En términos generales, la evaluación de un programa de gestión de vulnerabilidades se basa en los siguientes elementos básicos
La gestión de riesgos en pocas palabras, toda amenaza debe ser: 1) identificar, 2) evaluado, y 3) fija, tal como indica la regla de gestión de riesgo clásicos.
Siga las prácticas de Tecnologías de la Información el programa debe llevarse a cabo dentro del contexto de las actividades de TI de rutina, tales como la formación del personal, la supervisión de los sistemas y estrategias de recuperación de datos y documentación de los procedimientos.
La implementación de revisiones una vez que los parches se prioriza y se evaluó frente a los posibles peligros de la falta de aplicación, los parches sólo tiene que ser puesto en libertad sin demora.
Los programas antivirus es imprescindible contar con ellos para repeler gusanos, virus y troyanos y proporcionar una protección continua a nivel global.
Autodiagnóstico auto-comprobaciones periódicas para asegurar la no existencia de agujeros de seguridad.
Evaluación de vulnerabilidad
Una evaluación de la vulnerabilidad es un proceso, una parte del programa de gestión de vulnerabilidades, cuya finalidad es la de inspeccionar un sistema dado de puntos de fallo potenciales y medir su magnitud después de eso. Su ámbito de aplicación abarca no sólo los activos de las empresas tecnológicas - es decir, sistemas y redes-, sino también su integridad física y medidas de seguridad relativas a la seguridad del personal. Un amplio perímetro de defender tales predetermina la variedad de técnicas diseñadas para llevar a cabo la evaluación de la vulnerabilidad, es decir, herramientas de escaneo, los controles físicos y pruebas de ingeniería social.
Los pasos para realizar una evaluación de la vulnerabilidad:
- Crear una lista de inventario de todos los recursos y activos (por ejemplo, redes, sistemas, información de identificación personal, etc.)
- Evaluar estos activos y recursos de la empresa y asignarles valores
- Catálogo de las vulnerabilidades y definir las amenazas potenciales para cada activo / recurso
Debe tenerse en cuenta que no todas las vulnerabilidades están siendo reparados, o al menos fijos de inmediato , pero la identificación de ellos pueden ayudar a los tomadores de decisiones vienen a la realización de que las amenazas están al acecho y en el que los fallos de seguridad que tienden a capitalizar.
Prueba de penetración. Una prueba de penetración consiste típicamente en estas varias etapas:
- Determinar el alcance de la prueba
- Realizar la recopilación de información sobre las vulnerabilidades potenciales previamente identificados (caja blanca) o proceder a identificar este tipo de vulnerabilidades potenciales antes de la prueba
- Intentar aprovechar las vulnerabilidades
- Informe todos los descubrimientos realizados durante la prueba de la pluma
Aunque no existe una orden oficial aquí, la mayoría de las empresas prefieren, para empezar, una evaluación de vulnerabilidad para que el personal podría actuar sobre sus resultados a la medida de sus posibilidades, y luego, eventualmente optar por una "caja blanca" y / o "negro cuadro de "prueba de intrusión.
Evaluación de vulnerabilidad
Las evaluaciones de vulnerabilidad tienden a proporcionar más datos globales, mientras que una prueba de penetración sólo se puede decir una organización lo seguro que su sistema está en este momento. Como parte de un programa integral de seguridad de la información hasta a la fecha, las pruebas de penetración deben llevarse a cabo sobre una base regular para asegurar nuevas amenazas no va a sacar provecho de las vulnerabilidades detectadas.
A pesar de las pruebas de penetración como una actividad es marcadamente diferente de una evaluación de la vulnerabilidad, tienden a ir de la mano en lo que se refiere a las políticas de seguridad de la información corporativa. Con respecto a las pruebas de penetración, el objetivo principal aquí no es para identificar las vulnerabilidades, a pesar de que se puede hacer así, para establecer si las vulnerabilidades ya identificados se pueden explorar en la práctica.
Fecha actualización el 2021-02-14. Fecha publicación el 2016-10-5. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio