Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Definición de un plan de administración de vulnerabilidades
El primer paso a la hora de preparar su programa de administración de vulnerabilidades en la nube consiste en definir su plan de administración de vulnerabilidades. Este plan incluye las políticas y los procesos que sigue su organización. Este plan debe estar documentado y ser accesible para todas las partes interesadas. Un plan de administración de vulnerabilidades es un documento de alto nivel que normalmente incluye las siguientes secciones:
-
Objetivos y alcance: describa los objetivos, las funciones y el alcance de la administración de vulnerabilidades.
-
Roles y responsabilidades: indique las partes interesadas en la administración de vulnerabilidades y detalle sus responsabilidades.
-
Definiciones de gravedad y priorización de las vulnerabilidades: determine cómo clasificar la gravedad de una vulnerabilidad y cómo priorizarla.
-
Acuerdos de nivel de servicio (SLAs) para la remediación: para cada nivel de gravedad, defina el tiempo máximo del que dispone el propietario de la remediación para resolver un problema de seguridad. Dado que el cumplimiento de los SLA es una parte integral de contar con un programa de gestión de vulnerabilidades eficaz y escalable, considere cómo comprobar si los está cumpliendo. SLAs
-
Proceso de excepciones: detalle el proceso de presentación, aprobación y actualización de las excepciones. Este proceso debe garantizar que las excepciones sean legítimas, tengan un límite de tiempo y se rastreen.
-
Orígenes de información sobre vulnerabilidades: indique los orígenes o las herramientas que generan resultados de seguridad. Para obtener más información sobre Servicios de AWS estas posibles fuentes de hallazgos de seguridad, consulta Configure AWS los servicios de seguridad esta guía.
Aunque estas secciones son comunes en empresas de diferentes tamaños y de diferentes sectores, el plan de administración de vulnerabilidades de cada organización es único. Debe elaborar el plan de administración de vulnerabilidades que mejor se adapte a su organización. Espere iterar el plan con el tiempo para incorporar las lecciones aprendidas y las tecnologías en evolución.
