Paso 2: Decidir qué puede solucionarse
Decidir qué puede solucionarse es una definición de alto nivel y no solo un problema de TI.
La toma de decisiones prioritarias deberá combinar los siguientes factores:
- Lista de prioridades altas
- Costo directo
- Costo en contratiempos al personal
- Disponibilidad y costo de la solución a corto plazo
- Costo y disponibilidad de recursos calificados
- Costo de respuesta y recuperación ante incidentes (incluidas las multas impuestas)
- Daño a la reputación
Es relevante registrar las razones de las decisiones tomadas y establecer un plazo para revisar aquellos problemas que se definió “reconocer” y no “corregir”. Esta decisión, debe ser tomada a nivel de dirección de manera tal que la persona responsable de la misma pueda defenderla si se explota una vulnerabilidad en el futuro.
Para impulsar la remediación, las personas propietarias del activo necesitan datos empíricos de las vulnerabilidades encontradas para determinar cuáles deben corregirse junto con las instrucciones de cómo llevar a cabo la remediación.
Los informes deben describir:
- los activos más vulnerables,
- las vulnerabilidades de mayor puntuación,
- que aplicaciones específicas son altamente vulnerables.