Hoy en día la información se ha convertido en uno de los activos más importantes en las organizaciones modernas, y  garantizar su confidencialidad, disponibilidad e integridad se une al hecho de que esta información se encuentra en formatos digitales, siendo almacenada, distribuida y manejada en equipos de cómputo. El  reconocer que cualquier equipo de cómputo es propenso a sufrir ataques informáticos y que estos ataques son posibles en buena medida gracias a que existen vulnerabilidades o malas configuraciones en la infraestructura tecnológica, nos invita reflexionar en que esas vulnerabilidades son en gran parte culpables de que nuestra información esté en riesgo, y mantener el riesgo en un nivel aceptable debería ser una prioridad.

En la actualidad cuando se habla de “administración de vulnerabilidades” casi siempre se piensa en una herramienta tecnológica que ejecuta pruebas de vulnerabilidades a nuestra infraestructura. Este podría ser un buen primer acercamiento, sin embargo es una visión incompleta. Como dice John P. Pironti [1] en el articulo “Elements of an information Security Program”, la administración de incidentes y  vulnerabilidades debe contener elementos tanto reactivos como proactivos para entender qué vulnerabilidades existen, así como el nivel de riesgo asociado a las mismas.

Para poder cumplir con una administración de vulnerabilidades completa, se deben tener en cuenta al menos los rubros que se muestran en la siguiente figura:

Figura 1 Administración de vulnerabilidades

  • Administración de activos: Este rubro se refiere a tener identificados y clasificados los activos tecnológicos de la organización. No basta con tener un simple inventario, hay que tener incluso el valor de pérdida del activo.
  • Priorización: Si tenemos el valor de los activos, podemos darle prioridad y criticidad a los mismos. Este rubro cubre dos aspectos:
    • Conocer y tener definido qué activos representan más valor para la organización. Con esto se les da un peso mayor al momento de proteger los activos.
    • También se relaciona con el hecho darle la preferencia a un activo sobre otros al momento de remediar una vulnerabilidad.
  • Descubrimiento de vulnerabilidades: ¿Cómo podemos administrar vulnerabilidades si no las conocemos? Además del uso de una herramienta automatizada que nos indica si alguno de nuestros dispositivos tiene una vulnerabilidad, el descubrimiento debe ser más completo y debe cubrir, además:
    • Análisis de vulnerabilidades a nivel de red: Este procedimiento debe bridar el descubrimiento de las vulnerabilidades de la infraestructura a nivel de red de datos y voz.
    • Análisis de vulnerabilidades de nivel de equipo: Debe brindar el descubrimiento de las vulnerabilidades y configuraciones por defecto en cada dispositivo.
    • Análisis de configuraciones: Debe permitirnos evaluar la configuración y optimización de nuestra infraestructura.
    • Pruebas de penetración: Este procedimiento nos permite probar la robustez de nuestros controles de seguridad ya que no solamente descubre una vulnerabilidad, sino que también las explota para obtener la mayor penetración en un sistema.
    • Análisis de código: Estudios de análisis de código nos permiten evaluar y conocer vulnerabilidades en aplicaciones hechas en casa, antes de que lleguen a producción.
    • Alertas de fabricantes y sitios de seguridad: El mantenernos informados respecto a nuevos ataques y vulnerabilidades que pudieran afectar a nuestra infra estructura debe ser un punto crucial.
  • Evaluación del riesgo: La evaluación de riesgo puede dividirse en dos partes:
    • Determinar el nivel de protección requerido para los sistemas de información, que está muy relacionada con la priorización.
    • Determinar el impacto de una vulnerabilidad descubierta en nuestra organización. Es importante recalcar que una cosa es que para un fabricante una vulnerabilidad sea, por ejemplo, de nivel “medio”, y otra que dicha vulnerabilidad permita que la información de nuestra organización pueda ser comprometida y exista en el 95% de la nuestra infraestructura tecnológica. El trato que se le deberá dar es asignarle un nivel de criticidad “alto” y no “medio”.  Este procedimiento deberá permitirnos conocer el riesgo de la vulnerabilidad aplicado a la organización, con esto es posible definir la estrategia de remediación.
  • Remediación: La remediación es vital para la administración de vulnerabilidades ya que permite minimizar el impacto de las vulnerabilidades en la organización.
  • Validación: El comprobar que toda remediación sea aplicada tal y como debería ser es un punto crucial.
  • Cumplimiento: Toda remediación o control implantado en la organización debe cumplir con la política de seguridad institucional y con toda regulación o estándar aplicable, como PCI, SOX etc.

El contar con un programa integral de administración de vulnerabilidades involucra varias partes dentro y fuera de la organización. Algunos de los procesos incluso deben ser realizados por un tercero para lograr una verdadera imparcialidad.

Una nota final: no hay que olvidar que, como cualquier otra área de la seguridad informática, la administración de vulnerabilidades es una herramienta más para cumplir los objetivos del negocio y debe alinearse ellos, no al revés.

[email protected]


[1] Pironti P. John, Key Elements of an Information Security Program, Information Systems Control Journal, Volume 1, 2005