Gestión de Vulnerabilidades

Seguridad de la Información,[object Object],Gestión de Vulnerabilidades,[object Object],Pablo Palacios,[object Object],Consultor de Seguridad de la Información y Cumplimiento PCI-DSS,[object Object],E-Gov Solutions,[object Object],ppalacios@e-govsolutions.net | pablo.palacios@moplin.com,[object Object],Web: seguridad.moplin.com,[object Object],Linkedin: http://www.linkedin.com/in/moplin/es,[object Object],Twitter: @moplin,[object Object],(593) 8 464-4844,[object Object]

Hablaremos de:,[object Object],Introducción a la vulnerabilidad,[object Object],Tendencias y estadísticas,[object Object],Gestión de Vulnerabilidades,[object Object],http://es.wikipedia.org/wiki/Ataque_de_fuerza_bruta,[object Object],http://hackosis.com/projects/bfcalc/bfcalc.php,[object Object]

Introducción a la vulnerabilidad,[object Object],Información y Seguridad de la Información,[object Object],Por que se necesita la Seguridad de la Información,[object Object],Riesgos de la Información en la Organización,[object Object],Enemigo publico No 1,[object Object],Vulnerabilidades,[object Object],Tipos de vulnerabilidades,[object Object],Ejemplos de sistemas vulnerables,[object Object],Top 10 OWASP y otros TOP 10,[object Object],¿Quien puede abusar de una vulnerabilidad?,[object Object]

Información y Seguridad de la Información,[object Object],La información se la puede definir como:,[object Object],“Datos dotados de significado y propósito”,[object Object],La información se ha convertido en un componente indispensable para realizar negocios en prácticamente todas las organizaciones. En un numero cada vez mayor de compañías, la información es el negocio*.,[object Object],De acuerdo con el Instituto Brookings, tanto la información como otros activos intangibles de una organización representan mas del 80% de su valor de mercado*.,[object Object],La Seguridad de la Información no es una materia específicamente tecnológica, es de personas y por tanto es un problema organizacional de amplio espectro.,[object Object],*Manual de Preparación al examen CISM 2009 ISBN: 978-1-60420-040-9, Cap 1, Visión General de Gobierno de la Seguridad de la Información,[object Object]

Información y Seguridad de la Información,[object Object],La Seguridad de la Información busca la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y oportunidades comerciales1.,[object Object],La seguridad de la Información se logra implementando un adecuado conjunto de controles; incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware1.,[object Object],1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E),[object Object]

Por que se necesita la Seguridad de la Información,[object Object],La información, los procesos, sistemas y redes de apoyo son activos comerciales importantes.,[object Object], Definir, lograr, mantener y mejorar la Seguridad de la Información es esencial para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal e imagen comercial1.,[object Object],1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E),[object Object]

Riesgos de la Información en la Organización,[object Object],Las organizaciones, sus sistemas y redes de información enfrentan amenazas de seguridad.,[object Object], Perdida de Confidencialidad, Disponibilidad o Integridad,[object Object],Fuentes como: ,[object Object],Fraude por computadora,[object Object],Espionaje,[object Object],Sabotaje,[object Object],Vandalismo,[object Object],Fuego o inundación.,[object Object],1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E),[object Object]

Riesgos de la Información en la Organización,[object Object],Las causas de daño como:,[object Object],Código malicioso,[object Object],Pirateo computarizado,[object Object],Negación de servicio,[object Object],Acceso no autorizado,[object Object], Amenazas que se hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas1.,[object Object],1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E),[object Object]

Enemigo publico No 1,[object Object],Las Vulnerabilidades Tecnológicas afectan a todas las plataformas tecnológicas y se convierten en uno de los riesgos mas extenso que afrontan los profesionales de la seguridad,[object Object],Explotar o abusar de una vulnerabilidad es el mecanismo agresivo más efectivo con el que cuenta un atacante.,[object Object],“El 79% de todas las vulnerabilidades documentadas en la segunda mitad del 2006 fueron consideradas como fácilmente explotables.”,[object Object]

Vulnerabilidades,[object Object],DEFINICIONES,[object Object],Una deficiencia en el diseño, la implementación, la operación o la ausencia de los controles internos en un proceso, que podría explotarse para violar la seguridad del sistema1.,[object Object],El termino caracteriza la ausencia o riesgo de un control de reducción de riesgo. Es la condición que tienen el potencial de permitir que una amenaza ocurra con mayor frecuencia, gran impacto o cualquiera de los dos2.,[object Object],Debilidades de un sistema que permiten a un individuo malintencionado explotarlo y violar su integridad3.,[object Object],Manual de Preparación al examen CISM 2009; ISBN: 978-1-60420-040-9; Glosario,[object Object],Official (ISC)2 Guide to CISSP Exam; ISBN: 0-8493-1518-2; 1.2 RiskAnalisis and Assesment,[object Object],Normas de Seguridad de Datos para las Aplicaciones de Pago y Normas Octubre de 2008 de Seguridad de Datos de la PCI; Glosario de términos, abreviaturas y acrónimos,[object Object],Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2,[object Object]

Vulnerabilidades,[object Object], Cuando estas son expuestas o visibles, pueden ser objeto de abuso,[object Object],Su abuso puede resultar en:,[object Object],Acceso no autorizado a la red,[object Object],Exposición información confidencial,[object Object],Daño o distorsión de la información,[object Object],Proveer de datos para el hurto o secuestro de identidad,[object Object],Exponer secretos organizacionales,[object Object],Desencadenar fraudes,[object Object],Paralizar las operaciones del negocio.,[object Object],Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2,[object Object]

Tipos de vulnerabilidades,[object Object],Vulnerabilidades no Tecnológicas1,[object Object],Hacking no tecnológico,[object Object],Ingeniería social,[object Object], Donde se considera que la vulnerabilidad es “El individuo” y “El proceso mal definido”,[object Object],Vulnerabilidades Tecnológicas que afectan a:,[object Object],Procesos tecnológicos,[object Object],Los medios de comunicación (red lan, wan, voip, etc),[object Object],Plataforma tecnológica:,[object Object],Sistemas operativos,[object Object],aplicaciones de escritorio,[object Object],aplicaciones cliente servidor,[object Object],Aplicaciones web,[object Object],Bases de datos,[object Object],Equipos de red,[object Object],Todo!,[object Object],Jhony Long; No Tech Hacking: A Guide to Social Engineering …; ISBN 13: 978-1-59749-215-7,[object Object],DefCon 15 - T112 - No-Tech Hacking (58 min); http://video.google.com/videoplay?docid=-2160824376898701015&hl=es,[object Object]

Ejemplos de sistemas vulnerables,[object Object],Redes y Servicios,[object Object],Ftp, Telnet, Http, “SSL”,[object Object],Redes inalámbricas “WIFI”,[object Object],WEP y falta de encripción,[object Object],Aplicaciones de escritorio,[object Object],Office, Outlook, Acrobat, flash, Java JRE, etc.,[object Object],Servidores Web,[object Object],Apache, IIS, Websphere, Etc.,[object Object],Bases de datos,[object Object],Oracle, DB2, MySQL, MS SQL Server, etc.,[object Object],Aplicaciones Web,[object Object],Múltiples errores de programación (TOP 10 OWASP), Muchas ocasiones dependientes de la arquitectura establecida,[object Object],http://www.owasp.org/index.php/Top_10_2007,[object Object]

Top 10 OWASP,[object Object],http://www.owasp.org/index.php/Top_10_2007,[object Object]

Los TOP 10 Externos, Diciembre 2009,[object Object],http://www.qualys.com/research/rnd/top10/,[object Object]

Los TOP 10 Internos, Diciembre 2009,[object Object],http://www.qualys.com/research/rnd/top10/,[object Object]

¿Quien puede abusar de una vulnerabilidad?,[object Object],El hacker (el malo!),[object Object],El estudiante de sistemas,[object Object],El desarrollador o programador,[object Object],La competencia,[object Object],El trabajador interno (resentido),[object Object],El que ya no trabaja,[object Object],Cualquier estudiante con un computador e Internet,[object Object],El software,[object Object],El virus, troyano, spyware, etc.,[object Object],Ley de Murphy:,[object Object],“Si algo puede salir mal, saldrá mal.”,[object Object],“Si hay una vulnerabilidad… será usada”,[object Object]

Hackers,[object Object],Un firewall $100.000 dólares,[object Object],Un IPS $250.000 dólares,[object Object],Una vulnerabilidad, no tiene precio!,[object Object],Por: moplin (CC) 2009,[object Object]

Vulnerabilidades,[object Object],¡Solo puedes estar seguro de que aun hay más !,[object Object],Por: moplin (CC) 2009,[object Object]

Tendencias y estadísticas,[object Object],Tendencias,[object Object],Vulnerabilidades por impacto,[object Object],Vulnerabilidades de “día 0”,[object Object],Ataques comunes en aplicaciones WEB,[object Object],Virus, Spyware, Gusanos, Trojanos, etc,[object Object],Tiempo de explotación de nuevas vulnerabilidades ,[object Object],Herramientas disponibles en internet,[object Object]

Tendencias,[object Object],En el pasado, la motivación era solo diversión o demostración.,[object Object],Existen factores económicos que impulsan a miles de individuos a buscar la forma de atacar a las organizaciones y al sistema financiero (Banca electrónica, tarjetas de crédito),[object Object],Existe un incremento del profesionalismo y la comercialización de actividades maliciosas (crimen organizado),[object Object],Convergencia en los métodos de ataque,[object Object],Expansión en el numero de aplicaciones y plataformas de ataque.,[object Object]

Tendencias,[object Object], Según la encuesta ”Crímenes de Informáticos y Encuesta de Seguridad” del Instituto de Seguridad de Computo (CSI), las perdidas económicas en las organizaciones se deben a:,[object Object],Fraude financiero (31%),[object Object],Virus/gusano/spyware (12%),[object Object],Penetración al sistema por un externo (10%),[object Object],Robo de información confidencial (8%),[object Object],CIS; www.gocsi.com,[object Object]

Tendencias,[object Object],“99 % de los casos de intrusión a redes son el resultado del ataque en contra de vulnerabilidades conocidas o errores de configuración solucionables“CERT, CARNEGIE MELLON UNIVERSITY,[object Object],“Organizacionesque implementan un proceso efectivo para gestión de vulnerabilidades experimentarán una reducción del60 % en ataques exitosos externos”GARNER 2007,[object Object]

Vulnerabilidades por impacto,[object Object],25,[object Object],FUENTE : SECUNIA 2008,[object Object]

Vulnerabilidades de “día 0”,[object Object],26,[object Object],FUENTE : SECUNIA 2008,[object Object]

Ataques comunes en aplicaciones WEB,[object Object],FUENTE : WHID 2008,[object Object]

Virus, Spyware, Gusanos, Trojanos, etc,[object Object],1,600,000,[object Object],1,500,000,[object Object],1,400,000,[object Object],1,300,000,[object Object],1,200,000,[object Object],1,100,000,[object Object],1,000,000,[object Object],900,000,[object Object],800,000,[object Object],700,000,[object Object],600,000,[object Object],500,000,[object Object],400,000,[object Object],300,000,[object Object],200,000,[object Object],100,000,[object Object],86 87 88 89 90 91 92 93 94 95 96 97 98 99 00 01 02 03 04 05 06 07 08,[object Object],La cantidad de “Malware” se incrementa cada año,[object Object],20x ,[object Object],En los últimos 5 años,[object Object],3x ,[object Object],Tan solo en el últimoaño,[object Object],FUENTE : F-SECURE,[object Object]

Tiempo de explotación de nuevas vulnerabilidades ,[object Object]

Herramientas disponibles en internet,[object Object]

Gestión de Vulnerabilidades,[object Object],A quienes les debe interesar,[object Object],Procesos de Gestión Seguridad de la Información,[object Object],Que es la Gestión de Vulnerabilidades,[object Object],Objetivos principales,[object Object],Preparación inicial y requerimientos,[object Object],La Gestión de Vulnerabilidades,[object Object]

A quienes les debe interesar,[object Object],Desarrolladores de software (Cliente-Servidor, Escritorio, Aplicaciones Web, Teléfonos inteligentes),[object Object],Seguridad de Infraestructura,[object Object],Seguridad de Aplicaciones,[object Object],Administradores de Proyectos,[object Object],Gerencias IT,[object Object],Gobierno Corporativo,[object Object],Otros,[object Object],Todos,[object Object],“Para un cyber-criminal, las vulnerabilidades en una red son los objetivos de mayor valor1!”,[object Object],An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.,[object Object],Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2,[object Object]

Procesos de Gestión Seguridad de la Información,[object Object], Forma parte parte del Gobierno de la Seguridad de la Información,[object Object],Gestión de Sistemas de Seguridad de la Información,[object Object],Gestión de Usuarios y Recurso Humano,[object Object],Gestión de Incidentes,[object Object],Gestión de Respaldos,[object Object],Gestión de Control de Cambios,[object Object],…,[object Object],Gestión de Vulnerabilidades e Implementación de Parches,[object Object],An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.,[object Object],Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2,[object Object]

Que es la Gestión de Vulnerabilidades,[object Object],La Gestión de Vulnerabilidades, es el proceso que debe ser implementado para hacer que las plataformas de IT sean mas seguras y para mejorar la capacidad de cumplimiento de normas en la organización1.,[object Object],La adecuada gestión de la vulnerabilidad es la integración de los actores, procesos y tecnologías que establecen y mantienen una línea de base para la protección de una organización.,[object Object],El proceso de la gestión de la vulnerabilidad incluye el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación, y un infraestructura que permita una adecuado y continuo monitoreo, seguimiento y mejora.,[object Object],Gartner Research; Improve IT Security With Vulnerability Management; Number: G00127481,[object Object]

Objetivos principales,[object Object],Identificar y corregir las fallas que afectan la seguridad, desempeño o funcionalidad en el software.,[object Object],Alterar la funcionalidad o actuar frente a una amenaza de seguridad, como al actualizar una firma de antivirus,[object Object],Cambiar las configuraciones del software para hacerlo menos susceptible a una taque, que se ejecute con mayor velocidad o mejore su funcionalidad,[object Object],Utilizar los medios mas efectivos para afrontar los ataques automatizados (como gusanos, negación de servicios, etc.),[object Object],Habilitar la forma efectiva y gestión la gestión correcta de seguridad del riesgo,[object Object],Documentar el estado de seguridad para auditoria y cumplimiento con las leyes, regulaciones y políticas de negocio.,[object Object],An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.,[object Object],Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2,[object Object]

Preparación inicial - Requerimientos,[object Object],Establecimiento previo de Gestión de Políticas de Seguridad,[object Object],Establecer los roles y responsabilidades del personal involucrado en el proceso.,[object Object],Establecer un inventario de activos de la plataforma tecnológica (Servidores, equipos, versiones de sistemas operativos, aplicaciones cliente - servidor, bases de datos, aplicaciones web, etc.),[object Object],Establecer los roles de los activos del inventario,[object Object],Desarrollar métricas de seguridad de la información,[object Object],Establecer la línea base “Donde se comienza” y el GAP “Donde se desea llegar”,[object Object]

Pasos,[object Object],Alineación de la Política,[object Object],Identificación,[object Object],Paso 1, El inventario,[object Object],Evaluación,[object Object],Paso 2. La Detección de vulnerabilidades,[object Object],Paso 3, Verificación de la vulnerabilidad contra el inventario,[object Object],Paso 3, Verificación de la vulnerabilidad contra el inventario,[object Object],Paso 4, Clasificación y valoración del riesgo,[object Object],Remediación,[object Object],Paso 5, Remediación,[object Object],Monitoreo,[object Object],Paso 6, Verificación,[object Object],An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.,[object Object],Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2,[object Object]

Alineación de la Política,[object Object],La creación de las políticas debe iniciar en la parte mas alta de la gerencia o presidencia de una organización, de forma que requiera de la observación ejecutiva la que asegura una implementación sistemática.,[object Object],La creación de normas y lineamientos de seguridad que respalden los controles adecuados en para la Gestión de Vulnerabilidades, aseguran la implementación y funcionalidad de la Gestión de Vulnerabilidades.,[object Object]

Identificación, Paso 1: El inventario,[object Object], Crear el inventario y categorizar los activos,[object Object],Para encontrar y corregir adecuadamente las vulnerabilidades, es necesario primero identificar los elementos o activos tecnológicos (servidores, estaciones de trabajo, equipos de comunicaciones, etc.),[object Object],Es importante crear una base de datos, que relacione el activo a sus características técnicas (IP, Sistema Operativo, Aplicaciones, ROL),[object Object], Identificar en el inventario,[object Object],Es importante identificar en el inventario el Rol, criticidad de negocio, Unidad de negocio, agrupación geográfica o lógica.,[object Object]

Identificación, Paso 1: El inventario,[object Object], Priorización por impacto al negocio,[object Object],Es importante que el activo se lo categorice en base al riesgo e impacto de negocio.,[object Object], Que es más critico para los objetivos del negocio!,[object Object],La misma vulnerabilidad no tendrá el mismo impacto en un sistema perteneciente al “CORE” de negocio que en un sistema con una función poco importante.,[object Object]

Identificación, Paso 1: El inventario,[object Object], Generación del mapa por exploración,[object Object],Detectar todos los elementos conectados a la red.,[object Object],Detección de los elementos Públicos (Externos), Privados (Internos).,[object Object],Permite confirmar los elementos de la plataforma tecnológica al compáralo con el inventario,[object Object],Detección de elementos no contemplados (Conexiones inalámbricas, estaciones de trabajo, servidores, redes),[object Object]

Evaluación, Paso 2: La Detección de vulnerabilidades,[object Object],La detección de vulnerabilidades es la tarea fundamental de búsqueda y clasificación del las vulnerabilidades en cada sistema.,[object Object],Los productos comerciales y de código abierto dedicados a la detección de vulnerabilidades no son la solución, son la herramienta base del proceso,[object Object],Beneficios de los productos:,[object Object],Las herramientas prueban sistemáticamente y analiza a los elementos conectados a una red en búsqueda de errores, fallas y malas configuraciones,[object Object],Un reporte post-detección, revela con precisión las vulnerabilidades actuales y expone las formas de corrección de las mismas.,[object Object]

Evaluación, Paso 2: La Detección de vulnerabilidades,[object Object],La detección de vulnerabilidades debe ejecutarse de dos formas:,[object Object],Caja negra.- Sin conocimiento de autenticación u otra información,[object Object],Caja blanca.- Con conocimiento de un usuario con privilegios de sistema e información adicional,[object Object],(Caja gris),[object Object]

Evaluación, Paso 3: Verificación de la vulnerabilidad contra el inventario,[object Object],Es importante revisar y verificar la existencia d una vulnerabilidad contra la base de datos del inventario, lo que permite reducir el esfuerzo que se dedica a controlar una vulnerabilidad que no aplica a la configuración del la red.,[object Object],Eliminación de falsos positivos,[object Object],Eliminación de falsos negativos,[object Object],Se debe usar una segunda herramienta de detección de vulnerabilidades,[object Object]

El reporte de vulnerabilidades,[object Object],Las herramientas de detección de vulnerabilidades deben tener la capacidad de generar reporte:,[object Object],Que mantengan la asociación del activo a las vulnerabilidades,[object Object],Que presenta la información de la vulnerabilidad y de la remediación o control de la misma,[object Object],Que no reporte exceso de falsos positivos o falsos negativos,[object Object],Que se a de fácil comprensión,[object Object],Que muestre la asociación del activo con un valor de riesgo de negocio,[object Object]

Evaluación, Paso 4: Clasificación y valoración del riesgo ,[object Object],La remediación de todos los activos es prácticamente imposible,[object Object],Las vulnerabilidades deben ser categorizadas, segmentadas y priorizadas en base a la criticidad del activo para el negocio,[object Object],Categorización,[object Object],Critico: El abuso puede permitir la propagación de un gusano sin intervención humana, o la ejecución de código sin restricción.,[object Object],Importante: El abuso puede permitir el compromiso de la confidencialidad, integridad o disponibilidad de los datos de usuario o de la integridad o disponibilidad de los recursos.,[object Object],Moderado: El abuso es serio, pero es mitigado por factores como configuración, auditoria, la necesidad de acción del usuario o dificultad de ejecución.,[object Object],Bajo: El abuso es extremadamente difícil o su impacto es mínimo.,[object Object],www.microsoft.com/technet/community/columns/secmgmt/sm0404.mspx?pf=true,[object Object]

Paso 5: Remediación ,[object Object],La remediación es el proceso de control de la vulnerabilidad.,[object Object],La remediación puede ser directa o indirecta,[object Object], Siempre se debe realizar pruebas antes de colocar un parche en producción (pre-test), lo que evita la posibilidad de daño en el sistema,[object Object],Directa:,[object Object],Aplicación de un parche o programa de corrección (fix),[object Object],Cambio de configuración,[object Object],Actualización de versión,[object Object],Indirecta (Controles compensatorios),[object Object],Implementación de sistemas HIPS (Host Intrusion Prevención System),[object Object],Implementación de sistemas SIEM (Security Information and Event Management),[object Object],Sistemas de Parchado Virtual,[object Object],Control con IPS de red o firewalls de ultima generación,[object Object]

Remediación inicial y endurecimiento,[object Object],Remover servicios, funciones, usuarios no requeridos.,[object Object],Mantener solo una función por servidor (Controlados de dominio, Base de datos, Servidor Web, FTP, etc.),[object Object],Cambiar las configuraciones de fabrica (Sistema operativo y aplicaciones),[object Object],Instalar parches Sistema operativo,[object Object],Instalar aplicaciones adicionales (Solo requeridas),[object Object],Instalar parches de aplicaciones adicionales ,[object Object],Aplicar plantillas de endurecimiento (Por producto),[object Object],Instalar y mantener un antivirus,[object Object],Documentar estándar de configuración,[object Object],Implementar respaldos y bitácoras,[object Object],Generar lista de revisión ,[object Object]

Remediaciones posteriores,[object Object],Revisar cumplimiento contra documento de estándar de configuración,[object Object],Revisar cumplimiento contra lista de revisión,[object Object],Aplicar parches adicionales (Sistema Operativo y aplicaciones) realizar pre-test antes de instalaciones en producción,[object Object],Aplicar remediaciones adicionales,[object Object],Documentar cambios en estándar de configuración y lista de revisión,[object Object]

Monitoreo, Paso 6:Verificación,[object Object],La verificación de los correctivos aplicados es importante, se debe demostrar que la plataforma ya no tiene la vulnerabilidad.,[object Object],Permite demostrar la eliminación o permanencia de una vulnerabilidad,[object Object],Utilización de dos productos diferente,[object Object],Descarta falsos positivos,[object Object],Muestra falsos negativos,[object Object]

Establecer el proceso continuo,[object Object],Cronograma establecido por activos (3 meses),[object Object],Revisar y ajustar el proceso continuamente,[object Object],Educar y concientizar al personal involucrado respecto al proceso,[object Object],Establecer roles de los involucrados,[object Object],Revisar la documentación generada (demostrar cumplimiento),[object Object],El proceso debe ser verificado y respaldado por la alta gerencia ,[object Object],Suscripción A BOLETINES DE ALERTA,[object Object],Recordar que el proceso si no es continuo, cíclico y demostrable no permitirá un nivel optimo en la seguridad de la plataforma tecnológica,[object Object]

Herramientas de Gestión de Vulnerabilidades,[object Object], Que buscar en la herramienta?,[object Object],Sistema de tickets y workflow,[object Object],Sistema de Reportería en el tiempo (CUBOS),[object Object],Permita la clasificación y el inventario de activos,[object Object],Permita la clasificación correcta y valoración del riesgo en los activos,[object Object],Permita el establecimiento de pruebas por cronograma,[object Object],Permita establecer los roles de los activos,[object Object],La creación de los roles de personal involucrado en el proceso.,[object Object]

Importante,[object Object],La Gestión de Vulnerabilidades no se puede llevar a cabo con un solo producto,[object Object],Los productos ofertados no son la panacea, son herramientas que permiten llevar a cabo el proceso,[object Object],La integración del Proceso de Gestión de Vulnerabilidades y la educación apropiada sobre el tema es muchas veces mas importante que cualquier producto,[object Object],La organización, visión, estrategia y procesos de integración permiten la ejecución apropiada de la Gestión de Vulnerabilidades,[object Object]

El Arte de la Guerra, SunTzu,[object Object],El Arte de la Guerra nos enseña que no debemos depender de la posibilidad de que el enemigo no venga, sino que debemos estar siempre listos a recibirlo.,[object Object],No debemos depender de la posibilidad de que el enemigo no nos ataque, sino del hecho de que logramos que nuestra posición sea inatacable.,[object Object],http://www.amazon.com/Arte-guerra-El-Spanish-Sunt-Zu/dp/8497775317,[object Object]

Preguntas?,[object Object],FIN,[object Object],Lista de referencias en los comentarios de la lamina,[object Object]

Gestión de Vulnerabilidades

Gestión de Vulnerabilidades

Recommended

More Related Content

What's hot

What's hot(20)

Viewers also liked

Viewers also liked(20)

Similar to Gestión de Vulnerabilidades

Similar to Gestión de Vulnerabilidades(20)

Recently uploaded

Recently uploaded(20)

Gestión de Vulnerabilidades