martes, 16 de enero de 2007

Control 12.6.1. Gestión de las vulnerabilidades técnicas

Dentro del capitulo de controles relacionados con la seguridad informática, el bloque 12 en su apartado 6 habla de gestionar y controlar las vulnerabilidades técnicas que pudieran suponer un riesgo.

Para lograrlo es necesario básicamente dos cosas:
1.- Contar con un buen inventario de activos de información, identificando para cada uno de ellos si son elementos tecnologicos, su sistema operativo y aplicaciones instaladas.
2.- Disponer de fuentes de información técnica que informen sobre las vulnerabilidades descubiertas.

Para este segundo aspecto, es interesante contar con buenas fuentes de información que actualicen al responsable de seguridad de las vulnerabilidades publicadas para que valore si tienen un potencial impacto y tome medidas. En mi opinión, lo más cómodo y práctico es disponer de una lista o cuenta de correo interno, independiente de la personal, donde se reciban boletines y servicios de alarma de aquellos sistemas que tenemos que vigilar.

A continuación voy a proporcionar algunos recursos interesantes a utilizar como fuentes consultables vía RSS o mediante suscripción por email.
Estos son algunas urls interesantes de organismos independientes que informan sobre vulnerabilidades:


Iré ampliando esta información con las urls nuevas que encuentre o bien me lleguen a través de comentarios las iré incorporando al post.
 
;