Procedimiento de notificación y gestión de parches de seguridad
¡Vamos!
1. Propósito
El objetivo de este procedimiento de gestión e implementación de parches es garantizar y en su caso corregir los errores del software para minimizar las vulnerabilidades existentes y evitar su explotación. Los parches también pueden aplicarse para corregir la funcionalidad de un programa o sistema. Además, con esto se busca cubrir la gestión integral de incidentes de seguridad, promoviendo la revisión y actualización periódica de parches, así como el cumplimiento de políticas y procedimientos para adaptarse continuamente a las nuevas amenazas y vulnerabilidades en el Gobierno del Estado de Nuevo León (GENL).
Continuar
2. Alcance
Todas las actividades relacionadas con la seguridad de la información dentro del Gobierno de Nuevo León. Esto incluye la implementación y gestión de parches de seguridad, de parte de las Unidades Informáticas y Usuarios de bienes y servicios de TIC, generando la revisión y actualización regular de los mismos, así como el cumplimiento a las políticas y procedimientos de seguridad. Además, el procedimiento se extiende a todos los sistemas, datos y procesos que puedan estar sujetos a riesgos de seguridad en general y en particular a la ciberseguridad, con el objetivo de garantizar la protección integral de la información contra amenazas y vulnerabilidades del GENL.
Continuar
Los objetos de actualización se clasifican en los siguientes tipos: a) Sistemas operativos o firmwares: Son los productos de software que le permiten
al hardware interactuar con el entorno
b) Software intermedio: Son todos los productos de software involucrados en la intercomunicación y el proceso de los datos y cuenta con las siguientes subclasificaciones:
Continuar
Software intermedio:
1. Servidores de aplicación.
3. Integración de datos.
2. Interfaces de programación (API’s).
4. Servicios de subscripción a contenido.
5. Orientado a mensajes
Continuar
Se establecen algunas directrices para la gestión y aplicación de parches a software intermedio (middleware) dentro del marco de ciberseguridad,ya que este tipo de software juega un papel crítico en la interconexión de aplicaciones y sistemas, lo que lo hace un posible vector de ataque si no se actualiza correctamente.
Aquí se detallan, algunos puntos clave de la aplicaciónde parches en software intermedio:
III
VII
II
IV
VI
Continuar
c) Aplicaciones
Es el software que interactúa directamente entre los usuarios y el software intermedio para producir información útil a partir de lao datos almacenados existentes.
Continuar
A continuación, se proporciona lineamientos específicos para la gestión de parches en aplicaciones de servidores, destacando la importancia de aplicar parches de manera eficiente y segura para mitigar vulnerabilidades.
Se detallan las recomendaciones clave para aplicar parchesen aplicaciones de servidores:
1. Evaluación continua de vulnerabilidades
2. Priorización de parches
4. Verificación de la autenticidad del parche
3. Pruebas antes de la implementación
5. Automatizacióny monitoreo continuo
6. Registrode cambios
7. Planes de contingencia y recuperación
Continuar
d) Elementos de red
Componentes básicos de las redes para poder formar una red se requieren elementos: hardware, software y protocolos. Los elementos físicos se clasifican en dos grandes grupos: dispositivos de usuario final (hosts) y dispositivos de red.
Continuar
A continuación, se proporciona lineamientos específicospara la gestión de parches en elementos de red, destacando la importancia de aplicar parches de manera eficientey segura para mitigar vulnerabilidades.
Aquí el detalle de las recomendaciones y necesidadesclave para aplicar parches:
1. Inventario Detallado y Clasificación Específica de Elementos de Red
5. Aplicación del Parche
2. Monitoreo y Recepción de Parches de Seguridad
6. Monitoreo Activo Post-Parche
7. Documentación Especializada
3. Evaluación Técnica de Parches en Entornos de Red
8. Revisión y Validación Continua
4. Planificación Detallada de la Implementación
Continuar
3. Responsabilidades
Continuar
F) Para el punto anterior se deberá considerar el siguiente esquema para la documentación necesaria de los parches de seguridad WINDOWS, según se muestra:
Continuar
Además de considerarse lo mencionado en el cuadroanterior, se deberá incluir para temas de mantenimiento y controles tal como se menciona:
Mantenimiento Continuo de la Seguridad:
Se definen los siguientes controles de seguridad para la gestión de parches y actualizaciones en sistemas operativos, de los cuales se detallan: Escaneo de Vulnerabilidades: Se recomienda escanear los sistemas operativos regularmente en busca de vulnerabilidades y aplicar los parches de seguridad necesarios, utilizando el proceso automático de actualización, usar herramienta de: HP Support (https://support.hp.com/mx es/document/ish_2463278-2285260-16),
Lenovo Support (https://pcsupport.lenovo.com/mx/es), Dell Support (https://www.dell.com/support/home/es-mx) Los parches deben ser descargados desde fuentes verificadas y se deben seguir procesos de autenticación para evitar la instalación de software malicioso.
Continuar
Para la aplicación de parches: El proceso para la aplicación de parches en sistemasoperativos de servidores debe seguir estos pasos:
Antes de aplicar un parche, es fundamental evaluar cómo podría afectar el parche al sistema. Esto incluye revisar las notas de la actualización y realizar pruebas en un entorno controlado, por ejemplo, la SST, la DIT.
Los parches deben ser probados en entornos de prueba antes de ser desplegados en servidores de producción para evitar interrupciones no planificadas.
Utilizar herramientas automatizadas para detectar vulnerabilidades conocidas en los sistemas operativos de los servidores.
Pruebas en entornos de desarrollo
Monitoreo de vulnerabilidades
Evaluación de impacto
Continuar
La aplicación de parches se debe de hacer, después de las pruebas satisfactorias, del entorno controlado, además se debe aplicar el parche en los sistemas de producción según una política de implementación previamente definida. Posteriormente a la actualización y después de aplicar los parches, se deben monitorear los sistemas para asegurarse de que no haya nuevos problemas o vulnerabilidades derivadas de la actualización. (Referencia NIST SP 800-53)
Continuar
Para el caso de los sistemas operativos Linux,tendríamos de referencia lo siguiente:
(Ver también anexo A)
i. Programación: Planificar la implementación de parches en momentosde bajo uso para minimizar el impacto en los usuarios. ii. Documentación: Mantener un registro de los parches aplicados, incluyendo la fecha, la versión del parche y los problemas que se resolvieron.
i. Métodos de aplicación: Utilizar las herramientas de gestión de paquetes de tu distribución: 1. Debian/Ubuntu 2. Red Hat/CentOS ii. Reinicio: Algunos parches pueden requerir un reinicio del sistema o de servicios específicos. Asegurar de notificar a los usuarios si es necesario.
Si es posible, prueba los parches en un entorno de desarrollo antes de aplicarlos en producción. Esto te ayudará a identificar posibles problemas.
i. Prioridad: Evalúa la criticidad de los parches.
ii. Clasificar los parches como críticos, importantes o de bajo impacto.
Evaluaciónde parches
Implementación de parches
Pruebas
Planificación
Continuar
Para la implementación de parches a los sistemas operativos tanto Windows como
de Linux y seguimiento de aplicación de los parches, se tomarán las siguientes
medidas:
Se deberán realizar una revisión sobre la actualización regular de los parches, así mismo de las políticas y procedimientos de seguridad, con el objetivo de adaptarse a las nuevas amenazasy vulnerabilidades de la tecnología emergente.
Teniendo los parches “liberados”, se deberá realizar lo siguiente:
Continuar
Las áreas responsables deberán registrar el proceso de actualización y sus resultados como evidencia para cualquier posible auditoría posterior. Dicho registro puede ser realizado por medios electrónicos, bitácoras, software especializado, etc. De acuerdo a sus posibilidades y deberán presentar dichos registros en caso de ser solicitados por el área de Ciberseguridad.
Los equipos de Subsecretaria de Tecnología y las Unidades Informáticas y Usuarios de bienes y servicios de TIC, serán responsables de implementar y hacer cumplir este procedimiento, así como de proporcionar capacitación y soporte técnico relacionado con los incidentes.
Estas responsabilidades y actividades buscan asegurar que el GENL pueda identificar, mitigar y responder eficazmente a los riesgos de seguridad de la información, que pudieran afectar posteriormente.
Continuar
Consideraciones
La gestión de parches es un proceso continuo y crítico. Mantener un enfoque proactivo y sistemático ayuda a asegurar que tu infraestructura de Windows o Linux se mantenga segura y eficiente. Para fines de seguridad de la información y prevención de fallas críticas, se deben considerar los siguientes criterios para la autorización y aplicación de parches:
Continuar
Indispensables
El parche actualiza un elementode seguridad de la información y ayuda a detectar y prevenir amenazas y/o ataques:
El parche resuelve o corrige una vulnerabilidad existente que puede permitir el acceso no autorizado o la sustracción ilegal de la información:
El parche resuelve o previeneun problema crítico existente o latente:
Cuando el fabricante del software produce un parche que corrige un defecto en el producto de software que puede causar una falla en su funcionamiento bajo ciertas condiciones se clasifica a ese parche como parche crítico, se considera como indispensabley se debe hacer planes para su implementación para finalmente llevarse a cabo.
Cuando el fabricante del software
produce un parche que remedia una vulnerabilidad identificada que permitiría un acceso no regulado a la información con la posibilidad de robo o alteración de los datos se clasifica a ese parche como parche de seguridad, se considera como indispensable y se debe hacer planes para su implementación para finalmente llevarse a cabo.
Cuando el fabricante del software produce una actualización de parámetros o definiciones para su producto de seguridad que es un elemento de prevención o protección de amenazas o ataques a la seguridad de la información seclasifica como parche de definiciones, se considera como indispensable y se aplica de forma automática.
Continuar
Opcionalmente pudieran usarse: (opcionales)
El parche es un conjunto de modificaciones que elevan la versión del software a
una mejorada y con capacidades diferentes:
El parche es un conjunto de más parchesque en un momento fueron críticos, de seguridad, de definiciones, o de funcionalidades mejoradas:
Estos parches son producidos por el fabricantedel software y contienen una colección de parchesemitidos posteriormente al último y se clasifican como parche acumulativo. Su aplicación es complementaría para homologar productos a una misma versión y suelen incluirse en ellos parches críticos, de seguridad y de funcionalidades añadidas.
Estos parches son producidos por el fabricante del software y realizan una modificación mayor del producto instalado a una versión mayor, con funcionalidades diferentes o mejoradas, elevando (upgrading) el software a una versión más moderna o reciente. A esos parches se les clasifica como parche service pack o parche roll up upgrade y pueden alterar la compatibilidad del software con su entorno.
Continuar
Para el cumplimiento de protección y correcto funcionamiento:
La aplicación de los parches
“Indispensables” es requerida, ya que ayudan en el funcionamiento del software y en la protección del mismo contra amenazas. Su ausencia pone en riesgo el funcionamiento e incrementa la superficie de ataque ante amenazas informáticas en la red y el Internet, por lo que se consideran obligatorios para la seguridad.
Los parches “Opcionales” son útiles para complementar o mejorar la versión de los productos de software, pero su aplicación requiere de más estudio debido a la posibilidad de afectar o alterar la operación del software en uso, ya sea en su compatibilidad o en su usabilidad.
Continuar
Para el cumplimiento de protección y correcto funcionamiento, la aplicaciónde los parches “Indispensables” es requerida, ya que ayudan en el funcionamiento del software y en la protección del mismo contra amenazas. Su ausencia pone en riesgo el funcionamiento e incrementa la superficie de ataque ante amenazas informáticas en la red y el Internet, por lo que se consideran obligatorios para la seguridad.Los parches “Opcionales” son útiles para complementar o mejorar la versión de los productos de software, pero su aplicación requiere de más estudio debido a la posibilidad de afectar o alterar la operación del software en uso, ya sea en su compatibilidad o en su usabilidad.
Continuar
4. Uso Aceptable
El uso aceptable para este procedimiento incluye:
Notificar cualquier excepción a la SST, que pueda afectar el cumplimiento del presente procedimiento de seguridad en general y la ciberseguridad en particular de manera oportuna. Se deberán realizar auditorías y pruebas periódicas para garantizar que los sistemas de seguridad funcionen correctamente, al aplicar los parches correspondientes.
Realizar revisiones y actualizaciones del presente procedimientos de parches de seguridad.
Capacitación y concientización sobre los riesgos a la Subsecretaria de Tecnología y las Unidades Informáticas y Usuarios de bienes y servicios de TIC del cumplimientoen la implementación de parches de seguridad.
Seguir los procedimientos establecidos para la implementación gestión de parches
de seguridad.
Evitar cualquier actividad que pueda comprometerla seguridad de la información, utilizar los recursos de tecnología de la información de manera responsable y ética
Colaborar activamente en la investigación sobre parches de seguridad y estar al tanto de las actualizaciones liberadas ya sea de Windows o Linux.
Continuar
5. Monitoreo y Revisión
- Se llevarán a cabo revisiones para verificar el cumplimiento de este procedimiento y tomar medidas correctivas o disciplinarias, incluida la terminación del empleo, así como acciones legales según la gravedad de la infracción o lo que la Subsecretaría de Tecnologías dicte.
- El Gobierno de Nuevo León se reserva el derecho de monitorear y auditar, con el fin de garantizar el cumplimiento de este procedimiento y proteger los activos de información del Gobierno de Nuevo León.
Continuar
6. Cumplimiento y Sanciones
El cumplimiento y las sanciones asociadas con el procedimiento de gestión e implementación de parches de seguridad deben garantizar su correcta instalación y seguimiento, según lo planteado en el actual procedimiento.
Continuar
I. Sanciones
Las violaciones del procedimiento de gestión e implementación de parches de seguridad pueden resultar en acciones disciplinarias, que pueden incluir advertencias formales, suspensiones temporales o dependiendo de la gravedad de la violación y su impacto en la seguridad de la información, las sanciones pueden ser escaladas en consecuencia.
Los empleados, según corresponda, que no cumplan con los procedimientos y que, como resultado, pongan en riesgo la seguridad de la información de GENL pueden ser considerados responsables y sujetos a medidasdisciplinarias, incluida la terminación del empleo, así como acciones legales según la gravedad de la infracción.
+info
+info
Continuar
Es importante que estas políticas y procedimientos se comuniquen claramente a todos los empleados que corresponda y que se apliquen de manera consistente para garantizar la integridad y la eficacia del programa de seguridad de la información del GENL.
Continuar
7. Concienciación y Capacitación
Se concientizará y proporcionará capacitación a todos los usuarios sobre las políticas y
procedimientos relacionados con el uso seguro y adecuado para llevar a cabo la Gestión e
implementación de los parches de Seguridad:
capacitación detallada sobre el procedimiento de gestión e implementación de parches de seguridad a la Subsecretaria de Tecnología y las Unidades Informáticas y Usuarios de bienes y servicios de TIC, así como las medidas que se tomarán para gestionar e implementar los parches de seguridad.
1. Sesiones de capacitación:
2. Materiales educativos:
3. Campañas de sensibilización:
4. Formación continua:
campañas periódicas de sensibilización de la seguridad de la información y la responsabilidad de cada empleado en la notificación y gestión de incidentes.
manuales, guías de referencia, el procedimiento de
notificación y gestión e implementación de parches de seguridad.
formación continua sobre la Seguridad, Seguridad de la Información y Ciberseguridad.
Continuar
8. Revisiones y Actualizaciones
9. Implementación
La implementación de la política de notificación y gestión e implementación de parches de seguridad debe ser un proceso continuo de revisión y mejora. Es importante revisar regularmente la política para asegurarse de que siga siendo relevante y efectiva frente a las amenazas cambiantes, esta política será implementada inmediatamente después de su
aprobación y se comunicará a todos los empleados relevantes del Gobierno de Nuevo León.
Esta política será revisada al menos una vez al año o cuando ocurra un cambio a la
infraestructura tecnológica, que pudiera impactar el alcance de la presente, para asegurar
su eficacia y se actualizará según sea necesario para reflejar los cambios en la tecnología,
las regulaciones o las mejores prácticas.
Continuar
10. Aplicabilidad
El procedimiento de notificación y gestión e implementación de parches de seguridad es
aplicable a el GENL, su aplicabilidad abarca:
La Subsecretaria de Tecnología a través de los encargados de la seguridad de la información deben liderar la implementación del procedimiento, garantizando su alineación con las mejores prácticas y estándares de la industria.
Los líderes y directivos del gobierno tienen la responsabilidad de respaldar y promover el presente procedimiento de notificación y gestión e implementación de parches de seguridad, así como de asignar recursos adecuados para su efectiva implementación.
Las Unidades Informáticas y Usuarios de bienes y servicios de TIC, son responsables de implementar y hacer cumplir el presente procedimiento en toda la infraestructura tecnológica de GENL, así como de gestionar los incidentes de seguridad cuando ocurran.
A Empleados y Equipos de tecnología de la información (TI):
Personal de seguridad de la información:
Directivos y líderes:
Título
Título
Título
Usa esta cara para dar más información sobre un tema.
Usa esta cara para dar más información sobre un tema.
Usa esta cara para dar más información sobre un tema.
Subtítulo
Subtítulo
Subtítulo
En resumen, el procedimiento de notificación y gestión e implementación de parches de seguridad es aplicable a todas las personas involucradas en el uso, manejo y la protección de la información de la GENL. Su objetivo es garantizar una respuesta rápida y efectiva ante cualquier amenaza o incidente de seguridad que pueda surgir.
Anexo A
7. Documentación Especializada
- Documentación Técnica Además de documentar los parches aplicados, es fundamental:
- Actualizar las guías de configuración de seguridad y prácticas operacionales de los dispositivos de red.
- Mantener una bitácora detallada de cambios de configuración en los dispositivos parcheados, con referencias cruzadas a la vulnerabilidad resuelta.
- Registrar los resultados de las pruebas post-parche, incluyendo el rendimiento de la red antes y después del parche.
- Las organizaciones deben monitorear continuamente las aplicaciones de servidores en busca de vulnerabilidades conocidas. Esto implica la implementación de herramientas de escaneo de vulnerabilidades y suscribirse a fuentes confiables, como la National Vulnerability Database (https://nvd.nist.gov/) o los boletines de seguridad de los fabricantes. - Los parches para vulnerabilidades críticas, como aquellas que permiten la ejecución remota de código o la escalada de privilegios, deben aplicarse lo antes posible.
- La gestión de la configuración de software es crucial para la seguridad de las aplicaciones en servidores. Se sugiere que todas las actualizaciones de parches sean documentadas, manteniendo un registro detallado de los cambios, los sistemas afectados, y las fechas de instalación. - Esta documentación es importante tanto para auditorías de seguridad como para la recuperación de sistemas en caso de incidentes.
- Instalar a un pequeño grupo controlado de la SST, previo aviso, con el fin de que al menos 1 semana esté funcionando sin “problemas”.
- Si el punto anterior no hubo contrariedades, se procederá a realizar la aplicación de los respectivos parches de manera masiva, según corresponda, con la certeza que resulte del punto #1, de lo contrario, se darán 2 semanas, que es dónde las mejores prácticas deducen que están estables los parches y aplicarlo.
- La aplicación masiva del punto #3 deberá ser llevada a cabo, en caso de la plataforma de servidores, por el personal a cargo de los servidores mismos y en el caso de los equipos de cómputo de usuario final, por el personal a cargo del soporte técnico.
- La verificación del cumplimiento será responsabilidad del área de Ciberseguridad, pudiendo realizar auditorías documentales y/o automatizadas.
3. Integración de datos.
- Elementos de software que colectan datosde diferentes fuentes y la integran en objetosde información utilizable por las aplicaciones.
5. Aplicación del Parche
- Uso de Herramientas de Gestión de Configuración de Red (NCM): Utiliza plataformas como Cisco Prime Infrastructure, SolarWinds Network Configuration Manager (NCM), o herramientas similares para automatizar la distribución de parches o aplicarse manualmente, en su caso y verificar la consistencia en la configuración antes y después del parcheo. - Verificación del Estado de Red: Tras aplicar un parche, ejecuta una serie de pruebas automatizadas o manuales para verificar:
- Conectividad: Pings entre los diferentes segmentos de red.
- Rendimiento: Latencia, ancho de banda, pérdida de paquetes.
- Integridad de la Configuración: Asegúrate de que las configuraciones preexistentes como VPNs, ACLs, y políticas de enrutamiento siguen funcionando correctamente.
Se recomienda que las organizaciones prioricen la aplicación de parches en función del riesgo que representan las vulnerabilidades. Las vulnerabilidades clasificadas como de alto riesgo deben ser abordadas de manera inmediata, mientras que aquellas de bajo impacto pueden seguir un cronograma de actualización más relajado. Es fundamental que las aplicaciones en servidores críticos reciban atención
prioritaria, ya que un ataque podría tener consecuencias graves para la
organización.
6. Registro de cambios
La gestión de la configuración es esencial para mantener la seguridad del software intermedio, se sugiere que todas las actualizaciones de software intermedio sean registradas, incluyendo detalles sobre los parches aplicados, fechas, sistemas afectados, y cualquier impacto relacionado con el rendimiento o la seguridad.
2. Interfaces de programación (API’s).
- Elementos de software que interactúan entre las aplicaciones y los servidores de aplicación para acceder a los datos.
6. Monitoreo Activo Post-Parche
- Monitoreo en Tiempo Real: Utiliza herramientas de monitoreo de red como
Nentwork Performance Monitor (SolarWinds) para observar el comportamiento del dispositivo en tiempo real tras la aplicación del parche. - Análisis de Logs de Seguridad: Monitorea los logs de seguridad para identificar cualquier comportamiento anómalo post-parche. Esto es particularmente importante en dispositivos de seguridad como firewalls.
2. Monitoreo y Recepción de Parches de Seguridad
- Fuentes Especializadas de Seguridad de Red: Aparte de las alertas del NVD
(https://nvd.nist.gov/) y los fabricantes, sigue fuentes dedicadas a elementos de red, como: Cisco Security Advisories o equivalentes para otros fabricantes. .CERT (Computer Emergency Response Team), que publica alertas críticas
sobre seguridad de red.
- Foros de profesionales de red como NANOG (https://nanog.org/) o SANS
(https://www.sans.org/) donde se discuten vulnerabilidades y parches en redes.
- Integración con SIEMs (cuando aplique): Si utilizas una plataforma de gestión de información y eventos de seguridad (SIEM), asegúrate de integrar las alertas de seguridad de red para recibir actualizaciones en tiempo real sobre vulnerabilidades críticas.
1. Evaluación continua de vulnerabilidades en cuanto a:
- Se debe realizar un monitoreo continuo de las vulnerabilidades del software intermedio mediante escaneos automáticos y la suscripción a alertas de seguridad, ya que el objetivo es identificar rápidamente vulnerabilidades en el middleware que puedan ser explotadas por atacantes. - Resaltar la importancia de realizar un análisis de las vulnerabilidades publicadas en bases de datos como el National Vulnerability Database (https://nvd.nist.gov/) y aplicar parches lo antes posible, basándose en la criticidad de las vulnerabilidades detectadas.
- Para aplicaciones que se ejecutan en servidores, se recomienda la automatización del proceso de actualización de parches. Las organizaciones deben implementar herramientas que detecten y apliquen parches automáticamente, lo que reduce el tiempo de exposición a vulnerabilidades conocidas. - Después de aplicar un parche, es necesario monitorear las aplicaciones para asegurarse de que el sistema se mantenga estable y que no se presenten problemas adicionales.
4. Servicios de subscripción a contenido.
Aquel que utiliza la capa de abstracción proveedor-consumidor para obtener contenido específico.
8. Revisión y Validación Continua
- Revisión en Profundidad: Realiza revisiones periódicas enfocadas en:
- Verificar que los parches hayan resuelto las vulnerabilidades sin introducir nuevos problemas.
- Asegurar que los dispositivos sigan cumpliendo con las configuraciones de seguridad, especialmente en redes que requieren cumplir con regulaciones internas o en su caso especializadas, como PCI-DSS o alguna otra.
- Simulación de Fallos: Para asegurar que las soluciones de alta disponibilidad y redundancia siguen operando correctamente tras aplicar parches en elementos clave como routers, core o firewalls.
2. Priorización de parches:
- Los parches deben aplicarse según la prioridad del riesgo asociado. Las vulnerabilidades clasificadas como críticas o de alto riesgo, que podrían permitir la escalada de privilegios, la ejecución remota de código o ataques de denegación de servicio, deben ser parcheadas inmediatamente.
- También se sugiere la implementación de un sistema de gestión de vulnerabilidades que asigne un nivel de riesgo a cada vulnerabilidad detectada en el middleware.
7. Reevaluación periódica
Los servidores que ejecutan software intermedio deben ser reevaluados
periódicamente para garantizar que los parches instalados no hayan sido
comprometidos o que no existan nuevas vulnerabilidades que deban ser abordadas.
Referencias: NIST SP 800-40, NIST SP 800-53, NIST SP 800-161, NIST SP 800-53 SI-7,
NIST SP 800-128, NIST SP 800-53 SA-11.
Consideraciones Adicionales para Elementos de Red
- Planificación de Firmware y Control de Versiones:
No todos los parches son incrementales. Algunos pueden requerir una actualización completa de la versión del sistema operativo o firmware del dispositivo, lo cual implica pruebas adicionales y una planificación más exhaustiva.
- Dependencias entre Dispositivos de Red:
A menudo los dispositivos de red operan en conjunto (ej., routers y switches). Debemos asegurar que los parches aplicados a un dispositivo no afecten la operación de otros equipos que dependen de configuraciones interrelacionadas.
- Este enfoque más detallado permite una gestión de parches efectiva en el contexto de dispositivos de red, asegurando que las operaciones críticas no se vean afectadas negativamente por errores o interrupciones debidos al parcheo.
Referencias: NIST SP 800-40 ("Guide to Enterprise Patch Management Technologies")
1. Inventario Detallado y Clasificación Específica de Elementos de Red
- Inventario Específico de Red: El inventario no solo debe incluir información básica como el fabricante, modelo y firmware, sino también: - Versión del sistema operativo de red (ej. Cisco IOS, Juniper Junos, etc.).
- Configuraciones personalizadas (como listas de control de acceso - ACLs, reglas de firewall). - Características activadas como protocolos de enrutamiento (BGP, OSPF), VPNs, QoS. - Ubicación física y lógica en la topología de la red (core, acceso, distribución).
- Etiquetado de Prioridad: Clasifica los dispositivos de red según su función: - Perímetro de red (firewalls, VPN concentrators): Alta prioridad para parches críticos, ya que están más expuestos. - Núcleo de red (core routers, switches de alta capacidad): Parcheo muy cuidadoso para evitar interrupciones significativas. - Acceso de red (switches de usuario final, routers de acceso): Puede tener menor prioridad según el impacto.
- Antes de implementar parches en un servidor de producción, es recomendable probar los parches en un entorno de desarrollo o laboratorio. Esto permite evaluar si el parche afecta la compatibilidad de la aplicación con otros componentes y sistemas. - Las pruebas también aseguran que no se introduzcan nuevas vulnerabilidades o problemas de rendimiento al aplicar el parche.
4. Planificación Detallada de la Implementación
- Análisis de Dependencias:
- Algunos parches pueden requerir actualizaciones previas en otros componentes o sistemas interrelacionados. Por ejemplo, un parche para un firewall puede depender de una versión específica del sistema de gestión centralizada (ej. Cisco Firepower Management Center).
- Coordinación de Ventanas de Mantenimiento (en su caso) para Dispositivos Críticos:
- Firewalls y Gateways Perimetrales: Coordinar con equipos de seguridad para minimizar interrupciones en servicios críticos como VPNs y filtrado de tráfico.
- Dispositivos con Alta Disponibilidad: Si el dispositivo está en un entorno de alta disponibilidad (HA), asegúrate de aplicar el parche en los nodos secundarios antes de los primarios, y realiza failover de tráfico entre nodos de manera controlada.
- Plan de Contingencia: Prepara un plan de rollback en caso de que el parche cause fallos, que incluya instrucciones detalladas para deshacer los cambios.
- Además de aplicar parches, se recomienda tener un plan de contingencia en caso de que un parche cause problemas en el servidor o la aplicación. Esto incluye la posibilidad de revertir un parche y restaurar el sistema a un estado funcional previo. Referencias: NIST SP 800-40, NIST SP 800-53, NIST SP 800-5, NIST SP 800- 128, NIST SP 800-53 RA-5, NIST SP 800-53 SI-7
3. Pruebas antes de la implementación:
Antes de implementar un parche, especialmente en entornos críticos de
producción, se deben realizar pruebas en un entorno de laboratorio o en sistemas de desarrollo. Esto minimiza el riesgo de interrupciones en los servicios al aplicar el parche. Estas pruebas deben validar la compatibilidad del parche con otros componentes del sistema y garantizar que no se introduzcan nuevas vulnerabilidades o problemas de rendimiento.
5. Orientado a mensajes
Elementos de software que admite la transmisión de mensajes entre sistemas, hardware o elementos distribuidos.
4. Autenticidad y verificación del parche:
- Se debe verificar que los parches provengan de fuentes legítimas y confiables. Se recomienda la verificación de la firma digital de los parches, cuando esté disponible, para asegurar que no han sido alterados ni comprometidos antes de su instalación. - El uso de mecanismos de integridad y control de versiones también es
recomendado para evitar el despliegue de parches no verificados.
1. Servidores de aplicación.
Es el software que permite a partir de él soportar aplicaciones e interconectarlas con datos. Ejemplos de esta subclasificación son servidores Web, de archivos, de mensajería, de correo electrónico, de autenticación,de control de acceso, de base de datos y cualquier producto que interactúa entre el sistema operativo de la plataforma y las aplicaciones para el intercambiode datos.
5. Automatización y monitoreo:
- Siempre que sea posible, las organizaciones deben automatizar el proceso de actualización del middleware mediante herramientas que monitoreen y gestionen los parches de forma centralizada. Esto ayuda a reducir el riesgo de error humano y mejora la eficiencia en el proceso de actualización. - Después de aplicar un parche, es fundamental monitorear el sistema para detectar posibles fallos o vulnerabilidades que no se hayan identificado previamente.
3. Evaluación Técnica de Parches en Entornos de Red
- Compatibilidad de Parche con Configuraciones de Red: Algunos parches pueden afectar configuraciones como enrutamiento, VLANs, VPNs, o ACLs. Antes de aplicar un parche, evalúa: 1.- Si el parche afecta protocolos de red críticos (OSPF, BGP, STP). 2.- Si introduce cambios en funcionalidades relacionadas con seguridad de red (IPSec, SSL VPNs). 3.- Impacto en Calidad de Servicio (QoS), para evitar degradación del servicio en redes sensibles. 4.- Test en Dispositivos Similares o Standby: Si es posible, aplica los parches en dispositivos en modo standby o en redundancia (si tienes alta disponibilidad con HSRP, VRRP, o MPLS) para asegurar que el servicio no se vea afectado.
- Es importante, resaltar la importancia de verificar la autenticidad de los parches, ya que deben ser descargados de fuentes legítimas y su integridad debe ser verificada a través de firmas digitales, cuando sea posible, para evitar la instalación de software malicioso. - La integridad de los parches es fundamental para prevenir la explotación de vulnerabilidades por parte de atacantes.
14.- Procedimiento de Notificación y Gestión de Parches de Seguridad
Leonardo Palafox
Created on October 20, 2025
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Smart Presentation
View
Practical Presentation
View
Essential Presentation
View
Akihabara Presentation
View
Flow Presentation
View
Dynamic Visual Presentation
View
Pastel Color Presentation
Explore all templates
Transcript
Procedimiento de notificación y gestión de parches de seguridad
¡Vamos!
1. Propósito
El objetivo de este procedimiento de gestión e implementación de parches es garantizar y en su caso corregir los errores del software para minimizar las vulnerabilidades existentes y evitar su explotación. Los parches también pueden aplicarse para corregir la funcionalidad de un programa o sistema. Además, con esto se busca cubrir la gestión integral de incidentes de seguridad, promoviendo la revisión y actualización periódica de parches, así como el cumplimiento de políticas y procedimientos para adaptarse continuamente a las nuevas amenazas y vulnerabilidades en el Gobierno del Estado de Nuevo León (GENL).
Continuar
2. Alcance
Todas las actividades relacionadas con la seguridad de la información dentro del Gobierno de Nuevo León. Esto incluye la implementación y gestión de parches de seguridad, de parte de las Unidades Informáticas y Usuarios de bienes y servicios de TIC, generando la revisión y actualización regular de los mismos, así como el cumplimiento a las políticas y procedimientos de seguridad. Además, el procedimiento se extiende a todos los sistemas, datos y procesos que puedan estar sujetos a riesgos de seguridad en general y en particular a la ciberseguridad, con el objetivo de garantizar la protección integral de la información contra amenazas y vulnerabilidades del GENL.
Continuar
Los objetos de actualización se clasifican en los siguientes tipos: a) Sistemas operativos o firmwares: Son los productos de software que le permiten al hardware interactuar con el entorno b) Software intermedio: Son todos los productos de software involucrados en la intercomunicación y el proceso de los datos y cuenta con las siguientes subclasificaciones:
Continuar
Software intermedio:
1. Servidores de aplicación.
3. Integración de datos.
2. Interfaces de programación (API’s).
4. Servicios de subscripción a contenido.
5. Orientado a mensajes
Continuar
Se establecen algunas directrices para la gestión y aplicación de parches a software intermedio (middleware) dentro del marco de ciberseguridad,ya que este tipo de software juega un papel crítico en la interconexión de aplicaciones y sistemas, lo que lo hace un posible vector de ataque si no se actualiza correctamente.
Aquí se detallan, algunos puntos clave de la aplicaciónde parches en software intermedio:
III
VII
II
IV
VI
Continuar
c) Aplicaciones
Es el software que interactúa directamente entre los usuarios y el software intermedio para producir información útil a partir de lao datos almacenados existentes.
Continuar
A continuación, se proporciona lineamientos específicos para la gestión de parches en aplicaciones de servidores, destacando la importancia de aplicar parches de manera eficiente y segura para mitigar vulnerabilidades.
Se detallan las recomendaciones clave para aplicar parchesen aplicaciones de servidores:
1. Evaluación continua de vulnerabilidades
2. Priorización de parches
4. Verificación de la autenticidad del parche
3. Pruebas antes de la implementación
5. Automatizacióny monitoreo continuo
6. Registrode cambios
7. Planes de contingencia y recuperación
Continuar
d) Elementos de red
Componentes básicos de las redes para poder formar una red se requieren elementos: hardware, software y protocolos. Los elementos físicos se clasifican en dos grandes grupos: dispositivos de usuario final (hosts) y dispositivos de red.
Continuar
A continuación, se proporciona lineamientos específicospara la gestión de parches en elementos de red, destacando la importancia de aplicar parches de manera eficientey segura para mitigar vulnerabilidades.
Aquí el detalle de las recomendaciones y necesidadesclave para aplicar parches:
1. Inventario Detallado y Clasificación Específica de Elementos de Red
5. Aplicación del Parche
2. Monitoreo y Recepción de Parches de Seguridad
6. Monitoreo Activo Post-Parche
7. Documentación Especializada
3. Evaluación Técnica de Parches en Entornos de Red
8. Revisión y Validación Continua
4. Planificación Detallada de la Implementación
Continuar
3. Responsabilidades
Continuar
F) Para el punto anterior se deberá considerar el siguiente esquema para la documentación necesaria de los parches de seguridad WINDOWS, según se muestra:
Continuar
Además de considerarse lo mencionado en el cuadroanterior, se deberá incluir para temas de mantenimiento y controles tal como se menciona:
Mantenimiento Continuo de la Seguridad:
Se definen los siguientes controles de seguridad para la gestión de parches y actualizaciones en sistemas operativos, de los cuales se detallan: Escaneo de Vulnerabilidades: Se recomienda escanear los sistemas operativos regularmente en busca de vulnerabilidades y aplicar los parches de seguridad necesarios, utilizando el proceso automático de actualización, usar herramienta de: HP Support (https://support.hp.com/mx es/document/ish_2463278-2285260-16), Lenovo Support (https://pcsupport.lenovo.com/mx/es), Dell Support (https://www.dell.com/support/home/es-mx) Los parches deben ser descargados desde fuentes verificadas y se deben seguir procesos de autenticación para evitar la instalación de software malicioso.
Continuar
Para la aplicación de parches: El proceso para la aplicación de parches en sistemasoperativos de servidores debe seguir estos pasos:
Antes de aplicar un parche, es fundamental evaluar cómo podría afectar el parche al sistema. Esto incluye revisar las notas de la actualización y realizar pruebas en un entorno controlado, por ejemplo, la SST, la DIT.
Los parches deben ser probados en entornos de prueba antes de ser desplegados en servidores de producción para evitar interrupciones no planificadas.
Utilizar herramientas automatizadas para detectar vulnerabilidades conocidas en los sistemas operativos de los servidores.
Pruebas en entornos de desarrollo
Monitoreo de vulnerabilidades
Evaluación de impacto
Continuar
La aplicación de parches se debe de hacer, después de las pruebas satisfactorias, del entorno controlado, además se debe aplicar el parche en los sistemas de producción según una política de implementación previamente definida. Posteriormente a la actualización y después de aplicar los parches, se deben monitorear los sistemas para asegurarse de que no haya nuevos problemas o vulnerabilidades derivadas de la actualización. (Referencia NIST SP 800-53)
Continuar
Para el caso de los sistemas operativos Linux,tendríamos de referencia lo siguiente:
(Ver también anexo A)
i. Programación: Planificar la implementación de parches en momentosde bajo uso para minimizar el impacto en los usuarios. ii. Documentación: Mantener un registro de los parches aplicados, incluyendo la fecha, la versión del parche y los problemas que se resolvieron.
i. Métodos de aplicación: Utilizar las herramientas de gestión de paquetes de tu distribución: 1. Debian/Ubuntu 2. Red Hat/CentOS ii. Reinicio: Algunos parches pueden requerir un reinicio del sistema o de servicios específicos. Asegurar de notificar a los usuarios si es necesario.
Si es posible, prueba los parches en un entorno de desarrollo antes de aplicarlos en producción. Esto te ayudará a identificar posibles problemas.
i. Prioridad: Evalúa la criticidad de los parches. ii. Clasificar los parches como críticos, importantes o de bajo impacto.
Evaluaciónde parches
Implementación de parches
Pruebas
Planificación
Continuar
Para la implementación de parches a los sistemas operativos tanto Windows como de Linux y seguimiento de aplicación de los parches, se tomarán las siguientes medidas:
Se deberán realizar una revisión sobre la actualización regular de los parches, así mismo de las políticas y procedimientos de seguridad, con el objetivo de adaptarse a las nuevas amenazasy vulnerabilidades de la tecnología emergente.
Teniendo los parches “liberados”, se deberá realizar lo siguiente:
Continuar
Las áreas responsables deberán registrar el proceso de actualización y sus resultados como evidencia para cualquier posible auditoría posterior. Dicho registro puede ser realizado por medios electrónicos, bitácoras, software especializado, etc. De acuerdo a sus posibilidades y deberán presentar dichos registros en caso de ser solicitados por el área de Ciberseguridad.
Los equipos de Subsecretaria de Tecnología y las Unidades Informáticas y Usuarios de bienes y servicios de TIC, serán responsables de implementar y hacer cumplir este procedimiento, así como de proporcionar capacitación y soporte técnico relacionado con los incidentes.
Estas responsabilidades y actividades buscan asegurar que el GENL pueda identificar, mitigar y responder eficazmente a los riesgos de seguridad de la información, que pudieran afectar posteriormente.
Continuar
Consideraciones
La gestión de parches es un proceso continuo y crítico. Mantener un enfoque proactivo y sistemático ayuda a asegurar que tu infraestructura de Windows o Linux se mantenga segura y eficiente. Para fines de seguridad de la información y prevención de fallas críticas, se deben considerar los siguientes criterios para la autorización y aplicación de parches:
Continuar
Indispensables
El parche actualiza un elementode seguridad de la información y ayuda a detectar y prevenir amenazas y/o ataques:
El parche resuelve o corrige una vulnerabilidad existente que puede permitir el acceso no autorizado o la sustracción ilegal de la información:
El parche resuelve o previeneun problema crítico existente o latente:
Cuando el fabricante del software produce un parche que corrige un defecto en el producto de software que puede causar una falla en su funcionamiento bajo ciertas condiciones se clasifica a ese parche como parche crítico, se considera como indispensabley se debe hacer planes para su implementación para finalmente llevarse a cabo.
Cuando el fabricante del software produce un parche que remedia una vulnerabilidad identificada que permitiría un acceso no regulado a la información con la posibilidad de robo o alteración de los datos se clasifica a ese parche como parche de seguridad, se considera como indispensable y se debe hacer planes para su implementación para finalmente llevarse a cabo.
Cuando el fabricante del software produce una actualización de parámetros o definiciones para su producto de seguridad que es un elemento de prevención o protección de amenazas o ataques a la seguridad de la información seclasifica como parche de definiciones, se considera como indispensable y se aplica de forma automática.
Continuar
Opcionalmente pudieran usarse: (opcionales)
El parche es un conjunto de modificaciones que elevan la versión del software a una mejorada y con capacidades diferentes:
El parche es un conjunto de más parchesque en un momento fueron críticos, de seguridad, de definiciones, o de funcionalidades mejoradas:
Estos parches son producidos por el fabricantedel software y contienen una colección de parchesemitidos posteriormente al último y se clasifican como parche acumulativo. Su aplicación es complementaría para homologar productos a una misma versión y suelen incluirse en ellos parches críticos, de seguridad y de funcionalidades añadidas.
Estos parches son producidos por el fabricante del software y realizan una modificación mayor del producto instalado a una versión mayor, con funcionalidades diferentes o mejoradas, elevando (upgrading) el software a una versión más moderna o reciente. A esos parches se les clasifica como parche service pack o parche roll up upgrade y pueden alterar la compatibilidad del software con su entorno.
Continuar
Para el cumplimiento de protección y correcto funcionamiento:
La aplicación de los parches “Indispensables” es requerida, ya que ayudan en el funcionamiento del software y en la protección del mismo contra amenazas. Su ausencia pone en riesgo el funcionamiento e incrementa la superficie de ataque ante amenazas informáticas en la red y el Internet, por lo que se consideran obligatorios para la seguridad.
Los parches “Opcionales” son útiles para complementar o mejorar la versión de los productos de software, pero su aplicación requiere de más estudio debido a la posibilidad de afectar o alterar la operación del software en uso, ya sea en su compatibilidad o en su usabilidad.
Continuar
Para el cumplimiento de protección y correcto funcionamiento, la aplicaciónde los parches “Indispensables” es requerida, ya que ayudan en el funcionamiento del software y en la protección del mismo contra amenazas. Su ausencia pone en riesgo el funcionamiento e incrementa la superficie de ataque ante amenazas informáticas en la red y el Internet, por lo que se consideran obligatorios para la seguridad.Los parches “Opcionales” son útiles para complementar o mejorar la versión de los productos de software, pero su aplicación requiere de más estudio debido a la posibilidad de afectar o alterar la operación del software en uso, ya sea en su compatibilidad o en su usabilidad.
Continuar
4. Uso Aceptable
El uso aceptable para este procedimiento incluye:
Notificar cualquier excepción a la SST, que pueda afectar el cumplimiento del presente procedimiento de seguridad en general y la ciberseguridad en particular de manera oportuna. Se deberán realizar auditorías y pruebas periódicas para garantizar que los sistemas de seguridad funcionen correctamente, al aplicar los parches correspondientes.
Realizar revisiones y actualizaciones del presente procedimientos de parches de seguridad.
Capacitación y concientización sobre los riesgos a la Subsecretaria de Tecnología y las Unidades Informáticas y Usuarios de bienes y servicios de TIC del cumplimientoen la implementación de parches de seguridad.
Seguir los procedimientos establecidos para la implementación gestión de parches de seguridad.
Evitar cualquier actividad que pueda comprometerla seguridad de la información, utilizar los recursos de tecnología de la información de manera responsable y ética
Colaborar activamente en la investigación sobre parches de seguridad y estar al tanto de las actualizaciones liberadas ya sea de Windows o Linux.
Continuar
5. Monitoreo y Revisión
- Se llevarán a cabo revisiones para verificar el cumplimiento de este procedimiento y tomar medidas correctivas o disciplinarias, incluida la terminación del empleo, así como acciones legales según la gravedad de la infracción o lo que la Subsecretaría de Tecnologías dicte.
- El Gobierno de Nuevo León se reserva el derecho de monitorear y auditar, con el fin de garantizar el cumplimiento de este procedimiento y proteger los activos de información del Gobierno de Nuevo León.
Continuar
6. Cumplimiento y Sanciones
El cumplimiento y las sanciones asociadas con el procedimiento de gestión e implementación de parches de seguridad deben garantizar su correcta instalación y seguimiento, según lo planteado en el actual procedimiento.
Continuar
I. Sanciones
Las violaciones del procedimiento de gestión e implementación de parches de seguridad pueden resultar en acciones disciplinarias, que pueden incluir advertencias formales, suspensiones temporales o dependiendo de la gravedad de la violación y su impacto en la seguridad de la información, las sanciones pueden ser escaladas en consecuencia.
Los empleados, según corresponda, que no cumplan con los procedimientos y que, como resultado, pongan en riesgo la seguridad de la información de GENL pueden ser considerados responsables y sujetos a medidasdisciplinarias, incluida la terminación del empleo, así como acciones legales según la gravedad de la infracción.
+info
+info
Continuar
Es importante que estas políticas y procedimientos se comuniquen claramente a todos los empleados que corresponda y que se apliquen de manera consistente para garantizar la integridad y la eficacia del programa de seguridad de la información del GENL.
Continuar
7. Concienciación y Capacitación
Se concientizará y proporcionará capacitación a todos los usuarios sobre las políticas y procedimientos relacionados con el uso seguro y adecuado para llevar a cabo la Gestión e implementación de los parches de Seguridad:
capacitación detallada sobre el procedimiento de gestión e implementación de parches de seguridad a la Subsecretaria de Tecnología y las Unidades Informáticas y Usuarios de bienes y servicios de TIC, así como las medidas que se tomarán para gestionar e implementar los parches de seguridad.
1. Sesiones de capacitación:
2. Materiales educativos:
3. Campañas de sensibilización:
4. Formación continua:
campañas periódicas de sensibilización de la seguridad de la información y la responsabilidad de cada empleado en la notificación y gestión de incidentes.
manuales, guías de referencia, el procedimiento de notificación y gestión e implementación de parches de seguridad.
formación continua sobre la Seguridad, Seguridad de la Información y Ciberseguridad.
Continuar
8. Revisiones y Actualizaciones
9. Implementación
La implementación de la política de notificación y gestión e implementación de parches de seguridad debe ser un proceso continuo de revisión y mejora. Es importante revisar regularmente la política para asegurarse de que siga siendo relevante y efectiva frente a las amenazas cambiantes, esta política será implementada inmediatamente después de su aprobación y se comunicará a todos los empleados relevantes del Gobierno de Nuevo León.
Esta política será revisada al menos una vez al año o cuando ocurra un cambio a la infraestructura tecnológica, que pudiera impactar el alcance de la presente, para asegurar su eficacia y se actualizará según sea necesario para reflejar los cambios en la tecnología, las regulaciones o las mejores prácticas.
Continuar
10. Aplicabilidad
El procedimiento de notificación y gestión e implementación de parches de seguridad es aplicable a el GENL, su aplicabilidad abarca:
La Subsecretaria de Tecnología a través de los encargados de la seguridad de la información deben liderar la implementación del procedimiento, garantizando su alineación con las mejores prácticas y estándares de la industria.
Los líderes y directivos del gobierno tienen la responsabilidad de respaldar y promover el presente procedimiento de notificación y gestión e implementación de parches de seguridad, así como de asignar recursos adecuados para su efectiva implementación.
Las Unidades Informáticas y Usuarios de bienes y servicios de TIC, son responsables de implementar y hacer cumplir el presente procedimiento en toda la infraestructura tecnológica de GENL, así como de gestionar los incidentes de seguridad cuando ocurran.
A Empleados y Equipos de tecnología de la información (TI):
Personal de seguridad de la información:
Directivos y líderes:
Título
Título
Título
Usa esta cara para dar más información sobre un tema.
Usa esta cara para dar más información sobre un tema.
Usa esta cara para dar más información sobre un tema.
Subtítulo
Subtítulo
Subtítulo
En resumen, el procedimiento de notificación y gestión e implementación de parches de seguridad es aplicable a todas las personas involucradas en el uso, manejo y la protección de la información de la GENL. Su objetivo es garantizar una respuesta rápida y efectiva ante cualquier amenaza o incidente de seguridad que pueda surgir.
Anexo A
7. Documentación Especializada
- Documentación Técnica Además de documentar los parches aplicados, es fundamental:
- Las organizaciones deben monitorear continuamente las aplicaciones de servidores en busca de vulnerabilidades conocidas. Esto implica la implementación de herramientas de escaneo de vulnerabilidades y suscribirse a fuentes confiables, como la National Vulnerability Database (https://nvd.nist.gov/) o los boletines de seguridad de los fabricantes. - Los parches para vulnerabilidades críticas, como aquellas que permiten la ejecución remota de código o la escalada de privilegios, deben aplicarse lo antes posible.
- La gestión de la configuración de software es crucial para la seguridad de las aplicaciones en servidores. Se sugiere que todas las actualizaciones de parches sean documentadas, manteniendo un registro detallado de los cambios, los sistemas afectados, y las fechas de instalación. - Esta documentación es importante tanto para auditorías de seguridad como para la recuperación de sistemas en caso de incidentes.
3. Integración de datos.
- Elementos de software que colectan datosde diferentes fuentes y la integran en objetosde información utilizable por las aplicaciones.
5. Aplicación del Parche
- Uso de Herramientas de Gestión de Configuración de Red (NCM): Utiliza plataformas como Cisco Prime Infrastructure, SolarWinds Network Configuration Manager (NCM), o herramientas similares para automatizar la distribución de parches o aplicarse manualmente, en su caso y verificar la consistencia en la configuración antes y después del parcheo. - Verificación del Estado de Red: Tras aplicar un parche, ejecuta una serie de pruebas automatizadas o manuales para verificar:
Se recomienda que las organizaciones prioricen la aplicación de parches en función del riesgo que representan las vulnerabilidades. Las vulnerabilidades clasificadas como de alto riesgo deben ser abordadas de manera inmediata, mientras que aquellas de bajo impacto pueden seguir un cronograma de actualización más relajado. Es fundamental que las aplicaciones en servidores críticos reciban atención prioritaria, ya que un ataque podría tener consecuencias graves para la organización.
6. Registro de cambios
La gestión de la configuración es esencial para mantener la seguridad del software intermedio, se sugiere que todas las actualizaciones de software intermedio sean registradas, incluyendo detalles sobre los parches aplicados, fechas, sistemas afectados, y cualquier impacto relacionado con el rendimiento o la seguridad.
2. Interfaces de programación (API’s).
- Elementos de software que interactúan entre las aplicaciones y los servidores de aplicación para acceder a los datos.
6. Monitoreo Activo Post-Parche
- Monitoreo en Tiempo Real: Utiliza herramientas de monitoreo de red como Nentwork Performance Monitor (SolarWinds) para observar el comportamiento del dispositivo en tiempo real tras la aplicación del parche. - Análisis de Logs de Seguridad: Monitorea los logs de seguridad para identificar cualquier comportamiento anómalo post-parche. Esto es particularmente importante en dispositivos de seguridad como firewalls.
2. Monitoreo y Recepción de Parches de Seguridad
- Fuentes Especializadas de Seguridad de Red: Aparte de las alertas del NVD (https://nvd.nist.gov/) y los fabricantes, sigue fuentes dedicadas a elementos de red, como: Cisco Security Advisories o equivalentes para otros fabricantes. .CERT (Computer Emergency Response Team), que publica alertas críticas sobre seguridad de red. - Foros de profesionales de red como NANOG (https://nanog.org/) o SANS (https://www.sans.org/) donde se discuten vulnerabilidades y parches en redes. - Integración con SIEMs (cuando aplique): Si utilizas una plataforma de gestión de información y eventos de seguridad (SIEM), asegúrate de integrar las alertas de seguridad de red para recibir actualizaciones en tiempo real sobre vulnerabilidades críticas.
1. Evaluación continua de vulnerabilidades en cuanto a:
- Se debe realizar un monitoreo continuo de las vulnerabilidades del software intermedio mediante escaneos automáticos y la suscripción a alertas de seguridad, ya que el objetivo es identificar rápidamente vulnerabilidades en el middleware que puedan ser explotadas por atacantes. - Resaltar la importancia de realizar un análisis de las vulnerabilidades publicadas en bases de datos como el National Vulnerability Database (https://nvd.nist.gov/) y aplicar parches lo antes posible, basándose en la criticidad de las vulnerabilidades detectadas.
- Para aplicaciones que se ejecutan en servidores, se recomienda la automatización del proceso de actualización de parches. Las organizaciones deben implementar herramientas que detecten y apliquen parches automáticamente, lo que reduce el tiempo de exposición a vulnerabilidades conocidas. - Después de aplicar un parche, es necesario monitorear las aplicaciones para asegurarse de que el sistema se mantenga estable y que no se presenten problemas adicionales.
4. Servicios de subscripción a contenido.
Aquel que utiliza la capa de abstracción proveedor-consumidor para obtener contenido específico.
8. Revisión y Validación Continua
- Revisión en Profundidad: Realiza revisiones periódicas enfocadas en:
- Asegurar que los dispositivos sigan cumpliendo con las configuraciones de seguridad, especialmente en redes que requieren cumplir con regulaciones internas o en su caso especializadas, como PCI-DSS o alguna otra.
- Simulación de Fallos: Para asegurar que las soluciones de alta disponibilidad y redundancia siguen operando correctamente tras aplicar parches en elementos clave como routers, core o firewalls.2. Priorización de parches:
- Los parches deben aplicarse según la prioridad del riesgo asociado. Las vulnerabilidades clasificadas como críticas o de alto riesgo, que podrían permitir la escalada de privilegios, la ejecución remota de código o ataques de denegación de servicio, deben ser parcheadas inmediatamente. - También se sugiere la implementación de un sistema de gestión de vulnerabilidades que asigne un nivel de riesgo a cada vulnerabilidad detectada en el middleware.
7. Reevaluación periódica
Los servidores que ejecutan software intermedio deben ser reevaluados periódicamente para garantizar que los parches instalados no hayan sido comprometidos o que no existan nuevas vulnerabilidades que deban ser abordadas. Referencias: NIST SP 800-40, NIST SP 800-53, NIST SP 800-161, NIST SP 800-53 SI-7, NIST SP 800-128, NIST SP 800-53 SA-11.
Consideraciones Adicionales para Elementos de Red
- Planificación de Firmware y Control de Versiones:
No todos los parches son incrementales. Algunos pueden requerir una actualización completa de la versión del sistema operativo o firmware del dispositivo, lo cual implica pruebas adicionales y una planificación más exhaustiva.- Dependencias entre Dispositivos de Red:
A menudo los dispositivos de red operan en conjunto (ej., routers y switches). Debemos asegurar que los parches aplicados a un dispositivo no afecten la operación de otros equipos que dependen de configuraciones interrelacionadas.Referencias: NIST SP 800-40 ("Guide to Enterprise Patch Management Technologies")
1. Inventario Detallado y Clasificación Específica de Elementos de Red
- Inventario Específico de Red: El inventario no solo debe incluir información básica como el fabricante, modelo y firmware, sino también: - Versión del sistema operativo de red (ej. Cisco IOS, Juniper Junos, etc.). - Configuraciones personalizadas (como listas de control de acceso - ACLs, reglas de firewall). - Características activadas como protocolos de enrutamiento (BGP, OSPF), VPNs, QoS. - Ubicación física y lógica en la topología de la red (core, acceso, distribución).
- Etiquetado de Prioridad: Clasifica los dispositivos de red según su función: - Perímetro de red (firewalls, VPN concentrators): Alta prioridad para parches críticos, ya que están más expuestos. - Núcleo de red (core routers, switches de alta capacidad): Parcheo muy cuidadoso para evitar interrupciones significativas. - Acceso de red (switches de usuario final, routers de acceso): Puede tener menor prioridad según el impacto.
- Antes de implementar parches en un servidor de producción, es recomendable probar los parches en un entorno de desarrollo o laboratorio. Esto permite evaluar si el parche afecta la compatibilidad de la aplicación con otros componentes y sistemas. - Las pruebas también aseguran que no se introduzcan nuevas vulnerabilidades o problemas de rendimiento al aplicar el parche.
4. Planificación Detallada de la Implementación
- Análisis de Dependencias:
- Algunos parches pueden requerir actualizaciones previas en otros componentes o sistemas interrelacionados. Por ejemplo, un parche para un firewall puede depender de una versión específica del sistema de gestión centralizada (ej. Cisco Firepower Management Center).
- Coordinación de Ventanas de Mantenimiento (en su caso) para Dispositivos Críticos:- Además de aplicar parches, se recomienda tener un plan de contingencia en caso de que un parche cause problemas en el servidor o la aplicación. Esto incluye la posibilidad de revertir un parche y restaurar el sistema a un estado funcional previo. Referencias: NIST SP 800-40, NIST SP 800-53, NIST SP 800-5, NIST SP 800- 128, NIST SP 800-53 RA-5, NIST SP 800-53 SI-7
3. Pruebas antes de la implementación:
Antes de implementar un parche, especialmente en entornos críticos de producción, se deben realizar pruebas en un entorno de laboratorio o en sistemas de desarrollo. Esto minimiza el riesgo de interrupciones en los servicios al aplicar el parche. Estas pruebas deben validar la compatibilidad del parche con otros componentes del sistema y garantizar que no se introduzcan nuevas vulnerabilidades o problemas de rendimiento.
5. Orientado a mensajes
Elementos de software que admite la transmisión de mensajes entre sistemas, hardware o elementos distribuidos.
4. Autenticidad y verificación del parche:
- Se debe verificar que los parches provengan de fuentes legítimas y confiables. Se recomienda la verificación de la firma digital de los parches, cuando esté disponible, para asegurar que no han sido alterados ni comprometidos antes de su instalación. - El uso de mecanismos de integridad y control de versiones también es recomendado para evitar el despliegue de parches no verificados.
1. Servidores de aplicación.
Es el software que permite a partir de él soportar aplicaciones e interconectarlas con datos. Ejemplos de esta subclasificación son servidores Web, de archivos, de mensajería, de correo electrónico, de autenticación,de control de acceso, de base de datos y cualquier producto que interactúa entre el sistema operativo de la plataforma y las aplicaciones para el intercambiode datos.
5. Automatización y monitoreo:
- Siempre que sea posible, las organizaciones deben automatizar el proceso de actualización del middleware mediante herramientas que monitoreen y gestionen los parches de forma centralizada. Esto ayuda a reducir el riesgo de error humano y mejora la eficiencia en el proceso de actualización. - Después de aplicar un parche, es fundamental monitorear el sistema para detectar posibles fallos o vulnerabilidades que no se hayan identificado previamente.
3. Evaluación Técnica de Parches en Entornos de Red
- Compatibilidad de Parche con Configuraciones de Red: Algunos parches pueden afectar configuraciones como enrutamiento, VLANs, VPNs, o ACLs. Antes de aplicar un parche, evalúa: 1.- Si el parche afecta protocolos de red críticos (OSPF, BGP, STP). 2.- Si introduce cambios en funcionalidades relacionadas con seguridad de red (IPSec, SSL VPNs). 3.- Impacto en Calidad de Servicio (QoS), para evitar degradación del servicio en redes sensibles. 4.- Test en Dispositivos Similares o Standby: Si es posible, aplica los parches en dispositivos en modo standby o en redundancia (si tienes alta disponibilidad con HSRP, VRRP, o MPLS) para asegurar que el servicio no se vea afectado.
- Es importante, resaltar la importancia de verificar la autenticidad de los parches, ya que deben ser descargados de fuentes legítimas y su integridad debe ser verificada a través de firmas digitales, cuando sea posible, para evitar la instalación de software malicioso. - La integridad de los parches es fundamental para prevenir la explotación de vulnerabilidades por parte de atacantes.