👉Esta actividad te ayuda a cumplir el requisito 11.6 de PCI DSS.
¿En qué consiste esta actividad? 📚
Esta actividad consiste en analizar los resultados del Ethical Hacking aplicado a los sistemas, aplicaciones y/o servicios de la empresa dentro de tu alcance de PCI DSS, y planificar las acciones pertinentes que se llevarán a cabo para remediar las vulnerabilidades y brechas de seguridad encontradas.
¿Cómo lo vas a lograr? 🚀
Antes que nada, para lograr esta actividad ya debes tener los resultados del Ethical Hacking y conocer las vulnerabilidades técnicas encontradas. Con eso, ya podrás analizar la causa u origen de cada una de ellas y definir la remediación más eficiente.
Como tal vez ya habrás leído en el artículo de la actividad 49. Ethical Hacking, debes planificar y llevar un seguimiento oportuno de éstas remediaciones, y para ello te sugerimos documentar los siguientes puntos:
Sistemas o aplicaciones afectadas.
IPs de los sistemas o aplicaciones afectadas.
Descripción de la vulnerabilidad encontrada.
Acciones de remediación.
Estado de la vulnerabilidad o de la remediación, es decir si está pendiente, en proceso, en pausa por algún bloqueante, remediada, etcétera.
Responsables asignados, tanto para la remediación como para el seguimiento, en caso de ser diferentes colaboradores.
Fecha de mitigación.
💡 Para gestionar más fácilmente las acciones de remediación, se recomienda clasificar las vulnerabilidades según su impacto. Ésto puede ayudarte a priorizar mejor las actividades, de manera que puedas remediar todas o la mayor cantidad de vulnerabilidades en el tiempo estimado.
Un ejemplo de clasificación, puede ser el siguiente:
Clasificación | Descripción |
Crítica | Estas vulnerabilidades permiten la propagación de amenazas sin que sea necesaria la participación del usuario, por lo que deben ser remediadas de inmediato. |
Alta | Estas vulnerabilidades pueden poner en riesgo la confidencialidad, integridad y/o disponibilidad de los datos de los usuarios, la información contenida en dichos sistemas o aplicaciones, interrumpir los servicios, etcétera, por lo que deben ser remediadas lo antes posible. |
Media | Estas vulnerabilidades no son aprovechables en todo su potencial ya que no afecta a una gran cantidad de usuarios y/o son sencillas de combatir con configuraciones predeterminadas en los sistemas, auditorías, entre otras medidas, por lo que su remediación puede esperar hasta que las vulnerabilidades críticas y altas hayan sido remediadas. |
Baja | Estas vulnerabilidades son realmente muy difíciles de aprovechar por un atacante y su impacto es mínimo ya que no afecta a una gran cantidad de usuarios, por lo que su remediación puede postergarse por un periodo de tiempo definido. |
Esta clasificación la puedes documentar dentro de tu Procedimiento de Gestión de Vulnerabilidades.
Es muy importante tener siempre en cuenta que desconocer la importancia de la atención y remediación de las vulnerabilidades técnicas, así como no realizar Ethical Hacking de manera periódica puede exponer tus sistemas e infraestructura tecnológica a incidentes de seguridad graves.
💡 Recuerda que para poder dar por terminada esta actividad dentro de la plataforma, debes subir la evidencia siguiente:
El documento final en versión PDF (no editable).
Recomendaciones ✅
Asigna a los responsables más adecuados y capacitados para implementar las remediaciones y el seguimiento de las vulnerabilidades encontradas.
Realiza retests o nuevas pruebas para validar que las vulnerabilidades fueron efectivamente remediadas.
Haz Ethical Hacking y escaneo de vulnerabilidades por lo menos una vez al año.
Pon especial atención en estos puntos y tu documento estará listo. Cuando hayas terminado, solicita la revisión desde la app de Hackmetrix y nuestro equipo te ayudará a validarlo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.