Seguridad de la InformaciónGestión de Vulnerabilidades
Pablo PalaciosConsultor de Seguridad de la Información y Cumplimiento PCI-DSSE-Gov [email protected] | [email protected]: seguridad.moplin.comLinkedin: http://www.linkedin.com/in/moplin/esTwitter: @moplin(593) 8 464-4844
Hablaremos de:
•Introducción a la vulnerabilidad
•Tendencias y estadísticas
•Gestión de Vulnerabilidades
http://es.wikipedia.org/wiki/Ataque_de_fuerza_brutahttp://hackosis.com/projects/bfcalc/bfcalc.php
Introducción a la vulnerabilidad
• Información y Seguridad de la Información•Por que se necesita la Seguridad de la
Información•Riesgos de la Información en la Organización•Enemigo publico No 1•Vulnerabilidades•Tipos de vulnerabilidades•Ejemplos de sistemas vulnerables•Top 10 OWASP y otros TOP 10•¿Quien puede abusar de una vulnerabilidad?
Información y Seguridad de la Información
*Manual de Preparación al examen CISM 2009 ISBN: 978-1-60420-040-9, Cap 1, Visión General de Gobierno de la Seguridad de la Información
• La información se la puede definir como:“Datos dotados de significado y propósito”
• La información se ha convertido en un componente indispensable para realizar negocios en prácticamente todas las organizaciones. En un numero cada vez mayor de compañías, la información es el negocio*.
• De acuerdo con el Instituto Brookings, tanto la información como otros activos intangibles de una organización representan mas del 80% de su valor de mercado*.
• La Seguridad de la Información no es una materia específicamente tecnológica, es de personas y por tanto es un problema organizacional de amplio espectro.
Información y Seguridad de la Información
• La Seguridad de la Información busca la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y oportunidades comerciales1.
• La seguridad de la Información se logra implementando un adecuado conjunto de controles; incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware1.
1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Por que se necesita la Seguridad de la Información• La información, los procesos,
sistemas y redes de apoyo son activos comerciales importantes.
Definir, lograr, mantener y mejorar la Seguridad de la Información es esencial para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal e imagen comercial1.
1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Riesgos de la Información en la Organización• Las organizaciones, sus sistemas y redes de información
enfrentan amenazas de seguridad.
Perdida de Confidencialidad, Disponibilidad o Integridad
• Fuentes como: ▫ Fraude por computadora▫ Espionaje▫ Sabotaje▫ Vandalismo▫ Fuego o inundación.
1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Riesgos de la Información en la Organización• Las causas de daño como:
▫ Código malicioso▫ Pirateo computarizado▫ Negación de servicio▫ Acceso no autorizado
Amenazas que se hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas1.
1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Enemigo publico No 1• Las Vulnerabilidades
Tecnológicas afectan a todas las plataformas tecnológicas y se convierten en uno de los riesgos mas extenso que afrontan los profesionales de la seguridad
• Explotar o abusar de una vulnerabilidad es el mecanismo agresivo más efectivo con el que cuenta un atacante.
“El 79% de todas las vulnerabilidades
documentadas en la segunda mitad del 2006 fueron
consideradas como fácilmente explotables.”
VulnerabilidadesDEFINICIONES
• Una deficiencia en el diseño, la implementación, la operación o la ausencia de los controles internos en un proceso, que podría explotarse para violar la seguridad del sistema1.
• El termino caracteriza la ausencia o riesgo de un control de reducción de riesgo. Es la condición que tienen el potencial de permitir que una amenaza ocurra con mayor frecuencia, gran impacto o cualquiera de los dos2.
• Debilidades de un sistema que permiten a un individuo malintencionado explotarlo y violar su integridad3.
1. Manual de Preparación al examen CISM 2009; ISBN: 978-1-60420-040-9; Glosario2. Official (ISC)2 Guide to CISSP Exam; ISBN: 0-8493-1518-2; 1.2 Risk Analisis and Assesment3. Normas de Seguridad de Datos para las Aplicaciones de Pago y Normas Octubre de 2008 de Seguridad de
Datos de la PCI; Glosario de términos, abreviaturas y acrónimos4. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
VulnerabilidadesCuando estas son expuestas o visibles, pueden ser objeto de abuso
• Su abuso puede resultar en:▫ Acceso no autorizado a la red▫ Exposición información confidencial▫ Daño o distorsión de la información▫ Proveer de datos para el hurto o secuestro de identidad▫ Exponer secretos organizacionales▫ Desencadenar fraudes▫ Paralizar las operaciones del negocio.
1. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Tipos de vulnerabilidades• Vulnerabilidades no Tecnológicas1
▫ Hacking no tecnológico▫ Ingeniería social
Donde se considera que la vulnerabilidad es “El individuo” y “El proceso mal definido”
• Vulnerabilidades Tecnológicas que afectan a:▫ Procesos tecnológicos▫ Los medios de comunicación (red lan, wan,
voip, etc)▫ Plataforma tecnológica:
Sistemas operativos aplicaciones de escritorio aplicaciones cliente servidor Aplicaciones web Bases de datos Equipos de red Todo!
1. Jhony Long; No Tech Hacking: A Guide to Social Engineering …; ISBN 13: 978-1-59749-215-72. DefCon 15 - T112 - No-Tech Hacking (58 min); http://video.google.com/videoplay?docid=-
2160824376898701015&hl=es
Ejemplos de sistemas vulnerables
• Redes y Servicios▫ Ftp, Telnet, Http, “SSL”
• Redes inalámbricas “WIFI”▫ WEP y falta de encripción
• Aplicaciones de escritorio▫ Office, Outlook, Acrobat, flash,
Java JRE, etc.• Servidores Web
▫ Apache, IIS, Websphere, Etc.• Bases de datos
▫ Oracle, DB2, MySQL, MS SQL Server, etc.
• Aplicaciones Web▫ Múltiples errores de
programación (TOP 10 OWASP), Muchas ocasiones dependientes de la arquitectura establecida
http://www.owasp.org/index.php/Top_10_2007
Top 10 OWASP
http://www.owasp.org/index.php/Top_10_2007
Top 10 OWASP
http://www.owasp.org/index.php/Top_10_2007
Los TOP 10 Externos, Diciembre 2009Las 10 Vulnerabilidades Externas más comunes
1HTTP method 'DELETE' Enabled N/A2Microsoft Windows Server Service Could Allow Remote Code Execution CVE-2008-42503Microsoft SMB Remote Code Execution Vulnerability CVE-2008-4834
CVE-2008-4835CVE-2008-4114
4Microsoft MSDTC and COM+ Remote Code Execution Vulnerability CVE-2005-1978CVE-2005-2119CVE-2005-1979CVE-2005-1980
5Microsoft Windows DCO0M RPCSS Service Vulnerabilities CVE-2003-0715CVE-2003-0528CVE-2003-0605CVE-2003-0995
6Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability CVE-2003-03527Microsoft IIS FTP Server Remote Stack Based Overflow CVE-2009-3023
CVE-2009-25218Apache Chunked-Encoding Memory Corruption Vulnerability CVE-2002-03929Writeable SNMP Information CVE-1999-0792
CVE-2000-0147CVE-2001-0380CVE-2001-1210CVE-2002-0478CVE-2000-0515
10Debian OpenSSL Package Random Number Generator Weakness CVE-2008-0166
http://www.qualys.com/research/rnd/top10/
Los TOP 10 Internos, Diciembre 2009
http://www.qualys.com/research/rnd/top10/
Las 10 Vulnerabilidades Internas más comunes
1Adobe Flash Player Multiple Vulnerabilities CVE-2007-2022CVE-2007-3456CVE-2007-3457
2Adobe Flash Player Update Available to Address Security Vulnerabilities CVE-2009-0519CVE-2009-0520Varios más
3Adobe Acrobat and Adobe Reader Multiple Vulnerabilities CVE-2008-26414Adobe Reader JavaScript Methods Memory Corruption Vulnerability CVE-2009-1492
CVE-2009-14935Sun Java Multiple Vulnerabilities CVE-2008-2086
CVE-2008-5339Varios más
6Microsoft Office PowerPoint Could Allow Remote Code Execution CVE-2009-0556CVE-2009-0220Varios más
7Microsoft Excel Remote Code Execution Vulnerability CVE-2009-0238CVE-2009-0100
8Sev4 Microsoft Word Multiple Remote Code Execution Vulnerabilities CVE-2008-4024CVE-2008-4026Varios más
9WordPad and Office Text Converters Remote Code Execution Vulnerability CVE-2008-4841CVE-2009-0087Varios más
10Vulnerabilities in Microsoft DirectShow Could Allow Remote Code Execution CVE-2009-1537CVE-2009-1538CVE-2009-1539
¿Quien puede abusar de una vulnerabilidad?• El hacker (el malo!)• El estudiante de sistemas• El desarrollador o programador• La competencia• El trabajador interno (resentido)• El que ya no trabaja• Cualquier estudiante con un
computador e Internet• El software• El virus, troyano, spyware, etc.
• Ley de Murphy:
“Si algo puede salir mal, saldrá mal.”
“Si hay una vulnerabilidad… será usada”
HackersUn firewall $100.000 dólares
Un IPS $250.000 dólaresUna vulnerabilidad, no tiene
precio!Por: moplin (CC) 2009
Vulnerabilidades¡Solo puedes estar seguro de que
aun hay más !
Por: moplin (CC) 2009
Tendencias y estadísticas
• Tendencias• Vulnerabilidades por impacto• Vulnerabilidades de “día 0”• Ataques comunes en aplicaciones
WEB• Virus, Spyware, Gusanos, Trojanos,
etc• Tiempo de explotación de nuevas
vulnerabilidades • Herramientas disponibles en internet
Tendencias• En el pasado, la motivación era solo
diversión o demostración.
• Existen factores económicos que impulsan a miles de individuos a buscar la forma de atacar a las organizaciones y al sistema financiero (Banca electrónica, tarjetas de crédito)
• Existe un incremento del profesionalismo y la comercialización de actividades maliciosas (crimen organizado)
• Convergencia en los métodos de ataque
• Expansión en el numero de aplicaciones y plataformas de ataque.
TendenciasSegún la encuesta ”Crímenes de Informáticos y Encuesta de Seguridad” del Instituto de Seguridad de Computo (CSI), las perdidas económicas en las organizaciones se deben a:
• Fraude financiero (31%)• Virus/gusano/spyware (12%)• Penetración al sistema por un
externo (10%)• Robo de información
confidencial (8%)
1. CIS; www.gocsi.com
Tendencias
“99 % de los casos de intrusión a redes son el resultado del ataque en contra de
vulnerabilidades conocidas o errores de configuración solucionables“
CERT, CARNEGIE MELLON UNIVERSITY
“Organizaciones que implementan un proceso efectivo para gestión de vulnerabilidades
experimentarán una reducción del 60 % en ataques exitosos externos”
GARNER 2007
Vulnerabilidades por impacto
25
FUENTE : SECUNIA 2008
Vulnerabilidades de “día 0”
26
FUENTE : SECUNIA 2008
Ataques comunes en aplicaciones WEB
Inyección de SQL20%
Fuga deInfromación no
intencional17%
Vulnerabilidades Conocidas15%
Predicción de credenciales de sesion
8%
OtrosOther 18%
Control de Aceso insufi-
ciente10%
Cross Site Scripting12%
Método
FUENTE : WHID 2008
Virus, Spyware, Gusanos, Trojanos, etc
La cantidad de “Malware” se incrementa cada año
1,600,000
1,500,000
1,400,000
1,300,000
1,200,000
1,100,000
1,000,000
900,000
800,000
700,000
600,000
500,000
400,000
300,000
200,000
100,000
86 87 88 89 90 91 92 93 94 95 96 97 98 99 00 01 02 03 04 05 06 07 08
20x En los últimos 5 años
3x Tan solo en el último año
FUENTE : F-SECURE
Tiempo de explotación de nuevas vulnerabilidades
1980 1985 1990 1995 2000
Low
High
Intruder Knowledge
Attack Sophistication
Password Guessing
Self- Replicating Code
Password Cracking
Exploiting Known Vulnerabilities
Disabling Audits
Burglaries
Hijacking Sessions
Back Doors
Sweepers
Networked Management Diagnosis
GUI
Sniffers
Packet SpoofingDenial of Service
Probes/Scans
www Attacks
Distributed Attack Tools
Blended Attacks
“ Stealth” /Advanced Scanning Techniques
Cross- Site Scripting
2005
Auto-
©
1980 1985 1990 1995 2000Low
High
Low
High
Intruder Knowledge
Attack Sophistication
Password Guessing
Self- Replicating Code
Password Cracking
Exploiting Known Vulnerabilities
Disabling Audits
Burglaries
Hijacking Sessions
Back Doors
Sweepers
Networked Management Diagnosis
GUI
Sniffers
Packet SpoofingDenial of Service
Automated Probes/Scanswww Attacks
Fraud
Distributed Attack Tools
Blended Attacks
“ Stealth” /Advanced Scanning Techniques
Cross- Site Scripting
SQL Injection
2005
Auto-coordinated
SOURCE: Carnegie Mellon University
phishing
pharming
Herramientas disponibles en internet
Gestión de Vulnerabilidades
• A quienes les debe interesar• Procesos de Gestión Seguridad de la
Información• Que es la Gestión de Vulnerabilidades• Objetivos principales• Preparación inicial y requerimientos• La Gestión de Vulnerabilidades
A quienes les debe interesar• Desarrolladores de software
(Cliente-Servidor, Escritorio, Aplicaciones Web, Teléfonos inteligentes)
• Seguridad de Infraestructura• Seguridad de Aplicaciones• Administradores de Proyectos• Gerencias IT• Gobierno Corporativo• Otros• Todos
“Para un cyber-criminal, las vulnerabilidades en una red son los objetivos de mayor
valor1!”1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association.
All rights reserved. www.isaca.org.2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Procesos de Gestión Seguridad de la Información
Forma parte parte del Gobierno de la Seguridad de la Información
• Gestión de Sistemas de Seguridad de la Información
• Gestión de Usuarios y Recurso Humano
• Gestión de Incidentes• Gestión de Respaldos• Gestión de Control de
Cambios• …• Gestión de
Vulnerabilidades e Implementación de Parches
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.
2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Que es la Gestión de Vulnerabilidades
• La Gestión de Vulnerabilidades, es el proceso que debe ser implementado para hacer que las plataformas de IT sean mas seguras y para mejorar la capacidad de cumplimiento de normas en la organización1.
• La adecuada gestión de la vulnerabilidad es la integración de los actores, procesos y tecnologías que establecen y mantienen una línea de base para la protección de una organización.
• El proceso de la gestión de la vulnerabilidad incluye el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación, y un infraestructura que permita una adecuado y continuo monitoreo, seguimiento y mejora.
1. Gartner Research; Improve IT Security With Vulnerability Management; Number: G00127481
Objetivos principales• Identificar y corregir las fallas que afectan la seguridad,
desempeño o funcionalidad en el software.• Alterar la funcionalidad o actuar frente a una amenaza de
seguridad, como al actualizar una firma de antivirus• Cambiar las configuraciones del software para hacerlo
menos susceptible a una taque, que se ejecute con mayor velocidad o mejore su funcionalidad
• Utilizar los medios mas efectivos para afrontar los ataques automatizados (como gusanos, negación de servicios, etc.)
• Habilitar la forma efectiva y gestión la gestión correcta de seguridad del riesgo
• Documentar el estado de seguridad para auditoria y cumplimiento con las leyes, regulaciones y políticas de negocio.
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.
2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Preparación inicial - Requerimientos
• Establecimiento previo de Gestión de Políticas de Seguridad• Establecer los roles y responsabilidades del personal involucrado
en el proceso.• Establecer un inventario de activos de la plataforma tecnológica
(Servidores, equipos, versiones de sistemas operativos, aplicaciones cliente - servidor, bases de datos, aplicaciones web, etc.)
• Establecer los roles de los activos del inventario• Desarrollar métricas de seguridad de la información• Establecer la línea base “Donde se comienza” y el GAP “Donde se
desea llegar”
Pasos• Alineación de la Política
• Identificación▫ Paso 1, El inventario
• Evaluación▫ Paso 2. La Detección de vulnerabilidades▫ Paso 3, Verificación de la vulnerabilidad
contra el inventario▫ Paso 3, Verificación de la vulnerabilidad
contra el inventario▫ Paso 4, Clasificación y valoración del
riesgo• Remediación
▫ Paso 5, Remediación• Monitoreo
▫ Paso 6, Verificación1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association.
All rights reserved. www.isaca.org.2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Alineación de la Política• La creación de las políticas
debe iniciar en la parte mas alta de la gerencia o presidencia de una organización, de forma que requiera de la observación ejecutiva la que asegura una implementación sistemática.
• La creación de normas y lineamientos de seguridad que respalden los controles adecuados en para la Gestión de Vulnerabilidades, aseguran la implementación y funcionalidad de la Gestión de Vulnerabilidades.
Identificación, Paso 1: El inventario
Crear el inventario y categorizar los activos• Para encontrar y corregir adecuadamente las
vulnerabilidades, es necesario primero identificar los elementos o activos tecnológicos (servidores, estaciones de trabajo, equipos de comunicaciones, etc.)
• Es importante crear una base de datos, que relacione el activo a sus características técnicas (IP, Sistema Operativo, Aplicaciones, ROL)
Identificar en el inventario• Es importante identificar en el inventario el Rol,
criticidad de negocio, Unidad de negocio, agrupación geográfica o lógica.
Identificación, Paso 1: El inventario
Priorización por impacto al negocio• Es importante que el activo se lo categorice en base al
riesgo e impacto de negocio.Que es más critico para los objetivos del negocio!
• La misma vulnerabilidad no tendrá el mismo impacto en un sistema perteneciente al “CORE” de negocio que en un sistema con una función poco importante.
Identificación, Paso 1: El inventario
Generación del mapa por exploración
• Detectar todos los elementos conectados a la red.
• Detección de los elementos Públicos (Externos), Privados (Internos).
• Permite confirmar los elementos de la plataforma tecnológica al compáralo con el inventario
• Detección de elementos no contemplados (Conexiones inalámbricas, estaciones de trabajo, servidores, redes)
Evaluación, Paso 2: La Detección de vulnerabilidades• La detección de vulnerabilidades es la tarea fundamental
de búsqueda y clasificación del las vulnerabilidades en cada sistema.
• Los productos comerciales y de código abierto dedicados a la detección de vulnerabilidades no son la solución, son la herramienta base del proceso
• Beneficios de los productos:▫ Las herramientas prueban sistemáticamente y analiza a los
elementos conectados a una red en búsqueda de errores, fallas y malas configuraciones
▫ Un reporte post-detección, revela con precisión las vulnerabilidades actuales y expone las formas de corrección de las mismas.
Evaluación, Paso 2: La Detección de vulnerabilidades• La detección de vulnerabilidades debe ejecutarse de dos
formas:▫ Caja negra.- Sin conocimiento de autenticación u otra
información▫ Caja blanca.- Con conocimiento de un usuario con
privilegios de sistema e información adicional▫ (Caja gris)
Evaluación, Paso 3: Verificación de la vulnerabilidad contra el inventario• Es importante revisar y verificar la existencia d una
vulnerabilidad contra la base de datos del inventario, lo que permite reducir el esfuerzo que se dedica a controlar una vulnerabilidad que no aplica a la configuración del la red.
• Eliminación de falsos positivos
• Eliminación de falsos negativos
• Se debe usar una segunda herramienta de detección de vulnerabilidades
El reporte de vulnerabilidades• Las herramientas de detección de vulnerabilidades deben tener
la capacidad de generar reporte:▫ Que mantengan la asociación del activo a las vulnerabilidades▫ Que presenta la información de la vulnerabilidad y de la remediación
o control de la misma▫ Que no reporte exceso de falsos positivos o falsos negativos▫ Que se a de fácil comprensión▫ Que muestre la asociación del activo con un valor de riesgo de
negocio
Evaluación, Paso 4: Clasificación y valoración del riesgo • La remediación de todos los activos es prácticamente
imposible• Las vulnerabilidades deben ser categorizadas, segmentadas
y priorizadas en base a la criticidad del activo para el negocio
• Categorización▫ Critico: El abuso puede permitir la propagación de un gusano sin
intervención humana, o la ejecución de código sin restricción.▫ Importante: El abuso puede permitir el compromiso de la
confidencialidad, integridad o disponibilidad de los datos de usuario o de la integridad o disponibilidad de los recursos.
▫ Moderado: El abuso es serio, pero es mitigado por factores como configuración, auditoria, la necesidad de acción del usuario o dificultad de ejecución.
▫ Bajo: El abuso es extremadamente difícil o su impacto es mínimo.
www.microsoft.com/technet/community/columns/secmgmt/sm0404.mspx?pf=true
Paso 5: Remediación
• La remediación es el proceso de control de la vulnerabilidad.• La remediación puede ser directa o indirecta
Siempre se debe realizar pruebas antes de colocar un parche en producción (pre-test), lo que evita la posibilidad de daño en el sistema
• Directa:▫ Aplicación de un parche o programa de corrección (fix)▫ Cambio de configuración▫ Actualización de versión
• Indirecta (Controles compensatorios)▫ Implementación de sistemas HIPS (Host Intrusion Prevención System)▫ Implementación de sistemas SIEM (Security Information and Event
Management)▫ Sistemas de Parchado Virtual▫ Control con IPS de red o firewalls de ultima generación
Remediación inicial y endurecimiento
1. Remover servicios, funciones, usuarios no requeridos.2. Mantener solo una función por servidor (Controlados de
dominio, Base de datos, Servidor Web, FTP, etc.)3. Cambiar las configuraciones de fabrica (Sistema
operativo y aplicaciones)4. Instalar parches Sistema operativo5. Instalar aplicaciones adicionales (Solo requeridas)6. Instalar parches de aplicaciones adicionales 7. Aplicar plantillas de endurecimiento (Por producto)8. Instalar y mantener un antivirus9. Documentar estándar de configuración10. Implementar respaldos y bitácoras11. Generar lista de revisión
Remediaciones posteriores• Revisar cumplimiento contra documento de estándar de configuración• Revisar cumplimiento contra lista de revisión• Aplicar parches adicionales (Sistema Operativo y aplicaciones) realizar
pre-test antes de instalaciones en producción• Aplicar remediaciones adicionales• Documentar cambios en estándar de configuración y lista de revisión
Monitoreo, Paso 6:Verificación• La verificación de los correctivos aplicados es importante,
se debe demostrar que la plataforma ya no tiene la vulnerabilidad.
• Permite demostrar la eliminación o permanencia de una vulnerabilidad
• Utilización de dos productos diferente▫ Descarta falsos positivos▫ Muestra falsos negativos
Establecer el proceso continuo• Cronograma establecido por activos (3 meses)• Revisar y ajustar el proceso continuamente• Educar y concientizar al personal involucrado respecto al proceso• Establecer roles de los involucrados• Revisar la documentación generada (demostrar cumplimiento)• El proceso debe ser verificado y respaldado por la alta gerencia
• Suscripción A BOLETINES DE ALERTA
• Recordar que el proceso si no es continuo, cíclico y demostrable no permitirá un nivel optimo en la seguridad de la plataforma tecnológica
Herramientas de Gestión de Vulnerabilidades
Que buscar en la herramienta?•Sistema de tickets y workflow•Sistema de Reportería en el tiempo (CUBOS)•Permita la clasificación y el inventario de
activos•Permita la clasificación correcta y valoración
del riesgo en los activos•Permita el establecimiento de pruebas por
cronograma•Permita establecer los roles de los activos•La creación de los roles de personal
involucrado en el proceso.
Importante• La Gestión de Vulnerabilidades no se puede llevar a
cabo con un solo producto
• Los productos ofertados no son la panacea, son herramientas que permiten llevar a cabo el proceso
• La integración del Proceso de Gestión de Vulnerabilidades y la educación apropiada sobre el tema es muchas veces mas importante que cualquier producto
• La organización, visión, estrategia y procesos de integración permiten la ejecución apropiada de la Gestión de Vulnerabilidades
El Arte de la Guerra, Sun Tzu
El Arte de la Guerra nos enseña que no debemos
depender de la posibilidad de que el enemigo no
venga, sino que debemos estar siempre listos a
recibirlo.
No debemos depender de la posibilidad de que el
enemigo no nos ataque, sino del hecho de que
logramos que nuestra posición sea inatacable.
http://www.amazon.com/Arte-guerra-El-Spanish-Sunt-Zu/dp/8497775317
Preguntas?
FIN
Lista de referencias en los comentarios de la lamina