Seguridad de la Información

Gestión de Vulnerabilidades
Pablo Palacios
Consultor de Seguridad de la Información y Cumplimiento PCI-DSS
E-Gov Solutions
ppalacios@e-govsolutions.net | pablo.palacios@moplin.com
Web: seguridad.moplin.com
Linkedin: http://www.linkedin.com/in/moplin/es
Twitter: @moplin
(593) 8 464-4844
Hablaremos de:
• Introducción a la
vulnerabilidad

• Tendencias y
estadísticas

• Gestión de
Vulnerabilidades

http://es.wikipedia.org/wiki/Ataque_de_fuerza_bruta
http://hackosis.com/projects/bfcalc/bfcalc.php
Introducción a la vulnerabilidad
• Información y Seguridad de la Información
• Por que se necesita la Seguridad de la
Información
• Riesgos de la Información en la Organización
• Enemigo publico No 1
• Vulnerabilidades
• Tipos de vulnerabilidades
• Ejemplos de sistemas vulnerables
• Top 10 OWASP y otros TOP 10
• ¿Quien puede abusar de una vulnerabilidad?
 Información y Seguridad de la
Información
• La información se la puede definir como:
“Datos dotados de significado y propósito”

• La información se ha convertido en un componente

indispensable para realizar negocios en prácticamente
todas las organizaciones. En un numero cada vez
mayor de compañías, la información es el
negocio*.
• De acuerdo con el Instituto Brookings, tanto la
información como otros activos intangibles de una
organización representan mas del 80% de su
valor de mercado*.
• La Seguridad de la Información no es una materia
específicamente tecnológica, es de personas y por
tanto es un problema organizacional de amplio
espectro.
*Manual de Preparación al examen CISM 2009 ISBN: 978-1-60420-040-9, Cap 1, Visión General de Gobierno de la Seguridad de la
Información
 Información y Seguridad de la
Información
• La Seguridad de la Información
busca la protección de la información
de un rango amplio de amenazas
para poder asegurar la continuidad
del negocio, minimizar el riesgo
comercial y maximizar el retorno de
las inversiones y oportunidades
comerciales1.

• La seguridad de la Información se
logra implementando un adecuado
conjunto de controles; incluyendo
políticas, procesos, procedimientos, e
structuras organizacionales y
funciones de software y hardware1.

1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
 Por que se necesita la Seguridad de la
Información
• La información, los
procesos, sistemas y redes de apoyo
son activos comerciales importantes.

Definir, lograr, mantener y mejorar

la Seguridad de la Información es
esencial para mantener una ventaja
competitiva, el flujo de
caja, rentabilidad, observancia legal
e imagen comercial1.

1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
 Riesgos de la Información en la
Organización
• Las organizaciones, sus sistemas y redes de información enfrentan
amenazas de seguridad.

Perdida de Confidencialidad, Disponibilidad o Integridad

• Fuentes como:
▫ Fraude por computadora
▫ Espionaje
▫ Sabotaje
▫ Vandalismo
▫ Fuego o inundación.

1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
 Riesgos de la Información en la
Organización
• Las causas de daño como:
▫ Código malicioso
▫ Pirateo computarizado
▫ Negación de servicio
▫ Acceso no autorizado

Amenazas que se hacen cada vez más comunes, más ambiciosas y

cada vez más sofisticadas1.

1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Enemigo publico No 1
• Las Vulnerabilidades
Tecnológicas afectan a
todas las plataformas
tecnológicas y se
convierten en uno de los
riesgos mas extenso que
afrontan los profesionales
de la seguridad

• Explotar o abusar de una “El 79% de todas las

vulnerabilidad es el vulnerabilidades documentadas
en la segunda mitad del 2006
mecanismo agresivo más fueron consideradas como
efectivo con el que cuenta fácilmente explotables.”
un atacante.
 Vulnerabilidades
DEFINICIONES

• Una deficiencia en el diseño, la implementación, la operación o la

ausencia de los controles internos en un proceso, que podría
explotarse para violar la seguridad del sistema1.

• El termino caracteriza la ausencia o riesgo de un control de

reducción de riesgo. Es la condición que tienen el potencial de
permitir que una amenaza ocurra con mayor frecuencia, gran
impacto o cualquiera de los dos2.

• Debilidades de un sistema que permiten a un individuo

malintencionado explotarlo y violar su integridad3.

1. Manual de Preparación al examen CISM 2009; ISBN: 978-1-60420-040-9; Glosario

2. Official (ISC)2 Guide to CISSP Exam; ISBN: 0-8493-1518-2; 1.2 Risk Analisis and Assesment
3. Normas de Seguridad de Datos para las Aplicaciones de Pago y Normas Octubre de 2008 de Seguridad de Datos de la PCI;
Glosario de términos, abreviaturas y acrónimos
4. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
 Vulnerabilidades
Cuando estas son expuestas o visibles, pueden ser objeto de abuso

• Su abuso puede resultar en:

▫ Acceso no autorizado a la red
▫ Exposición información confidencial
▫ Daño o distorsión de la información
▫ Proveer de datos para el hurto o secuestro de identidad
▫ Exponer secretos organizacionales
▫ Desencadenar fraudes
▫ Paralizar las operaciones del negocio.

1. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2

 Tipos de vulnerabilidades
• Vulnerabilidades no Tecnológicas1
▫ Hacking no tecnológico
▫ Ingeniería social
Donde se considera que la vulnerabilidad es “El
individuo” y “El proceso mal definido”

• Vulnerabilidades Tecnológicas que afectan

a:
▫ Procesos tecnológicos
▫ Los medios de comunicación (red
lan, wan, voip, etc)
▫ Plataforma tecnológica:
 Sistemas operativos
 aplicaciones de escritorio
 aplicaciones cliente servidor
 Aplicaciones web
 Bases de datos
 Equipos de red
 Todo!

1. Jhony Long; No Tech Hacking: A Guide to Social Engineering …; ISBN 13: 978-1-59749-215-7
2. DefCon 15 - T112 - No-Tech Hacking (58 min); http://video.google.com/videoplay?docid=-2160824376898701015&hl=es
 Ejemplos de sistemas vulnerables
• Redes y Servicios
▫ Ftp, Telnet, Http, “SSL”
• Redes inalámbricas “WIFI”
▫ WEP y falta de encripción
• Aplicaciones de escritorio
▫ Office, Outlook, Acrobat, flash, Java
JRE, etc.
• Servidores Web
▫ Apache, IIS, Websphere, Etc.
• Bases de datos
▫ Oracle, DB2, MySQL, MS SQL
Server, etc.
• Aplicaciones Web
▫ Múltiples errores de programación
(TOP 10 OWASP), Muchas
ocasiones dependientes de la
arquitectura establecida

http://www.owasp.org/index.php/Top_10_2007
 Top 10 OWASP

http://www.owasp.org/index.php/Top_10_2007
 Top 10 OWASP

http://www.owasp.org/index.php/Top_10_2007
 Los TOP 10 Externos, Diciembre 2009
Las 10 Vulnerabilidades Externas más comunes
1 HTTP method 'DELETE' Enabled N/A
2 Microsoft Windows Server Service Could Allow Remote Code Execution CVE-2008-4250
3 Microsoft SMB Remote Code Execution Vulnerability CVE-2008-4834
CVE-2008-4835
CVE-2008-4114
4 Microsoft MSDTC and COM+ Remote Code Execution Vulnerability CVE-2005-1978
CVE-2005-2119
CVE-2005-1979
CVE-2005-1980
5 Microsoft Windows DCO0M RPCSS Service Vulnerabilities CVE-2003-0715
CVE-2003-0528
CVE-2003-0605
CVE-2003-0995
6 Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability CVE-2003-0352
7 Microsoft IIS FTP Server Remote Stack Based Overflow CVE-2009-3023
CVE-2009-2521
8 Apache Chunked-Encoding Memory Corruption Vulnerability CVE-2002-0392
9 Writeable SNMP Information CVE-1999-0792
CVE-2000-0147
CVE-2001-0380
CVE-2001-1210
CVE-2002-0478
CVE-2000-0515
10 Debian OpenSSL Package Random Number Generator Weakness CVE-2008-0166

http://www.qualys.com/research/rnd/top10/
 Los TOP 10 Internos, Diciembre 2009
Las 10 Vulnerabilidades Internas más comunes
1 Adobe Flash Player Multiple Vulnerabilities CVE-2007-2022
CVE-2007-3456
CVE-2007-3457
2 Adobe Flash Player Update Available to Address Security Vulnerabilities CVE-2009-0519
CVE-2009-0520
Varios más
3 Adobe Acrobat and Adobe Reader Multiple Vulnerabilities CVE-2008-2641
4 Adobe Reader JavaScript Methods Memory Corruption Vulnerability CVE-2009-1492
CVE-2009-1493
5 Sun Java Multiple Vulnerabilities CVE-2008-2086
CVE-2008-5339
Varios más
6 Microsoft Office PowerPoint Could Allow Remote Code Execution CVE-2009-0556
CVE-2009-0220
Varios más
7 Microsoft Excel Remote Code Execution Vulnerability CVE-2009-0238
CVE-2009-0100
8 Sev4 Microsoft Word Multiple Remote Code Execution Vulnerabilities CVE-2008-4024
CVE-2008-4026
Varios más
9 WordPad and Office Text Converters Remote Code Execution Vulnerability CVE-2008-4841
CVE-2009-0087
Varios más
10 Vulnerabilities in Microsoft DirectShow Could Allow Remote Code Execution CVE-2009-1537
CVE-2009-1538
CVE-2009-1539
http://www.qualys.com/research/rnd/top10/
¿Quien puede abusar de una
vulnerabilidad?
• El hacker (el malo!)
• El estudiante de sistemas
• El desarrollador o programador
• La competencia
• El trabajador interno (resentido)
• El que ya no trabaja
• Cualquier estudiante con un
computador e Internet
• El software
• El virus, troyano, spyware, etc.

• Ley de Murphy:

“Si algo puede salir mal, saldrá mal.”

“Si hay una vulnerabilidad… será usada”

 Hackers
Un firewall $100.000 dólares
Un IPS $250.000 dólares
Una vulnerabilidad, no tiene precio! Por: moplin (CC) 2009
 Vulnerabilidades
¡Solo puedes estar seguro de que aun
hay más !
Por: moplin (CC) 2009
Tendencias y estadísticas
• Tendencias
• Vulnerabilidades por impacto
• Vulnerabilidades de “día 0”
• Ataques comunes en aplicaciones WEB
• Virus, Spyware, Gusanos, Trojanos, etc
• Tiempo de explotación de nuevas
vulnerabilidades
• Herramientas disponibles en internet
Tendencias
• En el pasado, la motivación era solo
diversión o demostración.

• Existen factores económicos que impulsan

a miles de individuos a buscar la forma de
atacar a las organizaciones y al sistema
financiero (Banca electrónica, tarjetas de
crédito)

• Existe un incremento del profesionalismo

y la comercialización de actividades
maliciosas (crimen organizado)

• Convergencia en los métodos de ataque

• Expansión en el numero de aplicaciones y

plataformas de ataque.
 Tendencias
Según la encuesta ”Crímenes
de Informáticos y Encuesta de
Seguridad” del Instituto de
Seguridad de Computo
(CSI), las perdidas económicas
en las organizaciones se deben
a:

• Fraude financiero (31%)

• Virus/gusano/spyware (12%)
• Penetración al sistema por un
externo (10%)
• Robo de información
confidencial (8%)

1. CIS; www.gocsi.com
Tendencias

“99 % de los casos de intrusión a redes son el

resultado del ataque en contra de
vulnerabilidades conocidas o errores de
configuración solucionables“
CERT, CARNEGIE MELLON UNIVERSITY

“Organizaciones que implementan un proceso

efectivo para gestión de vulnerabilidades
experimentarán una reducción del 60 % en
ataques exitosos externos”
GARNER 2007
 25

Vulnerabilidades por impacto

FUENTE : SECUNIA 2008

 26

Vulnerabilidades de “día 0”

FUENTE : SECUNIA 2008

 Ataques comunes en aplicaciones WEB
Método
Cross Site Scripting
12% Inyección de SQL
20%
Control de Aceso
insuficiente
10%

Fuga de
Infromación no
OtrosOther intencional
18% 17%

Predicción de
credenciales de Vulnerabilidades
sesion Conocidas
8% 15%
FUENTE : WHID 2008
Virus, Spyware, Gusanos, Trojanos, etc
La cantidad de “Malware” se incrementa cada año
1,600,000
1,500,000 20x
1,400,000 En los últimos 5
1,300,000 años
1,200,000
1,100,000 3x
Tan solo en el
1,000,000
último año
900,000
800,000
700,000
600,000
500,000
400,000
300,000
200,000
100,000
86 87 88 89 90 91 92 93 94 95 96 97 98 99 00 01 02 03 04 05 06 07 08

FUENTE : F-SECURE
Tiempo de explotación de nuevas
vulnerabilidades
Herramientas disponibles en internet

pharming
Auto-coordinated
Auto-
High Cross- Site Scripting
Fraud
Intruder Knowledge “ Stealth” /Advanced
Intruder Knowledge phishing
Scanning Techniques

Denial of
Packet Spoofing Service SQL Injection
Blended
Blended Attacks
Attacks
Sniffers
Distributed
Distributed
AttackAttack
Tools Tools
www
www Attacks
Attacks
Automated Probes/Scans
Sweepers GUI Probes/Scans
GUI
Back
Doors Networked Management
Disabling Diagnosis
Audits

Attack Sophistication Hijacking

Sessions
Burglaries

Exploiting Known
Vulnerabilities
Password
Cracking
Password Self- Replicating Code
Low Guessing

1980
1980 1985
1985 1990
1990 1995
1995 2000
2000 2005
2005
SOURCE: © Carnegie Mellon University
Gestión de Vulnerabilidades

• A quienes les debe interesar

• Procesos de Gestión Seguridad de la
Información
• Que es la Gestión de Vulnerabilidades
• Objetivos principales
• Preparación inicial y requerimientos
• La Gestión de Vulnerabilidades
 A quienes les debe interesar
• Desarrolladores de software
(Cliente-
Servidor, Escritorio, Aplicacion
es Web, Teléfonos inteligentes)
• Seguridad de Infraestructura
• Seguridad de Aplicaciones
• Administradores de Proyectos
• Gerencias IT
• Gobierno Corporativo
• Otros
• Todos

“Para un cyber-criminal, las

vulnerabilidades en una red
son los objetivos de mayor
valor1!”
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights
reserved. www.isaca.org.
2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
 Procesos de Gestión Seguridad de la
Información
Forma parte parte del
Gobierno de la Seguridad de
la Información

• Gestión de Sistemas de
Seguridad de la Información
• Gestión de Usuarios y
Recurso Humano
• Gestión de Incidentes
• Gestión de Respaldos
• Gestión de Control de
Cambios
• …
• Gestión de
Vulnerabilidades e
Implementación de
Parches
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights
reserved. www.isaca.org.
2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
 Que es la Gestión de Vulnerabilidades
• La Gestión de Vulnerabilidades, es el proceso que debe ser
implementado para hacer que las plataformas de IT sean mas
seguras y para mejorar la capacidad de cumplimiento de normas en
la organización1.

• La adecuada gestión de la vulnerabilidad es la integración de los

actores, procesos y tecnologías que establecen y mantienen una
línea de base para la protección de una organización.

• El proceso de la gestión de la vulnerabilidad incluye el

descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de
mitigación, y un infraestructura que permita una adecuado y
continuo monitoreo, seguimiento y mejora.

1. Gartner Research; Improve IT Security With Vulnerability Management; Number: G00127481

 Objetivos principales
• Identificar y corregir las fallas que afectan la seguridad, desempeño
o funcionalidad en el software.
• Alterar la funcionalidad o actuar frente a una amenaza de
seguridad, como al actualizar una firma de antivirus
• Cambiar las configuraciones del software para hacerlo menos
susceptible a una taque, que se ejecute con mayor velocidad o
mejore su funcionalidad
• Utilizar los medios mas efectivos para afrontar los ataques
automatizados (como gusanos, negación de servicios, etc.)
• Habilitar la forma efectiva y gestión la gestión correcta de seguridad
del riesgo
• Documentar el estado de seguridad para auditoria y cumplimiento
con las leyes, regulaciones y políticas de negocio.

1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights
reserved. www.isaca.org.
2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Preparación inicial - Requerimientos
• Establecimiento previo de Gestión de Políticas de Seguridad
• Establecer los roles y responsabilidades del personal involucrado en
el proceso.
• Establecer un inventario de activos de la plataforma tecnológica
(Servidores, equipos, versiones de sistemas operativos, aplicaciones
cliente - servidor, bases de datos, aplicaciones web, etc.)
• Establecer los roles de los activos del inventario
• Desarrollar métricas de seguridad de la información
• Establecer la línea base “Donde se comienza” y el GAP “Donde se
desea llegar”
 Pasos
• Alineación de la Política

• Identificación
▫ Paso 1, El inventario
• Evaluación
▫ Paso 2. La Detección de vulnerabilidades
▫ Paso 3, Verificación de la vulnerabilidad contra
el inventario
▫ Paso 3, Verificación de la vulnerabilidad contra
el inventario
▫ Paso 4, Clasificación y valoración del riesgo
• Remediación
▫ Paso 5, Remediación
• Monitoreo
▫ Paso 6, Verificación
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights
reserved. www.isaca.org.
2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Alineación de la Política
• La creación de las políticas debe
iniciar en la parte mas alta de la
gerencia o presidencia de una
organización, de forma que
requiera de la observación
ejecutiva la que asegura una
implementación sistemática.

• La creación de normas y
lineamientos de seguridad que
respalden los controles adecuados
en para la Gestión de
Vulnerabilidades, aseguran la
implementación y funcionalidad
de la Gestión de Vulnerabilidades.
Identificación, Paso 1: El inventario
Crear el inventario y categorizar los activos
• Para encontrar y corregir adecuadamente las
vulnerabilidades, es necesario primero identificar
los elementos o activos tecnológicos
(servidores, estaciones de trabajo, equipos de
comunicaciones, etc.)
• Es importante crear una base de datos, que
relacione el activo a sus características técnicas
(IP, Sistema Operativo, Aplicaciones, ROL)

Identificar en el inventario
• Es importante identificar en el inventario el
Rol, criticidad de negocio, Unidad de
negocio, agrupación geográfica o lógica.
Identificación, Paso 1: El inventario
Priorización por impacto al negocio
• Es importante que el activo se lo categorice en base al riesgo e
impacto de negocio.
Que es más critico para los objetivos del negocio!

• La misma vulnerabilidad no tendrá el mismo impacto en un sistema

perteneciente al “CORE” de negocio que en un sistema con una
función poco importante.
Identificación, Paso 1: El inventario
Generación del mapa por
exploración

• Detectar todos los elementos

conectados a la red.
• Detección de los elementos
Públicos (Externos), Privados
(Internos).
• Permite confirmar los elementos
de la plataforma tecnológica al
compáralo con el inventario
• Detección de elementos no
contemplados (Conexiones
inalámbricas, estaciones de
trabajo, servidores, redes)
Evaluación, Paso 2: La Detección de
vulnerabilidades
• La detección de vulnerabilidades es la tarea fundamental de
búsqueda y clasificación del las vulnerabilidades en cada sistema.
• Los productos comerciales y de código abierto dedicados a la
detección de vulnerabilidades no son la solución, son la herramienta
base del proceso
• Beneficios de los productos:
▫ Las herramientas prueban sistemáticamente y analiza a los elementos
conectados a una red en búsqueda de errores, fallas y malas
configuraciones
▫ Un reporte post-detección, revela con precisión las vulnerabilidades
actuales y expone las formas de corrección de las mismas.
Evaluación, Paso 2: La Detección de
vulnerabilidades
• La detección de vulnerabilidades debe ejecutarse de dos formas:
▫ Caja negra.- Sin conocimiento de autenticación u otra
información
▫ Caja blanca.- Con conocimiento de un usuario con privilegios de
sistema e información adicional
▫ (Caja gris)
Evaluación, Paso 3: Verificación de la
vulnerabilidad contra el inventario
• Es importante revisar y verificar la existencia d una vulnerabilidad
contra la base de datos del inventario, lo que permite reducir el
esfuerzo que se dedica a controlar una vulnerabilidad que no aplica
a la configuración del la red.

• Eliminación de falsos positivos

• Eliminación de falsos negativos

• Se debe usar una segunda herramienta de detección de

vulnerabilidades
El reporte de vulnerabilidades
• Las herramientas de detección de vulnerabilidades deben tener la
capacidad de generar reporte:
▫ Que mantengan la asociación del activo a las vulnerabilidades
▫ Que presenta la información de la vulnerabilidad y de la remediación o
control de la misma
▫ Que no reporte exceso de falsos positivos o falsos negativos
▫ Que se a de fácil comprensión
▫ Que muestre la asociación del activo con un valor de riesgo de negocio
 Evaluación, Paso 4: Clasificación y
valoración del riesgo
• La remediación de todos los activos es prácticamente
imposible
• Las vulnerabilidades deben ser categorizadas, segmentadas y
priorizadas en base a la criticidad del activo para el negocio
• Categorización
▫ Critico: El abuso puede permitir la propagación de un gusano
sin intervención humana, o la ejecución de código sin restricción.
▫ Importante: El abuso puede permitir el compromiso de la
confidencialidad, integridad o disponibilidad de los datos de
usuario o de la integridad o disponibilidad de los recursos.
▫ Moderado: El abuso es serio, pero es mitigado por factores
como configuración, auditoria, la necesidad de acción del usuario
o dificultad de ejecución.
▫ Bajo: El abuso es extremadamente difícil o su impacto es
mínimo.

www.microsoft.com/technet/community/columns/secmgmt/sm0404.mspx?pf=true
Paso 5: Remediación

• La remediación es el proceso de control de la vulnerabilidad.

• La remediación puede ser directa o indirecta

Siempre se debe realizar pruebas antes de colocar un parche en producción

(pre-test), lo que evita la posibilidad de daño en el sistema

• Directa:
▫ Aplicación de un parche o programa de corrección (fix)
▫ Cambio de configuración
▫ Actualización de versión
• Indirecta (Controles compensatorios)
▫ Implementación de sistemas HIPS (Host Intrusion Prevención System)
▫ Implementación de sistemas SIEM (Security Information and Event
Management)
▫ Sistemas de Parchado Virtual
▫ Control con IPS de red o firewalls de ultima generación
Remediación inicial y endurecimiento
1. Remover servicios, funciones, usuarios no requeridos.
2. Mantener solo una función por servidor (Controlados de
dominio, Base de datos, Servidor Web, FTP, etc.)
3. Cambiar las configuraciones de fabrica (Sistema operativo y
aplicaciones)
4. Instalar parches Sistema operativo
5. Instalar aplicaciones adicionales (Solo requeridas)
6. Instalar parches de aplicaciones adicionales
7. Aplicar plantillas de endurecimiento (Por producto)
8. Instalar y mantener un antivirus
9. Documentar estándar de configuración
10. Implementar respaldos y bitácoras
11. Generar lista de revisión
Remediaciones posteriores
• Revisar cumplimiento contra documento de estándar de
configuración
• Revisar cumplimiento contra lista de revisión
• Aplicar parches adicionales (Sistema Operativo y aplicaciones)
realizar pre-test antes de instalaciones en producción
• Aplicar remediaciones adicionales
• Documentar cambios en estándar de configuración y lista de revisión
Monitoreo, Paso 6:Verificación
• La verificación de los correctivos aplicados es importante, se debe
demostrar que la plataforma ya no tiene la vulnerabilidad.

• Permite demostrar la eliminación o permanencia de una

vulnerabilidad

• Utilización de dos productos diferente

▫ Descarta falsos positivos
▫ Muestra falsos negativos
Establecer el proceso continuo
• Cronograma establecido por activos (3 meses)
• Revisar y ajustar el proceso continuamente
• Educar y concientizar al personal involucrado respecto al proceso
• Establecer roles de los involucrados
• Revisar la documentación generada (demostrar cumplimiento)
• El proceso debe ser verificado y respaldado por la alta gerencia

• Suscripción A BOLETINES DE ALERTA

• Recordar que el proceso si no es continuo, cíclico y demostrable no permitirá un nivel optimo en la

seguridad de la plataforma tecnológica
Herramientas de Gestión de
Vulnerabilidades
Que buscar en la herramienta?
• Sistema de tickets y workflow
• Sistema de Reportería en el tiempo (CUBOS)
• Permita la clasificación y el inventario de activos
• Permita la clasificación correcta y valoración del
riesgo en los activos
• Permita el establecimiento de pruebas por
cronograma
• Permita establecer los roles de los activos
• La creación de los roles de personal involucrado
en el proceso.
Importante
• La Gestión de Vulnerabilidades no se puede llevar a
cabo con un solo producto

• Los productos ofertados no son la panacea, son

herramientas que permiten llevar a cabo el proceso

• La integración del Proceso de Gestión de

Vulnerabilidades y la educación apropiada sobre el
tema es muchas veces mas importante que cualquier
producto

• La organización, visión, estrategia y procesos de

integración permiten la ejecución apropiada de la
Gestión de Vulnerabilidades
El Arte de la Guerra, Sun Tzu
El Arte de la Guerra nos
enseña que no debemos
depender de la posibilidad
de que el enemigo no
venga, sino que debemos
estar siempre listos a
recibirlo.

No debemos depender de la
posibilidad de que el
enemigo no nos ataque, sino
del hecho de que logramos
que nuestra posición
sea inatacable.

http://www.amazon.com/Arte-guerra-El-Spanish-Sunt-Zu/dp/8497775317
Preguntas?

FIN
Lista de referencias en los comentarios de la lamina