Formar un equipo de gestión de vulnerabilidades

NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.

Responsabilidades del equipo de gestión de vulnerabilidades

Las organizaciones de este nivel deben contar con un equipo de gestión de vulnerabilidades con las siguientes responsabilidades:

  • Seguimiento de las vulnerabilidades más recientes
  • Generar avisos para los equipos de desarrollo
  • Alertar y escalar cuando surgen vulnerabilidades críticas
  • Liderar/coordinar los esfuerzos de remediación para vulnerabilidades críticas
  • Definir los criterios que la organización utilizará para clasificar la gravedad de las vulnerabilidades (CVSS, EPSS, SSVC, VPR)
  • Definir las expectativas de seguridad: crear una definición de cómo y en qué plazo deben solucionarse las vulnerabilidades de una determinada gravedad.
  • Obtener acuerdos/compromisos de los equipos de DevOps sobre los SLA para solucionar vulnerabilidades (o hacerlos cumplir de arriba hacia abajo con el acuerdo del CISO y el CIO)
  • Medir los tiempos de remediación de vulnerabilidades
  • Brindar visibilidad a los diferentes equipos de las vulnerabilidades asociadas con sus cargas de trabajo

Cuándo reparar automáticamente o escalar

Debe haber un proceso implementado para corregir desviaciones. Si bien este proceso será diferente para las organizaciones en diferentes industrias, aquí hay algunas definiciones de muestra que podrían ayudarlo a definir su proceso:

  • [Para vulnerabilidades críticas en SO no productivos] Si el parche no se aplica en el momento X, se aplica automáticamente.
  • [Para vulnerabilidades críticas en SO productivos] Si el parche no se aplica en el momento X, se escala.
  • [Para vulnerabilidades altas en entornos no productivos] Si el parche no se aplica en el momento Y, se aplica automáticamente.
  • [Para vulnerabilidades altas o críticas en el código] Si no se corrigen en X horas, comuníquese con el Guardián de Seguridad de ese equipo. Si no se resuelve en el día, se escala.

Brindar a cada equipo la visibilidad de sus vulnerabilidades en paneles de control y paneles de control agregados de vulnerabilidades por gerente/director también los ayudará a participar más en la resolución de vulnerabilidades.

Mitigación de riesgos

  • La mayoría de las explotaciones de vulnerabilidades a gran escala ocurren días o semanas después de que se conoce la vulnerabilidad, y aún así tienen éxito porque, a menudo, las organizaciones no cuentan con buenos equipos, procesos y herramientas de gestión de vulnerabilidades.
  • El esfuerzo de parchear todas las vulnerabilidades de inmediato lo hace imposible a gran escala, y el riesgo de no hacerlo es demasiado grande. Por lo tanto, es fundamental tener las definiciones y los procesos para garantizar que las vulnerabilidades se parcheen de acuerdo con su gravedad y la probabilidad de su explotación.
  • La mayoría de los equipos de desarrollo no son expertos en seguridad o no tienen tiempo para priorizar las prácticas de código seguro.

Guía para evaluar su grado de alineación

  • ¿Tiene un equipo dedicado a las tareas explicadas anteriormente?
  • ¿Cuáles son las responsabilidades de ese equipo?
  • ¿Tiene procesos definidos para corregir vulnerabilidades?
  • ¿Tiene configurados Auto-Fix o escalaciones para vulnerabilidades antiguas?