Preguntas frecuentes de Tenable Vulnerability Management

Preguntas generales

¿Qué es Tenable Vulnerability Management?

Tenable Vulnerability Management es una solución de gestión de vulnerabilidades basada en el riesgo que le proporciona visibilidad completa hacia la red para predecir ataques y responder rápidamente a vulnerabilidades críticas. La detección y la evaluación constantes y siempre activas proporcionan la visibilidad que necesita para encontrar todos los activos en su red, así como también las vulnerabilidades ocultas en esos activos. La priorización incorporada, la inteligencia de amenazas y los informes en tiempo real le ayudan a comprender su riesgo y a interrumpir las rutas de ataque de manera proactiva. Desarrollado a partir de la tecnología líder Tenable Nessus y gestionado en la nube, obtiene visibilidad completa de los activos y las vulnerabilidades en su red para poder comprender rápida y precisamente su riesgo, y para saber qué vulnerabilidades reparar primero.

Tenable Vulnerability Management es un componente integral de Tenable One, la plataforma de gestión de exposición de Tenable. Tenable One se compone a partir de Tenable Vulnerability Management y proporciona información procesable sobre los riesgos de seguridad en toda su infraestructura, incluyendo instancias en la nube, aplicaciones web, Active Directory (AD) y más. Además, incluye activos altamente dinámicos como dispositivos móviles, máquinas virtuales y contenedores. Para mejorar aún más la gestión del riesgo cibernético, usted obtendrá métricas y capacidades de priorización adicionales, como visualizaciones de superficie de ataque, índices de criticidad de activos, puntuación de exposición basada en el riesgo y evaluación comparativa con la competencia, así como la capacidad de realizar un seguimiento de la reducción del riesgo a lo largo del tiempo.

¿Cómo puedo obtener más información sobre Tenable Vulnerability Management?

Para obtener más información acerca de Tenable Vulnerability Management, visite la página de producto de Tenable Vulnerability Management, asista a un próximo seminario web o póngase en contacto con su socio certificado de Tenable o con su representante de Tenable.

¿Cómo puedo evaluar las aplicaciones de Tenable Vulnerability Management?

Regístrese para obtener una evaluación gratuita de Tenable Vulnerability Management al visitar https://es-la.tenable.com/try.

¿Cómo puedo comprar las aplicaciones de Tenable Vulnerability Management?

Puede comprar aplicaciones de Tenable Vulnerability Management poniéndose en contacto con su socio certificado de Tenable o con su representante de Tenable o visitando es-la.tenable.com.

¿Puedo obtener licencias de las aplicaciones Tenable de manera individual?

Sí. Usted puede obtener licencias de aplicaciones de Tenable de manera individual. Por ejemplo, se puede obtener una licencia solo para Tenable Web App Scanning, sin las capacidades de gestión de vulnerabilidades de Tenable Vulnerability Management.

¿Cómo se establece el precio y se concede la licencia de Tenable Vulnerability Management?

La licencia de Tenable Vulnerability Management se otorga con una suscripción anual y sus precios dependen de activos, en vez de direcciones IP. Esto permite que los clientes adopten nuevas tecnologías como la nube sin el miedo a la duplicación.

Para obtener más información sobre precios y concesión de licencias, consulte la sección a continuación.

¿Qué se encuentra en un activo?

Un activo es:

• Un dispositivo físico o virtual con un sistema operativo conectado a una red.
• Una aplicación web con un FQDN.
• Un recurso en la nube activo (no terminado).

¿Cómo se otorgan las licencias y se asignan los precios de otras aplicaciones de Tenable Vulnerability Management?

La licencia de Tenable Web App Scanning se otorga con una suscripción anual y sus precios dependen de la cantidad de activos. Los precios de Tenable Web App Scanning dependen del número total de nombres de dominio completamente calificados (FQDN) que evalúe el producto.

Para obtener más información sobre precios y concesión de licencias, consulte la sección a continuación.

¿Tenable ofrece un acuerdo de nivel de servicio (SLA) para Tenable Vulnerability Management?

Sí. Tenable proporciona la primera garantía de tiempo de actividad de la industria de gestión de vulnerabilidades a través de un robusto acuerdo de nivel de servicio (SLA) para Tenable Vulnerability Management. Se ofrecen créditos de servicio si el SLA no se cumple, al igual que con los principales proveedores de nube como Amazon Web Services (AWS).

¿Dónde puedo encontrar la documentación de Tenable Vulnerability Management?

La documentación técnica de todos los productos de Tenable, incluyendo Tenable Vulnerability Management, se encuentra en https://docs.tenable.com.

¿Qué direcciones IP usa Tenable para el escaneo desde la nube?

De manera predeterminada, Tenable Vulnerability Management viene configurado con escáneres de nube específicos de región. Para obtener más información, consulte nuestra documentación.

¿Puedo usar Tenable Security Center y Tenable Vulnerability Management juntos?

Sí. Usted puede emplear ambas soluciones. Los clientes pueden optar por una implementación de gestión de vulnerabilidades híbrida utilizando tanto Tenable Security Center como Tenable Vulnerability Management. Los clientes que estén interesados en Tenable Vulnerability Management PCI/ASV o en otras aplicaciones de Tenable Vulnerability Management, también pueden optar por una implementación híbrida junto con su instancia de Tenable Security Center.

¿Puedo migrar de Tenable Security Center a Tenable Vulnerability Management?

Sí. Para los clientes que están interesados, hay diversas opciones para migrar sin problemas de Tenable Security Center hacia Tenable Vulnerability Management, con soporte completo de Tenable o de su socio certificado. Para obtener más información, póngase en contacto con su socio certificado de Tenable o con su representante de Tenable.

¿Qué es la gestión de superficie de ataque externa (EASM)?

La gestión de superficie de ataque externa (EASM) Es una capacidad que ofrece Tenable y que proporciona visibilidad en puntos ciegos fuera del perímetro de su red. Esto le permite analizar su dominio para encontrar activos conectados a Internet desconocidos que pueden suponer un alto riesgo para su organización.

¿Se incluye la gestión de superficie de ataque externa (EASM) en Tenable Vulnerability Management?

Sí, Tenable Vulnerability Management ofrece capacidades de Gestión de superficie de ataque externa (EASM). Si requiere dominios adicionales, frecuencia y/o metadatos en sus resultados, puede comprar nuestros add-ons de Tenable Attack Surface Management.

¿Qué es Tenable Web App Scanning?

Tenable Web App Scanning es una aplicación de pruebas de seguridad de aplicaciones dinámicas (DAST). Una aplicación DAST rastrea una aplicación web en ejecución mediante el front-end, a fin de crear un mapa del sitio con todas las páginas, enlaces y formularios para evaluarlos. Una vez que DAST crea un mapa del sitio, interroga al sitio a través del front-end para identificar cualquier vulnerabilidad en el código personalizado de la aplicación o vulnerabilidades conocidas en componentes de terceros que componen la mayor parte de la aplicación.

¿Qué es Tenable Web App Scanning?

Tenable Web App Scanning es una aplicación de pruebas de seguridad de aplicaciones dinámicas (DAST). Una aplicación DAST rastrea una aplicación web en ejecución mediante el front-end, a fin de crear un mapa del sitio con todas las páginas, enlaces y formularios para evaluarlos. Una vez que DAST crea un mapa del sitio, interroga al sitio a través del front-end para identificar cualquier vulnerabilidad en el código personalizado de la aplicación o vulnerabilidades conocidas en componentes de terceros que componen la mayor parte de la aplicación.

¿Dónde puedo obtener más información o evaluar Tenable Web App Scanning?

Para obtener más información de Tenable Web App Scanning, visite la página de producto de Tenable Web App Scanning. Regístrese para una evaluación sin cargo visitando tenable.com/try-was o póngase en contacto con su socio certificado de Tenable o representante de Tenable para obtener más información.

¿El producto escanea el código fuente o realiza análisis estático?

No. Tenable Web App Scanning es una solución de pruebas de seguridad de aplicaciones dinámicas (DAST) que prueba aplicaciones web “desde afuera” cuando la aplicación se está ejecutando en un entorno de prueba o de producción.

Preguntas sobre Elastic Asset Licensing

Elastic Asset Licensing, incorporado en Tenable Vulnerability Management, es una innovación que alinea las licencias de gestión de vulnerabilidades con los entornos de TI elásticos de hoy. Elastic Asset Licensing evita la duplicación de activos que tienen varias direcciones IP o direcciones cambiantes. Además, reclama automáticamente licencias de activos que no se han escaneado recientemente, incluso activos retirados y aquellos que se han escaneado de manera inadvertida.

¿Qué es Tenable Vulnerability Management Elastic Asset Licensing?

Las principales ventajas de Elastic Asset Licensing son:

• Los clientes adquieren la cantidad adecuada de licencias en función de cantidades de activos no recuentos inflados de direcciones IP.
• Los clientes evitan proyectos que demandan mucho tiempo y que, con frecuencia, son inexactos necesarios para reclamar licencias de activos puestos fuera de servicio o escaneados de forma inadvertida.
• Las mediciones de gestión de vulnerabilidades no se ven afectados por la duplicación o triplicación de vulnerabilidades en el caso de activos que tienen varias direcciones IP.

¿Qué datos de activos y vulnerabilidades del cliente gestiona Tenable Vulnerability Management?

Las principales ventajas de Elastic Asset Licensing son:

• Los clientes adquieren la cantidad adecuada de licencias en función de cantidades de activos no recuentos inflados de direcciones IP.
• Los clientes evitan proyectos que demandan mucho tiempo y que, con frecuencia, son inexactos necesarios para reclamar licencias de activos puestos fuera de servicio o escaneados de forma inadvertida.
• Las mediciones de gestión de vulnerabilidades no se ven afectados por la duplicación o triplicación de vulnerabilidades en el caso de activos que tienen varias direcciones IP.

¿Los clientes de Tenable Vulnerability Management pueden escanear más activos que los que cuentan con licencia?

Sí, de manera temporal, los clientes pueden superar la cantidad de activos con licencia. Por supuesto, los clientes deben pagar la cantidad de licencias correctas cuando el recuento de licencia sigue excediéndose.

¿Los clientes de Tenable Vulnerability Management pueden escanear más activos que los que cuentan con licencia?

Sí, de manera temporal, los clientes pueden superar la cantidad de activos con licencia. Por supuesto, los clientes deben pagar la cantidad de licencias correctas cuando el recuento de licencia sigue excediéndose.

¿Qué se encuentra en un activo?

Un activo es una entidad que se puede analizar. Ejemplos de activos incluyen computadoras de escritorio, computadoras portátiles, servidores, dispositivos de almacenamiento, dispositivos en red, teléfonos, tabletas, VM, hipervisores y contenedores.

¿Cómo identifica un activo Tenable Vulnerability Management?

Cuando Tenable Vulnerability Management descubre primero un activo, reúne múltiples atributos de identificación, que pueden incluir un UUID del BIOS, la dirección MAC del sistema, el nombre de NetBIOS, FQDN y/u otros atributos que se pueden utilizar para identificar de forma confiable un activo. Además, el escaneo autenticado y agentes Nessus asigna una UUID de Tenable al dispositivo. Cuando Tenable Vulnerability Management posteriormente escanea un activo, lo compara con los activos descubiertos anteriormente. Si el activo recién descubierto no coincide con un activo descubierto previamente, el activo se añade al inventario de activos de Tenable Vulnerability Management.

¿De qué manera son diferentes los activos de las IP?

Por lo general, las direcciones IP son una propiedad de un activo y muchos activos tienen varias direcciones IP asignadas (como por ejemplo, dispositivos DHCP, sistemas con interfaces cableadas e inalámbricas, etc.).

¿Por qué el recuento de activos es probablemente menor al recuento de direcciones IP?

Con frecuencia, los activos tienen varias tarjetas de interfaz de red, lo que les permite que varias redes tengan acceso a ellos. Como ejemplo, un servidor web puede haber estado simultáneamente en una red de producción y en una red administrativa, o una computadora portátil tendrá interfaces de red tanto cableadas como inalámbricas. Además, las computadoras portátiles con frecuencia obtendrán nuevas direcciones IP a medida que se mueven de una ubicación a otra. Si se las escanea con una IP y, luego, con otra, se las contará dos veces.

¿De qué forma los clientes potenciales puede estimar el recuento de activos?

Tenable Vulnerability Management admite escaneos de detección ilimitados utilizando sensores activos y pasivos. Los clientes pueden usar esos escaneos para confeccionar inventarios integrales de todos sus activos y determinar el tamaño correcto de la licencia.

¿Cómo evitar contar el mismo activo varias veces?

Tenable Vulnerability Management admite diversas metodologías para evitar el doble o triple conteo del mismo activo para calcular el tamaño de licencia apropiado. Con los activos tradicionales, Tenable Vulnerability Management emplea un algoritmo patentado que combina los activos recién detectados con los activos ya detectados para eliminar duplicados y garantizar informes de vulnerabilidad más precisos.

Preguntas sobre la seguridad y privacidad de datos

La seguridad y privacidad de los datos del cliente es la prioridad más importante para Tenable. Miles de clientes, incluso proveedores de servicios financieros, proveedores de asistencia médica, comerciantes minoristas, instituciones educativas y organismos gubernamentales confían a Tenable sus datos de vulnerabilidades en nuestra plataforma en la nube.

La seguridad y privacidad de los datos incluye no permitir a los clientes que accedan a otros datos que no sean los propios y garantizar que cualquier persona que no sea el cliente, hackers, agentes maliciosos o representantes de Tenable no autorizados, etc., no puedan acceder, divulgar, copiar o infringir de cualquier otro modo la privacidad y protección de los datos de los clientes almacenados en el servicio de Tenable Vulnerability Management.

Tenable también se concentra en la disponibilidad y confiabilidad del servicio Tenable Vulnerability Management, ya que controles deficientes en materia de seguridad pueden crear problemas que, si bien no representan un riesgo para los datos de los clientes, pueden afectar la disponibilidad del servicio. Tenable implementa y aplica medidas para garantizar que Tenable Vulnerability Management tenga un nivel de disponibilidad elevado, esté protegido contra ataques o fallas simples e interrupciones, y que nuestros clientes siempre puedan usarlo.

¿Qué datos del cliente gestiona Tenable Vulnerability Management?

En última instancia, los datos del cliente que gestiona Tenable Vulnerability Management tienen una sola finalidad: ofrecer una experiencia excepcional a medida que los clientes gestionan activos y vulnerabilidades para proteger sus entornos. Para ese fin, Tenable Vulnerability Management gestiona tres categorías de datos del cliente:

1. Datos sobre activos y vulnerabilidades
2. Datos de rendimiento del entorno
3. Datos del nivel de uso del cliente

¿Qué datos de activos y vulnerabilidades del cliente gestiona Tenable Vulnerability Management?

Tenable Vulnerability Management realiza el inventario de activos en las redes de los clientes y gestiona los atributos de los activos que pueden incluir dirección IP, dirección MAC, nombre NetBIOS, sistema operativo y versión, puertos activos y más.

Tenable Vulnerability Management recopila datos detallados actuales e históricos sobre vulnerabilidades y configuración, que pueden incluir el nivel de criticidad, el nivel de capacidad de explotación, el estado de corrección y la actividad en la red. Además, si los clientes mejoran los datos de Tenable Vulnerability Management con integraciones a productos de terceros, como sistemas de gestión de activos y sistemas de gestión de parches, Tenable Vulnerability Management puede gestionar los datos de esos productos.

¿Tenable analiza o usa los datos del cliente?

Tenable convierte datos de clientes en datos anónimos, y los analiza para determinar tendencias en la industria, en el aumento y la mitigación de vulnerabilidades, y en eventos de seguridad. Por ejemplo, la correlación de la presencia de una vulnerabilidad con su explotación tiene enormes beneficios para los clientes de Tenable. Otros beneficios incluyen análisis avanzado y correlación mejorada de los datos del cliente con los de la industria, y eventos y tendencias en materia de seguridad. La recolección y análisis de este tipo de datos permite que los clientes se comparen en pie de igualdad con respecto a otros en la industria o en general. Tenable ofrece un método para que los clientes cancelen su suscripción a este servicio, si así lo desean.

¿Qué datos de condición y estado de Tenable Vulnerability Management se recolectan?

Para mantener el rendimiento y disponibilidad de Tenable Vulnerability Management y ofrecer la mejor experiencia del cliente posible, Tenable Vulnerability Management recopila información sobre el estado y la condición de la aplicación específica del cliente. Esto incluye la frecuencia con la cual el escáner se comunica con la plataforma, la cantidad de activos escaneados y versiones del software implementado, así como otra telemetría general para identificar y abordar problemas potenciales en cuanto sea posible.

¿Los clientes puede cancelar la suscripción a la recopilación de datos de condición y estado?

Tenable usa datos de condición y estado para detectar y abordar problemas potenciales de manera oportunidad, manteniendo los compromisos de SLA de esa forma. Por lo tanto, los clientes no pueden cancelar la suscripción a esta recopilación de datos.

¿Qué datos de uso recolecta Tenable Vulnerability Management?

Para evaluar y mejorar la experiencia del cliente, Tenable recopila datos anónimos del nivel de uso del usuario. Estos datos incluyen acceso a la página, clics y otra actividad del usuario que le otorga a este una opinión en la optimización y mejora de su experiencia.

¿Los usuarios pueden cancelar la suscripción a la recopilación de datos sobre el nivel de uso?

Sí. Un cliente puede solicitar que su contenedor ya no sea parte del proceso de recopilación.

¿Dónde se encuentran ubicados los datos del cliente?

Tenable usa centros de datos y servicios de Amazon Web Services (AWS) para proporcionar Tenable Vulnerability Management a sus clientes. De forma predeterminada, Tenable elegirá crear un contenedor del cliente en la región que sea más adecuada para garantizar la mejor experiencia posible para ese cliente. Las ubicaciones actuales son las siguientes:

• EE. UU. oriental
• EE. UU. occidental
• Centro de los EE. UU.
• Londres
• Frankfurt
• Sídney
• Singapur
• Canadá
• Japón
• Brasil
• India

A modo de excepción, si antes de la implementación, un cliente solicita una región de AWS específica, Tenable activará al cliente en esa región.

Ya que todos los datos del cliente se almacenan en servicios de AWS seguros y regionales, las certificaciones para la protección de datos en la UE que mantiene AWS se aplican a la nube de Tenable. Existe más información disponible aquí.

¿Tenable Vulnerability Management admitirá más países en el futuro? En caso de una respuesta positiva, ¿cuál es el plazo de tiempo?

Sí. Sin embargo, el marco de tiempo de ubicaciones adicionales aún no se ha determinado.

¿Los datos se puede almacenar en regiones de AWS que no sean las regiones originales?

Existen situaciones en las cuales los datos se podrían almacenar en regiones diferentes a las regiones iniciales de AWS.

• Los clientes de Tenable Vulnerability Management pueden ejecutar escaneos externos empleando los grupos de escaneo compartidos y públicos que están disponibles en diversas regiones de AWS. Por lo general, elegir un escáner cerca del objetivo dará lugar a escaneos más rápidos. Tenga en cuenta que cuando un cliente usa un escáner en la nube en una localidad diferentes que la que aloja su cuenta, los datos del escaneo pueden existir temporalmente fuera de la localidad de alojamiento de la cuenta, pero no se almacena ahí. Por ejemplo, si un cliente con una cuenta hospedada en la UE/Alemania escanea con un escáner en los EE. UU./Virginia del Norte, los datos del escaneo pasarán temporalmente a través de los EE. UU. antes de ser almacenados en Frankfurt. Si la localidad de los datos es un problema, los clientes solo deben hacer escaneos externos son escáneres en su región. Esto se puede seleccionar fácilmente en cada escaneo.
• Si un cliente está empleando Tenable Security Center, sus datos de escaneo no se almacenan en la nube, incluso si están utilizando Tenable Vulnerability Management para escanear parte de toda su infraestructura.
• Los datos de escaneo de Tenable Nessus Agent se almacenan en Tenable Vulnerability Management cuando los clientes ejecutan escaneos de Tenable Vulnerability Management. Si los clientes están ejecutando escaneos de agente con Tenable Nessus Manager, los datos no serán almacenados en Tenable Vulnerability Management, sin importar el lugar donde fueron implementados los agentes.

¿Un cliente puede forzar a que los datos permanezcan en una ubicación/país en particular?

Sí. Los datos se almacenan en el país seleccionado cuando se creó la cuenta.

¿Cómo se protegen los datos del cliente dentro de Tenable Vulnerability Management?

Tenable aplica varias medidas de seguridad para ofrecer protección y privacidad a los datos que maneja Tenable Vulnerability Management.

¿Cómo lleva a cabo Tenable un desarrollo seguro?

Tenable sigue diversas prácticas para asegurar la seguridad del software de aplicaciones Tenable Vulnerability Management.

Las pruebas las realizan tres grupos separados dentro de Tenable:

• El equipo de desarrollo lleva a cabo las pruebas de seguridad;
• El equipo de Tenable IT Security realiza pruebas de vulnerabilidades en Tenable Vulnerability Management antes y después de la implementación (las pruebas tras la implementación están programadas y no se avisa con anticipación a los demás equipos); y
• Tenable ofrece un análisis adicional de la seguridad del código fuente y de los cambios antes de la implementación.

Todas las implementaciones de software están automatizadas y se realizan solo mediante el sistema de desarrollo, que se autentica a través de credenciales corporativas LDAP o mediante Ansible, que se autentica en base a claves privadas de SSH. Todas las implementaciones se registran y rastrean, y se envía una notificación de la acción de implementación (planificada o sin planificar) automáticamente al equipo de desarrollo de Tenable.

Todos los cambios al código fuente se rastrean y vinculan a la versión en la cual se instala tal cambio. Este rastreo garantiza que exista un historial completo de cada cambio, quién lo hizo, cuándo se hizo y, finalmente, cuándo se implementó el cambio en la producción.

Cada implementación cuenta con la aprobación de al menos dos miembros del equipo Tenable. Todos los cambios e implementaciones se comunican a todos los miembros del equipo. El software primero se implementa en entornos de prueba y, luego, de manera gradual en instancias de producción a lo largo de un plazo de tiempo.

¿Qué tipo de seguridad de la aplicación del cliente se encuentra disponible?

• El garantizar el acceso a Tenable Vulnerability Management de una manera segura y autorizada es una alta prioridad para nuestros equipos de desarrollo y de operaciones. Tenable Vulnerability Management proporciona diversos mecanismos para mantener la seguridad de los datos del cliente y controlar el acceso. Protegemos contra ataques de fuerza bruta mediante el bloqueo de cuentas tras cinco (5) intentos de inicio de sesión fallidos.
• Para proteger contra las interceptaciones de datos, todas la comunicaciones con la plataforma están cifradas mediante SSL (TLS-1.2). Además, las negociaciones de SSL más antiguas e inseguras se rechazan para garantizar el mayor nivel de protección.
• Para proteger el acceso a la plataforma, los clientes pueden configurar autenticación de dos factores mediante los servicios proporcionados por Twillo.
• Los clientes pueden integrar Tenable Vulnerability Management a su implementación SAML. Tenable Vulnerability Management admite solicitudes iniciadas tanto IdP como SP. Por último, los usuarios pueden restablecer sus contraseñas directamente desde dentro de la aplicación usando su dirección de correo electrónico.
• Los clientes a menudo construyen conexiones personalizadas a Tenable Vulnerability Management mediante nuestros API o SDK documentados. El acceso se puede conceder y controlar mediante la creación de claves específicas de API. Es compatible el uso de claves diferentes para integraciones diferentes sin tener que compartir credenciales de usuario.

¿Cómo se protegen los datos del cliente?

Tenable aplica varias medidas de seguridad para ofrecer protección y privacidad a los datos que maneja Tenable Vulnerability Management.

¿Cómo se cifran los datos?

Todos los datos en todos los estados en la plataforma Tenable Vulnerability Management están cifrados con al menos un nivel de cifrado, usando no menos que AES-256.

En reposo: los datos están almacenados en medios cifrados usando al menos un nivel de cifrado AES-256.

Algunas clases de datos incluyen un segundo nivel de cifrado por archivo.

En transporte: Los datos se cifran en el transporte utilizando TLS v1.2 con un token de 4096 bits (esto incluye los transportes internos).

Comunicación de sensor de Tenable Vulnerability Management: El tráfico desde los sensores a la plataforma siempre lo inicia el sensor y es saliente solamente en el puerto 443.El tráfico se cifra vía la comunicación SSL utilizando TLS 1.2 con un token de 4096 bits. Esto elimina la necesidad de cambios en el firewall y permite a los clientes controlar las conexiones a través de reglas del firewall.

• Autenticación del escáner a la plataforma
• La plataforma genera un token aleatorio de 256 bits de longitud para cada escáner conectado al contenedor y pasa ese token al escáner durante el proceso de vinculación.
• Los escáneres usan este token para autenticarse de nuevo en el controlador cuando solicitan trabajos, actualizaciones de plug-ins y actualizaciones en el binario del escáner.
• Comunicación de la tarea del escáner a la plataforma
• Los escáneres se contactan con la plataforma cada 30 segundos.
• Si hay un trabajo, la plataforma genera un token aleatorio de 128 bits.
• El escáner solicita la política a la plataforma.
• El controlador utiliza el token para cifrar la política, que incluye las credenciales que se usarán durante el escaneo.

En copias de seguridad/replicación: se almacenan snapshots de volumen y réplicas de datos con el mismo nivel de cifrado que su fuente, no menos que AES-256. Toda la replicación se realiza a través del proveedor. Tenable no realiza la copia de seguridad de ningún dato a medios físicos fuera del sitio o sistemas físicos.

En índices: los datos de índices están almacenados en medios cifrados usando al menos un nivel de cifrado AES-256.

Escaneo de credenciales: Se almacenan dentro de una política que está cifrada dentro de los contenedores AES-256 de token global. Cuando se lanzan los escaneos, la política se cifra con un token aleatorio de 128 bits de un solo uso y se transporta utilizando TLS v1.2 con un token de 4096 bits.

Gestión de tokens: Los tokens se almacenan de forma centralizada, se cifran con un token basado en roles y se limita el acceso. Todos los datos cifrados almacenados se pueden rotar a un nuevo token. Los tokens de cifrado de archivos de datos son diferentes en cada sitio regional, al igual que los tokens a nivel de disco. Compartir los tokens está prohibido y los procedimientos de gestión de tokens se revisan anualmente.

¿Los clientes puede subir sus propias claves?

El cliente no puede configurar la gestión de claves. Tenable gestiona las claves y su rotación.

¿Los clientes puede subir sus propias claves?

El cliente no puede configurar la gestión de claves. Tenable gestiona las claves y su rotación.

¿Tenable ha logrado alguna certificación en materia de privacidad o seguridad, como por ejemplo, Privacy Shield o CSA STAR?

Tenable Network Security cumple con el Marco del Escudo de Privacidad entre la UE-EE. UU. y el Marco del Escudo de Privacidad entre Suiza y los EE. UU. tal como lo estableció el Departamento de Comercio en relación con la recopilación, uso y retención de información personal transferida de la Unión Europea y Suiza a los Estados Unidos, respectivamente. Tenable Network Security ha certificado al Departamento de Comercio que cumple con los Principios del Escudo de Privacidad. Si hubiere un conflicto entre los términos de esta política de privacidad y los Principios del Escudo de Privacidad, regirán estos últimos. Para obtener más información sobre el programa del Escudo de Privacidad y ver nuestra certificación, visite https://www.privacyshield.gov/.

Tenable ha llevado a cabo la autoevaluación STAR de Cloud Security Alliance (CSA). Las respuestas de Tenable al Cuestionario de la Iniciativa de Evaluación del Consenso (CAIQ) responden a un conjunto de más de 140 preguntas relacionadas con la seguridad que un cliente potencial, cliente o socio de Tenable Vulnerability Management pueda necesitar. CSA STAR es el programa más poderoso de la industria para la garantía de seguridad en la nube. STAR (Registro de Confianza y Garantía de Seguridad) abarca principios clave de transparencia, auditorías rigurosas y armonización de normas, incluso indicaciones de mejores prácticas y validación de postura de seguridad de productos ofrecidos en la nube.

¿Cómo se protege la información personal identificable (PII)?

La plataforma Tenable Vulnerability Management hace todo lo posible para no recolectar tipos de datos de información de identificación personal (PII) en un formato que requeriría certificaciones o medidas de seguridad adicionales. Esto incluye números de tarjetas de crédito, números del Seguro Social y otras verificaciones personalizadas. Cuando los complementos de Tenable capturen cadenas de caracteres que puedan contener información sensible o personal, la plataforma hará que no se pueda tener acceso a al menos el 50 % de los caracteres para proteger datos que pueden ser confidenciales.

¿Se separan los datos del cliente?

Los datos de cada cliente se identifican con un "ID de contenedor”, que se corresponde con la suscripción específica de un cliente. Este ID de contenedor garantiza que solo ese cliente pueda tener acceso a sus datos.

¿Qué controles de seguridad protege Tenable Vulnerability Management?

• Tenable realiza escaneos de vulnerabilidades a diario.
• Firewalls y la segmentación de red controlan el acceso. Herramientas y procesos automatizados supervisan la plataforma de Tenable Vulnerability Management para registrar el tiempo de actividad y el rendimiento y para detectar conductas anómalas.
• Los registros se monitorean mediante automatización las 24 horas del día, los 7 días de la semana, los 365 días del año y el personal de Tenable está disponible de ese modo para responder a los eventos.

¿Cómo se protegen los sensores de Tenable Vulnerability Management?

Los sensores que se conectan a la plataforma tienen un papel importantísimo en la seguridad de un cliente, la recopilación de vulnerabilidades y la información de activos. Proteger estos datos y garantizar que las rutas de comunicación sean seguras es una función fundamental de Tenable Vulnerability Management. Tenable Vulnerability Management admite diversos sensores actualmente: Escáneres de vulnerabilidades Tenable Nessus, escáneres pasivos y Tenable Nessus Agents.

Estos sensores se conectan a la plataforma Tenable Vulnerability Management después de autenticarse y vincular de manera criptográfica con Tenable Vulnerability Management. Una vez enlazado, Tenable Vulnerability Management gestiona todas las actualizaciones (plug-ins, código, etc.) para garantizar que los sensores estén siempre actualizados.

E tráfico desde los sensores a la plataforma siempre es iniciado por el sensor y es saliente solamente en el puerto 443. El tráfico se cifra mediante la comunicación SSL usando TLS 1.2 con una clave de 4096 bits. Esto elimina la necesidad de cambios en el firewall y permite a los clientes controlar las conexiones a través de reglas del firewall.

• Autenticación del escáner a la plataforma
  • La plataforma genera una clave aleatoria de 256 bits de largo para cada escáner conectado al contenedor y pasa esa clave al escáner durante el proceso de vinculación.
  • Los escáneres emplean esta clave para autenticarse frente al controlador al solicitar tareas, realizar actualizaciones de complementos y del binario del escáner.
• Comunicación de la tarea del escáner a la plataforma
  • Los escáneres se contactan con la plataforma cada 30 segundos.
  • Si existe una tarea, la plataforma genera una clave aleatoria de 128 bits.
  • El escáner solicita la política a la plataforma.
  • El controlador usa la clave para cifrar la política, que incluye las credenciales a usar durante el escaneo.

¿Cómo se gestiona la disponibilidad de Tenable Vulnerability Management?

Los servicios de Tenable Vulnerability Management se esfuerzan por proporcionar un tiempo de actividad del 99,95 % o mejor, y han suministrado un tiempo de actividad del 100 % en la mayoría de los servicios. Tenable ha publicado un SLA que describe nuestro compromiso para garantizar que la plataforma esté disponible para todos los usuarios y cómo ofrecemos crédito a los clientes en caso de un tiempo de inactividad imprevisto.

El estado de actividad se determinar mediante simples pruebas de disponibilidad públicas alojadas por un tercero que prueban con regularidad la disponibilidad de los servicios. El tiempo de actividad para los servicios (tanto actuales como históricos) está disponible en https://status.tenable.com.

Tenable Vulnerability Management hace un uso extenso de la plataforma AWS y de otras tecnología líderes para garantizar que nuestros clientes tengan el servicio y la calidad global del mejor nivel posible. A continuación, se presenta una lista parcial de las soluciones implementadas y sus ventajas para los clientes

• Clústeres de ElasticSearch: los clústeres de ElasticSearch son altamente disponibles y pueden recuperarse de la pérdida de nodos maestros, nodos LB y al menos 1 nodo de datos, sin afectar la disponibilidad del servicio.
• Elastic Block Stores: se emplean para tomar snapshots diarias y almacenar ocho (8) copias.
• Ecosistema Kafka: Kafka y Zookeeper replican datos en el agrupamiento para ofrecer tolerancia al error en caso de la falla catastrófica de cualquier nodo.
• Instancias Postgres: gestionan el marco de microservicios back-end para mantener 30 días de snapshots.

¿Dónde se replican los datos?

Los datos replicados se almacenan dentro de la misma región.

¿Qué capacidades de recuperación ante desastres se encuentran implementadas?

Desastres son eventos que generan la pérdida irrecuperable de datos o equipos en una o más regiones.

Los procedimientos de recuperación ante desastres de Tenable Vulnerability Management tienen varios niveles y están diseñados para reaccionar a situaciones que pueden tener lugar una vez en cinco años a una vez en 50 años. En función del alcance del desastre, los procedimientos de recuperación varían en tiempo de 60 minutos a 48 horas.

¿Quién puede acceder a los datos del cliente?

Los clientes controlan quién tiene acceso a sus datos, incluso mediante la asignación de roles y permisos a su personal y la concesión provisoria de acceso por parte del personal de soporte de Tenable.

¿Cómo se gestionan los roles y permisos para los usuarios?

Los administradores de cliente de Tenable Vulnerability Management pueden asignar roles de usuario (básico, estándar, administrador y deshabilitado) para gestionar el acceso a escaneos, políticas, escáneres, agentes y listas de activos.

¿El personal de Tenable puede acceder a los datos del cliente?

Sí. Con el permiso del cliente, los miembros del personal de soporte global de Tenable pueden hacerse pasar por cuentas de usuario, lo que les permite realizar operaciones en Tenable Vulnerability Management como cualquier otro usuario sin necesidad de obtener la contraseña del usuario. El personal de soporte de Tenable, o el cliente, puede solicitar activar la función. El personal de soporte de Tenable necesita que el cliente apruebe la representación a través de una nota en un caso de soporte activo. Los permisos debe concederse por cada problema registrado ante soporte. Tenable no operará conforme a una aceptación general para representar cuentas en cualquier momento. La representación de un usuario puede dar lugar a que los datos salgan de la ubicación principal.

Todo el personal de operaciones de Tenable Vulnerability Management necesita aprobar una verificación de antecedentes de un tercero. Además, todos los miembros del equipo sénior tienen al menos cinco años de experiencia en compañías de software de seguridad basada en SaaS y muchos cuentan con certificaciones de seguridad, como CISSP.

Tenable cuenta con un proceso de contratación y desvinculación laboral definido. Es obligatorio que todos los empleados firmen acuerdos de confidencialidad como parte de su contratación, y todas las cuentas y claves de acceso se revocan tras su desvinculación.

¿Quién puede usar la función de representación?

Solo miembros del personal de soporte de nivel tres de Tenable tienen permitido emplear la función de representación.

¿Se registra la actividad de representación?

Sí.

¿Los datos salen del país cuando Tenable está realizando la resolución de un problema técnico?

Tenable hace todo lo posible para garantizar que los datos de los clientes estén protegidos y nos aseguramos de que sus políticas se sigan al trabajar con los clientes para garantizar que los datos permanezcan en la región requerida. Sin embargo, existen instancias en las cuales los clientes pueden enviar un informe por correo electrónico a Tenable o quebrantar su propia política enviando correos electrónicos fuera de su región.

¿El personal de soporte de Tenable tendrá acceso a la red interna de un cliente?

No. El escáner inicia todo el tráfico y solo es saliente. Los escáneres están instalados detrás del firewall del cliente y pueden controlar el accesos de tales escáneres a través de su firewall.

¿Cuánto tiempo se retienen los datos de los clientes dentro de Tenable Vulnerability Management?

Los períodos de retención de datos se determinar para cumplir con los diversos requisitos de clientes y normativos.

¿Durante cuánto tiempo se conservan los datos de escaneos activos?

La posibilidad de medir progreso a lo largo del tiempo es una función principal de la plataforma Tenable Vulnerability Management. Tenable Vulnerability Management almacenará automáticamente los datos de los clientes durante 15 meses para permitirles informar durante un período de tiempo de un (1) año.

Si los clientes necesitan más de 15 meses de almacenamiento, Tenable Vulnerability Management proporciona varios métodos para descargar datos de clientes y los clientes pueden almacenarlos como deseen.

Si un cliente interrumpe el servicio de Tenable Vulnerability Management, ¿durante cuánto tiempo se conservan sus datos?

En caso de que caduque o venza la cuenta de un cliente, Tenable conservará los datos como estaban al momento del vencimiento durante no más de 180 días. Pasado ese tiempo, estos datos puede eliminarse y no podrán recuperarse.

¿Durante cuánto tiempo se conservan datos relacionados con PCI?

Los datos que están involucrados en un proceso de validación de cumplimiento de PCI no se eliminan al menos tres años después de la fecha de la validación de PCI, conforme los requisitos de las normativas de PCI. Tenable conserva estos datos durante este período de tiempo, incluso si el cliente opta por eliminar sus escaneos o cuenta, o termina el servicio de Tenable Vulnerability Management.

¿Durante cuánto tiempo se conservan los datos de nivel de uso de Tenable Vulnerability Management?

Para garantizar la mejor experiencia posible, recopilaremos esta información siempre que el contenedor del cliente permanezca activo. Una vez que el cliente interrumpa el servicio, los datos no se conservarán durante un plazo mayor a 180 días.

¿Tenable Vulnerability Management cuenta con certificación de Common Criteria?

La certificación Common Criteria normalmente no se aplica a una solución SaaS, ya que la frecuencia de las actualizaciones no se presta a un proceso de certificación que tarde entre seis y nueve meses en completarse.

¿Un cliente puede elegir el país donde se almacenan sus datos?

A modo de excepción, si antes de la implementación, un cliente solicita una ubicación geográfica específica, Tenable activará al cliente en esa ubicación. Las ubicaciones actuales son las siguientes:

• EE. UU.
• Londres
• Frankfurt
• Sídney
• Singapur
• Canadá
• Japón
• Brasil
• India

¿Los datos existen en varias ubicaciones dentro de un país?

No. En la actualidad, Tenable no replica datos de una ubicación a otra.

PCI ASV

¿Qué significa PCI ASV?

¿Qué sistemas están dentro del alcance para Escaneo de ASV?

La DSS de la PCI exige el escaneo de vulnerabilidades de todos los componentes de sistemas accesibles desde el exterior (que se pueden acceder mediante Internet) propiedad de o utilizados por el cliente de escaneo que son parte del entorno de los datos del titular de la tarjeta, así como cualquier componente de sistemas orientados hacia el exterior que proporcionen una ruta al entorno de datos del titular de la tarjeta.

¿Cuál es el proceso del ASV?

Las principales fases del escaneo del ASV están conformadas por los siguientes elementos:

• Alcance: Realizado por el cliente para incluir todos los componentes del sistema accesibles desde Internet que forman parte del entorno de datos del titular de la tarjeta.
• Escaneo: Uso de la plantilla Tenable Vulnerability Management PCI Quarterly External Scan
• Generación de informes/corrección: se remedian los resultados de los informes intermedios.
• Resolución de disputas: El cliente y el ASV trabajan juntos para documentar y resolver resultados de escaneos objeto de controversias.
• Volver a escanear (según sea necesario): hasta un escaneo aprobado que resuelva las controversias y se generen excepciones.
• Confección del informe final: presentado y entregado de una forma segura.

¿Con qué frecuencia son necesarios los escaneos del ASV?

Los escaneos de vulnerabilidades de ASV son necesarios al menos trimestralmente o después de un cambio importante en la red, como por ejemplo las instalaciones de nuevos componentes en los sistemas, cambios en la topología de la red, modificación de reglas de firewall o actualizaciones del producto.

¿En qué se diferencia un proveedor de escaneo aprobado (ASV) de un evaluador de seguridad calificado (QSA)?

Un proveedor de escaneo aprobado (ASV) realiza específicamente solo los escaneos de vulnerabilidad externos descritos en PCI DSS 11.2. Un evaluador de seguridad calificado (QSA) se refiere a una compañía evaluadora que el Consejo de Normas de Seguridad PCI (SSC) ha calificado y entrenado para realizar evaluaciones generales de PCI DSS en el sitio.

Capacidades de la solución Tenable PCI ASV

¿Tenable es un ASV certificado para la PCI?

Sí. Tenable está calificada como un proveedor de escaneo aprobado (ASV) para validar escaneos externos de vulnerabilidades en entornos accesibles desde Internet (utilizados para almacenar, procesar o transmitir datos de titulares de tarjetas) de comerciantes y proveedores de servicios. El proceso de calificación como ASV consta de tres partes: la primera involucra la calificación de Tenable Network Security como un proveedor. El segundo se relaciona a la cualificación de los empleados de Tenable responsables de los servicios de escaneo PCI remoto. El tercero consiste en pruebas de seguridad de la solución de escaneo remoto de Tenable (Tenable Vulnerability Management y Tenable PCI ASV).

Como proveedor de escaneo aprobado (ASV), ¿Tenable realiza en la realidad los escaneos?

Los ASV pueden llevar a cabo los escaneos. Sin embargo, Tenable confía en que los clientes lleven a cabo sus propios escaneos empleando la plantilla de Escaneo Externo Trimestral de la PCI. Esta plantilla evita que los clientes cambien los ajustes de la configuración, tales como la desactivación de las verificaciones de vulnerabilidades, la asignación de niveles de gravedad, la modificación de los parámetros de escaneado, etc. Los clientes usan escáneres en la nube de Tenable Vulnerability Management para escanear sus entornos accesibles desde Internet y, posteriormente, envían los reportes de escaneado que tengan resultados satisfactorios a Tenable a fin de hacer su certificación. Tenable certifica los reportes de escaneado y, luego, el cliente los envía a sus adquirentes o marcas de pago, tal como lo instruyen estas últimas.

Soberanía de datos

¿Tenable PCI ASV cumple con los requisitos de soberanía de datos de la UE?

Los datos sobre vulnerabilidades no forman parte de los datos de DPD 95/46/EC de la UE, de modo que cualquier requisito sobre la residencia de los datos estará impulsado por el cliente y no por las normativas. Las organizaciones gubernamentales estatales de la UE podrían tener sus propios requisitos de residencia de datos, pero tendrían que evaluarse caso por caso y probablemente no sea un problema para escaneos ASV para la PCI.

Precio/obtención de licencias/pedidos de Tenable Vulnerability Management ASV

¿Tenable Vulnerability Management incluye alguna licencia PCI ASV?

Sí, Tenable Vulnerability Management incluye una licencia PCI ASV para un único activo PCI. Algunas organizaciones han pasado por muchas dificultades para limitar los activos en el ámbito para la PCI, con frecuencia, mediante la tercerización de las funciones de procesamiento de pagos. Ya que se puede decir que estos clientes no se encuentran dentro del negocio de la PCI, Tenable ha simplificado su proceso de compra y obtención de licencias. Los clientes pueden cambiar sus activos cada 90 días.

¿De qué forma se conceden licencias para Tenable PCI ASV?

En el caso de clientes que tienen más de un activo PCI exclusivo, la licencia de la solución Tenable PCI ASV se ofrece como un complemento a las suscripciones a Tenable Vulnerability Management.

¿Por qué no se conceden licencias para Tenable PCI ASV de acuerdo con la cantidad de activos de PCI accesibles desde Internet de un cliente?

La cantidad de hosts orientados a la Internet que se encuentran en el interior o proveen una ruta al entorno de datos del titular de la tarjeta (CDE) de una entidad pueden cambiar con frecuencia, lo que genera complejidad en cuanto a la obtención de licencias. Tenable eligió usar un enfoque de concesión de licencias más simple.

¿Cuántas certificaciones puede presentar un cliente por trimestre?

Los clientes pueden presentar una cantidad ilimitada de certificaciones trimestrales.

¿Los clientes de prueba/evaluación son elegibles para evaluar Tenable PCI ASV?

Sí. Una evaluación donde los clientes pueden usar la plantilla PCI Quarterly External Scan para escanear activos y revisar resultados. Sin embargo, no pueden enviar los informes de escaneado para certificación.