🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →
DivisionCero

ADR-02 - Gestión, Identificación y Remediación de Vulnerabilidades

Control de gestión continua del ciclo de vida de vulnerabilidades

🎯 Objetivo del Control

Establecer un proceso sistemático y continuo para identificar, evaluar, priorizar y remediar vulnerabilidades de seguridad en todos los activos tecnológicos de la organización.

📋 Descripción

Este control define el programa de gestión de vulnerabilidades que incluye:

  • Escaneo automatizado y continuo de vulnerabilidades
  • Evaluación y priorización basada en riesgo
  • Remediación oportuna según criticidad
  • Seguimiento y validación de correcciones

🛡️ Controles Requeridos

Identificación de Vulnerabilidades

  • Escaneo automatizado de infraestructura (semanal/mensual)
  • Análisis de aplicaciones web (DAST)
  • Análisis de código fuente (SAST)
  • Pruebas de penetración anuales
  • Monitoreo de avisos de seguridad (CVE, NVD)

Evaluación y Priorización

  • Clasificación de vulnerabilidades por criticidad (CVSS)
  • Análisis de impacto al negocio
  • Identificación de activos afectados
  • Evaluación de explotabilidad
  • Matriz de riesgo vs impacto

Remediación

  • Parches de seguridad en SLA definidos:
    • Críticas: 7 días
    • Altas: 30 días
    • Medias: 60 días
    • Bajas: 90 días
  • Controles compensatorios cuando no sea posible parchear
  • Validación de remediación efectiva

Reporte y Seguimiento

  • Dashboard de estado de vulnerabilidades
  • KPIs de tiempo de remediación
  • Reporte ejecutivo mensual
  • Tracking de vulnerabilidades persistentes

📊 Métricas e Indicadores

  • Tiempo promedio de remediación por criticidad
  • Número de vulnerabilidades abiertas vs cerradas
  • Porcentaje de cumplimiento de SLAs de remediación
  • Tendencia de vulnerabilidades críticas/altas
  • Cobertura de escaneo (% de activos)

🔗 Herramientas Recomendadas

  • Vulnerability Scanners: Tenable Nessus, Qualys, Rapid7 InsightVM
  • SAST/DAST: SonarQube, Checkmarx, Veracode, OWASP ZAP
  • Gestión: ServiceNow SecOps, Kenna Security, JupiterOne
  • Inteligencia de Amenazas: CVE, NVD, CISA KEV Catalog

📚 Referencias

✅ Checklist de Implementación

  • Inventario actualizado de activos
  • Implementación de herramientas de escaneo
  • Definición de SLAs de remediación
  • Proceso de priorización documentado
  • Integración con gestión de cambios
  • Dashboards y reportes configurados
  • Responsables de remediación asignados
  • Proceso de validación de correcciones

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

ADR-01 - Protección contra Aplicaciones Maliciosas

Control de protección contra malware y aplicaciones maliciosas

ADR-03 - Retención y Monitoreo de Registros

Control de gestión de logs y monitoreo de eventos de seguridad