades pueden ser cualquier
cosa, desde un error en el código que permite a los atacantes
obtener acceso de raíz o incluso una falla de actualización que
puede corregir una vulnerabilidad, pero causar otra
vulnerabilidad. Algunos de los desafíos que enfrentan las
empresas son los virus, el malware, el spam y los esquemas de
phishing. Hay varias herramientas disponibles que pueden ayudar
a detectar vulnerabilidades en todos los sistemas empresariales.
Cada herramienta tiene pros y contras. Con la disponibilidad de
tantas opciones, los profesionales de TI deben tener una
comprensión firme de su definición de vulnerabilidad, cómo
administrar vulnerabilidades particulares y los tipos de soluciones
que mejor se adaptarán a su empresa.
Herramientas de gestión de vulnerabilidades
Una herramienta de gestión de vulnerabilidades ayuda a descubrir
e identificar cualquier cosa que esté vinculada a la empresa.
Trevor J. Dildy,CCNA
Es miembro del equipo de tecnología de aulas de la Universidad de Carolina del Este (ECU)
(Carolina del Norte, EE. UU.), que es responsable de investigar hardware y software de
última generación para las aulas de ECU. Anteriormente, Dildy fue miembro del equipo de
seguridad de tecnología de la información en Vidant Health, ayudando con los requisitos
de administración de acceso para el sistema de salud.
©2017 ISACA. Todos los derechos reservados.isaca.org
empresarial
red (los activos de la empresa). Los activos pueden incluir firewalls,
computadoras y tabletas. La herramienta también identifica el
sistema operativo y las aplicaciones que se ejecutan en el activo.
Después de recopilar esta información, la herramienta evalúa esas
aplicaciones y dispositivos en busca de vulnerabilidades. Establece
una línea de base o una instantánea de dónde existen actualmente
la mayor parte del riesgo y las vulnerabilidades para que pueda
informar a los administradores de las vulnerabilidades que se
deben reparar o parchear para garantizar que un sistema/
aplicación sea seguro para ejecutarse. Aunque todas las
herramientas de administración de vulnerabilidades tienen
diferentes características avanzadas, todas tienen los mismos
procesos básicos: descubrimiento, priorización y remediación/
mitigación.1, 2, 3
Discovery determina todos los activos que están
conectados a la red y si tienen alguna vulnerabilidad. El
proceso de priorización evalúa las vulnerabilidades y sus
activos asociados, y los clasifica por nivel de gravedad.
Por lo general, la clasificación es del uno al cinco, siendo
cinco el más crítico. La remediación/mitigación es el
proceso que proporciona una lista de recomendaciones
para abordar las vulnerabilidades y parches de
proveedores para los activos.
Los profesionales de TI deben realizar una
investigación adecuada sobre las herramientas de
gestión de vulnerabilidades disponibles para
encontrar la herramienta adecuada para su
empresa. Las funciones clave que se deben buscar
en una herramienta son el escaneo y las alertas
automatizados. Aunque muchas herramientas
pueden tener estas características, es posible que
algunas no puedan realizar estos pasos
automáticamente. Otra función clave es el
seguimiento de vulnerabilidades a lo largo del
tiempo para la empresa. Este seguimiento ayuda a
garantizar que estas vulnerabilidades se corrijan lo
antes posible, ya sea por parte del proveedor o del
personal interno de TI. La posibilidad de que
alguien con capacidades administrativas ejecute un
análisis a un nivel más profundo, es decir, para
obtener más información que alguien que no
tenga credenciales de administrador, es otra
característica importante. La facilidad de uso
también es importante al considerar las
herramientas.
REVISTA ISACAVOL 2 1
Al elegir una herramienta de gestión de vulnerabilidades, es
importante tener en cuenta la frecuencia con la que el sistema
requiere mantenimiento, incluidas actualizaciones a versiones más
nuevas, actualizaciones de funciones individuales y parches para
cualquier debilidad o laguna en la programación. Al elegir una
herramienta, es de vital importancia determinar si los usuarios
finales de los activos notarán una disminución en el rendimiento
durante las operaciones de mantenimiento. Si el escaneo debe
realizarse durante el horario comercial normal, los usuarios finales
no pueden experimentar ningún tipo de reducción del rendimiento
de los sistemas, como congelamiento, pérdida de conectividad o
fallas. Debido al mayor uso de la nube y los dispositivos móviles, es
beneficioso que la herramienta seleccionada tenga opciones para
ejecutarse en la nube o desde dispositivos móviles. Esto es útil si un
usuario de la herramienta no puede estar en su estación de trabajo
para iniciar un escaneo cuando ocurre algo o si el usuario elige usar
la herramienta mientras está en un dispositivo móvil. Aunque las
opciones móviles y en la nube son ideales, no es necesario que
tengan una herramienta de gestión de vulnerabilidades muy útil y
no deberían disuadir a las empresas de comprar la mejor
herramienta para su estructura organizativa.
Otras soluciones de gestión de
vulnerabilidades
Otras soluciones aportan ideas nuevas y útiles para la gestión de
vulnerabilidades. Las cuatro capacidades (y pasos) esenciales de la
gestión de vulnerabilidades (VM) son el descubrimiento, el
escaneo, la generación de informes y la correlación de redes, y la
priorización de activos.4Las herramientas de VM se dividen en tres
categorías amplias: dispositivos, aplicaciones de software y
servicios en la nube.
Los dispositivos son dispositivos que pueden escanear fácilmente
entornos de oficinas centrales o grandes oficinas regionales debido
a su capacidad para escanear grandes redes rápidamente. Este tipo
de ventaja tiene un alto precio.
Las aplicaciones de software pueden ser comerciales o
gratuitas, lo que hace que sea un poco más difícil tener el
sistema listo de inmediato. Por ejemplo, el software gratuito
tiene una licencia abierta, lo que puede causar problemas
debido a que el sistema no se fortalece.
Las aplicaciones de software pueden tener un costo mucho menor
que los dispositivos; sin embargo, se requieren configuraciones
adicionales para las aplicaciones de software antes de que este
tipo de herramienta pueda funcionar correctamente. Requiere
personalizar el sistema operativo (SO) y hacer
©2017 ISACA. Todos los derechos reservados.isaca.org
Asegúrese de que el sistema operativo sea seguro y no vulnerable
a ataques externos.
Los servicios en la nube son una alternativa de bajo costo a los
dispositivos y aplicaciones de software, pero los servicios en la
nube conllevan un riesgo. Para escanear direcciones IP internas
con servicios en la nube, es crucial que se implemente un
dispositivo para escanear activos en la red. Si el dispositivo no es
una opción, entonces la alternativa es colocar enormes brechas
de seguridad en el firewall. Esta alternativa no debe usarse
cuando la información confidencial reside en la red empresarial.
Garantizar una verdadera gestión de
vulnerabilidades
Garantizar que las vulnerabilidades se aborden de manera rápida y
eficiente es crucial. Las numerosas vulnerabilidades que se
descubren todos los días pueden interferir con el proceso proactivo
de mantener los sistemas empresariales parcheados y actualizados.
Las vulnerabilidades no son los únicos problemas con la gestión de
vulnerabilidades. Las malas prácticas de gestión de cambios, los
servidores maliciosos y los límites de red borrosos también causan
problemas con la práctica de una verdadera gestión de
vulnerabilidades.
Al elegir una herramienta, es de vital
importancia determinar si los usuarios
finales de los activos notarán una
disminución en el rendimiento durante las
operaciones de mantenimiento.
Gestión de la información
Una forma de garantizar que se logre una verdadera gestión de
vulnerabilidades es contar con una adecuada gestión de la
información. Por lo general, cuando llega el momento de transmitir
información a las personas durante un incidente, corresponde al
equipo de respuesta a incidentes de seguridad informática (CSIRT)
administrar la información. Debido a que el CSIRT suele estar al
tanto del estado de seguridad de la empresa, puede funcionar
como el equipo de administración de vulnerabilidades o trabajar
con él. El CSIRT puede guiar al equipo de gestión de
vulnerabilidades con la planificación de parches y otros procesos.
REVISTA ISACAVOL 2 2
Evaluaciones de riesgo Representación del nivel de amenaza actual.8Figura 1
muestra cinco niveles de asignación de amenazas, de grave a
Disfrutando
Las evaluaciones de riesgos son otra forma de ayudar a bajo.
determinar el estado de la gestión de vulnerabilidades dentro
¿Este artículo?
de la empresa. Las evaluaciones de riesgo determinan la Después de definir las asignaciones de nivel de amenaza, se
cantidad de riesgo que los sistemas particulares representan
• Aprende más
pueden desarrollar contramedidas y controles de gestión de
para la red. La gerencia ejecutiva puede usar esta información
sobre, discutir
vulnerabilidades para ayudar a preparar a la empresa para
para determinar cuál de esos activos debe parchearse primero
y colaborar
cada nivel de amenaza. Cuando se han identificado las
sobre la gobernanza de
o si algún sistema puede absorber el riesgo asociado con ellos. vulnerabilidades, se pueden implementar controles para
Sin embargo, es difícil dar una calificación de riesgo a una
TI empresarial (GEIT)
ayudar a mitigar el riesgo que crean esas vulnerabilidades
nueva vulnerabilidad sin saber cómo este riesgo afectará los
en el conocimiento
particulares.
activos conectados a la red.
Centro.
www.isaca.org/
Evaluación de vulnerabilidad gobierno-de-
empresa-es
La verdadera gestión de vulnerabilidades requiere una sólida A pesar de
evaluación de vulnerabilidades (VA). Numerosas utilidades de
software gratuito están disponibles para realizar VA, como nmap o
vulnerabilidad
una utilidad paga como Nessus.5, 6Estas herramientas ayudan al las evaluaciones pueden
equipo de administración de vulnerabilidades a descubrir
vulnerabilidades dentro de la red. Es necesario que los llevar mucho tiempo,
profesionales de seguridad experimentados trabajen con utilidades
pueden salvar a la
gratuitas para realizar evaluaciones de vulnerabilidad efectivas. El
personal sin experiencia puede causar más daño que bien a la red. empresa de un
Es necesario obtener permiso del control de cambios para ejecutar
incumplimiento importante causado
análisis de evaluación de vulnerabilidades. Algunas de estas
herramientas pueden causar interrupciones en la red, por lo que es por una vulnerabilidad.
crucial no ejecutar estos análisis durante los períodos de uso
intensivo de la red. Aunque las evaluaciones de vulnerabilidad
pueden llevar mucho tiempo, pueden salvar a la empresa de una
brecha importante causada por una vulnerabilidad.
Informes y seguimiento de remediación

Otro paso que se puede agregar a los cuatro pasos de

Las evaluaciones de vulnerabilidad también pueden ayudar con
la funcionalidad del sistema de detección de intrusos (IDS) y las
herramientas del sistema de prevención de intrusos (IPS). La
integración de evaluaciones de vulnerabilidad con IDS/IPS
puede ayudar al agregar más detalles a las alertas y evitar que
ocurran alertas falsas.7Las alertas que brindan más detalles
sobre lo que ocurre en el sistema pueden aclarar la gravedad
de las vulnerabilidades descubiertas y ayudar a la empresa a
desarrollar un mejor plan de acción.
Garantizar la asignación adecuada del nivel de amenaza puede
ayudar a gestionar las vulnerabilidades de la empresa. La
asignación del nivel de amenaza debe ser fácil de entender para
el equipo y en un formato visual y/o numérico.
administración de vulnerabilidades (descubrimiento de redes,
escaneo, informes y correlación, y priorización de activos) es
el seguimiento de informes y remediación.9
Este paso adicional garantiza que se notifiquen todas las
vulnerabilidades y que se tomen medidas de reparación.
Incluso si la remediación no es necesaria porque la empresa ha
optado por absorber el riesgo, es importante mantener la
documentación adecuada sobre la vulnerabilidad particular en
caso de que se convierta en un mayor riesgo o problema en el
futuro. Las evaluaciones de vulnerabilidad ayudan a acelerar
las pruebas de penetración para la empresa; una prueba de
penetración puede ayudar a confirmar si las vulnerabilidades
son graves y detectar la presencia de vulnerabilidades en
disputa.10

REVISTA ISACAVOL 2 3
©2017 ISACA. Todos los derechos reservados.isaca.org
 Figura 1—Asignación de nivel de amenaza
Grave/5/Rojo
Ataque en curso o inminente Se debe
activar el equipo de respuesta a incidentes

Alto/4/Naranja
Comportamientos y actividades de ataque identificados en la infraestructura de la
información Se deben iniciar planes de contramedidas de gestión de vulnerabilidades

Elevado/3/Amarillo
Evidencia de capacidades de ataque y adversarios motivados identificados
Se debe revisar la eficacia de los controles

Protegido/2/Azul
Ataque posible, pero no probable
Los monitores de la infraestructura de la información deben estar atentos a posibles ataques.

Bajo/1/Verde
No hay evidencia actual de capacidades de ataque o adversarios motivados.
Los planes de gestión de vulnerabilidades deben revisarse y actualizarse.

Fuente: T. Dildy. Reimpreso con permiso.

Estrategia BYOD
Producir un cuadro de mando para mapear la gestión de
vulnerabilidades con la gestión de riesgos es esencial para Al desarrollar una estrategia de gestión de vulnerabilidades, se
alinear el gobierno de TI con las metas y objetivos deben incluir los dispositivos que no son propiedad de la
corporativos.Figura 2muestra cómo un cuadro de mando empresa y se debe desarrollar un plan para abordarlos. Traiga
integral se asigna a un cuadro de mando de tecnología de la su propio dispositivo (BYOD) es una práctica común en muchas
información. Una empresa puede modificar el cuadro de empresas, y muchos usuarios de estos dispositivos no conocen
mando para reflejar la empresa la tecnología ni son conscientes de las muchas vulnerabilidades
estructura organizativa. potenciales que presentan sus dispositivos. Aunque los
propietarios de dispositivos pueden ver la gestión de
vulnerabilidades de sus dispositivos como una molestia o un
Figura 2: Cuadro de mando integral asignado a
inconveniente, es esencial. Si los propietarios de dispositivos
Cuadro de mando integral de TI
desean usar sus dispositivos personales en el sitio y en la red
Financiero Negocio
empresarial, se debe realizar un escaneo de su dispositivo. Si el
Más alto Perspectiva Inteligencia, Web
Valor de negocio "Corporativo y colaborativo dispositivo no tiene instaladas las últimas actualizaciones o
Contribución"
parches, el propietario del dispositivo debe instalarlos de
inmediato o se le negará el acceso a la red. Esta estrategia
BYOD es el método principal para evitar que el dispositivo
Visión y Negocios Internos
Cliente
Perspectiva
Estrategia
"Negocio
Procesos
"Operacional
personal de alguien abra la red a atacantes externos. Mantener
“Perspectiva del usuario”
Excelencia"
Alineación"
la red a salvo de dispositivos que no han sido actualizados o
parcheados es la mejor manera de asegurarse de que exista

Aprendizaje y
una gestión integral de vulnerabilidades.
Valor mejorado Capacitación en TI de
Crecimiento
para Interno y Personal en Emergentes
"Futuro
Usuarios externos Tecnologías
Orientación"

Fuente: Kapur, R.; “Uso del Cuadro de Mando Integral para la Gestión de
Riesgos de TI,”ISACA®Diario,volumen 5, 2010, www.isaca.org/Journal/ Inteligencia
archives.Reimpreso con permiso.

Un componente clave de la gestión de vulnerabilidades es la

inteligencia.11Llevar a cabo una investigación adecuada y

REVISTA ISACAVOL 2 4
©2017 ISACA. Todos los derechos reservados.isaca.org
La recopilación de información sobre las vulnerabilidades que
afectan a otras empresas es clave para tener un plan de
gestión de vulnerabilidades bien diseñado. Asegurarse de que
se recopila toda la información adecuada sobre las
vulnerabilidades actuales y conocidas ayuda a la empresa a
prepararse para cuando ocurra un ataque. Esta inteligencia
garantiza que todos estén preparados para el ataque y puede
ayudar a reducir el impacto o ayudar a reducir el impacto del
riesgo en la empresa.
Aunque el dispositivo
los propietarios pueden ver
la vulnerabilidad
gestión de sus
dispositivos como una
molestia o inconveniente,
es esencial.
Numerosas herramientas están disponibles para ayudar
con la gestión de vulnerabilidades. Todas estas
herramientas son útiles a su manera y pueden brindar
información importante a cualquier empresa, pero estas
herramientas por sí solas no pueden garantizar que las
empresas estén haciendo todo lo posible para asegurarse
de que sus activos conectados a la red estén a salvo de
vulnerabilidades. Si bien estas herramientas pueden
ayudar a detectar los activos que están conectados a la
red y aquellos que necesitan parches, depende del equipo
de administración de vulnerabilidades determinar cuáles
de estas vulnerabilidades necesitan parches. El CSIRT es
un activo que las empresas no pueden darse el lujo de
prescindir si desean tener una gestión de vulnerabilidades
eficaz. Este equipo tiene la mejor comprensión de la
seguridad que existe actualmente dentro de la empresa,
Asegurarse de recopilar la cantidad adecuada de información
sobre las amenazas actuales que afectan a otros sistemas puede
ayudar a desarrollar los planes adecuados y asegurarse de que
todos estén preparados para combatir una vulnerabilidad si se
descubre en su sistema. La mayoría de las empresas quieren
hacer todo lo posible para administrar las vulnerabilidades a
medida que ocurren, al mismo tiempo que entienden que no
todas las vulnerabilidades se pueden reparar.
©2017 ISACA. Todos los derechos reservados.isaca.org
Notas finales
1 Tittel, E.; “Introducción a las herramientas de gestión de
vulnerabilidades”, TechTarget.com, enero de 2016,http://
searchsecurity.techtarget. com/feature/Introducción a las
herramientas de gestión de vulnerabilidades
2 Tittel, E.; “Siete criterios para comprar herramientas
de gestión de vulnerabilidades”, TechTarget.com,
enero de 2016,http://searchsecurity.techtarget.com/
feature/Seven-criteria-for-buying-
vulnerabilitymanagement-tools
3 Tittel, E.; “Comparación de las principales herramientas
de gestión de vulnerabilidades”, TechTarget.com,
febrero de 2016,http://searchsecurity.techtarget.com/
feature/Comparing-the-top-vulnerabilitymanagement-
tools
4 Fortinet Inc., "Gestión de vulnerabilidades para la
empresa distribuida", 2010,https://www.
yumpu.com/en/document/view/20912289/
vulnerability-management-for-the-
distributedenterprise-fortinet
5 Lyon, GF;Escaneo de red Nmap: Guía oficial del
proyecto Nmap para detección de redes y
escaneo de seguridad, Insecure.Com LLC, EE.
UU., 2008
6 Escáner de vulnerabilidades Nessus,https://
www. tenable.com/products/nessus-
vulnerabilityscanner
7 Hammons, K.; “La gestión de vulnerabilidades no es
simple”, AISS, 2014,https://c.ymcdn.com/sites/
www.issa.org/resource/resmgr/journalpdfs/
feature0214.pdf
8 Pironti, JP; “Elementos clave de un programa de
gestión de amenazas y vulnerabilidades”,ISACA®
Diario, volumen 3, 2006,www.iparchitects. com/
wp-content/uploads/Key-Elements-of-a-Threat-
and-Vulnerability-Management-Program-ISACA-
Member-Journal-May-2006.pdf Brakin, C.;Gestión
9 de vulnerabilidades: herramientas, desafíos y
mejores prácticas,Instituto SANS, 15 de octubre de
2003,https://www.sans.org/reading-room/
whitepapers/threats/vulnerabilitymanagement-
tools-challenges-practices-1267 Op cit,Hammons
10
11 Op cit,Pironti
REVISTA ISACAVOL 2 5