First, it's important to define the term, as vulnerability management (VM) means different things to different people. With that in mind, I'll define VM as the process of determining whether to remove, mitigate, or tolerate vulnerabilities based on the risk and cost associated with fixing the vulnerabilities.
Two other relevant terms worth defining are:
- Threat: person, circumstance or event that has the potential to cause damage to an organizational asset or business function
- Vulnerability : Failure in the design, implementation, or management of a system that provides a mechanism for a threat to exploit a weakness in a system or process.
With the terms already defined, here are 9 key areas that must be implemented to ensure that your vulnerability management program is effective and provides great value to the organization:
1. Identify all network assets
2. Define the asset criticality ranking (ACR)
3. Determine exposures and vulnerabilities
4. Track relevant threats
5. Determine the risk
6. Take corrective action
7. Create metrics
8. Identify and address compliance gaps
9. Implement an automated vulnerability management system
La primera tarea es posiblemente la más importante. Si no sabe cuáles son sus activos de tecnología, donde operan y los detalles sobre ellos, entonces simplemente no puede protegerlos. Como notó astutamente el famoso consultor de gestión Peter Drucker: no puede administrar lo que no puede medir. Desde una perspectiva de seguridad de la información, no puede asegurarlo que no conoce.
Una organización debe tener un inventario completo y un plan de su red. A menudo, esto se logra a través de um proceso de descubrimiento de red, como resultado un inventario completo que detalla cada servidor, estación de trabajo, dispositivo de red, computadora portátil, computadora de escritorio y toda la infraestructura que se encuentra em la red. La capacidad de tener un inventario actual y actualizado de activos empresariales es un aspecto crítico de un programa de administración de vulnerabilidades.
Lo último que cualquier CIO, CTO o CISO quiere hacer es jugar¿Dónde está Wally? al intentar encontrar un servidor com fallas que está perdiendo datos. Pero esa situación puede ser real si sus recursos no están bien asignados, y simplemente no saben dónde reside físicamente el servidor, o cuál es su dirección IP.
Finalmente, al igual que una herramienta de administración de vulnerabilidades es importante, asegúrese de contar com um personal capacitado que sepa:
- Cómo operar la herramienta
- Cómo dar sentido a la salida de la herramienta
- Cómo abordar las muchas vulnerabilidades que encontrará el escáner de vulnerabilidades.
La gestión de vulnerabilidades debe ser un componente estándar de la gestión de seguridad de la información y el marco regulatorio dentro de cada organización. Para obtener información sobre cómo aprovechar al máximo su solución de administración de vulnerabilidades, vea mi seminario web.
Temas Relacionados
How to Use Vulnerability Assessment to Quantify & Reduce Cyber Risk (Blog)
Vulnerability Scanning Explained (Glosario)
Use Cases for Performing Vulnerability Assessments with Agent-Based Technology (Blog)

Ben Rothke, Senior Security Consultant, Nettitude
Ben Rothke (@benrothke) is a senior security consultant with Nettitude and has over 15 years of industry experience in information systems security and privacy. His career incorporates a successful track record across corporate and consulting roles, securing IT assets for numerous Fortune 1000 companies.
He is the author of Computer Security - 20 Things Every Employee Should Know (McGraw-Hill) and a speaker at industry conferences, such as RSA and MISTI, and holds numerous industry certifications.