itecno

Palabra: Gestión de vulnerabilidades

Amenazas de ciberseguridad y cómo mitigarlas

En la actualidad, regularmente se oyen sobre una variedad de amenazas informáticas que afectan a las redes y dispositivos tecnológicos con los que las compañías conviven como parte estructural del negocio.

La mitigación de estas amenazas es hoy una realidad. Sin embargo, para que el proceso de mitigación este alineado con los objetivos de negocio, es necesario redefinir el enfoque desde una mecánica de gestión, puesto que el solo hecho de descubrir las vulnerabilidades y mitigarlas no nos garantiza que hemos minimizado el riesgo para el negocio, señala Mariano Russo, experto en ciberseguridad.

Para ello necesitamos definir la gestión como un ciclo continuo, el cual permita visualizar la resolución, a la problemática, como un ciclo de vida. Dicho enfoque puede definirse como “Gestión del ciclo de vida de vulnerabilidades”.

Para realizar una gestión eficiente es necesario conocer cada una de la fases del ciclo, las cuales podemos definir como un proceso continuo donde debemos: identificar las vulnerabilidades, priorizar según los activos, evaluar los riesgos, informar, remediar y verificar si se han mitigado las vulnerabilidades para luego volver a inspeccionar con el fin de identificar nuevas vulnerabilidades.

Para el consultor en tecnológias de la información, la identificación de vulnerabilidades es un proceso gradual que debe ir creciendo en conjunto con la madurez de la organización. En la primera etapa se trabajará en el descubrimiento de las vulnerabilidades de red incluyendo los servidores más expuestos hacia el perímetro, sin una especifica clasificación de los activos según el riesgo para el negocio.

"A medida que la organización madura y se encuentra en condiciones de identificar sus activos críticos es posible comenzar a incorporar elementos de identificación que permitan identificar vulnerabilidades en las bases de datos, en tráfico de aplicaciones web, en código fuente de aplicaciones, etc.", sostiene Russo.

De esta manera, el análisis de vulnerabilidades comienza a expandirse en toda la infraestructura tecnológica, alcanzando a la información en todos sus estados.

Una vez identificadas las vulnerabilidades, se inicia un proceso de priorización de los activos a remediar. Esta priorización se realiza mediante la clasificación de los activos según Integridad, Confidencialidad y Disponibilidad (ICD – CIA en ingles) de la información gestionada por cada uno de los activos.

Ya clasificados los activos por sus niveles de ICD podrán priorizarse para evaluar los riesgos. Dicha evaluación debera estar alineada a las definiciones del negocio según buenas prácticas, regulaciones y políticas organizacionales. Cuando se encuentren identificados los riesgos debe informarse adecuadamente para proceder a la remediación.

El proceso de remediación puede llevarse a cabo automáticamente para lo cual pueden utilizarse diferentes soluciones tecnológicas, según el tipo de remediación a realizar, soluciones tales como instalación de parches, configuración automática de firewalls , switches o routers.

A medida que la organización va consolidando su proceso integral de gestión de vulnerabilidades, el proceso también puede automatizarse cada vez más hasta llegar a niveles de automatización que permitan un tiempo de respuesta cada vez menor y reducir la brecha entre la identificación y la remediación. Como etapa final del proceso de gestión de vulnerabilidades es necesario verificar periódicamente para identificar vulnerabilidades y reiniciar el proceso.

La periodicidad de la verificación depende de los niveles de exposición de los activos, pudiendo realizarse con intervalos de horas hasta intervalos de milésimas de segundos.

El experto detalla que el ciclo de vida de gestión de vulnerabilidades puede automatizase con diferentes soluciones tales como:

Identificación: escáner de vulnerabilidades de red, de puertos, de aplicaciones web, de bases de datos o de codigo fuente.

Priorizar: Clasificación de Activos, Determinación de niveles de riesgo.

Evaluar: Consolidación de escaneos.

Informar: Integración con sistemas de Service Desk, Reportes, Alertas.

Remediar: Aplicación de Parches de Sistemas Operativos, Parcheo Virtual de Base de Datos.

Verificar: Control de remediaciones en base a buenas practicas, regulaciones e identificaciones anteriores.