👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.12.6.1, A.12.7.1, A.18.2.3
ISO 27001 en su versión 2022: A.5.36, A.8.8, A.8.34
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a dar un seguimiento adecuado de las vulnerabilidades identificadas en el ejercicio de Ethical Hacking que realizaste para tu programa de seguridad, y/o aquellas identificadas con las herramientas de escaneo de vulnerabilidades utilizadas por tu empresa.
💡 Recuerda que el ejercicio de Ethical Hacking te puede brindar información más detallada sobre las vulnerabilidades técnicas, por lo que lo más recomendable es realizar estas pruebas de penetración planificadas de forma periódica, y complementarlas con las herramientas de escaneo.
¿Qué tengo que hacer? 🚀
Antes de comenzar, es importante que cuentes con el reporte de Ethical Hacking y/o los resultados de los escaneos, ya que el objetivo aquí es registrar, planificar y llevar un seguimiento oportuno de las acciones de remediación que aplicarás para las vulnerabilidades encontradas.
Si seguiste nuestro plan de acción dentro de la plataforma, seguramente esto lo realizaste en la actividad 41, Ethical Hacking + Escaneo de Vulnerabilidades.
Ahora bien, para lograr esta actividad debes recopilar y registrar, por lo menos, la siguiente información:
Sistemas o aplicaciones afectadas por las vulnerabilidades. Esta información dependerá de los sistemas, aplicaciones y/o servicios alcanzados por tu SGSI, y que fueron partícipes dentro del ejercicio de Ethical Hacking, así como también de los componentes alcanzados por tus herramientas de escaneo.
Descripción de las vulnerabilidades. Esta información la obtendrás de los reportes de Ethical Hacking y/o de las herramientas de escaneos. Si lo consideras pertinente, puedes añadir más información que tú conozcas sobre la vulnerabilidad identificada.
Gravedad de la vulnerabilidad. Generalmente los reportes de Ethical Hacking te proporcionan la criticidad de la vulnerabilidad, para que conozcas el impacto y riesgo que conlleva. Esta información te permite priorizar mejor las acciones de remediación.
La clasificación de gravedad de vulnerabilidades típicamente usada es la siguiente:
Clasificación | Descripción |
Crítica | Estas vulnerabilidades permiten la propagación de amenazas sin que sea necesaria la participación del usuario, por lo que deben ser remediadas de inmediato. |
Alta | Estas vulnerabilidades pueden poner en riesgo la confidencialidad, integridad y/o disponibilidad de los datos de los usuarios, la información contenida en dichos sistemas o aplicaciones, interrumpir los servicios, etcétera, por lo que deben ser remediadas lo antes posible. |
Media | Estas vulnerabilidades no son aprovechables en todo su potencial ya que no afecta a una gran cantidad de usuarios y/o son sencillas de combatir con configuraciones predeterminadas en los sistemas, auditorías, entre otras medidas, por lo que su remediación puede esperar hasta que las vulnerabilidades críticas y altas hayan sido remediadas. |
Baja | Estas vulnerabilidades son realmente muy difíciles de aprovechar por un atacante y su impacto es mínimo ya que no afecta a una gran cantidad de usuarios, por lo que su remediación puede postergarse por un periodo de tiempo definido. |
💡 Esta información también la puedes encontrar dentro del Procedimiento de Gestión de Vulnerabilidades.
Estado actual de la vulnerabilidad. Es decir si está pendiente porque aún no se ha realizado ningún análisis o acción sobre ella, si está en proceso, en pausa por algún bloqueante, remediada, etcétera.
Dentro del template podrás encontrar algunas opciones de “estado”, pero puedes ajustarlos o añadir otros para adecuar el seguimiento a tus necesidades.
Responsables asignados. Recomendamos asignar colaboradores con la capacidad y conocimiento suficiente en la vulnerabilidad, para poder remediarla correctamente. Incluso puedes asignar a una persona para la aplicación de las acciones de remediación, y otra para su monitoreo.
Acciones de remediación. Sugerimos documentar las acciones que se implementaron o implementarán para remediar la vulnerabilidad, como por ejemplo: “se habilita inicio de sesión seguro dentro de la aplicación, el cual solicita un usuario y contraseña. La contraseña debe cumplir los requisitos de seguridad definidos en la Política de Seguridad de la Información de la empresa”.
Recomendamos indicar toda la información relevante sobre las acciones de remediación y su aplicación. Pero recuerda que para el cumplimiento normativo, lo más importante es poder explicar y mostrar la evidencia pertinente de estas acciones durante una auditoría.
Fecha de remediación. Una vez remediada la vulnerabilidad, debes indicar la fecha de cierre para complementar el seguimiento, y llevar un registro y trazabilidad adecuados.
Desconocer las vulnerabilidades a las que estás expuesto, así como no entender la importancia de dar una atención y remediación oportuna, puede exponer tus sistemas e infraestructura tecnológica a incidentes de seguridad graves, e incluso irremediables 🔥.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu plan fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Recomendaciones ✅
Recuerda que para atender las vulnerabilidades, debes seguir el Procedimiento de Gestión de Vulnerabilidades definido por la empresa.
Realiza nuevas pruebas (retest) y/o escaneos para garantizar que las vulnerabilidades fueron realmente remediadas.
Planifica los ejercicios de Ethical Hacking para obtener, por lo menos, un reporte anual. Si te es posible, puedes hacer incluso cada seis meses.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.