8/14/2019 GTAG 06 Global Technology Audit Guide

1/12

Global Technology Audit

Guide

GUIA 06:

Manejar y Auditarvulnerabilidades de TI

8/14/2019 GTAG 06 Global Technology Audit Guide

2/12

GTAG Global Technology Audit Guide

Importancia

Segn US National vulnerability database:

5.000 nuevas cada ao.

40% de ellas son de severidad.

Consecuencias?.

8/14/2019 GTAG 06 Global Technology Audit Guide

3/12

GTAG Global Technology Audit Guide

Con esta guia

Conocer el proceso de administrar

vulnerabilidades.

Revisar el ciclo de evaluacin devulnerabilidades.

Diferenciar alta y baja administracin de

vulnerabilidades.

8/14/2019 GTAG 06 Global Technology Audit Guide

4/12

GTAG Global Technology Audit Guide

Baja admin. de vulnerabilidad

Vulnerabilidades en numero mayor a lasaceptables*.

Incapacidad de definir las

vulnerabilidades. Incapacidad de asociar los riesgos.

Pobre relacin entre admin. de TI y

seguridad de TI. Falta de evaluaciones de admin. de

sistemas / manejo de configuraciones.

8/14/2019 GTAG 06 Global Technology Audit Guide

5/12

GTAG Global Technology Audit Guide

Admin. efectiva

Identificar y solucionar vulnerabilidades,

administrando el riesgo.

Tener un conocimiento de lasvulnerabilidades.

Soluciones de acuerdo al riesgo.

Evaluacin continua de vulnerabilidades. Utilizar la mejor tecnologa posible.

8/14/2019 GTAG 06 Global Technology Audit Guide

6/12

GTAG Global Technology Audit Guide

Labor del Auditor

Conocer y evaluar los controles.

Generar medidas de contencin

preventivas y correctivas.

Informar al nivel superior sobre las

vulnerabilidades y su administracin.

8/14/2019 GTAG 06 Global Technology Audit Guide

7/12

GTAG Global Technology Audit Guide

Ciclo de evaluacin

8/14/2019 GTAG 06 Global Technology Audit Guide

8/12

GTAG Global Technology Audit Guide

Ciclo de vida

Stop theSpread

Set OLAs

Automate

Past - Future

Mitigate

Create aMitigation

Process

Assess Risks

Prioritize

Vulerabilities

ScopingSystems

Detecting

Validate

Identificationand Validation

Risk Assessmentand Prioritization

RemediationContinuous

Improvement

8/14/2019 GTAG 06 Global Technology Audit Guide

9/12

GTAG Global Technology Audit Guide

10 preguntas a realizar

Qu porcentaje de los sistemas sonmonitoreados o escaneados?

Cuntas vulnerabilidades unicas existen

en su empresa? Qu porcentaje de los sistemas son

manejados?

Qu porcentaje de vulnerabilidades sehan validado?

Cul es el retraso para validar?

8/14/2019 GTAG 06 Global Technology Audit Guide

10/12

GTAG Global Technology Audit Guide

Qu porcentaje ha sido remediado en el ultimo

periodo?

Que nivel de aceptacin de nivel operacional

(OLA) existe. Cunto del trabajo de seguridad es no

planeado?

Cuntos incidentes ha tenido en el ultimo xx? Cul ha sido el costo de los ultimos xx

incidentes de seguridad?

8/14/2019 GTAG 06 Global Technology Audit Guide

11/12

8/14/2019 GTAG 06 Global Technology Audit Guide

12/12

GTAG Global Technology Audit Guide

Preguntas?