Kudo

ADR-2 - Gestión, Identificación y Remediación de Vulnerabilidades

Control de gestión continua del ciclo de vida de vulnerabilidades

Definición de Control

Es necesario recopilar y analizar inteligencia de amenazas y vulnerabilidades desde fuentes externas para anticipar riesgos, e implementar un programa continuo de identificación, priorización y remediación de vulnerabilidades en todos los activos tecnológicos mediante escaneos periódicos. Es necesario priorizar la remediación según la criticidad del activo y la severidad de la vulnerabilidad, dar seguimiento a su cumplimiento hasta el cierre, y gestionar formalmente las excepciones que no puedan remediarse en el plazo establecido.

Requisitos

Requisito 1

Implementamos un programa continuo de identificación, clasificación, priorización y remediación de vulnerabilidades en todos los activos tecnológicos.

Requisito 2

Ejecutamos escaneos de vulnerabilidades con frecuencia secuencial programada para sistemas críticos y para el resto del parque tecnológico.

Requisito 3

Cubrimos un porcentaje definido de los activos registrados en el inventario con los escaneos de vulnerabilidades.

Requisito 4

Priorizamos las vulnerabilidades basándonos en el score CVSS y la criticidad del activo afectado.

Requisito 5

Importamos los resultados al sistema de gestión de tickets y los asignamos al propietario del activo para su remediación.

Requisito 6

Aplicamos SLAs de remediación definido por criticidad de vulnerabilidad.

Requisito 7

Exigimos aprobación de un líder, documentación de controles compensatorios y fecha máxima de resolución para las excepciones.

Requisito 8

Recopilamos información sobre amenazas a la seguridad de la información proveniente de fuentes externas (CVE, advisories de fabricantes, feeds de inteligencia) para generar inteligencia útil sobre ellas.

Requisito 9

Analizamos la información recopilada sobre amenazas a la seguridad de la información para generar inteligencia útil y accionable que oriente las decisiones de remediación.

Requisito 10

Obtenemos información actualizada sobre las vulnerabilidades técnicas de los sistemas de información que usa la organización a través de fuentes externas autorizadas, complementando los resultados de los escaneos internos.

Requisito 11

Monitoreamos automáticamente el cumplimiento de los SLAs y escalamos al responsable del área ante incumplimientos.

Requisito 12

Verificamos la remediación de vulnerabilidades mediante reescaneo.

Requisito 13

Revisamos con frecuencia programada las excepciones vigentes.

On this page