Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Creación de un programa de gestión de vulnerabilidades escalable en AWS
*Anna McAbee y Megan O'Neil, Amazon Web Services ()AWS*
*Octubre de 2023 (historial* [del documento](doc-history.md))
Según la tecnología subyacente que utilice, una variedad de herramientas y análisis pueden generar resultados de seguridad en un entorno en la nube. Si no se implementan procesos para gestionar estos resultados, pueden empezar a acumularse y, a menudo, dar lugar a miles o decenas de miles de resultados en un breve periodo de tiempo. Sin embargo, con un programa estructurado de administración de vulnerabilidades y una operacionalización adecuada de las herramientas, su organización puede gestionar y clasificar una gran cantidad de resultados de diversos orígenes.
La *administración de vulnerabilidades* se centra en descubrir, priorizar, evaluar, corregir y notificar las vulnerabilidades. La *administración de revisiones*, por otro lado, se centra en aplicar revisiones en el software o actualizarlo para eliminar o corregir las vulnerabilidades de seguridad. La administración de revisiones es solo un aspecto de la administración de vulnerabilidades. Por lo general, se recomienda establecer un *patch-in-place proceso* (también conocido como *mitigate-in-place*proceso) para abordar situaciones críticas en las que se debe aplicar el parche ahora, y un proceso estándar que ejecute de forma regular para lanzar Amazon Machine Images (AMIs), contenedores o paquetes de software parcheados. Estos procesos ayudan a preparar a su organización para responder rápidamente a una vulnerabilidad de día cero. Para los sistemas críticos de un entorno de producción, utilizar un patch-in-place proceso puede ser más rápido y fiable que implementar una nueva AMI en toda la flota. En el caso de las revisiones programadas con regularidad, como las revisiones del sistema operativo (SO) y del software, le recomendamos que las cree y pruebe mediante procesos de desarrollo estándar, como haría con cualquier cambio de nivel de software. Esto proporciona una mayor estabilidad para los modos de funcionamiento estándar. Puede utilizar [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html), una funcionalidad u otros productos de terceros como patch-in-place soluciones. AWS Systems Manager Para obtener más información sobre el uso del Administrador de parches, consulte [Patch management](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-operations-perspective/patch-management.html) en *AWS Cloud Adoption Framework: Operations Perspective*. Además, puede utilizar [EC2 Image](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) Builder para automatizar la creación, la administración y el despliegue de imágenes personalizadas up-to-date y de servidor.
La creación de un programa de gestión de vulnerabilidades escalable AWS implica gestionar las vulnerabilidades tradicionales de software y red, además de los riesgos de configuración de la nube. Un riesgo de configuración de la nube, como un bucket de [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) sin cifrar, debería seguir un proceso de clasificación y corrección similar al de una vulnerabilidad de software. En ambos casos, el equipo de aplicaciones debe ser el propietario y responsable de la seguridad de la aplicación, incluida la infraestructura subyacente. Esta distribución de la propiedad es clave para un programa de administración de vulnerabilidades eficaz y escalable.
En esta guía se explica cómo agilizar la identificación y la corrección de las vulnerabilidades para reducir el riesgo general. Utilice las siguientes secciones para crear su programa de administración de vulnerabilidades e iterar en él:
1. [Preparación](prepare-program.md): prepare a su personal, los procesos y la tecnología para identificar, evaluar y corregir las vulnerabilidades de su entorno.
1. [Clasificación y corrección](triage.md): remita los resultados de seguridad a las partes interesadas pertinentes, identifique la medida correctiva adecuada y, a continuación, tome dicha medida.
1. [Notificación y mejora](report-and-iterate.md): utilice los mecanismos de notificación para identificar las oportunidades de mejora y, a continuación, itere en su programa de administración de vulnerabilidades.
La creación de un programa de administración de vulnerabilidades en la nube suele implicar iteraciones. Dé prioridad a las recomendaciones de esta guía y revisite periódicamente sus tareas pendientes para mantenerse al día con los cambios tecnológicos y los requisitos de su empresa.
## Destinatarios previstos
Esta guía está destinada a grandes empresas que cuentan con tres equipos principales responsables de los hallazgos relacionados con la seguridad: un equipo de seguridad, un centro de excelencia (CCoE) o equipo de nube y equipos de aplicaciones (o *desarrolladores*). En esta guía se utilizan los modelos operativos empresariales más comunes y se basa en esos modelos operativos para permitir una respuesta más eficiente ante los resultados de seguridad y mejorar los resultados de seguridad. Las organizaciones que lo utilizan AWS pueden tener estructuras y modelos operativos diferentes; sin embargo, puede modificar muchos de los conceptos de esta guía para adaptarlos a diferentes modelos operativos y organizaciones más pequeñas.
## Objetivos
Esta guía puede ayudarlos a usted y a su organización a lo siguiente:
+ Desarrollar políticas para agilizar la administración de vulnerabilidades y garantizar la responsabilidad.
+ Establecer mecanismos para distribuir la responsabilidad en materia de seguridad entre los equipos de aplicaciones.
+ Configure Servicios de AWS según las mejores prácticas para una gestión escalable de vulnerabilidades
+ Distribuir la propiedad de los resultados de seguridad.
+ Establecer mecanismos para notificar el programa de administración de vulnerabilidades e iterar en él.
+ Mejorar la visibilidad de los resultados de seguridad y mejorar la postura general de seguridad.