Considerando que la evaluación del asesor es “un snapshot” de cumplimiento al día de la visita en sitio, ¿cómo podemos demostrar – tanto el asesor como la entidad – que las vulnerabilidades fueron tratadas el tiempo en forma durante todo el año?

Esta tarea puede llegar a ser muy compleja tanto para el asesor como para la entidad si no existe un adecuado proceso de gestión de vulnerabilidades.

Si bien el requisito 11 “Pruebe con regularidad los sistemas y procesos de seguridad” establece las actividades periódicas como escaneos de vulnerabilidades o pruebas de penetración, los requisitos que definen cómo deben tratarse las vulnerabilidades se concentran en el requisito 6.1 y 6.2, ya que va más allá de realizar un ejercicio.

De manera general estos son los objetivos de control de busca cada uno de los requisitos:

6.1

  • Identificar nuevas vulnerabilidades de seguridad
  • Asignar una clasificación de riesgo a las vulnerabilidades en la que se identifiquen todas las vulnerabilidades de “alto riesgo” y “críticas”.
  • Usar fuentes externas conocidas para obtener información sobre las vulnerabilidades de seguridad

6.2

  • Instalación de parches de seguridad críticos proporcionados por el proveedor dentro del mes de lanzamiento.
  • Instalación de todos los parches de seguridad proporcionados por el proveedor en un período coherente (por ejemplo, en un período de tres meses).

NOTA: Considere priorizar la instalación de parches de manera tal que los parches de seguridad de los sistemas críticos o en riesgo se instalen en un plazo de 30 días y que los parches de menor riesgo se instalen en un plazo de 2 a 3 meses.

He mencionado que las vulnerabilidades deben ser gestionadas durante todo su ciclo de vida, pero, ¿qué significa realmente esto? Para apoyar a entender las fases y las actividades mínimas requeridas, desarrollé esta matriz:

Etapa Descripción Actividades sugeridas Requisito
Identificación Identificar y documentar todas las fuentes de información sobre vulnerabilidades conocidas. Esto va más allá de escaneos o pruebas de vulnerabilidades. Algunos ejemplos de fuentes (más no limitado a) son:
- boletines de seguridad emitidos por los proveedores dueños de la infraestructura en uso.
- Blogs o RSS dedicados a seguridad informática e investigación de vulnerabilidades
- Investigación propia sobre vulnerabilidades de día cero.
Otro punto importante de esta etapa es que se define la clasificación de las vulnerabilidades de acuerdo con el riesgo asociado.
- Documentar formalmente el proceso de gestión de vulnerabilidades como proceso de la organización.
- Establecer la clasificación de las vulnerabilidades de acuerdo con su nivel de criticidad y establecer un periodo máximo de remediación para cada nivel.
Vulnerabilidades críticas y altas: 30 días
Vulnerabilidades medias, bajas e informativas: 60 a 90 días según el análisis de riesgo de cada organización.
- Buscar, documentar y actualizar las fuentes de información externas sobre vulnerabilidades conocidas.
6.1
6.2
Detección En esta etapa, se realiza un descubrimiento de posibles vulnerabilidades sobre el CDE. - Realizar escaneos de vulnerabilidades internos y externos de forma trimestral sobre toda la infraestructura del CDE o cada que ocurra un cambio significativo.
- Realizar pruebas de penetración internas y externas por lo menos anual (o semestral si es proveedor de servicios) sobre toda la infraestructura del CDE o cada que ocurra un cambio significativo.
11.2
11.3
Análisis En esta etapa, se deberá validar la aplicabilidad y nivel de riesgo de cada una de las vulnerabilidades identificada independientemente de la fuente en que es recibida. - Revisar los resultados obtenidos y validar si las vulnerabilidades identificadas están correctamente clasificadas de acuerdo con la criticidad y el análisis de riesgo de cada organización. 6.1
6.2
Remediación La etapa comprende en realizar los cambios, instalación de parches o actualizaciones pertinentes para mitigar la vulnerabilidad. - Realizar pruebas en ambientes de no productivos para validar que no habrá impactos en los servicios.
- Ejecución de cambios o instalación de parches o actualizaciones en los componentes del CDE.
6.1
6.2
6.4.5
11.2.1.b
11.2.2.b
11.2.3
11.3.3
Validación La etapa consiste en validar que las correcciones han sido aplicadas y la vulnerabilidad ya no se encuentra presente en el CDE.
Esta etapa pudiera considerar re-test de escaneos de vulnerabilidades o pruebas de penetración para asegurar que la vulnerabilidad fue mitigada.
- Realizar de nuevo las pruebas de penetración o escaneos de vulnerabilidades para asegurar que fue solventada correctamente con los cambios aplicados. 6.1
6.2
11.2.1.b
11.2.2.b
11.2.3
11.3.3
Documentación Una vez concluido el ciclo, es necesario documentar las acciones realizadas, algunos ejemplos de soporte documental más no limitado a:
- RFC (request for change) o control de cambios
- Ticket o incidente asociado a los cambios realizados para mitigar la vulnerabilidad.
- Confirmaciones por medio de correos u otro medio de comunicación.
- Actualización de inventario de componentes en caso de ser aplicable.
- Actualización de estándares de configuración en caso de ser aplicables.
- Resguardo de evidencia o documentación de todo el tratamiento de las vulnerabilidades.
2.2.b
2.4
11.2.1.b
11.2.2.b
11.2.3
11.3.3

Como asesor, puedo decir que uno de los problemas más comunes que encuentro durante las evaluaciones, es que las vulnerabilidades no son atendidas dentro del periodo marcado dentro de la política de gestión de vulnerabilidades o la entidad no cuenta con el soporte documental adecuado para demostrar que las remediaciones se realizaron en tiempo y forma dentro del periodo establecido. Es muy importante realizar un seguimiento puntual a las fechas y actividades comprometidas para que la certificación no sea vea comprometida.

Para esto, creé una matriz con los campos básicos necesarios para realizar un seguimiento puntual, incluyendo algunas formulas que pueden apoyar a identificar los plazos requeridos y evitar que las vulnerabilidades se corrijan fuera de tiempo.

Descargar Matriz de Gestión de Vulnerabilidades

Recordemos que la gestión de vulnerabilidades va más allá de realizar escaneos con herramientas de “seguridad” o realizar pruebas de penetración. Una buena gestión sobre las mismas puede apoyar a madurar el gobierno de seguridad dentro de cada organización, así como ser una de varios inputs hacía los análisis de riesgo sobre todo el ambiente.


Héctor García

PCI QSA, CISA, C|EH, C|SS, COBIT, TOGAF, ITIL Intermediate OSA-RCV