Gestión de Vulnerabilidades: Guía Práctica

Las vulnerabilidades son debilidades en los sistemas, aplicaciones o configuraciones que pueden ser explotadas por atacantes. La gestión de vulnerabilidades es el proceso continuo de identificar, evaluar, priorizar y remediar estas debilidades antes de que sean aprovechadas. Es uno de los controles más efectivos de ciberseguridad y un requisito de ISO 27001, la Ley 21.663 y el NIST CSF.

Ciclo de gestión de vulnerabilidades

Inventario de activos: No puedes proteger lo que no conoces. Mantener inventario actualizado de todos los activos de TI.
Escaneo de vulnerabilidades: Utilizar herramientas automatizadas para identificar vulnerabilidades conocidas en sistemas, aplicaciones y configuraciones.
Evaluación y priorización: No todas las vulnerabilidades son iguales. Priorizar según severidad (CVSS), exposición, criticidad del activo y disponibilidad de exploit.
Remediación: Aplicar parches, actualizar configuraciones o implementar controles compensatorios según la priorización.
Verificación: Confirmar que la remediación fue efectiva mediante re-escaneo.
Reporte y métricas: Informar a la dirección sobre el estado de vulnerabilidades y las tendencias.

Priorización de vulnerabilidades

Prioridad	CVSS	Plazo de remediación	Criterio
Crítica	9.0 - 10.0	< 48 horas	Explotable remotamente, sin autenticación, en activos críticos
Alta	7.0 - 8.9	< 7 días	Explotable con condiciones, activos importantes
Media	4.0 - 6.9	< 30 días	Requiere acceso local o condiciones específicas
Baja	0.1 - 3.9	< 90 días	Impacto limitado, difícil de explotar

Importante: El CVSS no es suficiente para priorizar. Una vulnerabilidad con CVSS 7.0 en un servidor expuesto a internet con datos de clientes es más urgente que una con CVSS 9.0 en un sistema interno sin datos sensibles. La priorización debe considerar el contexto.

Herramientas recomendadas

Para pymes chilenas, existen opciones para diferentes presupuestos:

OpenVAS: Escáner de vulnerabilidades open source, gratuito.
Nessus Essentials: Versión gratuita para hasta 16 IPs.
Qualys Community Edition: Escaneo cloud gratuito limitado.
Herramientas del sistema operativo: Windows Update, apt update, etc., para gestión de parches.

Métricas de gestión de vulnerabilidades

Tiempo medio de remediación: Días desde detección hasta cierre, por severidad.
Vulnerabilidades abiertas: Cantidad total y tendencia (debe ser decreciente).
Cobertura de escaneo: Porcentaje de activos escaneados sobre el total.
Vulnerabilidades recurrentes: Las que se repiten después de ser remediadas.
Cumplimiento de SLA: Porcentaje remediado dentro del plazo según prioridad.

Gestión de parches

La gestión de parches es un componente clave. Recomendaciones:

Establecer un proceso regular de aplicación de parches (semanal o mensual según criticidad).
Probar parches en ambiente de prueba antes de producción para sistemas críticos.
Documentar excepciones: si un parche no puede aplicarse, documentar la razón y el control compensatorio.
Automatizar donde sea posible con herramientas de gestión de parches.

Gestiona vulnerabilidades con GRC360

GRC360 te permite documentar tu programa de gestión de vulnerabilidades, dar seguimiento a la remediación y mantener métricas de cumplimiento.

Crear Cuenta Gratis

Complementa con plan de respuesta ante incidentes, seguridad en la nube y análisis de riesgos.

Dato: El 60% de las brechas de seguridad explotan vulnerabilidades para las que ya existía un parche disponible. Un programa efectivo de gestión de vulnerabilidades es una de las defensas más efectivas contra ciberataques.