PDF de programación - Análisis del proceso de Administración de Vulnerabilidades

Análisis del proceso de Administración de Vulnerabilidades.



Loza Gómez Francisco Alejandro

alejandro<dot>loza<at>gmail<dot>com

Maestría en Administración de Servicios de Tecnología de Información

ABSTRACT

La Administración de Vulnerabilidades es un proceso de gran relevancia en las organizaciones. En
este trabajo se exponen algunos de los elementos de riesgo más representativos a los que deben
enfrentarse las organizaciones debido a las vulnerabilidades intrínsecas a los ambientes de
Tecnología de Información. Además, se propone un análisis de costos que pretende posicionar
este proceso como un mecanismo de prevención, ahorro y crecimiento. El trabajo propone un
proceso para la atención de vulnerabilidades, además, de algunas prácticas de naturaleza
administrativa, operativa y técnica.

INTRODUCCIÓN

La Administración de Vulnerabilidades es un proceso que refleja la madurez de las organizaciones
en lo que se refiere a la Tecnología de Información. Prácticamente cualquier organización que
utilice las Tecnologías de Información ha tenido que implantar mecanismos de defensa contra las
amenazas que enfrentan en sus actividades de negocio. Para este trabajo, se propone la siguiente
definición de vulnerabilidad:

Las vulnerabilidades son fallas en diseño, configuración o funcionamiento que pueden ser
aprovechadas por entidades maliciosas de manera que se obtengan privilegios de acceso mayores
a los dispuestos por los responsables de los servicios de información.

En el 2006 nuevamente, y desde que se tiene registro de las vulnerabilidades ("National
Vulnerability Database"), ya fue rebasada la cantidad registros reportados y reconocidos como
vulnerabilidades. También es cierto que, especialmente en cuanto a la Tecnología de Información
se refiere, muchas organizaciones están fuertemente enfocadas en hacer inversiones que sean
efectivas y minimalistas en cuanto al costo. Los profesionales de Tecnología de Información
tenemos la responsabilidad de balancear los dos hechos anteriores. Este trabajo pretende ilustrar
factores importantes a considerar para tal balance. La Administración de Vulnerabilidades debe
ser un proceso de prevención, en comparación de la naturaleza reactiva con la que en muchas
ocasiones se procede.

Las vulnerabilidades pueden ser mitigadas mediante diversos mecanismos: instalación de parches,
creación de políticas, mecanismos de hardware, mecanismos de software, ajuste de privilegios,
ajustes de configuración. La decisión debe estar basada en un análisis de riesgos.



Página 1 de 13







Figura 1. Vulnerabilidades reportadas en ("National Vulnerability Database")1



UN COSTO QUE NO SE PUEDE SEGUIR DESPRECIANDO

Las vulnerabilidades son elementos intrínsecos en todos los ambientes en los que se involucra la
Tecnología de Información. Por tal razón, es necesario que las organizaciones sean conscientes y
responsables de los elementos de riesgo y costos que representan. Más aún cuando se combinan
las consecuencias de dos situaciones inminentes:

 La cantidad de vulnerabilidades, su complejidad y la rapidez con la que surgen códigos
explotables de ellas seguirá aumentando. En la Figura 2, se aprecia que en lo transcurrido en
2006 ya se rebaso el número de vulnerabilidades definidas como de alto riesgo. Esta etiqueta
se asigna a elementos que combinan factores de explotación remota y relativamente trivial,
cuyos efectos sobre la integridad, confiabilidad y disponibilidad de la información y los recursos
puede ser inmediata y permanente.

 Las nuevas formas de competencia permiten y propician que el papel estratégico de los
sistemas de información pueda traducirse en el catalizador para fortalecer estratégicamente a
las empresas. Las TI pueden representar un diferenciador importante para los diversos
productos o servicios. Los negocios dependerán cada día en mayor de medida de la
información que se almacena, procesa y transporta en su infraestructura de Tecnología de
Información.



Figura 2. Vulnerabilidades reportadas en ("National Vulnerability Database") y clasificadas como de alto riesgo



1 Las gráficas de las figuras 1,2 y 3 contemplan el período comprendido del 1 de enero de 2000 al
1 de noviembre de 2006



Página 2 de 13






IDENTIFICAR LOS RIESGOS



Una gran cantidad de factores de riesgo deben ser tomados en cuenta cuando se habla de la
Administración de Vulnerabilidades. Muchas organizaciones proporcionan acceso a Internet para
sus empleados y colaboradores. No contar con estrategias mínimas de protección, garantiza la
proliferación de malware (virus, spyware, adware, etc), cuyas consecuencias van desde la
degradación en el desempeño de los equipos hasta la potencial pérdida o fuga de información
altamente confidencial. La Figura 3 pone en evidencia un factor preocupante: la cantidad y el
porcentaje de vulnerabilidades explotables remotamente ya rebaso este año cualquier precedente.

La atención de los incidentes ocasionados por la explotación de vulnerabilidades es un proceso
reactivo
recursos,
responsabilidades y funciones extraordinarias para recuperarse de una epidemia masiva. Son de
naturaleza extraordinaria debido a que, difícilmente la respuesta a incidentes que pudieron ser
evitados forma parte de actividades que adicionen valor a los procesos de cualquier tipo de
negocio.


(y costoso como adelante veremos). Requiere

la asignación de

Figura 3. Vulnerabilidades reportadas en ("National Vulnerability Database") y que pueden ser explotadas remotamente


Las organizaciones que compiten en ambientes globales multiplican tanto sus oportunidades, como
los riesgos que enfrenta. Los parámetros de operación de tales negocios deben cambiar. La
continuidad del negocio está condicionada al correcto funcionamiento de todos los elementos
necesarios para proporcionar valor a sus servicios.



LOS ELEMENTOS DE COSTO2

Plantear de manera integral los elementos de costo relacionados con el proceso de Administración
de Vulnerabilidades es una tarea compleja, debido a que las acciones que generan costos para la
organización están dispersas entre diferentes personas, áreas y espacios de tiempo. En un
escenario optimista, la organización contará con un grupo especializado (si no exclusivo, bien
definido en sus funciones y responsabilidades) que desplegara los ajustes necesarios para la
atención de las vulnerabilidades. En la práctica se debe considerar tanto personal interno de la
organización como externo. Para llevar a cabo una medida de los costos, una opción conveniente
es la de agruparlos de la siguiente forma:

 Costos asociados al equipo encargado de la Administración de las Vulnerabilidades
 Costo de las herramientas utilizadas

2
Las cantidades utilizadas para ilustrar las expresiones y cálculos de costos propuesto, se basan en
un 52 semanas al año, con 22 días hábiles al mes con honorarios de $22,000.



Página 3 de 13






 Costos de fallas asociadas al proceso

Los elementos a considerar para cada uno de estos costos identificados se explican con detalle a
continuación.

Costos asociados al equipo encargado de la Administración de las Vulnerabilidades

Este costo es relativamente sencillo de identificar y calcular, debido a que involucra los costos
asociados al personal que integre el equipo responsable del proceso. Es necesario estimar la
cantidad de tiempo que dediquen recursos internos al proceso, además de aquellos recursos de
otusourcing que en un momento dado sea necesario utilizar.

Costo de las herramientas utilizadas

En esta partida es necesario tomar en cuenta el software y los elementos técnicos utilizados. Es
necesario incluir, por ejemplo, las herramientas de escaneo de vulnerabilidades y de distribución
de parches. Igualmente, sí el software requiere de actualizaciones y cuotas de mantenimiento, este
costo debe ser considerado. La siguiente expresión permite calcular el costo anual estimado de las
herramientas utilizadas:

Costo Anual Estimado = Suma total del mantenimiento + Suma de (precio de
compra/años esperados de vida útil)

Así, por ejemplo, para una organización que utilice el software cuya información se presenta en la
Tabla 1:



Producto

Software de
Administración de parches
Escaner de
Vulnerabilidades

Precio de
compra

$300,000

$200,000

Precio de las

actualizaciones de

versions
$150,000

$100,000

Tiempo de

vida

Cuota de

mantenimiento actual

4 años

3 años

$30,000

$20,000

Tabla 1. Ejemplo del cálculo del costo anual de las herramientas para la Administración de Vulnerabilidades


Asumiendo que la organización estima llevar a cabo la actualización de su herramienta de
detección de vulnerabilidades después de tres años, pero planea cambiar el software de
administración de parches después de cuatro años. El costo anual estimado será:

Costo Anual Estimado = ($30,000 + $20,000) + ($300,000/4) + ($100,000/3)

= $158,333.



Costos de fallas asociadas al proceso

Este costo representa la medida total del impacto en el negocio ocasionado por fallas propias del
proceso de administración de vulnerabilidades. El costo debe incluir tanto pérdidas tangibles
(tiempo del personal y datos destruidos) como aquellas intangibles (la reputación de la
organizació