Gestión de vulnerabilidades
Este artículo necesita citas adicionales para su verificación . ( junio de 2013 ) |
La gestión de vulnerabilidades es la "práctica cíclica de identificar, clasificar, priorizar, remediar y mitigar" las vulnerabilidades del software . [1] La gestión de vulnerabilidades es parte integral de la seguridad informática y de la red , y no debe confundirse con la evaluación de vulnerabilidades . [2]
Las vulnerabilidades se pueden descubrir con un escáner de vulnerabilidades , que analiza un sistema informático en busca de vulnerabilidades conocidas, [3] como puertos abiertos , configuraciones de software inseguras y susceptibilidad a infecciones de malware . También se pueden identificar consultando fuentes públicas, como NVD, actualizaciones de seguridad específicas del proveedor o suscribiéndose a un servicio de alerta de vulnerabilidad comercial. Las vulnerabilidades desconocidas, como un día cero , [3] se pueden encontrar con pruebas difusas . Las pruebas difusas pueden identificar ciertos tipos de vulnerabilidades, como un desbordamiento de búfer con casos de prueba relevantes . Dicho análisis se puede facilitar mediante la automatización de pruebas . Además, el software antivirus capaz de realizar análisis heurísticos puede descubrir malware no documentado si encuentra software que se comporta de manera sospechosa (como intentar sobrescribir un archivo del sistema ).
La corrección de vulnerabilidades puede implicar la instalación de un parche , un cambio en la política de seguridad de la red, la reconfiguración del software o la educación de los usuarios sobre ingeniería social .
Gestión de vulnerabilidades del proyecto
La vulnerabilidad de un proyecto es la susceptibilidad del proyecto a estar sujeto a eventos negativos, el análisis de su impacto y la capacidad del proyecto para hacer frente a los eventos negativos. [4] Basada en el Pensamiento Sistémico, la gestión de la vulnerabilidad sistémica del proyecto asume una visión holística y propone el siguiente proceso:
- Identificación de vulnerabilidades del proyecto
- Análisis de vulnerabilidad
- Planificación de la respuesta a la vulnerabilidad
- Control de vulnerabilidades, que incluye implementación, monitoreo, control y lecciones aprendidas
El afrontamiento de los acontecimientos negativos se realiza, en este modelo, a través de:
- resistencia – el aspecto estático, referente a la capacidad de soportar daño instantáneo, y
- resiliencia – el aspecto dinámico, referente a la capacidad de recuperarse con el tiempo.
La redundancia es un método específico para aumentar la resistencia y la resiliencia en la gestión de vulnerabilidades.[5]
La antifragilidad es un concepto introducido porNassim Nicholas Talebpara describir la capacidad de los sistemas no solo de resistir o recuperarse de eventos adversos, sino también de mejorar gracias a ellos. La antifragilidad es similar al concepto decomplejidad positivapropuesto por Stefan Morcov.
Véase también
Referencias
- ^ Foreman, Park (2010). Gestión de vulnerabilidades . Boca Raton: CRC Press. p. 1. ISBN 978-1-4398-0151-2.OCLC 444700438 .
- ^ Walkowski, Michał; Ok, Jacek; Sujecki, Sławomir (19 de septiembre de 2021). "Modelos de gestión de vulnerabilidades que utilizan un sistema de puntuación de vulnerabilidad común". Ciencias Aplicadas . 11 (18): 8735. doi : 10.3390/app11188735 .
- ^ ab Anna-Maija Juuso y Ari Takanen Gestión de vulnerabilidades desconocidas , documento técnico de Codenomicon, octubre de 2010 [1].
- ^ Marle, Franck; Vidal, Ludovic-Alexandre (2016). Gestión de proyectos complejos y de alto riesgo . Londres: Springer London. p. [ página necesaria ] . doi :10.1007/978-1-4471-6787-7. ISBN. 978-1-4471-6785-3. OCLC 934201504.
- ^ Nassim N. Taleb, Daniel G. Goldstein (1 de octubre de 2009). "Los seis errores que cometen los ejecutivos en la gestión de riesgos". Harvard Business Review . ISSN 0017-8012 . Consultado el 13 de diciembre de 2021 .
Enlaces externos
- "Implementación de un proceso de gestión de vulnerabilidades". SANS Institute.
