A.8.8 ISO 27002:2022
¿Existe un proceso formal de gestión de vulnerabilidades técnicas (no solo herramientas) que cubra: registro centralizado, clasificación de severidad, SLA de remediación, gestión de excepciones con riesgo aceptado, reevaluación periódica y reporting?
Acceder al sistema de tickets de vulnerabilidades de OmniControl. Verificar la presencia de los siguientes elementos del proceso: (1) registro centralizado con todas las vulnerabilidades de SAST, SCA, DAST, pentest y reportes externos; (2) campos obligatorios de severidad CVSS, fecha de detección y SLA esperado; (3) flujo de excepciones con responsable y fecha de reevaluación; (4) métricas de aging y cumplimiento de SLA; (5) reporting periódico al Comité SGSI.
Captura del sistema de tickets con métricas de aging y cumplimiento. Política de gestión de vulnerabilidades con SLA por severidad. Excepciones documentadas. Si las vulnerabilidades viven en GitHub Issues sin SLA, sin proceso de excepciones y sin reporting, constituye no conformidad — la herramienta existe pero el proceso no.
H-01 verifica si el pipeline tiene gates SAST/SCA. V-05 verifica algo distinto y complementario: si OmniControl opera la gestión de vulnerabilidades como un PROCESO con disciplina (registro, SLA, excepciones, reporting). Sin proceso, las herramientas se vuelven ruido sin acción — Dependabot emite alertas pero nadie las cierra dentro de SLA porque no hay SLA definido.
- 01¿Existe un sistema centralizado de tickets de vulnerabilidades (no solo issues sueltos)?
- 02¿Hay política con SLA de remediación definido por severidad CVSS?
- 03¿El proceso de excepciones está formalizado con responsable y reevaluación?
- 04¿Se generan reportes periódicos para Comité SGSI o Gerencia?
- 05¿El aging de vulnerabilidades abiertas está bajo control (no hay tickets de >180 días sin justificación)?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.