Objetivo: Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas.
12.6.1 Gestión de las vulnerabilidades técnicas Control
Se debería obtener información oportuna acerca de las vulnerabilidades técnicas de los sistemas de información utilizados, evaluar la exposición de la organización a dichas vulnerabilidades y adoptar las medidas adecuadas para afrontar el riesgo asociado.
Guía de implantación
Un requisito previo para la gestión efectiva de las vulnerabilidades técnicas es la elaboración de un inventario actual y completo de los activos (véase el capítulo 8). La información específica que se requiere para dar soporte a la gestión de vulnerabilidades técnicas incluye el proveedor de software, los números de versión, el estado actual de implantación (por ejemplo, qué software está instalado en qué sistemas) y la persona o personas de la organización responsables del software.
Deberían adoptarse medidas adecuadas y oportunas en respuesta a la identificación de posibles vulnerabilidades técnicas. Deberían seguirse las siguientes directrices con el fin de establecer un proceso efectivo de gestión de las vulnerabilidades técnicas:
a) la organización debería definir y establecer las funciones y responsabilidades asociadas con la gestión de las vulnerabilidades técnicas, incluyendo la supervisión de vulnerabilidades, la evaluación de riesgos de la vulnerabilidad, el parcheo, el seguimiento de activos y cualquier responsabilidad de coordinación necesaria;
b) deberían identificarse los recursos de información que se utilizarán para identificar las vulnerabilidades técnicas pertinentes y para mantener la alerta sobre ellas, tanto para el software como para otras tecnologías (en función del inventario de activos, véase 8.1.1); estos recursos de información deberían actualizarse según se modifique el inventario o cuando se encuentren otros recursos nuevos o que sean de utilidad;
c) debería definirse una escala temporal para reaccionar a las notificaciones de vulnerabilidades técnicas que puedan resultar relevantes;
d) una vez identificada la vulnerabilidad técnica, la organización debería identificar los riesgos asociados y las medidas que deberían adoptarse, las cuales podrían incluir el parcheo de sistemas vulnerables o la aplicación de otros controles;
e) dependiendo de la urgencia con que deba tratarse la vulnerabilidad técnica, la medida adoptada debería ser llevada a cabo de acuerdo con los controles relativos a la gestión de cambios (véase 12.1.2) o siguiendo los procedimientos de respuesta a incidentes de seguridad de la información (véase 16.1.5);
f) si existe un parche disponible de una fuente legítima, deberían evaluarse los riesgos asociados con la instalación del mismo (deberían compararse los riesgos planteados por la vulnerabilidad con los riesgos de instalar el parche); g) los parches deberían ser probados y evaluados antes de su instalación para garantizar que son efectivos y que no
tienen efectos secundarios que no puedan ser aceptados. Si no hay ningún parche disponible, deberían considerarse otros controles, como:
1) la desactivación de servicios o capacidades relacionadas con la vulnerabilidad,
2) la adaptación o la inclusión de controles de acceso, como por ejemplo, cortafuegos, en los límites de la red (véase 13.1),
3) el incremento de la supervisión para detectar o evitar ataques reales, 4) el aumento de la concienciación sobre la vulnerabilidad,
h) debería mantenerse un registro de auditoría de todos los procedimientos adoptados;
i) el proceso de gestión de las vulnerabilidades técnicas debería supervisarse y evaluarse periódicamente para garantizar su efectividad y su eficacia;
j) los sistemas con elevado riesgo deberían ser los primeros en tratarse;
k) un proceso eficaz de gestión de las vulnerabilidades técnicas debería estar alineado con las actividades de gestión de incidentes, para comunicar datos sobre las vulnerabilidades relativas a la función de respuesta a incidentes y proporcionar procedimientos técnicos a desarrollar cuando ocurra un incidente;
l) definir un procedimiento para considerar la situación donde una vulnerabilidad ha sido identificada pero no es posible adoptar una contramedida. En esta situación, la organización debería evaluar los riesgos relativos a la vulnerabilidad conocida y definir acciones de detección y corrección adecuadas.
Información adicional
La gestión de vulnerabilidades técnicas puede considerarse una función secundaria de la gestión de cambios y, como tal, puede beneficiarse de los procesos y procedimientos de la misma (véanse 12.1.2 y 14.2.2).
Los proveedores suelen estar sometidos a mucha presión para publicar parches lo antes posible. Por ello, un parche puede no cubrir el problema correctamente y tener efectos secundarios negativos. Asimismo, en algunos casos, puede que no sea fácil desinstalar un parche una vez que se ha aplicado.
Si no es posible probar de manera adecuada los parches, por ejemplo, por motivos de coste o por falta de recursos, puede considerarse la opción de retrasar el parcheo para evaluar los riesgos asociados en función de la experiencia de otros usuarios. El uso de la Norma ISO/IEC 27031 [14] puede ser beneficioso.
12.6.2 Restricción en la instalación de software Control
Se deberían establecer y aplicar reglas que rijan la instalación de software por parte de los usuarios. Guía de implantación
La organización debería definir y hacer cumplir una estricta política sobre qué tipos de software pueden instalar los usuarios.
Debería aplicarse el principio de menor privilegio. Si se conceden ciertos privilegios, los usuarios pueden tener la capacidad para instalar software. La organización debería identificar qué tipos de instalaciones de software están permitidas (por ejemplo, actualizaciones y parches de seguridad para el software existente) y qué tipos de instalaciones están prohibidas (por ejemplo, software que es sólo de uso personal y software cuya procedencia se desconoce o se sospecha puede ser potencialmente maliciosa). Estos privilegios deberían asignarse en atención a las funciones de los usuarios en cuestión.
Información adicional
La instalación incontrolada de software en equipos informáticos puede llevar a introducir vulnerabilidades y, como consecuencia, a fugas de información, pérdidas de integridad y otros incidentes de seguridad de la información, o a la violación de derechos de propiedad intelectual.