Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

REQ.016 Garantizar corrección de vulnerabilidades

En el presente documento se detallan los requerimientos de seguridad relacionados a los activos de información de la empresa. El objetivo de este requerimiento de seguridad es profundizar en la importancia de la corrección de las vulnerabilidades detectadas en los activos.

Requisito

La organización debe asegurar que cada una de las vulnerabilidades identificadas en los activos de información sea corregida y comprobada su corrección.

Descripción

La organización debe eliminar las vulnerabilidades existentes o de no ser posible, ejecutar acciones que eviten que estas sean usadas por los atacantes para causar daños a los activos de información. Las soluciones aplicadas deben ser comprobadas de forma que se garantice que se evita la explotación de la vulnerabilidad.

Implementación

  1. Se debe determinar el proceso para solucionar las vulnerabilidades identificadas, estableciendo responsabilidades y tiempos de respuesta.

  2. Para dar solución a las vulnerabilidades se debe tener en cuenta su priorización de forma que se corrijan en orden de criticidad. Una vez los responsables de remediar las vulnerabilidades notifiquen el fin de las actividades, se debe programar un proceso de Ethical Hacking que verifique que efectivamente se solucionaron los inconvenientes, esta prueba debe garantizar su objetividad e imparcialidad.

  3. En caso de no poder solucionar alguna de las vulnerabilidades es necesario que se defina el proceso a seguir para aceptar la existencia de esta, aceptar el posible riesgo y establecer controles complementarios en caso de ser necesario.

Ataques

  1. Un usuario, empleado o anónimo ejecuta acciones en contravía de la seguridad de cualquier activo de la organización, la vulnerabilidad aprovechada no fue solucionada correctamente cuando se identificó.

Atributos

  • Capa: Capa de Recursos.

  • Activo: Activos de Información.

  • Alcance: Adherencia.

  • Fase: Pruebas.

  • Tipo de Control: Recomendación.

Referencias

  1. Serie de normas ISO/IEC 27000.

  2. HIPAA Security Rules 164.308(a)(1)(ii)(B): Análisis de Riesgo: Implementar las medidas suficientes para reducir riesgos y vulnerabilidades a un nivel razonable y apropiado para cumplir con la sección 164.306(a).


Estado de los servicios - Términos de Uso