Canal de Telegram

20 jun 2007

Segu-Info » , » Cómo auditar la gestión de patches

Cómo auditar la gestión de patches

20 jun 2007, 11:44:00 a.m.   Comenta primero!
  ,  

En función de la creciente preocupación alrededor del tema de cumplimento regulatorio, cada vez es más importante contar con un proceso disponible para el uso de patches. Realmente, la mayoría de los temas de seguridad pueden ser resueltos por medio del uso de patches adecuados en la red de sistemas operativos. Colin Buechler de Shavlik Technologies ofrece una guía paso a paso desde su implementación hasta su auditoría.

Errores de programación (“bugs”) o problemas técnicos en sistemas complejos de TI son bastante comunes y pueden afectar críticamente a los negocios, por lo que las organizaciones deben ser capaces de responder con software transitorios adecuados (llamados patches) hasta que el problema pueda ser estudiado y se encuentre su causa raíz. Un patch es esencialmente un trabajo rápido de reparación de una parte de un programa.

De acuerdo con CERT /investigadores de la seguridad en internet) el 95% de las violaciones a la seguridad podrían ser evitadas teniendo sistemas actualizados con patches adecuados; en otras palabras, “vulnerabilidades o errores en la configuración para los cuales están disponibles contramedidas adecuadas”. Además, las normas de seguridad, tales como la ISO 27001 y el CoBIT (Objetivos de control pata la TI y tecnologías relacionadas) requieren un proceso formal de evaluación de los patches antes de la implementación en una red, con el fin de asegurar mejor la estabilidad y disponibilidad del sistema.

Considerando todas las medidas que podrían tomarse para evaluar patches y desplegarlos a los largo de las redes, es muy fácil olvidarse de 3 pasos simples que están en el corazón de los temas de seguridad de la información: evaluación, remediación y gestión. Estos tres pasos son esenciales para establecer un proceso de gestión de riesgos relativos al uso de patches y son esenciales para el proceso de auditoría que permita asegurar que una organización ha tomado medidas apropiadas para gestionar los riesgos.

A continuación se listan recomendaciones para tener en cuenta sobre cada elemento.

Proceso de evaluación

  • crear un flujograma con un marco final que prevé cómo será una implementación exitosa de un programa de patches
  • determinar qué sistemas operativos están presentes en la red y establecer a qué nivel se consideraron el uso de patches para cada sistema
  • mientras que patches faltantes no deberían ser aplicados ciegamente a los sistemas – algunos patches pueden ser no aplicados por una razón válida – es esencial evaluar los riesgos asociados en cada caso. Esto determinará si el riesgo de no desplegar un patch es mayor que el riesgo de hacerlo
  • aunque algunas organizaciones prefieren incorporar patches en etapas tempranas de un proyecto para adelantarse a los problemas antes que correr el riesgo de inestabilidades en su propio ambiente, deberían instalarse salvaguardias cuando las vulnerabilidades en el día del lanzamiento requieran incorporar patches en forma inmediata
  • tenga en cuenta que si se detectan debilidades durante la etapa de evaluación, hay una mayor posibilidad que la remediación y gestión del proceso de uso de patches también fallen en el cumplimiento de los objetivos corporativo
Proceso de remediación
  • recuerde que la remediación es guiada por el proceso de evaluación
  • típicamente, los temas que presentan los mayores riesgos a una organización son los temas que se encaran en primer lugar
  • si es posible introducir rápidamente patches en forma segura y eficaz en una gran cantidad de sistemas, hágalo. Puede ser beneficioso para la estrategia general de la gestión de riesgos, aunque se introduzcan algunos riesgos mínimos
  • puede no ser posible encarar todas los temas de alto riesgo al mismo tiempo, pero un enfoque de alto/bajo riesgo puede ser completamente plausible basado en la experiencia y disponibilidad de personal de TI. Esto reducirá rápidamente el riesgo global a la seguridad de la información de una organización
  • mientras se esté previniendo vulnerabilidades de alto riesgo, puede ser necesario retirar algunos patches si prueba que pueden afectar los procesos de los negocios. Esto puede ser evitado si se probaron adecuadamente los patches antes de retirarlos
  • tener un proceso implementado para el retiro de patches asegura que si una actualización en la seguridad causa problemas con un proceso operativo clave, puede ser fácilmente retirado tomando las medidas de mitigación para proteger mejor el sistema
  • asegurar que se generan registros de lo realizado durante cada cambio de configuración del sistema y cada período de pruebas, ya que es esencial para el proceso de remediación
Proceso de gestión
  • recuerde que la gerencia es esencial para la auditoría y para mantener adecuadamente la política de seguridad. Las corporaciones podrían realizar evaluaciones y remediaciones todos los meses o semanas y saber que están adecuadamente protegidos con patches, pero esto contribuye muy poco a la reducción del riesgo general asociado con procedimientos de patches de las redes en general. Estableciendo un proceso repetible con métodos definidos para evaluar y realizar remediaciones, se puede asegurar una gestión y auditoría adecuadas del proceso
  • puede ser conveniente realizar auditorías internas antes de la visita del auditor externo, de manera tal de evitar resultados negativos en la auditoría externa
  • revisar cada paso definido por el proceso, para asegurar que se ha cumplido con los prescripto en los procedimientos y se mantuvieron los riesgos en niveles aceptables – el proceso de auditoría es el mejor indicador del riesgo residual presente en una organización
  • para asegurar que el procedimiento de gestión de patches funciona adecuadamente, es esencial asegurar que los cambios en la configuración del sistema han sido realizados y aprobados también por el área de seguridad
  • recuerde que, por sobre todas las cosas, es esencial ser capaz de producir esta documentación durante una auditoría del proceso explicando tanto las razones de la excepciones como que los controles de mitigación son aprobados por el nivel gerencial

Solamente estableciendo un proceso definido y repetible para la gestión de patches es posible gestionar los riesgos corporativos asociados con el sistema de patches y elaborar un programa totalmente auditable

Sobre el autor

Colin Buechler es consultor senior sobre seguridad en Shavlik Technologies, el líder en el mercado en la simplificación de la configuración de las redes en empresas complejas, en el cumplimiento regulatorio y en la seguridad. Para obtener mayor información consulte: www.shavlik.com

Fuente: http://spain.irca.org/inform/issue14/CBuechler.html

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!