1. Propósito
Establecer requisitos y procedimientos para la aplicación oportuna de parches de seguridad y actualizaciones a los activos empresariales y software de [ORGANIZATION] para reducir la exposición a vulnerabilidades.
2. Alcance
Esta política se aplica a todos los activos empresariales incluyendo sistemas operativos, aplicaciones, firmware, dispositivos de red y middleware dentro del entorno de [ORGANIZATION].
3. Política
3.1 SLA de Implementación de Parches
Los parches de seguridad deberán implementarse según los siguientes SLA:
| Severidad del Parche | Ventana de Pruebas | SLA de Implementación | Objetivo de Cobertura |
|---|---|---|---|
| Emergencia/Día Cero (explotado activamente) | [PERSONALIZAR: 24-48 horas] | [PERSONALIZAR: 48-72 horas] | 100% de los activos críticos afectados |
| Crítico (CVSS >= 9.0) | [PERSONALIZAR: 3-5 días] | [PERSONALIZAR: 7-14 días] | 100% de los activos afectados |
| Alto (CVSS 7.0-8.9) | [PERSONALIZAR: 5-7 días] | [PERSONALIZAR: 30 días] | 95% de los activos afectados |
| Medio/Bajo | [PERSONALIZAR: Pruebas estándar] | [PERSONALIZAR: 60-90 días o próxima ventana de mantenimiento] | 90% de los activos afectados |
3.2 Proceso de Parcheo
Todos los parches deberán probarse en un entorno de no producción antes de la implementación en producción, excepto para parches de emergencia donde el riesgo de no parchear exceda el riesgo del retraso en pruebas.
La implementación de parches deberá programarse durante ventanas de mantenimiento aprobadas cuando sea posible para minimizar la interrupción del negocio.
Los procedimientos de reversión deberán documentarse y probarse para todos los parches de sistemas críticos antes de la implementación.
El estado de implementación de parches deberá rastrearse y reportarse a [PERSONALIZAR: CISO/Gerencia de TI] al menos [PERSONALIZAR: mensual/semanalmente].
3.3 Cumplimiento de Parcheo
Los niveles de cumplimiento de parcheo deberán medirse y reportarse mensualmente, con un objetivo de [PERSONALIZAR: 95%/98%] de cumplimiento dentro de los SLA definidos.
Los sistemas que no puedan ser parcheados deberán tener excepciones documentadas con controles compensatorios aprobados por [PERSONALIZAR: CISO/Director de TI].
Los sistemas sin parchear que excedan el SLA sin una excepción aprobada podrán ser puestos en cuarentena o desconectados de la red a discreción de [PERSONALIZAR: CISO/Seguridad de TI].
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos