Primero, es importante definir el término, ya que la gestión de vulnerabilidades (VM) significa cosas diferentes para diferentes personas. Com eso en mente, definiré VM como el proceso para determinar si eliminar, mitigar o tolerar vulnerabilidades basadas em el riesgo y el costo asociado com la reparación de las vulnerabilidades.

Otros dos términos relevantes que vale la pena definir son:

- Amenaza: persona, circunstancia o evento que tiene el potencial de causar daños a um activo organizativo o función empresarial

- Vulnerabilidad: falla em el diseño, implementación o administración de un sistema que proporciona un mecanismo para que una amenaza explote la debilidad de un sistema o processo

Com los términos ya definidos, aqui hay 9 áreas clave que deben implementarse para garantizar que su programa de administración de vulnerabilidades sea efectivo y que brinde um gran valor a la organización:

1. Identifique todos los activos de la red

2. Defina el ranking de criticidad de activos (ACR)

3. Determine exposiciones y vulnerabilidades

4. Rastree amenazas relevantes

5. Determine el riesgo

6. Tome acciones correctivas

7. Críe métricas

8. Identifique y aborde las brechas de cumplimiento

9. Implemente un sistema automatizado de gestión de vulnerabilidades

La primera tarea es posiblemente la más importante. Si no sabe cuáles son sus activos de tecnología, donde operan y los detalles sobre ellos, entonces simplemente no puede protegerlos. Como notó astutamente el famoso consultor de gestión Peter Drucker: no puede administrar lo que no puede medir. Desde una perspectiva de seguridad de la información, no puede asegurarlo que no conoce.

Una organización debe tener un inventario completo y un plan de su red. A menudo, esto se logra a través de um proceso de descubrimiento de red, como resultado un inventario completo que detalla cada servidor, estación de trabajo, dispositivo de red, computadora portátil, computadora de escritorio y toda la infraestructura que se encuentra em la red. La capacidad de tener un inventario actual y actualizado de activos empresariales es un aspecto crítico de un programa de administración de vulnerabilidades.

Lo último que cualquier CIO, CTO o CISO quiere hacer es jugar¿Dónde está Wally? al intentar encontrar un servidor com fallas que está perdiendo datos. Pero esa situación puede ser real si sus recursos no están bien asignados, y simplemente no saben dónde reside físicamente el servidor, o cuál es su dirección IP.

Finalmente, al igual que una herramienta de administración de vulnerabilidades es importante, asegúrese de contar com um personal capacitado que sepa:

- Cómo operar la herramienta

- Cómo dar sentido a la salida de la herramienta

- Cómo abordar las muchas vulnerabilidades que encontrará el escáner de vulnerabilidades.

La gestión de vulnerabilidades debe ser un componente estándar de la gestión de seguridad de la información y el marco regulatorio dentro de cada organización. Para obtener información sobre cómo aprovechar al máximo su solución de administración de vulnerabilidades, vea mi seminario web.

Temas Relacionados

How to Use Vulnerability Assessment to Quantify & Reduce Cyber Risk (Blog)

Vulnerability Scanning Explained (Glosario)

Use Cases for Performing Vulnerability Assessments with Agent-Based Technology (Blog)

Change the Game in Vulnerability Management (White Paper)

Sample Vulnerability Management Policy (Template)