Política de Gestión de Vulnerabilidades
1. Propósito
Establecer un enfoque sistemático para identificar, evaluar, tratar e informar sobre las vulnerabilidades de seguridad en los activos empresariales y software de [ORGANIZATION].
2. Alcance
Esta política se aplica a todos los activos empresariales, sistemas operativos, aplicaciones, dispositivos de red y servicios dentro del entorno de [ORGANIZATION], incluyendo recursos alojados en la nube.
3. Política
3.1 Escaneo de Vulnerabilidades
[ORGANIZACION] deberá realizar escaneos automatizados de vulnerabilidades en todos los activos empresariales con una frecuencia no menor a [PERSONALIZAR: mensual/semanal] utilizando escaneos autenticados cuando sea técnicamente factible.
Los activos expuestos al exterior deberán escanearse al menos [PERSONALIZAR: semanal/mensualmente] desde una perspectiva externa además de los escaneos internos.
Las herramientas de escaneo de vulnerabilidades deberán mantenerse actualizadas con las últimas firmas de vulnerabilidades y capacidades de detección.
Los resultados de los escaneos deberán recopilarse centralmente, correlacionarse y analizarse dentro de [PERSONALIZAR: 48 horas/1 semana] de la finalización del escaneo.
3.2 SLA de Remediación de Vulnerabilidades
Las vulnerabilidades identificadas deberán remediarse según los siguientes SLA basados en la severidad:
| Severidad (CVSS) | SLA de Remediación | Escalamiento si se Incumple |
|---|---|---|
| Crítica (9.0-10.0) | [PERSONALIZAR: 7/14] días calendario | Escalamiento inmediato al CISO |
| Alta (7.0-8.9) | [PERSONALIZAR: 30] días calendario | Escalamiento al Gerente de Seguridad de TI |
| Media (4.0-6.9) | [PERSONALIZAR: 60/90] días calendario | Incluida en la revisión trimestral |
| Baja (0.1-3.9) | [PERSONALIZAR: 90/180] días calendario o próxima ventana de mantenimiento | Revisión anual |
3.3 Proceso de Excepción de Vulnerabilidades
Cuando una vulnerabilidad no pueda remediarse dentro del SLA definido, se deberá presentar una excepción documentada a [PERSONALIZAR: CISO/Equipo de Seguridad] que incluya: detalles de la vulnerabilidad, sistemas afectados, razón por la cual la remediación no es factible, controles compensatorios implementados, justificación de aceptación de riesgo y fecha de revisión propuesta.
Las excepciones de vulnerabilidades deberán revisarse al menos [PERSONALIZAR: trimestralmente] y revalidarse o expirarse.
Los controles compensatorios para vulnerabilidades exceptuadas deberán verificarse como efectivos mediante pruebas.
3.4 Inteligencia de Amenazas
[ORGANIZACION] deberá suscribirse y monitorear fuentes relevantes de inteligencia de amenazas incluyendo: avisos de seguridad de proveedores, alertas de US-CERT/CISA, ISAC específicos de la industria y bases de datos CVE.
La inteligencia de amenazas críticas que afecte la pila tecnológica de [ORGANIZACION] deberá evaluarse dentro de [PERSONALIZAR: 24/48] horas de su recepción.
La priorización de vulnerabilidades deberá considerar no solo las puntuaciones CVSS sino también: la explotabilidad en el entorno real, la relevancia para el entorno de [ORGANIZACION] y la criticidad del activo.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos