Skip to main content

Kalteberatasunen kudeaketa

Nori zuzendua dago?

Informatikako kalteberatasunen kudeaketa bere zibersegurtasunaren egituraketa modu eragingarrian egin nahi duen edozein erakunde pribatuk edo publikok, handik edo txikik, egin beharko luke.

Zer da?

Kalteberatasunen kudeaketaren bidez, erakunde bateko elementu teknologikoek dituzten segurtasuneko kalteberatasunak identifikatzen dira, larritasun mailaren arabera aztertzen dira, egon daitezkeen irtenbide posibleak eta inplikazioak zehazten dira, aplikazioa kostua/onura aintzat hartuta ebaluatzen da eta planteatutako irtenbidea ezartzen da. Jarraian, irtenbidearen hedapenaren inguruko jarraipena egiten da eragina jasan duten elementu teknologiko guztietan.

Kalteberatasunen kudeaketa eskuz egin eta ohiko IKTen kudeaketarako erabiltzen diren tresnen eta ofimatikako tresnen bidez ezar daiteke, baina merkatuan kalteberatasunen kudeaketa egituratzeko helburu espezifikoa duten hamaika tresna topatuko dugu. Horiek erabiltzea oso onuragarria izan daiteke hala erabakitzen duten erakundeetarako prozesu hori ezartzeko garaian lortuko luketen automatizazioa eta eraginkortasuna direla eta.

Helburuak

Kalteberatasunen kudeaketaren helburuak honela laburbil ditzakegu:

  • Erakundeko elementu teknologikoek dituzten kalteberatasunak modu goiztiarrean identifikatzea.
  • Identifikatutako kalteberatasunen larritasuna modu sistematikoan ebaluatzea ahalbidetuko lukeen prozesua garatzea.
  • Identifikatutako kalteberatasunak modu egituratuan zuzentzeko mekanismoa egituratzea.

Onurak

Kalteberatasunak kudeatuta, edozein erakundek eskuratuko ditu horrek eskaintzen dituen onurak:

  • Erakundearen aktibo teknologikoek dituzten eta mehatxuak gertatzea eragin dezaketen kalteberatasun espezifikoez jabetzea.
  • Aztertutako kalteberatasun bakoitzaren larritasuna modu objektiboan aztertzeko gaitasuna izatea larritasun hori konponbidearen lehentasunak zehazteko garaian parametro nagusitzat hartzeko.
  • Denboran zehar erakundean identifikatutako kalteberatasun teknologikoak konpontzeko prozesuaren jarraipena egitea.
  • Erakundean identifikatutako kalteberatasun teknologikoekin lotutako informazioa erabili ahal izatea arriskuen kudeaketa eragingarria egiteko input gisa.

Kalteberatasunak kudeatzeko kontuan izan beharreko faktoreak

  • Erakundearen neurria
  • Aztertutako elementu teknologiko kopurua
  • Aztertutako elementu teknologikoen aniztasuna
  • Aztertutako elementu teknologikoen espezifikotasuna eta berezitasuna
  • Azterketa egituratuko den maiztasuna
  • Antolaketako beste alderdi batzuk

Kalteberatasunen kudeaketa-prozesuaren faseak

1. fasea Proiektua abian jartzea

Kalteberatasunen kudeaketak teknologia eta zibersegurtasun arloen inplikazioa jaso beharko du; izan ere, bi profil horiek prozesuan barneratuta egongo dira eta prozesua behar bezala egituratu ahal izateko beharrezko bitartekoak bideratu beharko dituzte.

2. fasea Irismena mugatzea

Erakundeak kalteberatasunen kudeaketa-prozesua egingo zaien aktibo teknologikoak mugatu beharko ditu eta, honako hauek hartu ahal izango ditu kontuan:

  • Prozesuarekin lotutako IKT azpiegituren elementu espezifikoak (sareko ekipamendua, segurtasuneko ekipamendua, sistema eragileak, aplikazioak, zerbitzariak eta abar).
  • Prozesuarekin lotutako IKT azpiegituren elementu espezifikoak (PLCak, sare industrialak, SCADA soluzioak eta abar).
  • Teknologia arloko fabrikatzaileen kasuan, prozesua hedatuko den fabrikatutako produktuak eta fabrikatzeko erabiltzen diten elementu teknologikoak.

3. fasea Prozesua ezartzeko mekanismoa finkatzea

Horrez gain, erakundeak erabaki beharko du prozesua eskuz edo tresna teknologiko baten bidez egingo den .Azken kasu horretan, kalteberatasunen kudeaketarekin lotuta erakundearen interes eta beharretara ondoen egokitzen den tresna aukeratu beharko da.

4. fasea Elementu teknologikoen inbentarioa egitea

Erakundeak aztertutako elementu teknologiko bakoitzaren ezaugarriak jasotzen dituen inbentarioa gartu beharko du. Gutxienez honako hauek jaso beharko dira bertan:

  • Fabrikatzailea
  • Produktu zehatza
  • Erabiltzen ari diren bertsioa

5. fasea Kalteberatasunen informazio-iturriak hautatzea

Jarraian, erakundeak erabili behar dituen kalteberatasunen informazio-iturriak aukeratu beharko ditu. Era askotakoak izan daitezke iturri horiek:

  • Kalteberatasunen abisu-iturriak: Erakunde batzuek (BCSCk, adibidez) kalteberatasunen abisuak argitaratzen dituzte (orokorrak, kontrol industrialeko sistemenak eta abar). Erakundeak horietara harpidetuta egon beharko du sor daitezkeen kalteberatasun berriak eguneratuta izateko.
  • Kalteberatasun espezifikoen azterketa: Bestalde, erakundeak bere azpiegitura teknologikoen eskaneatzeak eta azterketa egin ahal izango ditu bere elementu teknologikoetan egon daitezkeen kalteberatasun posibleak identifikatu ahal izateko.
  • Adituek kalteberatasunen berri ematea: Erakundea teknologia-fabrikatzailea denean, zibersegurtasunean adituak direnek erakundeari fabrikatutako produktuetan dauden kalteberatasunen berri emateko aukera egoten da.

6. fasea Kalteberatasunen informazio-iturriak integratzea

Erakundeak erabili nahi dituen kalteberatasunei buruzko informazio-iturriak zehaztu eta iturri horietako bakoitza erabiltzeko mekanismoak egituratu beharko ditu. Hala, elementu teknologikoetan eragina izan dezaketen kalteberatasunen inbentario bat eraiki beharko du modu dinamikoan.

7. fasea Kalteberatasunak alderatzea

Inbentarioko kalteberatasun bakoitza prozesuaren xede diren elementu teknologikoen inbentarioarekin alderatu eta haietakoren batek eragina izan dezakeen aztertu beharko da. Hori gertatuko balitz, erakundeak kalteberatasunaren xehetasunak eta eragina jasan dezaketen elementu teknologikoen xehetasunak aztertu beharko ditu afekzio hori benetakoa den egiaztatzeko. Hala, inbentarioan jasotako kalteberatasunaren xehetasunak elementu teknologiko horien ezaugarri espezifikoekin alderatu beharko ditu.

8. fasea Egiaztatutako kalteberatasunak ebaluatzea

Kalteberatasun horrek erakundearen elementu teknologikoetan eragina badu, honako hauek guztiak kontuan hartuta ebaluatu beharko ditu ezaugarriak:

  • Kalteberatasunaren larritasuna; gehienetan, bere CVSSaren bidez erraz zehatz daitekeena.
  • Kalteberatasuna behin-behinekoz aritzeko workround edo mekanismo posibleak (gehienetan, kalteberatasun-abisuaren baitan jasota egongo lirateke, bere CVE identifikatzaileari lotuta).
  • Kalteberatasunarekin lotutako behin betiko irtenbide posibleak: gehienetan, segurtasuneko adabaki bat edo hotfix bat aplikatzea izango da, eta hori kalteberatasun-abisuaren baitan erreferentziatuta egongo da, bere CVE identifikatzaileari lotuta.
  • Workaround eta/edo adabakiaren aplikazioak erakundean izan dezakeen inpaktua, eragina jasandako elementu teknologikoen gainean egindako aldaketa horrek elementu horien gaitasun operatiboan eta, horrenbestez, erakundean izan dezakeen inpaktuari lotuta.

9. fasea Kalteberatasunaren kudeaketari buruzko erabakia

Aurreko ebaluazioko emaitzak aintzat hartuta, erakundeak erabaki beharko du adabakia eta/edo workarounda ezarri behar duen edo, aldiz, ez ezartzeak dakarren arriskua onartzen duen. Horretarako, dagokion azterketa-prozesua eta arriskuen kudeaketa egin beharko ditu.

10. fasea Irtenbidea ezartzea

Erakundeak workarounda eta/edo adabakia ezartzea erabakitzen badu, eragina jasandako elementu teknologiko bakoitzean dagokion aldaketaren plangintza egin beharko du erakundeak aurrez ikusita dituen aldaketen kudeaketa-prozesuak oinarritzat hartuta.

11. fasea Jarraipena

Dagozkion aldaketak hedatzeko prozesuak iraupen handia izan dezakeenez, erakundeak hedapen-prozesu horren jarraipena egin beharko du. Uneoro jakin beharko du irtenbideaz baliatu diren elementu teknologikoak zein diren eta zeinetan oraindik ez den irtenbide edo soluzio hori aplikatu eta, horrenbestez, kalteberatasunak non jarrai dezakeen indarrean.

12. fasea Egiaztatzea

Adabakiak hedatzeko prozesua zein elementu teknologikoen ezaugarri teknikoak konplexuak izan daitezkeenez, gerora egiaztatze-lana egitea gomendatzen da. Hala, egindako aldaketak identifikatutako kalteberatasuna modu eragingarrian arintzea edo desagerraraztea ahalbidetu duen egiazta daiteke.

Non jaso dezaket aholkularitza eta/edo non kontrata ditzaket kalteberatasunen kudeaketako tresnak?

BCSCk erakunde publikoen eta enpresa pribatuen esku “Euskadiko Zibersegurtasunaren Liburu Zuria”, jartzen du. Dokumentu horrek gure tokiko ekosistema osoaren egoera jasotzen du berrikuntza, ikerketa, ekintzailetza eta abarrak oinarri dituen ikuspegi ugarirekin. Bertan, zerbitzu mota horiek eskaintzen dituzten zibersegurtasuneko hornitzaileen katalogoa azaltzen da, horiek eskatzeko interesa duten erakundeek erabakiak hartu behar dituztenean erreferentzia-puntu , bat izan dezaten.

Katalogoak Euskadiko zibersegurtasunaren merkatuaren laburpena edo irudia jasotzen du; zerrenda bizia da, aldizka berrikusten eta eguneratzen dena, sortzen diren aukeren eta zerbitzuen digitalizazioan etengabeko bilakaera eta aurrerapena gertatzen direlako.

BCSC Liburu Zuria

Erreferentziak

https://www.tarlogic.com/es/blog/gestion-de-vulnerabilidades/

https://es-la.tenable.com/vulnerability-management

Partekatu

Linkedin partekatu