Política de gestión de vulnerabilidades

La Política de gestión de vulnerabilidades y gestión de parches (P19) define el enfoque estructurado requerido para identificar, clasificar, aplicar acciones de remediación y realizar el seguimiento de vulnerabilidades técnicas y fallos de software dentro de todos los activos gobernados por el Sistema de gestión de la seguridad de la información (SGSI) de la organización. Su objetivo principal es reducir la exposición al riesgo derivada de debilidades no abordadas, garantizando un proceso coordinado para la evaluación de vulnerabilidades, la priorización, la remediación y el seguimiento del cumplimiento, adaptado a las prioridades operativas y al panorama normativo relevante para la organización. La política se aplica en toda la empresa a todos los sistemas de información, aplicaciones, infraestructura de red, firmware, recursos en la nube, interfaces de programación de aplicaciones, endpoints, servidores, infraestructura virtual y plataformas de terceros, independientemente del entorno de alojamiento. Vinculante tanto para equipos internos como para terceros proveedores de servicios, exige un enfoque de ciclo de vida completo, comenzando con escaneos de vulnerabilidades y descubrimiento regulares, pasando por la calificación del riesgo y la adquisición de parches, hasta el despliegue oportuno, la gestión de excepciones, el seguimiento y la elaboración de informes. Se hace especial hincapié en el escaneo autenticado y ajustado al riesgo en intervalos definidos, especialmente para activos expuestos a Internet o de alto valor, con procedimientos asociados para la incorporación de nuevos sistemas y el mantenimiento del cumplimiento durante todo su ciclo de vida. Los roles y responsabilidades se delimitan con precisión para fomentar la rendición de cuentas. El Director de Seguridad de la Información (CISO) es propietario de la integración de la política y la alineación del riesgo; los responsables de gestión de vulnerabilidades supervisan la entrega operativa; los propietarios del sistema y los propietarios de aplicaciones se encargan de aplicar las acciones de remediación y validar la estabilidad del sistema; Operaciones de TI ejecuta los cambios dentro de las ventanas establecidas, y los analistas de seguridad mantienen la vigilancia mediante la monitorización continua de amenazas y evaluaciones de riesgos actualizadas. Se establecen requisitos formales para terceros proveedores a fin de garantizar que los sistemas externos se adhieran a los mismos acuerdos de nivel de servicio de aplicación de parches, con auditorías periódicas y controles sobre sus procesos de gestión de parches. Un marco de gobernanza, que incluye un Registro de gestión de vulnerabilidades mantenido de forma centralizada y acuerdos de nivel de servicio basados en el riesgo, sustenta la política. El sistema impone la urgencia de aplicación de parches según la gravedad (determinada por la puntuación CVSS), la criticidad del activo y la exposición, al tiempo que se integra con la Política de gestión de cambios para la trazabilidad y la estabilidad. Los protocolos detallados de excepciones establecen requisitos de aprobación formal, controles compensatorios, cadencia de revisión, límites de tiempo para riesgos críticos y seguimiento obligatorio en los registros del SGSI designados. La aplicación de la política se basa en la monitorización continua del cumplimiento, informes de estado y escalado estructurado. La política también exige auditorías, investigaciones retrospectivas tras incidentes y un protocolo sólido de revisión/actualización para garantizar la alineación continua con las obligaciones reglamentarias en evolución, los cambios tecnológicos y la inteligencia de amenazas de alto perfil. Está vinculada directamente a políticas fundamentales, como la política de seguridad de la información, la Gestión de cambios, el Proceso de gestión de riesgos, la Gestión de activos, la Política de registro y monitorización y la Política de respuesta a incidentes (P30), para garantizar una cobertura de extremo a extremo.