Establecer y Mantener un Proceso para Aceptar y Abordar Vulnerabilidades de Software
Descripción
Establecer y mantener un proceso para aceptar y abordar reportes de vulnerabilidades de software, incluyendo proporcionar un medio para que entidades externas reporten. El proceso debe incluir elementos como: una política de manejo de vulnerabilidades que identifique el proceso de reporte, la parte responsable del manejo de reportes de vulnerabilidades y un proceso para recepción, asignación, remediación y pruebas de remediación. Como parte del proceso, usar un sistema de seguimiento de vulnerabilidades que incluya clasificaciones de severidad y métricas para medir el tiempo de identificación, análisis y remediación de vulnerabilidades. Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda. Los desarrolladores de aplicaciones de terceros deben considerar esto como una política externa que ayuda a establecer expectativas para los interesados externos.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de seguridad de aplicaciones con SAST, DAST, SCA y capacitación de desarrolladores para desarrollo seguro de software
Veracode · Suscripción por aplicación
Plataforma de seguridad de aplicaciones nativa en la nube con SAST, SCA, DAST, seguridad de API y pruebas de seguridad de cadena de suministro
Checkmarx · Suscripción por desarrollador
Seguridad de aplicaciones orientada al desarrollador con SCA, escaneo de contenedores, seguridad de IaC y SAST integrados en CI/CD
Snyk · Suscripción por desarrollador
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Vulnerabilidad Divulgada Públicamente en Aplicación Personalizada No Remediada
ConfidencialidadUn investigador de seguridad divulga públicamente una vulnerabilidad en la aplicación de la organización después de que los intentos de divulgación responsable fallan porque no existe un proceso para recibir y priorizar reportes de vulnerabilidades.
Exploit de Día Cero Apuntando a Falla de Aplicación No Reportada
IntegridadUn atacante descubre y explota una vulnerabilidad que había sido reportada por un usuario pero nunca fue procesada porque la organización no tiene mecanismo de recepción para reportes de vulnerabilidades.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Proceso de Recepción y Manejo de Vulnerabilidades
Sin un proceso para aceptar y abordar reportes de vulnerabilidades de software, la organización no puede recibir, priorizar ni remediar fallas reportadas, dejando vulnerabilidades conocidas sin parchear.
Sin Mecanismo Externo de Reporte de Vulnerabilidades
La ausencia de un canal público para que investigadores externos reporten vulnerabilidades significa que la organización pierde advertencias tempranas sobre fallas explotables en sus aplicaciones.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |