Gestión de revisiones de emergencia

Sistemas con Windows

NICE CXone debe aplicar revisiones a los sistemas de CXone afectados tan pronto como sea posible si:

  • Hay un código de la prueba de concepto disponible públicamente relativo a una posible vulnerabilidad.

  • Se publica una nueva revisión de seguridad crítica.

El objetivo de estas revisiones es eliminar de inmediato las vulnerabilidades en el entorno de nube de la organización. Las actualizaciones críticas de Microsoft y otras revisiones se ejecutan mediante un ciclo de pruebas y se aplican siguiendo un cronograma normal. Este cronograma suele ser un ciclo de revisiones de 30 días que comienza con el “Martes de revisiones” de Microsoft. NICE CXone emplea también un cronograma de revisiones de Linux con una calificación similar de prioridades. Las revisiones críticas no deben esperar hasta el turno del mes siguiente.

Las revisiones y las actualizaciones quedan documentadas en un Registro de control de cambios (CCR). La Junta de gestión de cambios de NICE CXone debe analizarlos para detectar lo siguiente:

  • Impacto.

  • Análisis de riesgos.

  • Acciones necesarias previas a la aprobación.

Las revisiones y las actualizaciones también deberían someterse a revisiones técnicas y por pares.

Las revisiones y las actualizaciones se ponen a prueba primero en el laboratorio de NICE CXone, después en clústers alfa y beta y, por último, en producción. NICE CXone mantiene un proceso de gestión de cambios de emergencia para afrontar problemas críticos imprevistos.

Las pruebas de las actualizaciones están a cargo de un departamento de Control de Calidad (QA) de dedicación exclusiva. Este departamento emplea prácticas que están dentro de las directrices de NICE CXone. Tales directrices se encuentran en los siguientes documentos:

  • Ciclo de vida del desarrollo de la seguridad (SDLC).

  • Documentos sobre políticas y procedimientos.

Los equipos de operaciones de NICE CXone actualizan o aplican revisiones en todos los dispositivos aplicables de CXone. La instalación de revisiones se produce durante una ventana definida de mantenimiento, que normalmente abarca tres horas fuera del horario pico, según la ubicación. La ventana de mantenimiento se informa como parte del contrato con el cliente. El mantenimiento puede causar una breve interrupción durante el reinicio de los servidores o cuando se sobreexigen los clústers.

Sistemas y software diferentes de Windows

Las revisiones de Linux y otros sistemas operativos diferentes de Windows se instalan según un cronograma y según sea necesario. Siguen el mismo proceso y ciclo que el Panel de Control de Cambios (CCB) antes descrito. Las versiones actuales se conocen y se comparan con las vulnerabilidades y exposiciones comunes (CVE) relevantes, tras lo cual se solucionan.

Seguridad de la Información evalúa el software de terceros y diferente de Windows. Para esto, usan lo siguiente:

  • Escaneo impulsado por el control de calidad (QA)

  • El Centro de Seguridad.

  • Otros controles e informes de detección.

Seguridad de la Información comunica estas vulnerabilidades a los propietarios y grupos respectivos, como SysOps o R&D. Las revisiones de vulnerabilidades con calificación de "Crítica" o "Alta” deberían aplicarse en un plazo de 30 a 90 días. Ciertas amenazas dentro de esas vulnerabilidades se deberían gestionar dentro del mandato de 30 días.

Instrumentos

Infra-Tools es una herramienta interna que se utiliza en Windows. Ejecuta la detección automática del estado del software y el hardware. Esta herramienta está a cargo de los grupos de Operaciones del Sistema. Garantiza que los equipos y el software sin revisiones se señalen y corrijan.

Los firewalls llevan a cabo una inspección profunda de paquetes durante IDS/IPS con la protección contra amenazas activada.

NICE CXone utiliza otras herramientas administrativas de relevamiento del panorama de amenazas a nivel interno. Los SIEM de registro inspeccionan los registros de los servidores adecuados para detectar anomalías.

Objetivos de nivel de servicio

NICE CXone utiliza objetivos de nivel de servicio al aplicar las revisiones. Dichos objetivos garantizan que:

  • Se apliquen revisiones para las vulnerabilidades conocidas a tiempo.

  • Las revisiones cumplan con:

    • PCI-DSS

    • Otros requisitos de infraestructura de seguridad dentro del alcance.

Se utiliza una escala para describir el riesgo de las revisiones y eventos. El grupo propietario del dispositivo interno califica la vulnerabilidad como "Crítica", "Alta", "Media” o "Baja".

  • Las revisiones para vulnerabilidades Críticas se deben instalar en un plazo de 30 días.

  • Las revisiones para vulnerabilidades Altas se deben instalar en un plazo de 60 días.

  • Las revisiones para vulnerabilidades Medias se deben instalar en un plazo de 90 días.

  • Las revisiones para vulnerabilidades Bajas se deben instalar en el plazo definido por el grupo propietario del dispositivo interno.

Seguridad de la Información transmite información sobre las debilidades del Centro de Seguridad. Lo hace mediante informes de inspección de vulnerabilidades.

Ciclo de reparación

El análisis de amenazas críticas as comienza inmediatamente después de la detección. La definición de la amenaza y el plan de acción se determinan en un plazo de 72 horas. Después, el plan pasa al ciclo de reparación. La reparación implica lo siguiente:

  1. Diseñar la arquitectura de una solución.

  2. Diseñar la solución.

  3. Implementar en el laboratorio, a modo de prueba.

  4. Transmitir la solución a Control de Calidad (QA)

  5. Publicar el cronograma.

  6. Cambiar el proceso de revisión por pares y aprobación del Panel.

  7. Implementación.

El análisis, la definición, el plan de acción y el ciclo de reparación deben ocurrir en un plazo de 30 días a partir de la detección. Si el servicio de un tenant se ve afectado, se notifica al tenant las actualizaciones sobre el avance. Las actualizaciones se entregan a medida que se implementa cada paso del ciclo de reparación. Tras una reparación satisfactoria, según el incidente, se entrega un RCA a los tenants afectados.

Excepciones

Se lleva a cabo una reparación y catalogación manuales en los servidores y dispositivos que:

  • No se comuniquen con servidores WSUS.

  • No puedan recibir actualizaciones.

Los informes de servidores sin revisiones se proporcionan a Seguridad de la Información para darles visibilidad y seguimiento y aplicar medidas correctivas.