La gestión de vulnerabilidades es la "práctica cíclica de identificar, clasificar, priorizar, remediar y mitigar" vulnerabilidades de software . [1] La gestión de vulnerabilidades es parte integral de la seguridad informática y de la red , y no debe confundirse con la evaluación de vulnerabilidades . [2]
Las vulnerabilidades se pueden descubrir con un escáner de vulnerabilidades , que analiza un sistema informático en busca de vulnerabilidades conocidas, [3] como puertos abiertos , configuraciones de software inseguras y susceptibilidad a infecciones de malware . También pueden identificarse consultando fuentes públicas, como NVD, actualizaciones de seguridad específicas del proveedor o suscribiéndose a un servicio comercial de alerta de vulnerabilidades. Se pueden encontrar vulnerabilidades desconocidas, como de día cero , [3] mediante pruebas difusas . Las pruebas difusas pueden identificar ciertos tipos de vulnerabilidades, como un desbordamiento del búfer con casos de prueba relevantes . Este análisis puede facilitarse mediante la automatización de pruebas . Además, el software antivirus capaz de realizar análisis heurísticos puede descubrir malware no documentado si encuentra software que se comporta de manera sospechosa (como intentar sobrescribir un archivo del sistema ).
La corrección de vulnerabilidades puede implicar de diversas formas la instalación de un parche , un cambio en la política de seguridad de la red, la reconfiguración del software o la educación de los usuarios sobre ingeniería social .
La vulnerabilidad del proyecto es la susceptibilidad del proyecto a estar sujeto a eventos negativos, el análisis de su impacto y la capacidad del proyecto para hacer frente a eventos negativos. [4] Basado en el Pensamiento Sistémico, la gestión de la vulnerabilidad sistémica de proyectos adopta una visión holística y propone el siguiente proceso:
En este modelo, hacer frente a los acontecimientos negativos se realiza a través de:
La redundancia es un método específico para aumentar la resistencia y la resiliencia en la gestión de la vulnerabilidad. [5]
La antifragilidad es un concepto introducido porNassim Nicholas Talebpara describir la capacidad de los sistemas no sólo para resistir o recuperarse de eventos adversos, sino también para mejorar gracias a ellos. La antifragilidad es similar al concepto decomplejidad positivapropuesto por Stefan Morcov.