La gestión de vulnerabilidades y su respectiva mitigación son aspectos críticos en la seguridad de las empresas, ya que permiten mitigar los riesgos a los que están expuestos los activos. Para comprender la importancia y los posibles enfoques para mejorar la postura de seguridad empresarial (SPM), se describen algunos criterios clave.
- Cumplimiento normativo y/o reglamentario: Las organizaciones, por su naturaleza, deben cumplir con normativas de seguridad y gestión de vulnerabilidades, en este sentido es importante cumplir con regulaciones o estándares como GDPR (UE), HIPAA, SOX o ISO 27001:2023 y su Anexo A, entre otras.
- Evaluaciones de seguridad recurrentes: Es recomendable ejecutar evaluaciones y pruebas de seguridad continuas, como pruebas de penetración, emulación de adversarios y escaneos de vulnerabilidades, que permitan identificar brechas de seguridad en la organización.
- Protección de activos: La gestión de vulnerabilidades ayuda a salvaguardar los datos confidenciales, así como los activos críticos de la organización, permitiéndonos mitigar posibles riesgos como pérdida, robo o exfiltración de información.
- Priorización y categorización de vulnerabilidades: Como parte de la gestión de vulnerabilidades, es necesario categorizar, clasificar y priorizar las brechas de seguridad de acuerdo a su criticidad e impacto en la organización, permitiendo a los equipos de seguridad enfocar sus esfuerzos en resolver hallazgos críticos y de alto nivel, principalmente, pero sin perder de vista el nivel medio y bajo.
- Implementación de parches de seguridad: Mantener las plataformas de infraestructura tecnológica (hardware y software) actualizadas con los últimos parches de seguridad recomendados por los diferentes fabricantes, para mitigar al menos las vulnerabilidades conocidas.
- Prevención e identificación de ciberamenazas: La identificación temprana y proactiva de vulnerabilidades reduce la posibilidad de que atacantes o adversarios (pentesters) exploten las brechas.
https://dev.to/fabianbch/vulnerability-management-strategy-ml1