Caso práctico de una prueba de concepto de tres herramientas de gestión y análisis de vulnerabilidades

Abstract

The purpose of this work is the performance of a proof of concept for the choice of a vulnerability management tool in a real company. For this purpose, the state of the art in vulnerability management process and different comparisons between vulnerability management tools have been studied in order to identify the criteria used to compare them. Once this research has been made and theoretical basis has been defined, the need to implement this kind of tool in the company has been identified, analyzing the company's context. To select the vulnerability management tool, an evaluation procedure has been defined. This procedure consists of defining general criteria, based on the defined theoretical basis, and specific criteria based on the need of the company. These criteria have been weighted with percentages to establish how much weight they will have on the final score. Finally, the three leading tools in the market have been tested to evaluate each of the criteria. As a result, a final rating of the three tools has been calculated, being the tool with the best score the tool selected by the company to implement in the vulnerability management process.

El objetivo de este trabajo es la realización de una prueba de concepto para la elección de una herramienta de gestión de vulnerabilidades en una empresa real. Para ello, se ha realizado el estado del arte sobre el proceso de gestión de vulnerabilidades y se han estudiado diferentes trabajos de comparaciones entre herramientas de gestión de vulnerabilidades, con el objetivo de identificar los criterios utilizados para compararlas. Una vez realizada esta investigación y definida la base teórica, se ha identificado la necesidad de implantación de este tipo de herramienta en la empresa, analizando el contexto de la compañía Para realizar la selección de la herramienta, se ha definido un procedimiento de evaluación, el cual consiste en definir unos criterios generales, basándose en la base teórica definida, y en unos criterios específicos basados en la necesidad de la empresa. Estos criterios se han ponderado con porcentajes para establecer cuánto peso tendrán sobre la calificación final. Finalmente, se han probado las tres herramientas líderes en el mercado para evaluar cada uno de los criterios. Como resultado, se obtiene una calificación final de las tres herramientas, siendo la herramienta con mejor puntuación la herramienta seleccionada por la compañía para implementar en su proceso de gestión de vulnerabilidades.

L'objectiu d'aquest treball és la realització d'una prova de concepte per a l'elecció d'una eina de gestió de vulnerabilitats en una empresa real. Per a això, s'ha realitzat l'estat de l'art sobre el procés de gestió de vulnerabilitats i s'han estudiat diferents treballs de comparacions entre eines de gestió de vulnerabilitats, amb l'objectiu d'identificar els criteris utilitzats per a comparar-les. Una vegada realitzada aquesta recerca i definida la base teòrica, s'ha identificat la necessitat d'implantació d'aquesta mena d'eina en l'empresa, analitzant el context de la companyia. Per a realitzar la selecció de l'eina, s'ha definit un procediment d'avaluació, el qual consisteix a definir uns criteris generals, basant-se en la base teòrica definida, i en uns criteris específics basats en la necessitat de l'empresa. Aquests criteris s'han ponderat amb percentatges per a establir quant pes tindran sobre la qualificació final. Finalment, s'han provat les tres eines líders en el mercat per a avaluar cadascun dels criteris. Com a resultat, s'obté una qualificació final de les tres eines, sent l'eina amb millor puntuació l'eina seleccionada per la companyia per a implementar en el seu procés de gestió de vulnerabilitats.