Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
REVISTA ISACAVOL 2 1
©2017 ISACA. Todos los derechos reservados.isaca.org
Al elegir una herramienta de gestión de vulnerabilidades, es Asegúrese de que el sistema operativo sea seguro y no vulnerable
importante tener en cuenta la frecuencia con la que el sistema a ataques externos.
requiere mantenimiento, incluidas actualizaciones a versiones más
nuevas, actualizaciones de funciones individuales y parches para Los servicios en la nube son una alternativa de bajo costo a los
cualquier debilidad o laguna en la programación. Al elegir una dispositivos y aplicaciones de software, pero los servicios en la
herramienta, es de vital importancia determinar si los usuarios nube conllevan un riesgo. Para escanear direcciones IP internas
finales de los activos notarán una disminución en el rendimiento con servicios en la nube, es crucial que se implemente un
durante las operaciones de mantenimiento. Si el escaneo debe dispositivo para escanear activos en la red. Si el dispositivo no es
realizarse durante el horario comercial normal, los usuarios finales una opción, entonces la alternativa es colocar enormes brechas
no pueden experimentar ningún tipo de reducción del rendimiento de seguridad en el firewall. Esta alternativa no debe usarse
de los sistemas, como congelamiento, pérdida de conectividad o cuando la información confidencial reside en la red empresarial.
fallas. Debido al mayor uso de la nube y los dispositivos móviles, es
beneficioso que la herramienta seleccionada tenga opciones para
ejecutarse en la nube o desde dispositivos móviles. Esto es útil si un Garantizar una verdadera gestión de
usuario de la herramienta no puede estar en su estación de trabajo vulnerabilidades
para iniciar un escaneo cuando ocurre algo o si el usuario elige usar
la herramienta mientras está en un dispositivo móvil. Aunque las Garantizar que las vulnerabilidades se aborden de manera rápida y
opciones móviles y en la nube son ideales, no es necesario que eficiente es crucial. Las numerosas vulnerabilidades que se
tengan una herramienta de gestión de vulnerabilidades muy útil y descubren todos los días pueden interferir con el proceso proactivo
no deberían disuadir a las empresas de comprar la mejor de mantener los sistemas empresariales parcheados y actualizados.
herramienta para su estructura organizativa. Las vulnerabilidades no son los únicos problemas con la gestión de
vulnerabilidades. Las malas prácticas de gestión de cambios, los
servidores maliciosos y los límites de red borrosos también causan
problemas con la práctica de una verdadera gestión de
vulnerabilidades
Las aplicaciones de software pueden ser comerciales o Una forma de garantizar que se logre una verdadera gestión de
gratuitas, lo que hace que sea un poco más difícil tener el vulnerabilidades es contar con una adecuada gestión de la
sistema listo de inmediato. Por ejemplo, el software gratuito información. Por lo general, cuando llega el momento de transmitir
tiene una licencia abierta, lo que puede causar problemas información a las personas durante un incidente, corresponde al
debido a que el sistema no se fortalece. equipo de respuesta a incidentes de seguridad informática (CSIRT)
administrar la información. Debido a que el CSIRT suele estar al
Las aplicaciones de software pueden tener un costo mucho menor tanto del estado de seguridad de la empresa, puede funcionar
que los dispositivos; sin embargo, se requieren configuraciones como el equipo de administración de vulnerabilidades o trabajar
adicionales para las aplicaciones de software antes de que este con él. El CSIRT puede guiar al equipo de gestión de
tipo de herramienta pueda funcionar correctamente. Requiere vulnerabilidades con la planificación de parches y otros procesos.
REVISTA ISACAVOL 2 2
©2017 ISACA. Todos los derechos reservados.isaca.org
Evaluaciones de riesgo Representación del nivel de amenaza actual.8Figura 1
muestra cinco niveles de asignación de amenazas, de grave a
Disfrutando
Las evaluaciones de riesgos son otra forma de ayudar a bajo.
determinar el estado de la gestión de vulnerabilidades dentro
¿Este artículo?
de la empresa. Las evaluaciones de riesgo determinan la Después de definir las asignaciones de nivel de amenaza, se
cantidad de riesgo que los sistemas particulares representan
• Aprende más
pueden desarrollar contramedidas y controles de gestión de
para la red. La gerencia ejecutiva puede usar esta información
sobre, discutir
vulnerabilidades para ayudar a preparar a la empresa para
para determinar cuál de esos activos debe parchearse primero
y colaborar
cada nivel de amenaza. Cuando se han identificado las
sobre la gobernanza de
o si algún sistema puede absorber el riesgo asociado con ellos. vulnerabilidades, se pueden implementar controles para
Sin embargo, es difícil dar una calificación de riesgo a una
TI empresarial (GEIT)
ayudar a mitigar el riesgo que crean esas vulnerabilidades
nueva vulnerabilidad sin saber cómo este riesgo afectará los
en el conocimiento
particulares.
activos conectados a la red.
Centro.
www.isaca.org/
Evaluación de vulnerabilidad gobierno-de-
empresa-es
La verdadera gestión de vulnerabilidades requiere una sólida A pesar de
evaluación de vulnerabilidades (VA). Numerosas utilidades de
software gratuito están disponibles para realizar VA, como nmap o
vulnerabilidad
una utilidad paga como Nessus.5, 6Estas herramientas ayudan al las evaluaciones pueden
equipo de administración de vulnerabilidades a descubrir
vulnerabilidades dentro de la red. Es necesario que los llevar mucho tiempo,
profesionales de seguridad experimentados trabajen con utilidades
pueden salvar a la
gratuitas para realizar evaluaciones de vulnerabilidad efectivas. El
personal sin experiencia puede causar más daño que bien a la red. empresa de un
Es necesario obtener permiso del control de cambios para ejecutar
incumplimiento importante causado
análisis de evaluación de vulnerabilidades. Algunas de estas
herramientas pueden causar interrupciones en la red, por lo que es por una vulnerabilidad.
crucial no ejecutar estos análisis durante los períodos de uso
intensivo de la red. Aunque las evaluaciones de vulnerabilidad
pueden llevar mucho tiempo, pueden salvar a la empresa de una
brecha importante causada por una vulnerabilidad.
Informes y seguimiento de remediación
REVISTA ISACAVOL 2 3
©2017 ISACA. Todos los derechos reservados.isaca.org
Figura 1—Asignación de nivel de amenaza
Grave/5/Rojo
Ataque en curso o inminente Se debe
activar el equipo de respuesta a incidentes
Alto/4/Naranja
Comportamientos y actividades de ataque identificados en la infraestructura de la
información Se deben iniciar planes de contramedidas de gestión de vulnerabilidades
Elevado/3/Amarillo
Evidencia de capacidades de ataque y adversarios motivados identificados
Se debe revisar la eficacia de los controles
Protegido/2/Azul
Ataque posible, pero no probable
Los monitores de la infraestructura de la información deben estar atentos a posibles ataques.
Bajo/1/Verde
No hay evidencia actual de capacidades de ataque o adversarios motivados.
Los planes de gestión de vulnerabilidades deben revisarse y actualizarse.
Estrategia BYOD
Producir un cuadro de mando para mapear la gestión de
vulnerabilidades con la gestión de riesgos es esencial para Al desarrollar una estrategia de gestión de vulnerabilidades, se
alinear el gobierno de TI con las metas y objetivos deben incluir los dispositivos que no son propiedad de la
corporativos.Figura 2muestra cómo un cuadro de mando empresa y se debe desarrollar un plan para abordarlos. Traiga
integral se asigna a un cuadro de mando de tecnología de la su propio dispositivo (BYOD) es una práctica común en muchas
información. Una empresa puede modificar el cuadro de empresas, y muchos usuarios de estos dispositivos no conocen
mando para reflejar la empresa la tecnología ni son conscientes de las muchas vulnerabilidades
estructura organizativa. potenciales que presentan sus dispositivos. Aunque los
propietarios de dispositivos pueden ver la gestión de
vulnerabilidades de sus dispositivos como una molestia o un
Figura 2: Cuadro de mando integral asignado a
inconveniente, es esencial. Si los propietarios de dispositivos
Cuadro de mando integral de TI
desean usar sus dispositivos personales en el sitio y en la red
Financiero Negocio
empresarial, se debe realizar un escaneo de su dispositivo. Si el
Más alto Perspectiva Inteligencia, Web
Valor de negocio "Corporativo y colaborativo dispositivo no tiene instaladas las últimas actualizaciones o
Contribución"
parches, el propietario del dispositivo debe instalarlos de
inmediato o se le negará el acceso a la red. Esta estrategia
BYOD es el método principal para evitar que el dispositivo
Visión y Negocios Internos
Cliente
Perspectiva
Estrategia
"Negocio
Procesos
"Operacional
personal de alguien abra la red a atacantes externos. Mantener
“Perspectiva del usuario”
Excelencia"
Alineación"
la red a salvo de dispositivos que no han sido actualizados o
parcheados es la mejor manera de asegurarse de que exista
Aprendizaje y
una gestión integral de vulnerabilidades.
Valor mejorado Capacitación en TI de
Crecimiento
para Interno y Personal en Emergentes
"Futuro
Usuarios externos Tecnologías
Orientación"
Fuente: Kapur, R.; “Uso del Cuadro de Mando Integral para la Gestión de
Riesgos de TI,”ISACA®Diario,volumen 5, 2010, www.isaca.org/Journal/ Inteligencia
archives.Reimpreso con permiso.
REVISTA ISACAVOL 2 4
©2017 ISACA. Todos los derechos reservados.isaca.org
La recopilación de información sobre las vulnerabilidades que Notas finales
afectan a otras empresas es clave para tener un plan de
gestión de vulnerabilidades bien diseñado. Asegurarse de que 1 Tittel, E.; “Introducción a las herramientas de gestión de
se recopila toda la información adecuada sobre las vulnerabilidades”, TechTarget.com, enero de 2016,http://
prepararse para cuando ocurra un ataque. Esta inteligencia herramientas de gestión de vulnerabilidades
la vulnerabilidad feature/Comparing-the-top-vulnerabilitymanagement-
tools
gestión de sus 4 Fortinet Inc., "Gestión de vulnerabilidades para la
dispositivos como una empresa distribuida", 2010,https://www.
yumpu.com/en/document/view/20912289/
molestia o inconveniente, vulnerability-management-for-the-
distributedenterprise-fortinet
es esencial. 5 Lyon, GF;Escaneo de red Nmap: Guía oficial del
proyecto Nmap para detección de redes y
escaneo de seguridad, Insecure.Com LLC, EE.
Numerosas herramientas están disponibles para ayudar UU., 2008
con la gestión de vulnerabilidades. Todas estas 6 Escáner de vulnerabilidades Nessus,https://
herramientas son útiles a su manera y pueden brindar www. tenable.com/products/nessus-
información importante a cualquier empresa, pero estas vulnerabilityscanner
herramientas por sí solas no pueden garantizar que las 7 Hammons, K.; “La gestión de vulnerabilidades no es
empresas estén haciendo todo lo posible para asegurarse simple”, AISS, 2014,https://c.ymcdn.com/sites/
de que sus activos conectados a la red estén a salvo de www.issa.org/resource/resmgr/journalpdfs/
vulnerabilidades. Si bien estas herramientas pueden feature0214.pdf
ayudar a detectar los activos que están conectados a la 8 Pironti, JP; “Elementos clave de un programa de
red y aquellos que necesitan parches, depende del equipo gestión de amenazas y vulnerabilidades”,ISACA®
de administración de vulnerabilidades determinar cuáles Diario, volumen 3, 2006,www.iparchitects. com/
de estas vulnerabilidades necesitan parches. El CSIRT es wp-content/uploads/Key-Elements-of-a-Threat-
un activo que las empresas no pueden darse el lujo de and-Vulnerability-Management-Program-ISACA-
prescindir si desean tener una gestión de vulnerabilidades Member-Journal-May-2006.pdf Brakin, C.;Gestión
eficaz. Este equipo tiene la mejor comprensión de la 9 de vulnerabilidades: herramientas, desafíos y
seguridad que existe actualmente dentro de la empresa, mejores prácticas,Instituto SANS, 15 de octubre de
2003,https://www.sans.org/reading-room/
whitepapers/threats/vulnerabilitymanagement-
Asegurarse de recopilar la cantidad adecuada de información tools-challenges-practices-1267 Op cit,Hammons
sobre las amenazas actuales que afectan a otros sistemas puede 10
ayudar a desarrollar los planes adecuados y asegurarse de que 11 Op cit,Pironti
todos estén preparados para combatir una vulnerabilidad si se
descubre en su sistema. La mayoría de las empresas quieren
hacer todo lo posible para administrar las vulnerabilidades a
medida que ocurren, al mismo tiempo que entienden que no
todas las vulnerabilidades se pueden reparar.
REVISTA ISACAVOL 2 5
©2017 ISACA. Todos los derechos reservados.isaca.org