CVSS integrado a ISO 27001

Este artículo desarrollado por Miguel Ángel Hernández Ruiz no pretende exponer una forma única de llevar a cabo la interconexión entre CVSS e ISO 27001 dado que la metodología de análisis de riesgos puede variar sustancialmente entre implantaciones. Es por ello que se apoya en su parte normativa en ISO 27005 para intentar huir de metodologías concretas, aunque cierta concreción ha sido inevitable para mostrar los ejemplos

El sistema de puntuación de vulnerabilidades comunes (Common Vulnerability Scoring System, en adelante CVSS) viene a solucionar la problemática de priorizar las actuaciones entorno a las vulnerabilidades técnicas localizadas dentro de la organización en el proceso de gestión de la vulnerabilidad técnica, unificando la forma en la que las vulnerabilidades son evaluadas.

CVSS constituye un marco de trabajo en el cual se definen una serie de parámetros que permiten asignar un valor de riesgo a una determinada vulnerabilidad basándose en tres diferentes grupos de métricas:

• Métricas Base: recogen las características intrínsecas y fundamentales de la vulnerabilidad que son independientes del tiempo y del entorno en el que ésta se pueda presentar.
• Métricas Temporales: reflejan aquellas cualidades que pueden variar en el tiempo.
• Métricas de Entrono: involucran aquellas variables que dependen del entorno en el que se encuentra la vulnerabilidad.

El documento completo se puede descargar en PDF desde el sitio de Miguel.

Cristian de la Redacción de Segu-Info