7. Validar
Es importante validar el resultado de los hallazgos entre los escaneos de vulnerabilidades para ver si en siguientes iteraciones aumenta o se reduce la cantidad de vulnerabilidades detectadas.
Algunas métricas que se pueden definir para controlar el proceso son:
- Puntaje promedio de vulnerabilidad de cada activo por propietario y en general.
- Tiempo, en promedio, para remediar las vulnerabilidades por propietario y en general.
- Porcentaje de los activos que no ha sido escaneado recientemente en búsqueda de vulnerabilidades.
- Cantidad de vulnerabilidades explotables de forma remota que otorgan acceso privilegiado expuestas en los sistemas.
La clave es mostrar el progreso mes a mes, trimestre a trimestre y año a año.
Los puntajes de riesgo por vulnerabilidades y el tiempo para la remediación deben disminuir a medida que los equipos se familiarizan con el proceso y conocen mejor los riegos.