Previa la puesta en producción de los aplicativos o sistemas de información de la plataforma de aplicaciones eSatellite, realizamos un análisis de vulnerabilidades técnicas, y, establecemos el plan de tratamiento y seguimiento de vulnerabilidades identificadas.
En función de requisitos de seguridad deberá decidirse el tipo de análisis de vulnerabilidades: Black, Grey, White.
En función de los requisitos de seguridad el análisis de vulnerabilidades será realizado por personal interno mediante aplicaciones que utilizamos internamente para su gestión o bien será contratada a una tercera parte (en el caso de black box) y realizado en este caso desde servidores y host externos.
El procedimiento que llevamos en la gestión de vulnerabilidades técnicas se resumen en los siguientes 10 puntos
- Identificar vulnerabilidades. Las vulnerabilidades pueden ser detectadas a partir de fuentes diversas, las más comunes son las siguientes: Escaneos (de infraestructura y de aplicación). Pentesting. Auditorías o revisiones de seguridad (tanto técnicas como no técnicas).
- Analizar la vulnerabilidad (Identificar su valor CVSS, Saber a qué activos de la compañía está afectando, Saber si se tiene constancia de que la vulnerabilidad está siendo activamente explotada en la propia compañía o en otras compañías.
- Clasificar las vulnerabilidades en función del riesgo:
- Establecer controles compensatorios.
- Asignar un propietario para la vulnerabilidad: Dicho propietario será el responsable de resolver la vulnerabilidad dentro del plazo máximo asignado en función de su criticidad.
- Análisis de soluciones.
- Probar la solución propuesta.
- Resolver la vulnerabilidad
- Verificar su resolución
- Documentar internamente lecciones aprendidas.