Estándar de gestión de vulnerabilidades

Temas:

Standards

9 de mayo de 2012

Volver arriba

Objetivo

Esta norma establece los requisitos mínimos para la gestión de vulnerabilidades en los sistemas informáticos estatales.

Volver arriba

Descripción general

El estado de Iowa almacena diversos datos en sus sistemas informáticos, incluyendo información confidencial de sus clientes. Para proteger estos datos y sistemas, es necesario identificar y corregir las vulnerabilidades. El análisis de vulnerabilidades detecta las debilidades de seguridad y permite a las agencias priorizar sus recursos en las áreas más críticas. La corrección oportuna de las vulnerabilidades es fundamental para mantener la disponibilidad, la confidencialidad y la integridad de los sistemas de tecnología de la información (TI).

Volver arriba

Alcance

Esta norma se aplica a todas las agencias según lo define el Capítulo 8A, Sección 101 del Código de Iowa. Se recomienda a las agencias que no participan que sigan las directrices de esta y otras normas empresariales.
Volver arriba

Definiciones

A continuación se definen algunos términos seleccionados que se utilizan en el Estándar de Gestión de Vulnerabilidades Empresariales:

  • Escaneo autenticado : Escaneo de vulnerabilidades realizado utilizando las credenciales del sistema.
  • Vulnerabilidades críticas : Vulnerabilidades identificadas como críticas por los proveedores de software/hardware, la herramienta de escaneo EVMS; o vulnerabilidades con una calificación CVSS1 de 9.0 o superior.
  • Sistema de gestión de vulnerabilidades empresariales (EVMS) : Sistema para toda la empresa que permite:

    • Software/hardware de inventario implementado en una agencia,

    • Identificar vulnerabilidades en el software/hardware; y

    • Informe sobre las vulnerabilidades utilizando un formato común.

  • Análisis externo: Análisis de vulnerabilidades realizado desde fuera del cortafuegos perimetral de la organización.
  • Análisis interno : Análisis de vulnerabilidades realizado desde dentro del cortafuegos perimetral de la organización.
  • Remediación: Corrección de la vulnerabilidad o eliminación de la amenaza. Algunos ejemplos de medidas correctivas incluyen: instalación de un parche de software, ajuste de una configuración o eliminación del software afectado.
  • Vulnerabilidad: Fallo o configuración incorrecta del software que provoca una debilidad en la seguridad de un sistema. Las vulnerabilidades pueden ser explotadas por una entidad maliciosa para violar las políticas, por ejemplo, para obtener un acceso o permisos mayores a los autorizados en un ordenador.
  • Análisis de vulnerabilidades : Analiza para identificar hosts/atributos de host y vulnerabilidades asociadas. Sistema común de puntuación de vulnerabilidades (CVSS) http://nvd.nist.gov/cvss.cfm
Volver arriba

Elementos

A continuación se detallan los elementos del estándar de seguridad para la gestión de vulnerabilidades empresariales.

  1. Inventario : Los organismos deberán mantener un inventario del hardware, los sistemas operativos y las aplicaciones de software que se utilicen dentro del organismo.
  2. Supervisión : Los organismos deberán supervisar las fuentes de seguridad para detectar anuncios de vulnerabilidades, notificaciones de parches y amenazas emergentes.
  3. Análisis : Las agencias deberán realizar análisis de vulnerabilidades de su red utilizando un sistema de gestión de vulnerabilidades empresariales (EVMS).
    a. Se realizarán escaneos externos, internos y autenticados.
    b. Se realizarán escaneos al menos semanalmente.
    c. Los nuevos sistemas y aplicaciones deberán ser analizados antes de su puesta en producción.
  4. Acceso : Los administradores del servidor deberán proporcionar acceso administrativo suficiente para permitir que el motor de escaneo de vulnerabilidades analice todos los servicios proporcionados a través de sus sistemas.
  5. Excepciones/Credenciales : Las excepciones del firewall y las credenciales utilizadas por el EVMS para realizar análisis de vulnerabilidades deberán desactivarse cuando no se utilicen.
  6. Corrección : Las agencias deberán corregir las vulnerabilidades identificadas (mediante escaneo, alertas de proveedores o la Base de Datos Nacional de Vulnerabilidades) de la siguiente manera:
    a. Vulnerabilidades críticas/de alto riesgo con un exploit activo : Dentro de los 5 días hábiles posteriores al descubrimiento/notificación;
    b. Vulnerabilidades críticas/de alto riesgo sin explotación activa : Dentro de los 10 días hábiles posteriores al descubrimiento/notificación;
    c. Vulnerabilidades de riesgo medio : Dentro de los 30 días hábiles posteriores al descubrimiento/notificación.
    d. Todos los demás : Según el cronograma de gestión de parches/remediación de la agencia.
  7. Vulnerabilidades : Los organismos deberán mantener una lista de las vulnerabilidades no subsanadas.
    a. Los organismos deberán notificar mensualmente a la Oficina de Seguridad de la Información sobre las vulnerabilidades no corregidas.
    b. Los organismos deberán asumir la responsabilidad de cualquier vulnerabilidad no corregida en sus sistemas.
  8. Capacitación: Los organismos deberán capacitar a los administradores de sistemas en materia de monitoreo y corrección de vulnerabilidades.
Volver arriba

Actualizaciones

Este documento deberá revisarse al menos cada dos años y actualizarse según sea necesario.

Volver arriba

Fecha de entrada en vigor

Esta norma entrará en vigor el 30 de septiembre de 2012.

Volver arriba

Aplicación

Esta norma se aplicará de conformidad con el Código Administrativo de Iowa 11—25.11(8A).

Volver arriba

Diferencia

El Código Administrativo de Iowa, sección 11 - 25.11(2), contempla excepciones a las normas de seguridad. Las solicitudes de excepción a cualquiera de los requisitos de esta política deberán presentarse por escrito al Director de Seguridad de la Información antes de su implementación.

Volver arriba