👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.12.1.1, A.12.6.1
ISO 27001 en su versión 2022: A.5.37, A.8.8
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a implementar un procedimiento para identificar, clasificar, dar seguimiento y remediar vulnerabilidades técnicas.
💡 El objetivo de este procedimiento es poder identificar los riesgos de seguridad asociados a las vulnerabilidades, para implementar acciones de mitigación a tiempo, y asegurar la protección de tus sistemas.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad y documentar tu procedimiento, te sugerimos considerar las siguientes actividades:
Identificación de las vulnerabilidades técnicas dentro de tus sistemas, aplicaciones, servicios, TICs, etcétera. Esta información la puedes obtener por medio de un Ethical Hacking, escaneos de vulnerabilidades internos y/o externos realizados con herramientas especializadas, e incluso con la información que publican algunos proveedores de sus propios sistemas y servicios.
Análisis y clasificación de vulnerabilidades. Esto corresponde a las tareas de revisión y entendimiento de las vulnerabilidades encontradas. Típicamente un Ethical Hacking te proporciona la clasificación de las vulnerabilidades (por ejemplo, crítica, media, baja, etcétera), pero en caso de no tener esa información porque realizaste otro tipo de escaneo, es muy importante que clasifiques las vulnerabilidades, considerando su impacto y criticidad, para poder priorizarlas y remediarlas adecuadamente.
Planificación de la remediación. Esto corresponde a la definición de fechas, acciones y responsables que permitirán el correcto seguimiento y remediación de las vulnerabilidades.
Remediación. Esto corresponde a la aplicación de las acciones planificadas en la actividad anterior.
Documentar este paso te ayuda a garantizar que la planificación se ejecute correctamente, y a complementar con cualquier otra información que pueda ser relevante para la ejecución de las acciones.
Pruebas de validación / Retest. Es importante realizar un retest o un nuevo escaneo para asegurar que las vulnerabilidades fueron efectivamente remediadas con las acciones que implementaste. Además, te sugerimos documentar en este paso las acciones a ejecutar en caso de que la vulnerabilidad siga presente, las pruebas no sean exitosas, se presenten fallas, errores o cualquier anomalía.
💡 Dentro de nuestro servicio de Ethical Hacking se realiza un retest para asegurar que las vulnerabilidades hayan sido remediadas. ¡Contacta a tu Customer Success Manager para más información!
Comunicación. Esto corresponde a la definición de cómo vas a comunicar las vulnerabilidades remediadas y las acciones realizadas a todos los interesados, principalmente a la alta dirección y/o al comité de seguridad.
También es recomendable documentar cómo se trató la vulnerabilidad y cuál fue la solución aplicada, para crear una base de conocimiento a la que puedas recurrir para solucionar futuras vulnerabilidades similares 😎.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Realiza un Ethical Hacking, por lo menos una vez al año.
Involucra a tu equipo de Tecnología en la documentación e implementación de este procedimiento.
Atiende y remedia primero las vulnerabilidades críticas.
Asigna a responsables capacitados para ejecutar las acciones de remediación.
Genera la evidencia pertinente de las remediaciones, ya que te pueden ser solicitadas durante una auditoría.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.