Establecer y Mantener un Sistema de Clasificación de Severidad y Proceso para Vulnerabilidades de Aplicaciones
Descripción
Establecer y mantener un sistema de clasificación de severidad y proceso para vulnerabilidades de aplicaciones que facilite la priorización del orden en que se corrigen las vulnerabilidades descubiertas. Este proceso incluye establecer un nivel mínimo de aceptabilidad de seguridad para liberar código o aplicaciones. Las clasificaciones de severidad aportan una forma sistemática de clasificar vulnerabilidades que mejora la gestión de riesgos y ayuda a asegurar que los errores más severos se corrijan primero. Revisar y actualizar el sistema y proceso anualmente.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de seguridad de aplicaciones con SAST, DAST, SCA y capacitación de desarrolladores para desarrollo seguro de software
Veracode · Suscripción por aplicación
Plataforma de seguridad de aplicaciones nativa en la nube con SAST, SCA, DAST, seguridad de API y pruebas de seguridad de cadena de suministro
Checkmarx · Suscripción por desarrollador
Suite de pruebas de seguridad de aplicaciones con SAST (Coverity), SCA (Black Duck) y DAST para AppSec integral
Synopsys · Suscripción por desarrollador
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Vulnerabilidad Crítica Despriorizada Sin Marco de Severidad
IntegridadUna vulnerabilidad crítica de ejecución remota de código en una aplicación orientada al cliente es tratada con la misma urgencia que un error cosmético menor porque no existe un sistema de calificación de severidad para priorizar la remediación.
Vulnerabilidades de Baja Severidad Consumen Recursos Mientras Fallas Críticas Persisten
ConfidencialidadLos equipos de desarrollo gastan tiempo corrigiendo vulnerabilidades de bajo impacto mientras las fallas de seguridad críticas en aplicaciones de producción permanecen sin parchear porque ningún marco de priorización guía el orden de remediación.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Sistema de Calificación de Severidad de Vulnerabilidades
Sin un sistema de calificación de severidad, todas las vulnerabilidades se tratan por igual, impidiendo que la organización dirija los recursos de remediación hacia las fallas más críticas y explotables primero.
Sin Umbral Mínimo de Aceptabilidad de Seguridad para Lanzamientos
La ausencia de un estándar mínimo de seguridad significa que las aplicaciones pueden lanzarse a producción con vulnerabilidades críticas sin resolver porque no hay un estándar definido que lo impida.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |