IG2 IG3

Remediar Hallazgos de Pruebas de Penetración

Grupo de Control: 18. Pruebas de Penetración

Tipo de Activo: Red

Función de Seguridad: Proteger

Descripción

Remediar hallazgos de pruebas de penetración basándose en la política de la empresa para alcance y priorización de remediación.

Lista de Verificación de Implementación

1

Evaluar los controles de protección actualmente implementados

2

Configurar e implementar los controles de seguridad requeridos

3

Probar la efectividad de los controles en un entorno de no producción

4

Implementar en producción y verificar la funcionalidad

5

Documentar la configuración y los procedimientos operativos

Herramientas Recomendadas

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

Evaluación continua de vulnerabilidades y gestión de exposición en activos de IT, nube, contenedores y OT

Tenable · Suscripción por activo

Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

Gestión de vulnerabilidades basada en la nube, detección y respuesta con gestión de parches integrada e inventario de activos

Qualys · Suscripción por activo

Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

Plataforma de gestión de vulnerabilidades con paneles en vivo, priorización de riesgos y flujos de trabajo de remediación

Rapid7 · Suscripción por activo

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Vulnerabilidad Conocida Explotada Después de Hallazgo de Pentest No Remediado

Confidencialidad

Un atacante explota una vulnerabilidad que fue identificada en una prueba de penetración pero nunca fue remediada porque no existe un proceso para rastrear y priorizar la remediación de hallazgos de pentest.

Hallazgo Crítico Despriorizado Sin Política de Remediación

Integridad

Un hallazgo crítico de prueba de penetración es despriorizado por un equipo de desarrollo enfocado en funcionalidades porque ninguna política organizacional exige plazos de remediación basados en la severidad del hallazgo.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Proceso de Remediación para Hallazgos de Pruebas de Penetración

Sin un alcance de remediación y política de priorización definidos, los hallazgos de pruebas de penetración no se abordan sistemáticamente, dejando vulnerabilidades identificadas explotables mucho después de su descubrimiento.

Las Pruebas de Penetración Producen Reportes Sin Responsabilidad

La ausencia de requisitos de remediación significa que los reportes de pruebas de penetración se convierten en documentos de estante, con hallazgos reconocidos pero nunca asignados, rastreados ni verificados como corregidos.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Técnico	Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados	Capturado trimestralmente
Documento	Documentación de procedimientos para medidas de protección	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Pruebas de Penetración

Control 18

Salvaguardas Relacionadas en el Control 18

18.1 Establecer y Mantener un Programa de Pruebas de Penetración

18.2 Realizar Pruebas de Penetración Externas Periódicas

18.4 Validar Medidas de Seguridad

18.5 Realizar Pruebas de Penetración Internas Periódicas