La gestión de vulnerabilidades es un proceso que tiene como objetivo poder identificar las amenazas tempranamente y hacer las correcciones necesarias antes que se materialice el riesgo o surjan brechas de seguridad.
Vulnerabilidad: es una debilidad, falla o error que existente en un sistema que puede ser utilizada de forma malintencionada para comprometer la seguridad de su entorno.
Según la ISO 27001 una vulnerabilidad puede ser la debilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre el activo.
La gestión de vulnerabilidades, forma parte de la gestión de riesgos de IT. Por lo general se usan dos enfoques para la identificación de los riesgos de seguridad de la información:
- Enfoque basado en eventos
- Enfoque basado en la identificación de activos, amenazas y vulnerabilidades
En este artículo veremos el enfoque basado en la identificación de activos, amenazas y vulnerabilidades. Este enfoque considera dos tipos diferentes de fuentes de riesgos: activos con sus vulnerabilidades intrínsecas y amenazas. Los eventos potenciales considerados aquí son formas en que las amenazas pueden aprovecharse de una determinada vulnerabilidad de un activo para impactar el funcionamiento de la organización.
En el anexo A nos encontramos con el control 12.6.1 GESTIÓN DE VULNERABILIDADES TÉCNICAS que tiene como objetivo evitar la explotación de las vulnerabilidades. Este control se basa en tomar las medidas de protección, lo más pronto posible, o programado mediante su plan de acción para atender las vulnerabilidades de seguridad que afecten a sus sistemas y que estén siendo explotadas activamente.
La gestión de vulnerabilidades técnicas indica: que se debe asignar una persona responsable para la gestión, todos los activos deben ser monitoreados para detectar vulnerabilidades, se deben tomar las medidas adecuadas para tratar las vulnerabilidades en función de su criticidad y nivel de riesgo.
Como toda gestión, debe tener revisiones de cumplimiento para garantizar la seguridad. Estas revisiones se pueden realizar mediante herramientas y software automatizados, como la evaluación de vulnerabilidades y las pruebas de penetración.
Proceso de gestión de vulnerabilidades
Es un proceso continuo de monitoreo, investigación, análisis y priorización de vulnerabilidades, que nos ayuda con las mejores prácticas para la disminución, prevención y erradicación de vulnerabilidades.
Usted puede basarse en los siguientes pasos:
- Identificación de activos (inventario)
- Planeación de análisis de vulnerabilidades
- Ejecución de análisis de vulnerabilidades
- Evaluación, clasificación y priorización
- Remediación de vulnerabilidades
- Re-evaluación o verificación de efectividad
- Lecciones aprendidas
Como recomendación adopte un sistema de gestión de vulnerabilidades que le ayude a identificar, priorizar y gestionar la corrección y mitigación de las vulnerabilidades que podrían exponer sus activos más importantes.
Tenga en cuenta que para cumplir con un adecuado marco de gestión de riesgos debe cumplir con la gestión de vulnerabilidades como un proceso continuo, debido a que las amenazas están en constante evolución y no olvidar que la gestión de vulnerabilidades actualmente es un requisito, no una opción.