D-SOP-15 / Control de Vulnerabilidades
Alcance de responsabilidad
Es de suma importancia recalcar que el control y análisis de vulnerabilidades es responsabilidad de cada cliente quien mediante el área designada para esto dentro de su organización realice los pentest1 necesarios, asà como también la solicitud de revisión de parches de seguridad.
Los problemas de seguridad descubiertos a través de la prueba de penetración deben notificarse al propietario del sistema, en este caso, Neotel, para que este pueda ejecutar su plan de acción.
Neotel, por su parte, realiza lo propio en la infraestructura que posee para su gestión con el fin de garantizar la seguridad e integridad de la información que resguarda sobre sus clientes y gestiones.
Plan de acción
A partir del informe del cliente, desde Neotel, se abren dos caminos a seguir según la inmediatez de la acción requerida.
En caso de presentarse una vulnerabilidad que deba remediarse en lo inmediato, se analiza la misma, su impacto y se sigue el plan de acción definido según el servicio afectado generando un informe para facilitar al cliente donde se detallan las tareas realizadas. Tanto el alcance como la duración de estas variará de acuerdo con lo que haya por remediar.
En cambio, si el cliente detectara un parche que signifique una mejora, no urgente, en materia de seguridad, Neotel testeará el mismo en un ambiente no productivo para analizar la factibilidad de instalar el mismo asegurando que no se dañarán otros aspectos de la herramienta.
Adicionalmente, Neotel da la posibilidad a sus clientes de informar que requieren actualizaciones periódicas de parches de seguridad de Windows. En tal circunstancia, mediante un proceso definido en el área de Infraestructura de Neotel, se aplicarán cada tres meses los updates de seguridad publicados por Microsoft.
1 Cabe destacar que no se instalarán aplicaciones de terceros no homologadas en los servidores que poseen instalada la solución de Neotel sean o no propiedad del cliente.