👉¿Es posible dejar vulnerabilidades sin remediar al llegar a una auditoría, o es necesario remediar todas las vulnerabilidades encontradas para obtener el cumplimiento?
R: Lo ideal es llegar a una auditoría con todas las vulnerabilidades que fueron encontradas en el ejercicio de Ethical Hacking ya remediadas. Sin embargo, si hay algo que no pueda remediarse durante la implementación por temas de presupuesto, configuraciones, tecnología, etcétera, se debe documentar la debida justificación y definir el plan de acción pertinente con fechas estimadas de remediación.
💡 Durante la auditoría será importante poder explicar adecuadamente los motivos de la no remediación y la planificación definida.
👉¿Cuál es la diferencia entre esta actividad #41 y la actividad #53 (del plan de acción de Hackmetrix para ISO 27001)?
R: En la actividad 41 solicitamos que la organización realice un Ethical Hacking y nos comparta el reporte de resultados pertinente. Si lo consideran más adecuado, pueden compartir solamente el listado de vulnerabilidades encontradas en dicho ejercicio.
Esas vulnerabilidades deben ser listadas en el Plan de Remediación (template que proporcionamos en ambas actividades), para que se les pueda dar el seguimiento pertinente.
Dicho seguimiento se revisa en la actividad 53. Es ahí donde se verifica dentro del Plan de Remediación, el avance o estatus de las acciones aplicadas. En el mejor de los casos, en esta instancia todas las vulnerabilidades encontradas ya deberían estar corregidas y con el reporte de retest o de “certificación” que lo demuestre.
💡 Para compartir estos reportes, solo debes colocar los enlace a los documentos (generalmente están en formato PDF) dentro de la actividad correspondiente en la sección de “Documentos editables”, asegurando que tengamos acceso. Si realizaste el Ethical Hacking con Hackmetrix, debes colocar los reportes que te otorgó nuestro equipo de Offensive Security.