En la actualidad cuando se habla de “Administración de vulnerabilidades” casi siempre se asocia a una herramienta tecnológica que ejecuta pruebas de vulnerabilidades a nuestra infra estructura tecnológica. Este podría ser un buen primer acercamiento, sin embargo es una visión incompleta, como lo dices John P. Pironti en el articulo Elements of an information Security Program la administración de incidentes y vulnerabilidades debe contener los elementos tanto reactivos como proactivos para entender que vulnerabilidades existen así como el riesgo de las mismas

Para poder cumplir con una administración completa se deben tener en cuentas al menos los rubros que se muestran la siguiente figura:

Administración de activos: Este rubro se relaciona en tener identificados y clasificados los activos tecnológicos de la organización. No se basa en tener un inventario simplemente, es llegar a tener el valor de pérdida o nos disponibilidad del activo (BIA).

• Conocer y tener definido que activo representa más valor para la organización basado en criticidad y sensibilidad. Con esto se le da un peso mayor al momento de proteger el activo.
• También se relaciona con el hecho darle la preferencia a un activo sobre otros al momento de remediar una vulnerabilidad.· 
• Análisis de vulnerabilidades a nivel de red: Este procedimiento debe bridar el descubrimiento de las vulnerabilidades de la infra estructura a nivel de red de datos y voz.
• Análisis de vulnerabilidades de nivel de equipo: Este procedimiento debe brindar el descubrimiento de las vulnerabilidades y configuraciones por defecto en nivel de dispositivo.
• Análisis de configuraciones: Debe permitirnos evaluar la configuración y optimización de nuestra infra estructura.
• Pruebas de penetración: Este procedimiento nos permite probar la robustez de nuestros controles de seguridad ya que no solamente descubre vulnerabilidad, también las explota para obtener la mayor penetración en un sistema.
• Análisis de código: Estudios de análisis de código nos permiten evaluar y conocer vulnerabilidades en aplicaciones hechas en casa, antes de que estén en producción.
• Alertas de fabricantes y sitios de seguridad: El mantenernos informados respecto a nuevos ataques y vulnerabilidades que pudieran afectar a nuestra infra estructura debe ser un punto crucial.
• Determina el nivel de protección requerido para los sistemas de información y está muy relacionada con el priorización.
• Determina el impacto de una vulnerabilidad descubierta en nuestra organización. Este es importante recalcar que no es lo mismo que para un fabricante una vulnerabilidad es de nivel Medio, cuando esta permitirá que la CIA de la información pueda ser comprometida y esta vulnerabilidad exista en el 95% de la nuestra infra estructura tecnológica; el trato que se le deba dar a esta vulnerabilidad debería ser de carácter crítico y no medio. Este procedimiento deberá permitirnos conocer el riesgo de la vulnerabilidad aplicado a la organización, con esto es posible definir la estrategia de remediación.

El poder contar con un programa integral de administración de vulnerabilidades involucra varias dentro y fuera de la organización. Algunos de los procesos incluso deben ser realizados por un tercero para lograr una verdadera imparcialidad de las cosas.

Como último punto es importante recalcar que la información es y sirve a la organización y que la seguridad informática es una herramienta más para cumplir los objetivos del negocio y esta debe alinearse a estos objetivos sin perder la visión de los mismos.

Darkslaker