El modelo de gestión de riesgos "clásico" es un modelo estático. Analizamos los riesgos una vez, y no revisamos el análisis hasta pasado un ciclo completo del proceso (normalmente, anual). Sin embargo, la gestión de vulnerabilidades es algo mucho más dinámico. De ocurrencia puntual, pero que al cabo de un mes en general tendremos que aplicar. Un ciclo excesivamente corto para el análisis de riesgos.
El modelo ITIL de gestión de incidentes aplicado a las vulnerabilidades tiene algunas dificultades. Para empezar no encaja con el planteamiento clásico (ITIL) de resolución de incidentes igual a restablecimiento del servicio, ya que no hay servicio degradado. Una vulnerabilidad no afecta al SLA del servicio, al menos no directamente. No obstante, los principios de la gestión de problemas sí que parecen encajar con la gestión que requieren las vulnerabilidades. ¿Cuál podría ser el detonante para este proceso?
Otros modelos de referencia tampoco terminan de encajar. Todos los que tienen implantados sistemas de gestión conocen la sistemática aplicable a las acciones preventivas, pero... ¿Es suficientemente ágil ese planteamiento para ser aplicado en relación a las vulnerabilidades técnicas? Teniendo en cuenta que ambas metodologías de gestión suelen quedar en manos de departamentos diferentes, tampoco parece una solución óptima.
Mi propuesta para la gestión de vulnerabilidades es hacer uso del proceso ITIL v3 de Gestión de Eventos. Este es un proceso en general infrautilizado, que se suele limitar a la monitorización de sistemas. Sin embargo, es un proceso que puede dar mucho más de si, tanto desde el punto de vista de la correlación de logs como desde el punto de vista de la gestión de vulnerabilidades.
Para empezar, la gestión de eventos es un proceso "interno" de un departamento TIC. Tiene vocación preventiva, y dos de sus principales salidas van hacia la gestión de problemas y la gestión de cambios. Por lo tanto, entre el propio proceso y aquellos con los que se relaciona se puede cubrir el ciclo completo de gestión de la vulnerabilidad:
- Aparición --> Detección y Notificación --> Registro --> Análisis --> Aplicación de WorkAround --> Análisis de causa --> Parcheo --> Cierre
En definitiva, la gestión de vulnerabilidades es un proceso peculiar, para el que los modelos de gestión más habituales no terminan de encajar, pero que puede encontrar en los procesos de ITIL v3 el formato más apropiado para introducirse de forma nativa en los procesos de operación TIC de cualquier organización.
A vosotros, qué os parece la propuesta? ¿Qué ventajas e inconvenientes le veis? Estaré encantado de leer vuestros comentarios.