Los productos y los sistemas de información son cada vez más complejos, al igual que los procesos utilizados para desarrollarlos y operarlos. Como resultado, hay una mayor probabilidad de errores de configuración y/o fallos.

Estos errores y fallos pueden poner en riesgo servicios y datos críticos, lo que puede resultar en productos inseguros, pérdida de negocios, daños a la reputación o interrupciones operativas.

Tener un plan de gestión de configuración puede reducir estos riesgos y mejorar la postura general de seguridad de la organización. Sigue leyendo para obtener una definición, un ejemplo y una plantilla de un plan de gestión de configuración.

¿Qué es la gestión de configuración?

La gestión de configuración es el conjunto de actividades centradas en establecer y mantener la integridad de productos y sistemas, incluyendo hardware, software, aplicaciones, infraestructura y documentación. Estas actividades controlan los procesos para inicializar, cambiar y monitorear las configuraciones de productos y sistemas a lo largo del ciclo de vida del desarrollo.

Una de estas actividades es desarrollar un plan de gestión de configuración. Veamos más de cerca en qué consiste a continuación.

¿Qué es un plan de gestión de configuración?

Un plan de gestión de configuración es una descripción integral de los roles, responsabilidades, procesos y procedimientos que se aplican al gestionar la configuración de productos y sistemas.

Describe cómo avanzar en los cambios a través de los procesos de gestión de cambios, actualizar configuraciones y líneas base, mantener inventarios de componentes, y desarrollar, lanzar y actualizar documentos clave. También describe el control de desarrollo, prueba y entornos operativos.

Si bien cada plan de gestión de configuración es único, debe especificar lo siguiente:

• Junta de Control de Configuración o Cambio (CCB): un grupo de personal cualificado que es responsable del proceso de control y aprobación de cambios a lo largo del ciclo de vida del desarrollo y operativo de productos y sistemas
• Identificación de Elementos de Configuración: una metodología para seleccionar y nombrar elementos de configuración que necesitan ser colocados bajo gestión de configuración
• Control de Cambios de Configuración: un proceso para gestionar actualizaciones a las configuraciones base de los elementos de configuración
• Monitoreo de Configuración: un proceso para evaluar o probar el nivel de cumplimiento con la configuración base establecida y los mecanismos para reportar sobre el estado de configuración de los elementos colocados bajo gestión de configuración

¿Cuál es el propósito de un plan de gestión de configuración?

Los productos y sistemas de su organización están en constante cambio para mantenerse al día con las amenazas o funciones comerciales en evolución. Por ejemplo, su producto o sistema puede recibir hardware actualizado, nuevas capacidades de software o parches para corregir un error en un componente existente. La implementación de dichos cambios resulta en algún ajuste a la configuración del sistema, lo que puede afectar la seguridad de ese sistema y de toda su organización.

Un plan de gestión de configuración que defina claramente los procesos y procedimientos para establecer y mantener configuraciones de sistemas seguras y quién es responsable de gestionar y controlar esos procesos y procedimientos, puede ayudar a gestionar los riesgos asociados con esos sistemas, mejorando la postura de seguridad de esos sistemas y de toda su organización.

Dado que muchas vulnerabilidades pueden ser atribuibles a fallas de software y configuraciones erróneas de los componentes del sistema, un plan de gestión de configuraciones puede ayudar a controlar las vulnerabilidades y desbloquear una amplia gama de beneficios que incluyen:

• facilitando la gestión de activos
• mejorando la respuesta a incidentes, la mesa de ayuda, la recuperación ante desastres y la resolución de problemas
• ayudando en el desarrollo de software y la gestión de lanzamientos
• apoyando el cumplimiento de políticas y la preparación para auditorías

¿Por qué es importante un plan de gestión de configuración para el cumplimiento de NIST 800-53?

Crear y mantener un plan de gestión de configuración apoya la implementación de la familia de controles de Gestión de Configuración definida en NIST 800-53. A continuación, veremos dos de ellos más de cerca.

CM-1 requiere que las organizaciones desarrollen, documenten y divulguen:

• Una política de gestión de configuración: Esta política debe cubrir lo siguiente: propósito, alcance, roles, responsabilidades, compromiso de la gestión, coordinación entre entidades organizacionales y cumplimiento.
• Procedimientos de gestión de configuración: Estos procedimientos deben facilitar la implementación de la política de gestión de configuración y los controles asociados a la gestión de configuración.

Un plan de gestión de configuración satisface los requisitos de una política de gestión de configuración y define los procedimientos y procesos para cómo se utiliza la gestión de configuración para apoyar las actividades del ciclo de vida del desarrollo del sistema.

CM-9 específicamente requiere que las organizaciones desarrollen, documenten e implementen un plan de gestión de configuración para el sistema que:

• Aborde roles, responsabilidades y procesos y procedimientos de gestión de configuración
• Establezca un proceso para identificar elementos de configuración a lo largo del ciclo de vida del desarrollo del sistema y para gestionar la configuración de esos elementos
• Defina los elementos de configuración del sistema y los coloque bajo gestión de configuración

Este plan también debe ser revisado y aprobado por el personal asignado y protegido contra la divulgación y modificación no autorizadas.

Cómo crear un plan de gestión de configuración

Ahora es el momento de comenzar a formular y desarrollar su plan de gestión de configuración. Para guiarlo a través del proceso, hemos desglosado el proceso en siete pasos clave. También hemos proporcionado un ejemplo y una plantilla a continuación para ayudarlo a comenzar.

1. Definir roles y responsabilidades.

Para empezar, defina los roles que son relevantes para el programa de gestión de configuración junto con sus responsabilidades. Por ejemplo, un gerente de programa puede ser responsable de desarrollar políticas y procedimientos de gestión de configuración y supervisar la implementación del programa para toda la organización o un sistema individual.

Otros roles clave pueden incluir:

• Director de Información
• Administrador del Sistema
• Desarrollador de Sistemas o Software
• Usuario del Sistema
• Miembro del CCB/personal autorizado

2. Identificar y priorizar los sistemas críticos que requerirán cambios y gestión de configuración.

El siguiente paso es identificar y priorizar qué sistemas y productos son necesarios para llevar a cabo los procesos de misión y negocio y deben configurarse de una manera particular para hacerlo.

3. Identificar activos relacionados con sistemas críticos.

A continuación, identifique los activos discretos que componen cada sistema crítico, como servidores, estaciones de trabajo, enrutadores o aplicaciones. Estos activos se conocen como componentes del sistema.

Esta lista se convertirá en su inventario de componentes del sistema y proporcionará una vista completa de los componentes que necesitan ser gestionados y asegurados para mantener la seguridad de sus sistemas críticos.

4. Identificar los elementos de configuración de los sistemas que requerirán gestión de configuración.

Ahora, agrupe los componentes del sistema y los objetos no componentes, como documentos, diagramas de red, scripts, código personalizado y varios otros elementos que componen el sistema, que requieran gestión de configuración en elementos de configuración. Las configuraciones de estos elementos se gestionarán como uno solo.

Por ejemplo, todos los escritorios que ejecutan el mismo tipo y versión de un sistema operativo pueden agruparse en un solo elemento de configuración.

5. Determinar una línea base de configuración para cada sistema.

A continuación, desarrolle una configuración base segura para el sistema y sus elementos y componentes de configuración asociados. Esta línea base es el estado más seguro en el que puede estar un sistema mientras se cumplen los requisitos operativos y las limitaciones como los costos. Puede abordar configuraciones de configuración, cargas de software, niveles de parches, cómo se organiza física o lógicamente el sistema de información, cómo se implementan diversos controles de seguridad y documentación.

Una vez revisada y aprobada, implemente la línea base de configuración.

6. Desarrollar un proceso de gestión de configuración.

A continuación, desarrolle un proceso para cómo se gestionarán los cambios del sistema para mantener la línea base aprobada del sistema anterior.

Este proceso debe definir lo siguiente:

• Cómo se identifican formalmente los cambios
• Cómo se proponen
• Cómo se revisan
• Cómo se analizan para el impacto de la seguridad y se prueban
• Cómo se aprueban antes de la implementación
• Quién los revisa y aprueba
• Quién está desplegando estos cambios a producción
• Cómo se implementa la segregación de funciones entre el desarrollo y la implementación

7. Identificar herramientas para usar para implementar y monitorear configuraciones.

Las herramientas automatizadas no solo pueden ayudar a su organización a implementar configuraciones, sino también a monitorearlas para garantizar que un sistema permanezca seguro (es decir, cumpliendo con las políticas y procedimientos organizacionales y la configuración base segura aprobada). Estas herramientas pueden identificar automáticamente cuándo el sistema no es consistente con la configuración base aprobada debido a componentes del sistema no documentados, configuraciones incorrectas, vulnerabilidades y cambios no autorizados y alertarle que se necesitan acciones correctivas.

Ahora que entiende el proceso paso a paso para desarrollar un plan de gestión de configuración, veamos un ejemplo.

Ejemplo de plan de gestión de configuración

Un plan de gestión de configuración generalmente se divide en tres partes. La primera introduce la gestión de configuración y su propósito, proporciona una visión general del sistema y describe el propósito y alcance del documento, así como las políticas y procedimientos aplicables.

La segunda detalla el programa de gestión de configuración, incluyendo roles y responsabilidades, políticas y procedimientos y cómo se administran, y cualquier herramienta utilizada.

La tercera detalla las actividades de gestión de configuración, que típicamente incluyen la identificación de configuración, la creación de líneas base de configuración, control de cambios de configuración, monitoreo e informes.

NASA, Centros para el Control y la Prevención de Enfermedades y Departamento de Vivienda y Desarrollo Urbano de EE.UU. han publicado ejemplos de planes de gestión de configuración que siguen este esquema y formato estándar.

A continuación se presenta un esquema más detallado para desarrollar un plan de gestión de configuración.

1. General information
	1.1 Background
	1.2 Overview of system
	1.3 Purpose of document

2. Configuration management program
	2.1 Roles and responsibilities 
	2.2 Program administration
	2.3 Tools

3. Configuration management activities
	3.1 Configuration identification
	3.2 Configuration baselining
	3.3 Configuration change control
	3.4 Monitoring
	3.5 Reporting

Plantilla del plan de gestión de configuración

NIST 800-53 recomienda usar plantillas para ayudar a garantizar el desarrollo e implementación consistentes y oportunos de los planes de gestión de configuración. Descarga la plantilla gratuita a continuación, luego adáptala para tu organización y publícala para que tu personal la revise de manera rápida y sencilla.

Cómo Secureframe puede ayudar con la gestión de configuración centrada en la seguridad

Secureframe puede ayudar a simplificar el proceso de gestión de configuración y el cumplimiento de NIST 800-53 en general. Con Secureframe, puedes:

• Establecer políticas y procedimientos de NIST 800-53 rápidamente usando nuestra biblioteca de políticas y procedimientos
• Aprovechar nuestras pruebas y controles preconstruidos, o crear pruebas personalizadas y controles personalizados para los procesos, políticas y procedimientos únicos de tu organización para cumplir con NIST 800-53.
• Probar automáticamente los controles mediante la recopilación continua de datos de configuración de más de 150 integraciones
• Mantenerte al día con cualquier cambio en los requisitos de NIST 800-53

Programar una demo para aprender cómo Secureframe puede ayudarte a lograr y mantener el cumplimiento de NIST 800-53 en toda tu empresa.