Fórum de discussão

Poderia explicar melhor esse controle?

Poderia dar um exemplo prático e como atendê-lo?

12.6.1 Controle de vulnerabilidades técnicas

Controle

Convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de

informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas

apropriadas para lidar com os riscos associados.

Diretrizes para implementação

Um inventário completo e atualizado dos ativos de informação (ver 7.1) é um pré-requisito para uma gestão

efetiva de vulnerabilidade técnica. Informação específica para o apoio à gestão de vulnerabilidade técnica

inclui o fornecedor de software, o número de versão, o status atual de uso e distribuição (por exemplo, que

softwares estão instalados e em quais sistemas) e a(s) pessoa(s) na organização responsável(is) pelos

softwares.

Convém que a ação apropriada seja tomada, no devido tempo, como resposta às potenciais vulnerabilidades

técnicas identificadas. Convém que as seguintes diretrizes sejam seguidas para o estabelecimento de um

processo de gestão efetivo de vulnerabilidades técnicas:

a) a organização defina e estabeleça as funções e responsabilidades associadas na gestão de

vulnerabilidades técnicas, incluindo o monitoramento de vulnerabilidades, a análise/avaliação de riscos

de vulnerabilidades, patches, acompanhamento dos ativos e qualquer coordenação de

responsabilidades requerida;

b) os recursos de informação a serem usados para a identificar vulnerabilidades técnicas relevantes e

para manter a conscientização sobre eles sejam identificados para softwares e outras tecnologias

(com base na lista de inventário dos ativos, ver 7.1.1); convém que esses recursos de informação

sejam mantidos atualizados com base nas mudanças no inventário de ativos, ou quando outros

recursos novos ou úteis forem encontrados;

c) seja definido um prazo para a reação a notificações de potenciais vulnerabilidades técnicas relevantes;

d) uma vez que uma vulnerabilidade técnica potencial tenha sido identificada, convém que a organização

avalie os riscos associados e as ações a serem tomadas; tais ações podem requerer o uso de patches

nos sistemas vulneráveis e/ou a aplicação de outros controles;

e) dependendo da urgência exigida para tratar uma vulnerabilidade técnica, convém que a ação tomada

esteja de acordo com os controles relacionados com a gestão de mudanças (ver 12.5.1) ou que sejam

seguidos os procedimentos de resposta a incidentes de segurança da informação (ver 13.2);

f) se um patch for disponibilizado, convém que sejam avaliados os riscos associados à sua instalação

(convém que os riscos associados à vulnerabilidade sejam comparados com os riscos de instalação do

patch);

g) patches sejam testados e avaliados antes de serem instaladas para assegurar a efetividade e que não

tragam efeitos que não possam ser tolerados; quando não existir a disponibilidade de um patch,

convém considerar o uso de outros controles, tais como:

1) a desativação de serviços ou potencialidades relacionadas à vulnerabilidade;

2) a adaptação ou agregação de controles de acesso, por exemplo firewalls nas fronteiras da rede

(ver 11.4.5);

3) o aumento do monitoramento para detectar ou prevenir ataques reais;

4) o aumento da conscientização sobre a vulnerabilidade;

h) seja mantido um registro de auditoria de todos os procedimentos realizados;

i) com a finalidade de assegurar a eficácia e a eficiência, convém que seja monitorado e avaliado

regularmente o processo de gestão de vulnerabilidades técnicas;

j) convém abordar em primeiro lugar os sistemas com altos riscos.

Informações adicionais

O correto funcionamento do processo de gestão de vulnerabilidades técnicas é crítico para muitas

organizações e, portanto, convém que seja monitorado regularmente. Um inventário de ativos preciso é

essencial para assegurar que vulnerabilidades potenciais relevantes sejam identificadas.

Você poderia me dizer onde conseguiu todos esses detalhes?