Ir al contenido principal

29. Procedimiento de Aplicación de Parches de Seguridad 

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 6.2

  • PCI DSS v4.0: 6.1.1, 6.1.2, 6.3.2, 6.3.3

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a establecer los pasos necesarios que te permitan gestionar adecuadamente la aplicación de parches de seguridad en los sistemas operativos y aplicaciones utilizados en la empresa, considerando la autorización y aplicación de las pruebas pertinentes que aseguren que la actualización del parche se haga correctamente.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad, te sugerimos realizar las siguientes tareas:

  • Identificar cómo buscarás y/o recibirás las notificaciones de los nuevos parches disponibles para tus sistemas.

  • Revisar los nuevos parches disponibles y analizar su criticidad para conocer la urgencia de su instalación. Por ejemplo:

    • Los parches de seguridad críticos deben ser instalados máximo 1 mes después de que sean liberados por el fabricante.

    • Los parches de seguridad estándar o para solucionar defectos del producto deben ser instalados máximo 3 meses después de que sean liberados por el fabricante.

    • Todos los componentes del sistema deben estar protegidos contra vulnerabilidades conocidas mediante la instalación de estos parches y actualizaciones de seguridad.

  • Definir el proceso de instalación del parche, recordando que lo más recomendable es hacerlo en horarios adecuados para evitar interrupciones a las operaciones o el servicio. De ser necesario, se recomienda realizar la instalación en un ambiente de pruebas para asegurar que no haya ninguna afectación.

    • Si se detecta alguna afectación o impacto negativo por la instalación del parche, se debe solicitar apoyo de las áreas pertinentes, si es necesario, para determinar las acciones a tomar.

    • Los riesgos derivados de la instalación de parches deben ser documentados dentro de la Matriz de Riesgos.

    • La justificación de no instalar parches o actualizaciones únicamente está sujeta a casos extraordinarios donde la afectación a los sistemas sea muy grave, y debe ser validada por la alta dirección.

  • La instalación del parche en un ambiente productivo debe ser planificada y monitoreada para asegurar que no haya afectaciones o impactos negativos al sistema.

    • Al realizar esto ya en un ambiente productivo, es importante tener un proceso de rollback en caso de que la afectación impacte las operaciones reales de la empresa, y se deba volver al estado o versión anterior.

  • Generar un reporte de los parches aplicados para comunicar sobre las acciones realizadas a la alta dirección u otra parte interesada, y resguardarlo como evidencia de cumplimiento.

Además de todo lo anterior, debes mantener un inventario del software a medida y personalizado, y de los componentes del software de terceros incorporados en ellos para facilitar la gestión de vulnerabilidades y parches.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Aplica las pruebas pertinentes a los parches, y gestiona la autorización de su instalación por un responsable capacitado, para asegurar que los sistemas no sean afectados negativamente.

  • Considera los cambios en tu infraestructura y en el área de desarrollo para mantener siempre actualizado este procedimiento.

  • Alinea este procedimiento a los lineamientos definidos en la Política de Tecnología y Operaciones de TI.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
24. Política de Tecnología y Operaciones de TI
45. Política de Seguridad por Capas
28. Política de Tecnología y Operaciones de TI
30. Puntos de revisión para Requisito 6
Política de Seguridad por Capas
¿Ha quedado contestada tu pregunta?