Windows Sistemas
NICE debe aplicar revisiones a los sistemas de CXone Mpower afectados tan pronto como sea posible si:
-
Hay un código de la prueba de concepto disponible públicamente relativo a una posible vulnerabilidad.
-
Se publica una nueva revisión de seguridad crítica.
El objetivo de estas revisiones es eliminar de inmediato las vulnerabilidades en el entorno de nube de la organización. Microsoft Las actualizaciones críticas y otros parches se ejecutan a través de un ciclo de prueba y se aplican según un cronograma regular. Este cronograma suele ser un ciclo de parches de 30 días que comienza con el martes de parches de Microsoft. NICE emplea también un cronograma de revisiones de Linux con una calificación similar de prioridades. Las revisiones críticas no deben esperar hasta el turno del mes siguiente.
Las revisiones y las actualizaciones quedan documentadas en un Registro de control de cambios (CCR). La Junta de gestión de cambios de NICE debe analizarlos para detectar lo siguiente:
-
Impacto.
-
Análisis de riesgos.
-
Acciones necesarias previas a la aprobación.
Las revisiones y las actualizaciones también deberían someterse a revisiones técnicas y por pares.
Las revisiones y las actualizaciones se ponen a prueba primero en el laboratorio de CXone Mpower, después en clústers alfa y beta y, por último, en producción. NICE mantiene un proceso de gestión de cambios de emergencia para afrontar problemas críticos imprevistos.
Las pruebas de las actualizaciones están a cargo de un departamento de Control de Calidad (QA) de dedicación exclusiva. Este departamento emplea prácticas que están dentro de las directrices de NICE. Tales directrices se encuentran en los siguientes documentos:
-
Ciclo de vida del desarrollo de la seguridad (SDLC).
-
Documentos sobre políticas y procedimientos.
Los equipos de operaciones de NICE actualizan o aplican revisiones en todos los dispositivos aplicables de CXone Mpower. La instalación de revisiones se produce durante una ventana definida de mantenimiento, que normalmente abarca tres horas fuera del horario pico, según la ubicación. La ventana de mantenimiento se informa como parte del contrato con el cliente. El mantenimiento puede causar una breve interrupción durante el reinicio de los servidores o cuando se sobreexigen los clústers.
Sistemas y software que no son Windows
Los sistemas operativos y dispositivos Linux y otros que no son Windows se parchean según un calendario y según cada caso. Siguen el mismo proceso y ciclo que el Panel de Control de Cambios (CCB) antes descrito. Las versiones actuales se conocen y se comparan con las vulnerabilidades y exposiciones comunes (CVE) relevantes, tras lo cual se solucionan.
La seguridad de la información evalúa software de terceros o que no es de Windows. Para esto, usan lo siguiente:
-
Escaneo impulsado por el control de calidad (QA)
-
El Centro de Seguridad.
-
Otros controles e informes de detección.
Seguridad de la Información comunica estas vulnerabilidades a los propietarios y grupos respectivos, como SysOps o R&D. Las revisiones de vulnerabilidades con calificación de "Crítica" o "Alta” deberían aplicarse en un plazo de 30 a 90 días. Ciertas amenazas dentro de esas vulnerabilidades se deberían gestionar dentro del mandato de 30 días.
Instrumentos
Infra-Tools es una herramienta interna utilizada en Windows. Ejecuta la detección automática del estado del software y el hardware. Esta herramienta está a cargo de los grupos de Operaciones del Sistema. Garantiza que los equipos y el software sin revisiones se señalen y corrijan.
Los firewalls llevan a cabo una inspección profunda de paquetes durante IDS/IPS con la protección contra amenazas activada.
NICE utiliza otras herramientas administrativas de relevamiento del panorama de amenazas a nivel interno. Los SIEM de registro inspeccionan los registros de los servidores adecuados para detectar anomalías.
Objetivos de nivel de servicio
NICE utiliza objetivos de nivel de servicio al aplicar las revisiones. Dichos objetivos garantizan que:
-
Las vulnerabilidades conocidas se corrigen a tiempo.
-
Los parches cumplen con:
-
Otros requisitos de infraestructura de seguridad dentro del alcance.
Se utiliza una escala para describir el riesgo de las revisiones y eventos. El grupo propietario del dispositivo interno califica la vulnerabilidad como "Crítica", "Alta", "Media” o "Baja".
-
Las revisiones para vulnerabilidades Críticas se deben instalar en un plazo de 30 días.
-
Las revisiones para vulnerabilidades Altas se deben instalar en un plazo de 60 días.
-
Las revisiones para vulnerabilidades Medias se deben instalar en un plazo de 90 días.
-
Las revisiones para vulnerabilidades Bajas se deben instalar en el plazo definido por el grupo propietario del dispositivo interno.
Seguridad de la Información transmite información sobre las debilidades del Centro de Seguridad. Lo hace mediante informes de inspección de vulnerabilidades.
Ciclo de reparación
El análisis de amenazas críticas as comienza inmediatamente después de la detección. La definición de la amenaza y el plan de acción se determinan en un plazo de 72 horas. Después, el plan pasa al ciclo de reparación. La reparación implica lo siguiente:
-
Diseñar la arquitectura de una solución.
-
Diseñar la solución.
-
Implementar en el laboratorio, a modo de prueba.
-
Transmitir la solución a Control de Calidad (QA)
-
Publicar el cronograma.
-
Cambiar el proceso de revisión por pares y aprobación del Panel.
-
Implementación.
El análisis, la definición, el plan de acción y el ciclo de reparación deben ocurrir en un plazo de 30 días a partir de la detección. Si el servicio de un
Excepciones
Se lleva a cabo una reparación y catalogación manuales en los servidores y dispositivos que:
-
No se comuniquen con servidores WSUS.
-
No puedan recibir actualizaciones.
Los informes de servidores sin revisiones se proporcionan a Seguridad de la Información para darles visibilidad y seguimiento y aplicar medidas correctivas.