• /
  • EnglishEspañolFrançais日本語한국어Português
  • Inicia sesiónComenzar ahora

Te ofrecemos esta traducción automática para facilitar la lectura.

En caso de que haya discrepancias entre la versión en inglés y la versión traducida, se entiende que prevalece la versión en inglés. Visita esta página para obtener más información.

Crea una propuesta

Nivel 3 - Regla del cuadro de mando del Servicio Gestión de vulnerabilidades

La Gestión proactiva de vulnerabilidades es esencial para mantener sistemas de software seguros y resilientes. Esta regla del cuadro de mando mide la postura de seguridad de su organización al rastrear el porcentaje de entidades APM con vulnerabilidades detectadas, lo que le permite identificar, priorizar y remediar sistemáticamente los riesgos de seguridad antes de que se conviertan en incidentes.

Por qué es importante la Gestión de vulnerabilidades

Mitigación de riesgos: la detección temprana y la remediación de vulnerabilidades previenen violaciones de seguridad, pérdida de datos e interrupciones del servicio que pueden afectar significativamente su negocio.

Requisitos de cumplimiento: Muchos marcos regulatorios requieren prácticas sistemáticas de Gestión de vulnerabilidades, lo que hace que esta regla de cuadro de mando sea esencial para la demostración del cumplimiento.

Evitación de costos: La Gestión proactiva de vulnerabilidades es significativamente menos costosa que responder a incidentes de seguridad, violaciones o violaciones de cumplimiento.

Confianza del cliente: Las prácticas de seguridad demostrables generan confianza en los clientes y protegen la reputación de su organización en un mercado cada vez más consciente de la seguridad.

Seguridad de la cadena de suministro: las aplicaciones modernas dependen de numerosas bibliotecas y dependencias de terceros, lo que hace que el escaneo sistemático de vulnerabilidades sea fundamental para comprender toda su superficie de riesgo.

Cómo funciona esta regla

Esta regla evalúa el porcentaje de su entidad APM que detectaron vulnerabilidades empleando New Relic Security. La medición proporciona información valiosa sobre su postura de seguridad general y ayuda a priorizar los esfuerzos de reparación de seguridad.

Criterios de éxito: Porcentajes más bajos de entidades con vulnerabilidades indican una mejor higiene de seguridad y procesos de Gestión de vulnerabilidades más efectivos. El objetivo es minimizar el porcentaje de entidades vulnerables mediante la detección y remediación sistemática.

Definición de regla

Esta regla de puntaje mide la efectividad de la seguridad evaluando la presencia de vulnerabilidades en toda su cartera de aplicaciones.

Criterios de medición

Métrica evaluada: Porcentaje de entidades APM con vulnerabilidades detectadas Fuente de datos: New Relic Security escaneo de vulnerabilidades y detección Objetivo de éxito: Minimizar el porcentaje de entidades con vulnerabilidades no resueltas Alcance de la evaluación: Todas las entidades APM dentro de su entorno de monitoreo

Comprender la detección de vulnerabilidades

Lo que identifica New Relic Security:

  • Vulnerabilidades conocidas en aplicación dependencia y biblioteca
  • Problemas de seguridad en paquetes y marcos de terceros
  • Coincidencias en la base de datos de vulnerabilidades y exposiciones comunes (CVE)
  • Riesgos de seguridad de la cadena de suministro derivados de componentes de código abierto

Proceso de evaluación de vulnerabilidades:

  • Escaneo continuo de componentes y dependencias de la aplicación.
  • Identificación en tiempo real de vulnerabilidades recién descubiertas
  • Puntaje de gravedad y priorización de riesgos según estándares de la industria (CVSS)
  • Integración con fuentes de inteligencia de amenazas para obtener información de riesgo actualizada

El enfoque del nivel de maestría

Cultura de seguridad proactiva: En el Nivel 3, la organización pasa de respuestas de seguridad reactivas a una Gestión de vulnerabilidades proactiva integrada en flujos de trabajo de desarrollo.

Gestión sistemática de riesgos: este nivel enfatiza el monitoreo continuo, la detección automatizada y la priorización de los esfuerzos de remediación de seguridad.

Alineación del riesgo empresarial: las decisiones de seguridad se toman en función de la evaluación del impacto empresarial, equilibrando las mejoras de seguridad con la eficiencia operativa y la velocidad de desarrollo.

Capacidad organizacional: Las organizaciones de nivel de maestría establecieron procesos, herramientas y patrones de colaboración en equipo que permiten una gestión de vulnerabilidades sostenible a escala.

Estrategias de gestión de vulnerabilidades

Cuando su cuadro de mando muestra entidades con vulnerabilidades, estas estrategias lo ayudarán a establecer prácticas de seguridad integrales:

1. Establecer procesos de evaluación de vulnerabilidades

Descubrimiento e inventario de vulnerabilidades:

  • Configure un escaneo integral de vulnerabilidades en todas las entidades APM
  • Establezca cronogramas de escaneo regulares que se alineen con sus ciclos de desarrollo e implementación
  • Crear sistemas centralizados de inventario y seguimiento de vulnerabilidades
  • Implementar el descubrimiento automatizado de nuevas dependencias y componentes de terceros

Evaluación y priorización de riesgos:

  • Desarrollar criterios de puntaje de vulnerabilidades que consideren los puntajes CVSS, la explotabilidad y el impacto comercial.
  • Crear matrices de prioridades que equilibren el riesgo de seguridad con la criticidad del negocio
  • Establecer procedimientos de escalamiento claros para vulnerabilidades críticas y de alta gravedad.
  • Implementar procesos de aceptación de riesgos para vulnerabilidades de baja prioridad que no se puedan remediar de inmediato

2. Construir un flujo de trabajo de remediación efectivo

Colaboración entre equipos:

  • Establecer programas de campeones de seguridad dentro de los equipos de desarrollo
  • Crear canales de comunicación claros entre los equipos de seguridad, desarrollo y operaciones.
  • Implementar reuniones periódicas de revisión de seguridad e reportes del estado de las vulnerabilidades
  • Desarrollar modelos de responsabilidad compartida para la corrección de vulnerabilidades

Planeación y ejecución de la remediación:

  • Crear procedimientos de remediación estandarizados para diferentes tipos de vulnerabilidades
  • Establecer cronogramas y SLA para la corrección de vulnerabilidades según los niveles de gravedad.
  • Implementar procedimientos de prueba para garantizar que la remediación no introduzca nuevos problemas
  • Desarrollar planes de reversión para actividades de remediación que causen problemas

Gestión de la dependencia:

  • Implementar el escaneo automatizado de dependencia en la canalización de CI/CD
  • Establecer políticas para la aprobación de nuevas dependencias y bibliotecas de terceros
  • Crear procedimientos para evaluar y actualizar la dependencia existente
  • Implementar el seguimiento de la lista de materiales del software (SBOM) para la visibilidad de la cadena de suministro

3. Integrar la seguridad en los flujos de trabajo de desarrollo

Prácticas de seguridad de desplazamiento a la izquierda:

  • Integre el escaneo de vulnerabilidades en entornos de desarrollo y complemento IDE
  • Implementar ganchos previos a la confirmación que verifiquen la dependencia vulnerable conocida
  • Proporcionar capacitación a los desarrolladores sobre prácticas de codificación segura y concientización sobre vulnerabilidades.
  • Crear procedimientos de pruebas de seguridad que se ejecuten junto con las pruebas funcionales

Canal de integración CI/CD :

  • Agregue puertas de escaneo de vulnerabilidades a los canales de implementación
  • Implementar el bloqueo automatizado de despliegues con vulnerabilidades críticas
  • Crear procesos de exención para despliegues urgentes con aceptación de riesgos documentada
  • Establecer sistemas de notificación automatizados para vulnerabilidades recién descubiertas

Métrica de seguridad y reportes:

  • Implementar un panel que rastree el progreso de corrección de vulnerabilidades
  • Crear reportes de seguridad periódicos para las partes interesadas ejecutivas y técnicas
  • Establecer una métrica para medir la mejora de la seguridad a lo largo del tiempo
  • Emplee datos sobre vulnerabilidades para fundamentar decisiones de inversión en seguridad y asignación de recursos

4. Prácticas avanzadas de Gestión de vulnerabilidades

Integración de inteligencia de amenazas:

  • Integrar fuentes de inteligencia de amenazas externas con datos de vulnerabilidades
  • Implementar una evaluación de riesgos contextual basada en el panorama de amenazas actual
  • Crear sistemas de alerta para vulnerabilidades que estén siendo explotadas activamente
  • Establecer procedimientos de respuesta de emergencia ante vulnerabilidades de día cero

Automatización y orquestación:

  • Implementar corrección de vulnerabilidades automatizada para soluciones de bajo riesgo y bien entendidas
  • Cree pruebas y validaciones automatizadas para parches de seguridad
  • Establecer procedimientos de reversión automatizados para intentos de remediación fallidos
  • Emplee herramientas de orquestación para coordinar actualizaciones de seguridad complejas y de múltiples servicios

Mejora continua:

  • Realizar evaluaciones de seguridad periódicas y pruebas de penetración.
  • Implementar procesos de lecciones aprendidas para incidentes de seguridad y esfuerzos de remediación
  • Establecer métricas para medir la efectividad de los procesos de Gestión de vulnerabilidades
  • Crear bucle de retroalimentación entre Gestión de vulnerabilidades y prácticas de desarrollo

Guía de implementación

Estableciendo una Gestión integral de vulnerabilidades

  1. Configurar New Relic Security con políticas de escaneo adecuadas y cobertura en todas las entidades APM
  2. Establecer una línea base de mediciones del panorama actual de vulnerabilidades y la capacidad de remediación
  3. Crear Gestión de vulnerabilidades flujo de trabajo que se integre con los procesos de desarrollo y operaciones existentes.
  4. Implementar sistemas de seguimiento e reportes para monitorear el progreso y comunicar el estado a las partes interesadas.

Desarrollo de la capacidad organizacional

Estructura y roles del equipo:

  • Definir roles y responsabilidades claras para Gestión de vulnerabilidades en todos los equipos.
  • Establecer redes de campeones de seguridad dentro de los equipos de desarrollo
  • Crear procedimientos de escalamiento para vulnerabilidades críticas e incidentes de seguridad.
  • Implementar programas de capacitación multifuncional para la concientización sobre seguridad.

Estandarización de procesos:

  • Desarrollar procedimientos estandarizados para la evaluación de vulnerabilidades, priorización y remediación.
  • Cree plantillas y listas de verificación para actividades comunes de corrección de vulnerabilidades.
  • Establecer procedimientos de gestión de cambios para actualizaciones relacionadas con la seguridad
  • Implementar estándares de documentación para decisiones de seguridad y aceptación de riesgos.

Integración de herramientas:

  • Integrar herramientas de Gestión de vulnerabilidades con flujos de trabajo de desarrollo existentes
  • Establecer una sola fuente confiable para los datos de vulnerabilidades y el estado de remediación
  • Crear sistemas automatizados de reportes y notificaciones.
  • Implementar la integración entre herramientas de seguridad y sistemas de gestión de proyectos

Medición del éxito y la mejora continua

indicadores de rendimiento clave:

  • Es hora de detectar las vulnerabilidades recién descubiertas
  • Tiempo medio de remediación para diferentes niveles de gravedad de vulnerabilidades
  • Porcentaje de entidades con vulnerabilidades no resueltas a lo largo del tiempo
  • Número de incidentes de seguridad relacionados con vulnerabilidades sin parchear

Evaluación y mejora periódica:

  • Realizar revisiones trimestrales de la efectividad de Gestión de vulnerabilidades
  • Implementar la recopilación de comentarios de los equipos de desarrollo sobre los procesos de seguridad
  • Actualizar periódicamente los procedimientos en función de las nuevas amenazas y las lecciones aprendidas
  • Establecer una evaluación comparativa con los estándares y las mejores prácticas de la industria

Consideraciones importantes

Priorización basada en riesgos: no todas las vulnerabilidades requieren una solución inmediata. Desarrollar un marco de evaluación de riesgos que considere la gravedad de las vulnerabilidades, la criticidad de los activos, la explotabilidad y el impacto en el negocio para tomar decisiones de priorización informadas.

Gestión de falsos positivos: los escáneres de vulnerabilidades pueden generar falsos positivos. Establecer procesos para validar vulnerabilidades y gestionar la precisión de los escáneres para evitar desperdiciar recursos en riesgos inexistentes.

Equilibrio de continuidad empresarial: las mejoras de seguridad deben equilibrar con las operaciones comerciales y la velocidad de desarrollo. Establecer políticas claras sobre cuándo las preocupaciones de seguridad prevalecen sobre las consideraciones operativas y viceversa.

Complejidad de la gestión de dependencias: las aplicaciones modernas tienen árboles de dependencia complejos. Considere el impacto total de las actualizaciones de dependencia, incluidos posibles cambios importantes y problemas de compatibilidad.

Requisitos de cumplimiento: Diferentes industrias tienen distintos requisitos de Gestión de vulnerabilidades. Cerciorar de que sus procesos cumplan con los estándares regulatorios y de cumplimiento aplicables para su organización.

Desafíos y soluciones comunes

Restricciones de recursos: abordarlas implementando la priorización basada en riesgos, la automatización de tareas rutinarias y la integración con el flujo de trabajo existente para maximizar la eficiencia.

Coordinación entre equipos: resolver mediante una definición clara de roles, comunicación regular, herramientas y panel de control compartidos y el establecimiento de defensores de la seguridad dentro de los equipos de desarrollo.

Exceso de alertas: Gestionar implementando filtrado inteligente, algoritmos de priorización y resolución automatizada para vulnerabilidades de bajo riesgo.

Deuda técnica: abordarla incorporando mejoras de seguridad en los ciclos de mantenimiento regulares y en iniciativas de reducción de la deuda técnica.

Próximos pasos

Luego de implementar esta regla del cuadro de mando:

  1. Completar el frameworkExcelencia en Ingeniería garantizando que se implementen las reglas de utilización de CPU, utilización de memoria y seguimiento de cambios.
  2. Explorar prácticas de seguridad complementarias a través de la optimización del rastreo de errores para identificar errores relacionados con la seguridad
  3. Implemente un monitoreo de seguridad avanzado explorando capacidades adicionales de New Relic Security para una detección integral de amenazas
  4. Considere el frameworkde madurez de observabilidadmás amplio para la mejora holística en todo el dominio de observabilidad
Copyright © 2025 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.