NOTICIAS

Listado de noticias

Los Expertos Opinan: «Niveles de madurez de un Programa de Gestión de Vulnerabilidades», por Simon Quentel (Helpsystems)

  • 14/12/2020

 

 

Simon Quentel, Consultor Senior de Ciberseguridad, HelpSystems.

Las vulnerabilidades de Seguridad son uno de los problemas de Ciberseguridad más comunes, y en creciente aumento. Según Common Vulnerabilities and Exposures en 2019 se descubrieron 12.174 nuevas vulnerabilidades (13 veces más que las descubiertas en 1999, cuando nació esta base de datos).

Pero más allá del número exacto, lo más relevante es que son un desafío que puede resultar abrumador. Por eso, de cara a planificar el año que viene, éste es un buen momento para analizar el nivel de madurez de su programa de gestión de vulnerabilidades y evaluar cómo mejorar la Seguridad de su empresa de forma realista.

Nivel 0: Inexistente

Más compañías de las que nos gustaría admitir no poseen una estrategia para abordar las vulnerabilidades. Algunas no han considerado su riesgo y otras pueden pensar que son demasiado pequeñas para intentar cualquier cosa que no sean parches manuales. Pero a menos que su organización sea extremadamente pequeña, implementar parches ad hoc no es suficiente.

Por fortuna, la forma de empezar a implementar un programa es sencilla: adquirir un escáner de vulnerabilidades y ejecutarlo de forma regular.

Nivel 1: Escaneo

Gracias al escaneo de vulnerabilidades conocerá las posibles debilidades de Seguridad, que es un buen punto de partida. Pero contar con nueva información puede dificultar saber por dónde empezar con la remediación.

El análisis proporcionará datos, pero no una guía sobre qué hacer con esa información. Para avanzar al siguiente nivel, deberá comenzar a diseñar una estrategia de gestión de vulnerabilidades.

Nivel 2: Evaluación y cumplimiento

En el nivel 2 se pasa de un enfoque de Seguridad que toma los problemas a medida que llegan a una estrategia estructurada con evaluaciones y procesos regulares.

Se pueden usar los requisitos de cumplimiento normativo como un marco alrededor del cual desarrollar un programa de gestión de vulnerabilidades. Por ejemplo, el Estándar PCI-DSS requiere análisis trimestrales y solicita que los parches se implementen en menos de un mes desde que se descubrieron.

Es recomendable empezar a realizar test de penetración, que permiten a su equipo de Seguridad explotar vulnerabilidades de software, problemas sistemáticos y de diseño de la infraestructura de Seguridad, con el fin de lograr objetivos específicos asemejándose a la forma en que actúa un atacante externo.

Nivel 3: Análisis y priorización

En este nivel la priorización no se basa en los estándares de cumplimiento, sino que está determinada por el nivel de riesgo.

Los tests de penetración agregan más contexto al verificar el potencial de las amenazas, clasificando el riesgo de las vulnerabilidades en función de las que realmente podrían obtener acceso a sistemas críticos para el Negocio y tener impacto real en la operación.

Los procesos desarrollados en este nivel integran sistemas de emisión de tickets y otras herramientas para garantizar una reparación rápida y eficaz, y la realización de más pruebas de penetración para validarlos. Para esto ya es necesario utilizar una herramienta de gestión de vulnerabilidades.

Nivel 4: Gestión de ataques

Aquí ya no verá las vulnerabilidades y los parches como entidades separadas, sino como un ecosistema completo y se evalúa el riesgo de forma integral.

La gestión de ataques utiliza datos de tests de exploración y penetración para identificar cómo un hacker podría moverse a través del sistema, utilizando diferentes vulnerabilidades para obtener acceso a los activos críticos del Negocio. La priorización ahora se basa específicamente en el riesgo de estos activos.

En esta etapa es relevante contar con una solución de detección avanzada de amenazas por inspección de tráfico de red.

Nivel 5: Gestión de riesgo operacional

En última instancia, este es el nivel por el que todas las organizaciones deberían esforzarse: un programa de gestión completamente desarrollado que tenga en cuenta todo el entorno y analice los datos de los escaneos de vulnerabilidades y pruebas de penetración, examine métricas para identificar tendencias, utilice procesos mejorados y técnicas de corrección.

Sin embargo, nunca hay que dejar de mejorarlo, por ejemplo, se pueden implementar Equipos Rojos que mediante tecnologías de simulación de adversarios intenten vulnerar la organización, defendida por equipos Azules o Morados. Si carece de los recursos para hacerlo de forma interna, puede tercerizar este tipo de servicios.

En conclusión, no importa en qué nivel se encuentre, la gestión de vulnerabilidades es un proceso continuo y en constante desarrollo. Siempre que evalúe regularmente su programa y permanezca flexible para adaptarse a los nuevos desafíos continuará mejorando la madurez del mismo y aumentará la Seguridad de su organización.

Global Gold Sponsor

ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Biocatch
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
elastic-1421681117927
entrust-1421665994898
EverBridge
extrahop
fortinet1584959160
fujitsu
group-ib-142x531696331301
hashicorp
hcl-1421692878218
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
Innovery
insside-142x531694532390
Integrity360
Izertis
KPMG
leet-security
mandiant1712242876
microsoft1421636982759
mimecast
netskope1421542790367
nextvision-1421678725138
okta-142x531690371671
Omada
onetrust
Onum
OpenText
paloalto1421664436588
ping-identity
primix-142x531690198289
qualys-subir1520939472
recorderfuture1421636531854
red-sift-142-21668078952
riskrecon-1421646309412
netwitness
Rubrik
S2GRUPO-AZUL_400
Sailpoint
samsung-subir14912155251502970957
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelonelogo-nuevo1712129729
sia1613034479
Sonatype
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
Tier8
transmitsecurity
TRC
trellix-1421650963625
trustworks
varonis1421555406337
veracode-1421677058859
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscalerlogo1421569595297

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.