12 6 Gestión de las vulnerabilidades técnicas

Reducir los riesgos originados por la explotación de vulnerabilidades técnicas publicadas.

Se debería implantar una gestión de la vulnerabilidad técnica siguiendo un método efectivo, sistemático y cíclico, con la toma de medidas que confirmen su efectividad.

Se deberían considerar sistemas operativos, así como todas las aplicaciones que se encuentren en uso.

Haga un seguimiento constante de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector).

Evalúe la relevancia y criticidad o urgencia de los parches en su entorno tecnológico.

Pruebe y aplique los parches críticos, o tome otras medidas de protección, tan rápida y extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estén siendo explotadas fuera activamente.

Evite quedarse tan atrás en la rutina de actualización de versiones que sus sistemas queden fuera de soporte por el fabricante.

Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como portátiles fuera de la empresa o almacenados-).