| Guía de implementación | Inventario de activos En el inventario de activos de la organización debe incluir información como: proveedor del software instalado, versión, fecha de instalación, estatus (producción, test, desarrollo), entre otros. Plan o Pautas para la gestión de vulnerabilidades y parches Se deben definir un plan o pautas para la gestión de vulnerabilidades y parches que aborden, entre otros, los siguientes puntos: - Roles y responsabilidades para la gestión de vulnerabilidades y parches.
- Procedimiento para la identificación de las vulnerabilidades técnicas través de terceras partes (foros, CERTuy, etc.) y aquellas detectadas en forma interna a la organización.
- Se definen otras fuentes de identificación de vulnerabilidades a través de escaneos de infraestructura y aplicaciones.
- Evaluación de riesgos, clasificación y priorización de las vulnerabilidades técnicas detectadas.
- Cronograma para llevar adelante las acciones correctivas de las vulnerabilidades técnicas.
- Evaluación de los parches de seguridad que sean necesarios aplicar a la instalación (análisis de riesgo de la vulnerabilidad vs análisis de riesgo de la instalación del parche).
- Ambiente para probar los parches, previo a su puesta en producción. Los parches y las acciones correctivas de las vulnerabilidades técnicas detectadas deben ser llevadas a cabo y puestos en producción en función del procedimiento de gestión de cambios (considerando si corresponde el procedimiento de gestión de cambios de emergencia) y el proceso de gestión de incidentes.
- Controles a implementar en caso de que no se cuente con ningún parche para aplicar frente a una vulnerabilidad.
- Deben definirse controles compensatorios para aquellos activos que por su tecnología no puedan ser actualizados con los últimos parches de seguridad.
|
