Ir al contenido principal

45. Procedimiento de Gestión de Vulnerabilidades

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 11.6

  • PCI DSS v4.0: 6.3.1, 11.1.1, 11.1.2, 11.3.1, 11.3.1.1, 11.3.1.2, 11.3.1.3, 11.3.2, 11.3.2.1, 11.4.6, 11.4.7

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a establecer las actividades necesarias para garantizar una adecuada gestión de las vulnerabilidades técnicas que sean encontradas en los sistemas, aplicaciones y/o servicios de la empresa, considerando una identificación oportuna de ellas, su clasificación según el impacto que tienen en tu seguridad, y los responsables a cargo.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad y documentar tu procedimiento, te sugerimos considerar las siguientes actividades:

  • Realizar los escaneos de vulnerabilidades aplicables y solicitados por PCI DSS.

    • PCI DSS solicita escaneos de vulnerabilidades internas y externas, pruebas de penetración o Ethical Hacking, y pruebas de segmentación de red.

¡A continuación te explicamos los criterios para llevar a cabo cada uno de estos escaneos!

Escaneos de vulnerabilidades internas:

  • Deben realizarse al menos una vez cada tres meses.

  • Se deben resolver las vulnerabilidades críticas y de alto riesgo (esto se define según los criterios de nivel de riesgo definidos por la organización).

  • Se deben realizar re-escaneos que confirmen que se han resuelto todas las vulnerabilidades críticas y de alto riesgo.

  • La herramienta de escaneo utilizada debe mantenerse actualizada con la información más reciente sobre vulnerabilidades.

  • Deben ser realizados por personal calificado con la independencia organizacional del probador (no se requiere que sea un QSA, Qualified Security Assessor o un ASV, Approved Scanning Vendor).

  • Las vulnerabilidades que no se clasifican como críticas o de alto riesgo se abordan según el análisis de riesgo aplicado, y se realizan los re-escaneos según sea necesario.

Escaneos de vulnerabilidades externas:

  • Deben realizarse al menos una vez cada tres meses.

  • Deben ser realizados por parte de un proveedor de escaneo aprobado (ASV).

  • Se deben resolver las vulnerabilidades, cumpliendo con los requisitos de la Guía del Programa ASV.

  • Se deben realizar nuevos escaneos, según sea necesario, para confirmar que las vulnerabilidades se han resuelto, de acuerdo con los requisitos de la Guía del Programa ASV escaneos aprobados.

  • Deben ejecutarse a la infraestructura crítica, portales expuestos a internet, equipos de comunicación críticos y todos los activos expuestos a internet que conforman el alcance PCI DSS.

Pruebas de penetración / Ethical Hacking:

  • Deben realizarse según la metodología definida por la organización.

  • Deben realizarse al menos una vez cada 12 meses.

  • Deben realizarse después de cualquier actualización o cambio significativo de infraestructura o aplicación.

  • Deben realizarse por un recurso interno calificado o un tercero externo calificado.

    • Si deseas contratar nuestro servicio de Ethical Hacking, no dudes en contactar a tu Customer Success Manager para más información ✨.

  • El evaluador cuenta con independencia organizacional (no se requiere que sea un QSA o ASV).

  • Las vulnerabilidades identificadas en esta prueba se corrigen de acuerdo a los criterios de nivel de riesgo definidos por la organización, y se realizan nuevas pruebas, según sea necesario, para verificar las correcciones.

Pruebas de segmentación de red:

  • Se recomienda realizarlas cada seis meses y después de cualquier cambio en los controles / métodos de segmentación.

  • Deben cubrirse todos los controles / métodos de segmentación en uso.

  • Se debe confirmar que los controles / métodos de segmentación son operativos y eficientes, y aislar al CDE (Cardholder Data Environment) de todos los sistemas fuera del ámbito.

  • Se debe confirmar la efectividad de cualquier uso de aislamiento para separar sistemas con diferentes niveles de seguridad.

  • Deben ser realizadas por un recurso interno calificado o un tercero externo calificado y con independencia organizacional (no se requiere que sea un QSA o ASV).

💡 Dentro de nuestro template también podrás encontrar recomendaciones y notas adicionales sobre los tipos de escaneos de vulnerabilidades que solicita PCI DSS.

Ahora bien, continuando con las actividades que te recomendamos documentar en este procedimiento, tenemos las siguientes:

  • Revisar reporte de resultados con la información de las vulnerabilidades encontradas y su clasificación (crítica, alta, media o baja) para conocer y comprender el estado de seguridad de tus sistemas y de los activos alcanzados por el escaneo.

    • Generalmente los reportes de estos escaneos te proporcionan la clasificación de las vulnerabilidades, pero en caso de no tener esa información porque quizá realizaste otro tipo de escaneo, es muy importante que clasifiques las vulnerabilidades, considerando su impacto y criticidad, para poder priorizarlas y remediarlas adecuadamente.

  • Una vez revisadas las vulnerabilidades encontradas, debes analizar, planificar y documentar las medidas de resolución, considerando la definición del tiempo que se requiere para remediarlas, los responsables a cargo, las acciones de remediación, las fechas de cierre o deadlines en las cuales ya deben estar corregidas, etcétera.

    • El documentar un plan de remediación te permitirá llevar un seguimiento adecuado del estado de las vulnerabilidades, y mantener un registro que te servirá como evidencia de cumplimiento.

  • Remediar / corregir las vulnerabilidades, poniendo en marcha el plan de remediación que definiste previamente, y garantizando que los responsables involucrados los sigan correctamente.

  • Ejecutar un retest o nuevo escaneo para asegurar que las vulnerabilidades fueron efectivamente remediadas con las acciones que implementaste.

    • Te sugerimos documentar también las acciones a aplicar en caso de que la vulnerabilidad siga presente, las pruebas no sean exitosas, se presenten fallas, errores o cualquier anomalía, considerando que no atenderlas o darles seguimiento, puede tomarse como un incumplimiento a los requisitos de PCI DSS.

💡 Para los escaneos de vulnerabilidades externas, estos ejercicios de retest deben ser repetidos hasta que se obtenga la aprobación por parte del ASV.

  • Generar un reporte de las vulnerabilidades resueltas para comunicar sobre las acciones realizadas a la alta dirección u otra parte interesada, y resguardarlo como evidencia de cumplimiento, así como también para crear una base de conocimiento a la que puedas recurrir para solucionar futuras vulnerabilidades similares.

    • Se deben resguardar los reportes de todos los tipos de escaneos ejecutados.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Planifica y realiza los escaneos según su periodicidad solicitada, ya que recuerda que esto es un requisito del estándar PCI DSS y no realizarlas a tiempo, podría ocasionar un incumplimiento.

  • Planifica adecuadamente las acciones de remediación, considerando la clasificación y el impacto de la vulnerabilidad, atendiendo primero aquellas que sean críticas para tus sistemas.

  • Asigna a los responsables más adecuados y capacitados para implementar las acciones de remediación y seguimiento.

  • Resguarda los reportes y la evidencia generada de remediación en un repositorio interno y seguro de la organización.

  • Recuerda que este procedimiento debe estar alineado con lo declarado en la Política de Seguridad de la Información definida por la empresa.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
31. Procedimiento de Gestión de Vulnerabilidades
Remediaciones Ethical Hacking + Escaneo de Vulnerabilidades
58. Procedimiento de Seguimiento PCI
47. Metodología de Pruebas de Penetración
Procedimiento de Gestión de Vulnerabilidades
¿Ha quedado contestada tu pregunta?