Lo importante inicialmente es saber para que se hace un análisis de vulnerabilidades, como alinear las necesidades del área de tecnología con el área de seguridad. Comúnmente se tiende a confundir seguridad con tecnología.
Existen muchos factores que influyen en cómo solucionar una vulnerabilidad, por lo general lo acertado es buscar un proceso que siga por lo menos los siguientes pasos.
- Seguridad descubre una vulnerabilidad o recibe una alerta del proveedor o listas de seguridad.
- Seguridad analiza si el sistema de la empresa es vulnerable.
- Seguridad define la criticidad de la vulnerabilidad para la empresa.
- Seguridad analiza una posible solución.
- Seguridad informa a Tecnología sobre el tema y detalla la criticidad y urgencia de corrección, incluyendo sugerencia de corrección.
- Tecnología analiza la sugerencia de corrección y demás información recibida.
- Tecnología informa si implementará la solución o si genera una forma de evitar la vulnerabilidad, de tallando los motivos.
- Tecnología implemente la solución y notifica a Seguridad.
- Seguridad verifica la inexistencia de la vulnerabilidad o la mitigación de la misma
Ahora bien regularmente son muchas las vulnerabilidades que se pueden identificar en un análisis por el área de seguridad y una herramienta con la que se puede apoyar el área es My Nessus Viewer este representa un primer intento de programación GUI para identificar de forma ordenada una vulnerabilidad y hace dos cosas principalmente, muestra los resultados por tema, en lugar de por el anfitrión y fusiona múltiples informes en uno solo.
Esto es lo que aparecerá al ejecutarlo:
Esto es lo que se obtiene cuando se carga un archivo de Nessus:
Si se carga otro archivo los resultados se combinan: