Establecer y Mantener un Proceso de Gestión de Vulnerabilidades
Descripción
Establecer y mantener un proceso documentado de gestión de vulnerabilidades para activos empresariales. Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Implementación
Herramientas Recomendadas
Evaluación continua de vulnerabilidades y gestión de exposición en activos de IT, nube, contenedores y OT
Tenable · Suscripción por activo
Gestión de vulnerabilidades basada en la nube, detección y respuesta con gestión de parches integrada e inventario de activos
Qualys · Suscripción por activo
Plataforma de gestión de vulnerabilidades con paneles en vivo, priorización de riesgos y flujos de trabajo de remediación
Rapid7 · Suscripción por activo
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Respuesta Ad-Hoc a Vulnerabilidades que Lleva a CVEs Críticos Omitidos
ConfidencialidadSin un proceso documentado de gestión de vulnerabilidades, las vulnerabilidades críticas como Log4Shell o MOVEit se abordan de manera inconsistente, con algunos equipos parcheando inmediatamente mientras otros permanecen expuestos durante meses.
Priorización Inconsistente de Vulnerabilidades que Permite la Explotación
IntegridadLa ausencia de un proceso formal significa que las vulnerabilidades se priorizan basándose en el juicio individual en lugar de criterios basados en riesgo, permitiendo que vulnerabilidades de alta severidad en activos expuestos a Internet persistan mientras los problemas internos de bajo riesgo consumen recursos de remediación.
Incumplimiento Regulatorio por Manejo de Vulnerabilidades No Documentado
DisponibilidadLos auditores y reguladores no encuentran evidencia de un programa estructurado de gestión de vulnerabilidades, resultando en fallas de cumplimiento y posibles multas bajo marcos como PCI DSS o HIPAA que exigen gestión documentada de vulnerabilidades.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Política ni Procedimientos Definidos de Gestión de Vulnerabilidades
La organización no tiene una política escrita que defina las responsabilidades de identificación, evaluación y remediación de vulnerabilidades, dejando a cada equipo manejar vulnerabilidades independientemente sin responsabilidad.
Roles y Responsabilidades No Definidos para el Manejo de Vulnerabilidades
Sin un proceso documentado, no hay una propiedad clara del escaneo de vulnerabilidades, triaje, remediación o aprobación de excepciones, causando que vulnerabilidades críticas caigan entre las grietas de los equipos de TI y seguridad.
Sin Marco de Clasificación de Severidad de Vulnerabilidades
La organización carece de un esquema estandarizado de clasificación de severidad (como umbrales basados en CVSS) para priorizar la remediación de vulnerabilidades, resultando en un tratamiento inconsistente de riesgos similares entre unidades de negocio.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |