¿A quién va dirigido?
La gestión de vulnerabilidades informáticas es una práctica que debería ser desarrollada por cualquier organización, pública o privada, grande o pequeña, que quiera llevar a cabo una articulación eficaz de su ciberseguridad.
¿Qué es?
La gestión de vulnerabilidades es una práctica por la cual se identifican las vulnerabilidades de seguridad que presentan los componentes tecnológicos de una organización, se analizan en términos de gravedad, se determinan las posibles soluciones existentes y sus implicaciones, se evalúa su aplicación en términos de coste/beneficio y se lleva a cabo la implementación de la solución planteada, llevándose a cabo un seguimiento del despliegue de dicha solución en todos los componentes tecnológicos afectados.
La gestión de vulnerabilidades se puede llevar a cabo de manera manual e implementarla mediante herramientas ofimáticas y herramientas de gestión TIC tradicionales, pero existen en el mercado multitud de herramientas cuyo propósito específico es articular la gestión de vulnerabilidades y su uso puede redundar en un importante beneficio en las organizaciones que decidan utilizarlas, en términos de automatización, eficiencia y eficacia a la hora de implementar este proceso.
Objetivos
Los objetivos de la gestión de vulnerabilidades se pueden resumir en los siguientes puntos:
- Identificar de manera temprana las vulnerabilidades que tienen los componentes tecnológicos de la organización.
- Desarrollar un proceso que permita evaluar de manera sistemática la gravedad de las vulnerabilidades identificadas.
- Articular un mecanismo para corregir de manera estructurada las vulnerabilidades identificadas.
Beneficios
La gestión de vulnerabilidades va a permitir que cualquier organización pueda disfrutar de los múltiples beneficios que ofrece:
- Ser consciente de las diversas vulnerabilidades específicas que presentan los activos tecnológicos de la organización y que pueden facilitar la materialización de las amenazas a las que está expuesta.
- Tener la capacidad de analizar objetivamente la gravedad de cada una de las vulnerabilidades consideradas, con el fin de poder utilizar dicha gravedad como parámetro principal a la hora de priorizar su resolución.
- Poder llevar a cabo un seguimiento del proceso de resolución de las vulnerabilidades tecnológicas identificadas en la organización a lo largo del tiempo.
- Poder utilizar la información relativa a las vulnerabilidades tecnológicas identificadas en la organización como input para una gestión de riesgos eficaz.
Factores a tener en cuenta para la gestión de vulnerabilidades
- El tamaño de la organización
- La cantidad de componentes tecnológicos considerados
- La diversidad de los componentes tecnológicos considerados
- La especificidad y particularidad de los componentes tecnológicos considerados
- La frecuencia con la que se desea actualizar el análisis
- Otros aspectos organizativos
Fases del proceso de gestión de vulnerabilidades
Fase 1. Lanzar el proyecto
La gestión de vulnerabilidades debe contar con la implicación tanto de las áreas tecnológicas como de las áreas de ciberseguridad, ya que ambos perfiles se van a ver involucrados en el proceso, y deberán dedicar los recursos necesarios para poder articular el proceso con éxito.
Fase 2. Delimitar el alcance
La organización debe delimitar los activos tecnológicos sobre los que se va a desarrollar el proceso de gestión de vulnerabilidades, pudiendo considerar:
- Los componentes específicos de las infraestructuras IT sobre los que va a desplegar el proceso (equipamiento de red, equipamiento de seguridad, sistemas operativos, aplicaciones, servidores, etc.).
- Los componentes específicos de las infraestructuras OT sobre los que va a desplegar el proceso (PLCs, redes industriales, soluciones SCADA, etc.).
- En caso de ser fabricante de tecnología, los productos fabricados sobre los que va a desplegar el proceso y los componentes tecnológicos que utiliza para su fabricación.
Fase 3. Determinar el mecanismo de implementación del proceso
Así mismo, la organización deberá decidir si va a desarrollar el proceso de manera manual o en base a una herramienta tecnológica, en cuyo caso deberá seleccionar la herramienta que mejor se adecue a los intereses y necesidades de la organización en relación con la gestión de vulnerabilidades.
Fase 4. Inventariar los componentes tecnológicos
La organización debe desarrollar un inventario en el que recoja las características de cada componente tecnológico considerado, que al menos tendrán que contemplar:
- El fabricante
- El producto concreto
- Versión en uso
Fase 5. Seleccionar las fuentes de información de vulnerabilidades
A continuación, la organización deberá seleccionar las fuentes de información de vulnerabilidades que va a utilizar. Estas fuentes pueden ser de diferentes tipos:
- Fuentes de avisos de vulnerabilidades: Existen diversas organizaciones, como por ejemplo el BCSC, que publican avisos de vulnerabilidades (de carácter general, de sistemas de control industrial, etc.) a los que la organización deberá suscribirse para estar al tanto de las nuevas vulnerabilidades que surgen.
- Análisis de vulnerabilidades específicos: La organización también podrá llevar a cabo escaneos y análisis de sus infraestructuras tecnológicas con el fin de identificar posibles vulnerabilidades en sus componentes tecnológicos.
- Notificación de vulnerabilidades por parte de expertos: En caso de que la organización sea fabricante de tecnología cabe la posibilidad de que expertos en ciberseguridad notifiquen a la organización acerca de la existencia de vulnerabilidades en sus productos fabricados.
Fase 6. Integrar las fuentes de información de vulnerabilidades
La organización deberá determinar cada una de las fuentes de información sobre vulnerabilidades que quiere utilizar y articular los mecanismos correspondientes para hacer uso de cada una de dichas fuentes, de manera que vaya construyendo dinámicamente un inventario de vulnerabilidades que potencialmente podrían afectar a sus componentes tecnológicos.
Fase 7. Contrastar las vulnerabilidades
Cada una de las vulnerabilidades del inventario deberá cruzarse con el inventario de componentes tecnológicos objeto del proceso y verificar si alguno de ellos se ve potencialmente afectado. En caso de ser así, la organización deberá analizar los detalles de la vulnerabilidad y los detalles de los componentes tecnológicos potencialmente afectados para verificar que la afección es real, contrastando los detalles de la vulnerabilidad inventariada con las características específicas de dichos componentes tecnológicos.
Fase 8. Evaluar las vulnerabilidades verificadas
Si la vulnerabilidad efectivamente afecta a los componentes tecnológicos de la organización ésta deberá evaluar sus características, en términos de:
- Gravedad de la vulnerabilidad, que normalmente podrá ser determinada de manera sencilla a través de su CVSS.
- Posible(s) workarounds o mecanismos de mitigación temporal de la vulnerabilidad, que normalmente vendrán descritos como parte del aviso de la vulnerabilidad, asociado a su identificador CVE.
- Posible(s) soluciones definitivas de la vulnerabilidad, que normalmente pasarán por la aplicación de un parche de seguridad o hotfix que vendrá referenciado como parte del aviso de la vulnerabilidad, asociado a su identificador CVE.
- Impacto que la aplicación del workaround y/o del parche podría tener en la organización, asociado al impacto que dicho cambio sobre los componentes tecnológicos afectados pudiese tener en la capacidad operativa de dichos componentes y, por extensión, de la organización.
Fase 9. Decisión sobre la gestión de la vulnerabilidad
A la vista de los resultados de la evaluación anterior, la organización deberá determinar si lleva a cabo la implantación del workaround y/o del parche o si por el contrario asume el riesgo asociado a su no implantación. Para ello deberá desarrollar el correspondiente proceso de análisis y gestión de riesgos.
Fase 10. Implantación de la solución
Si la organización decide llevar a cabo la implantación del workaround y/o del parche, deberá llevar a cabo una planificación del cambio correspondiente en cada uno de los componentes tecnológicos afectados, de acuerdo a los procesos de gestión de cambios que tenga previstos la organización.
Fase 11. Seguimiento
Puesto que el proceso de despliegue de los cambios correspondientes puede tener una duración significativa, la organización tendrá que llevar a cabo un seguimiento de dicho proceso de despliegue, siendo consciente en todo momento de cuáles de los componentes tecnológicos disfrutan de la solución y en cuáles todavía no ha sido desplegada y por lo tanto la vulnerabilidad sigue estando presente.
Fase 12. Verificación
Puesto que tanto el propio proceso de despliegue de los parches como las características técnicas de los propios componentes tecnológicos pueden ser complejas, se recomienda llevar a cabo una verificación posterior de que realmente el cambio llevado a cabo ha supuesto la mitigación o eliminación efectiva de la vulnerabilidad identificada.
¿Dónde recibir asesoramiento o contratar servicios y/o herramientas de gestión de vulnerabilidades?
Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.
El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.
Referencias
https://www.tarlogic.com/es/blog/gestion-de-vulnerabilidades/
