Un sistema centralizado de vulnerabilidades –Vulnerability Management- nos permite gestionar todo tipo de vulnerabilidades identificadas, a través de escaneos automatizados de vulnerabilidades a nivel de red y aplicaciones web. Esta tecnología nos ayuda a mantener un historial de vulnerabilidades identificadas; también nos ayuda a mantener un seguimiento del proceso de mitigar la vulnerabilidad identificada. Utilizando este sistema centralizado nos permite tener una trazabilidad de la mejora de una infraestructura. A la vez nos permite realizar un análisis de riesgo de la infraestructura con el fin de tener el apetito de riesgo aceptable.
Existe un sinnúmero de sistemas centralizados de vulnerabilidades que nos permite mantener un récord de cada vulnerabilidad; a la vez con facilidades de ser implementado en un sistema de tiques permitiendo al departamento de tecnología una mejor manera de distribuir el trabajo. Los escaneos de vulnerabilidades automatizados generan falsos positivos; por lo que es ideal tener este sistema con el fin de marcarlos. Una vulnerabilidad identificada por herramientas automatizadas por lo general no obtiene validación que pueda asegurar dicho hallazgo -esto es lo que llamamos falso positivo-. Es aquí cuando un analista de seguridad procede a realizar validación manual de las vulnerabilidades identificadas para luego entender si es un falso positivo.
Hoy en día, el nuevo reglamento de ciberseguridad emitido por el Banco Central de República Dominicana impulsa al sector financiero de utilizar un sistema centralizado de vulnerabilidades. Es por esta misma razón por la cual debemos considerar tener un buen sistema de manejo de vulnerabilidades que permita ser auditado con el fin de identificar el apetito de riesgo de una infraestructura tecnológica.
También es importante entender que un sistema de vulnerabilidades es poder de tener una trazabilidad de cada vulnerabilidad y poder ser auditado con el fin de identificar el nivel de riesgo global de la infraestructura.