MACROPROCESO GESTION TECNOLOGICA

SEGUIMIENTO, CONTROL Y ATENCIN DE

VULNERABILIDADES TCNICAS

PR10.MPA6

23/11/12

Versin 1.0

Pgina 1 de 4

1. OBJETIVO: Establecer el procedimiento necesario para realizar el seguimiento, control y

atencin de vulnerabilidades tcnicas sobre los sistemas de informacin y equipos informticos
conectados a la red de datos de ICBF, con el propsito de mantener un nivel de aseguramiento
adecuado de la plataforma y mitigar los riesgos asociados.
2. ALCANCE: Realizar la deteccin remediacin y seguimiento de las vulnerabilidades tcnicas
en los sistemas de informacin y equipos en la red de datos de ICBF bajo administracin propia
o tercerizada.
3. DESCRIPCIN DE ACTIVIDADES
No

Actividad

Responsable

Registro

Inicio

1.1 Solicitar de anlisis de vulnerabilidades (se

puede solicitar por correo llamada a la mesa de
servicio)

2.1 Identificar los elementos a los cuales se les

va a llevar a cabo el procedimiento de gestin
de vulnerabilidades, a partir del inventario
disponible en la herramienta de gestin de
activos de tecnologa.

Profesional
asignado
por
los:
Subdirectores
de:
Sistemas
Integrados
de
Informacin
o
Recursos
Tecnolgicos
Profesional
asignado por el
Subdirector de:
Recursos
Tecnolgicos y
el
Oficial
de
Seguridad (ISO)

Herramienta
de Gestin
de Mesa de
Servicio.

Informe de
Vulnerabilida
des

3.1 Configurar el alcance del anlisis de

vulnerabilidades
en
la
herramienta
correspondiente.
3

Oficial
de
Seguridad (ISO)

Informe de
Vulnerabilida
des

4.1 Generar reporte de las vulnerabilidades

existentes para cada elemento que hace parte Oficial
de
del alcance, a travs de la herramienta de Seguridad (ISO)
rastreo de vulnerabilidades.

Informe de
Vulnerabilida
des

3.2.Ejecucin de anlisis de vulnerabilidades

3.3. Recoleccin de informacin del anlisis de
vulnerabilidades

Antes de imprimir este documento piense en el medio ambiente!

MACROPROCESO GESTION TECNOLOGICA

SEGUIMIENTO, CONTROL Y ATENCIN DE
VULNERABILIDADES TCNICAS
No

Actividad

PR10.MPA6

23/11/12

Versin 1.0

Pgina 2 de 4

Responsable

Registro

4.2 Generar Reporte de los nuevos elementos

detectados por el anlisis de vulnerabilidades y
que no hacen parte del inventario disponible en
la herramienta de gestin de activos de
tecnologa.
5.1 Identificar y seleccionar las medidas de
remediacin que se deben aplicar para corregir
cada vulnerabilidad identificada.

5.2 Documentar las vulnerabilidades que no

puedan ser resueltas ya sea porque no existen
medidas de remediacin o porque la aplicacin
Profesional
de las medidas puede causar un impacto
asignado
por
inaceptable en la operacin de la plataforma.
Subdirector de
Sistemas
5.3 Priorizar la aplicacin de las medidas de
Integrados
de
remediacin de acuerdo con la criticidad del
Informacin
sistema y el impacto potencial de la
vulnerabilidad.
5.4 Elaborar y documentar el plan
remediacin por cada sistema involucrado.

F1.PR10.MP
A6 Registro
de pruebas y
remediacin
de
vulnerabilida
des tcnicas

de

Profesional
por
6.1 Elabora y documenta el Control de Cambios asignado
Formato
Subdirector de
por cada sistema involucrado.
Requerimient
Sistemas
o de Cambio
Integrados
de
Informacin
Fin

Nota: El plan del numeral 4.1 debe contener el listado de vulnerabilidades a corregir, el impacto
potencial de las vulnerabilidades, el listado de acciones de remediacin, el impacto potencial de
la accin de remediacin, la fecha y tiempo propuesto de aplicacin y el responsable de
ejecucin de las actividades.
4. CRITERIOS OPERATIVOS:
Nota: El procedimiento de Vulnerabilidades tcnicas debe ejecutarse por lo menos una vez
cada 6 meses.
5. DURACIN DEL CICLO DEL PROCEDIMIENTO (DAS): 15. Estos das pueden ser
variables dependiendo de la complejidad de la solucin que exista para la vulnerabilidad.
6. PRODUCTO: Vulnerabilidad identificada, con Remediacin y Documentada.

Antes de imprimir este documento piense en el medio ambiente!

MACROPROCESO GESTION TECNOLOGICA

SEGUIMIENTO, CONTROL Y ATENCIN DE
VULNERABILIDADES TCNICAS

PR10.MPA6

23/11/12

Versin 1.0

Pgina 3 de 4

7. DEFINICIONES:

Amenaza: Capacidades o mtodos de ataque desarrollados para aprovechar una

vulnerabilidad y potencialmente causar algn tipo de dao.
Cambio: Adicin, modificacin o eliminacin de algo que podra afectar a los Servicios
de TI. El Alcance debera incluir todos los Servicios de TI, Elementos de Configuracin,
Procesos, Documentacin entre otros.
Gestin de Cambios de Tecnologas de la Informacin: Procedimiento responsable
del control del Ciclo de Vida de los Cambios. Su objetivo primario es permitir la ejecucin
de los Cambios a realizar, con la mnima afectacin sobre los Servicios de TI.
Herramienta de Gestin de Servicios: Son todos los sistemas, aplicaciones, controles,
soluciones de clculo, metodologa, etc., que ayudan a la gestin de una empresa; para
el caso de TI para el manejo y control de servicios es el software en donde se
documentan los servicios de gestin tecnolgica como Incidentes, Requerimientos,
Problemas, Controles de Cambios, etc, todas estas correspondientes a Tecnologas de
Informacin; algunas de las Herramientas que se encuentran hoy en da en el mercado
son:
Altiris de Symantec
IBM Service Management de IBM
CA Service Desk Manager de CA Technologies
Service Manager de Hewlett Packard
Aranda's Service Desk de Aranda Software.

Oficial de Seguridad (ISO): Rol asignado al encargado de realizar las actividades de

deteccin de vulnerabilidades.

Plataforma Informtica: Conjunto de software, hardware e infraestructura de

comunicaciones y seguridad que proveen los diferentes servicios de informacin para la
ejecucin de los servicios de ICBF.

Remediacin: acciones aplicadas para cerrar o eliminar una vulnerabilidad. Las

medidas de remediacin pueden ser instalacin de un parche de software, ajustes a la
configuracin o eliminacin del software afectado.

Vulnerabilidad: Defectos en el desarrollo de software o mala configuracin de los

sistemas que representan una debilidad de seguridad y que puede ser explotada por
una potencial fuente de amenaza, para ocasionar algn tipo de dao en los sistemas.

8. DOCUMENTOS DE REFERENCIA
No Aplica.

Antes de imprimir este documento piense en el medio ambiente!

MACROPROCESO GESTION TECNOLOGICA

SEGUIMIENTO, CONTROL Y ATENCIN DE
VULNERABILIDADES TCNICAS

PR10.MPA6

23/11/12

Versin 1.0

Pgina 4 de 4

9. RELACIN DE FORMATOS
F1.PR10.MPA6 REGISTRO DE PRUEBAS Y REMEDIACION DE VULNERABILIDADES
TECNICAS
10. ANEXOS
N/A
11. NATURALEZA DE LOS CAMBIOS:

tem
Modif.

Nombre del tem

Descripcin del Cambio

Antes de imprimir este documento piense en el medio ambiente!