Un programa de gestión de vulnerabilidades puede alcanzar su máximo potencial cuando se basa en objetivos fundamentales bien establecidos que abordan las necesidades de información de todas las partes interesadas, cuando su producción está vinculada a los objetivos del negocio y cuando hay una reducción general en el riesgo de la organización.

Dicha tecnología de gestión de vulnerabilidades puede detectar riesgos, pero requiere una base sólida con personas y procesos que le permitan garantizar el éxito del programa.

Hay cuatro etapas para un programa de gestión de vulnerabilidades:

  • El proceso que determina que tan crítico es el activo, los propietarios de los activos y la frecuencia de escaneo, así como establecer plazos para la remediación:
  • El descubrimiento y el inventario de activos en la red;
  • El descubrimiento de vulnerabilidades en los activos descubiertos
  • La notificación y remediación de vulnerabilidades descubiertas.

La primera etapa se enfoca en construir un proceso que sea medible y repetible. Las etapas dos a cuatro se centran en ejecutar el proceso descrito en la etapa uno con énfasis en la mejora continua. Examinaremos estas etapas con más detalle a continuación.


Etapa uno: el proceso de escaneo de vulnerabilidades

1. El primer paso en esta etapa es identificar la criticidad de los activos en la organización.

Para construir un programa efectivo de gestión de riesgos, primero se debe determinar qué activos necesita proteger la organización. Esto se aplica a los sistemas informáticos, dispositivos de almacenamiento, redes, datos y sistemas de terceros dentro de la red de la organización. Los activos deben clasificarse y jerarquizarse en función de su riesgo real e inherente para la organización.

Hay que considerar varios  aspectos al momento de desarrollar una valoración del riesgo inherente de un activo, como la conexión física o lógica a otros activos con una valoración más (Read more...)