El punto de partida
La compañía no partía de cero: había escaneos, había informes y había buena voluntad. Lo que no había era un proceso. Los análisis se lanzaban de forma irregular, los resultados llegaban como listados de cientos de hallazgos ordenados por criticidad técnica — sin distinguir un servidor expuesto a internet de una máquina de pruebas aislada — y la resolución dependía de que algún equipo interno encontrara hueco entre sus prioridades. El resultado era conocido: vulnerabilidades críticas que cumplían meses abiertas y nadie capaz de decir cuántas, ni desde cuándo, ni de quién eran.
En un negocio financiero eso no es solo un problema técnico: es un riesgo que reguladores, auditores y clientes institucionales preguntan por escrito. La compañía necesitaba pasar de escanear de vez en cuando a gestionar de forma continua — con plazos, dueños y métricas que se pudieran enseñar.
Cómo lo abordamos
- Inventario y línea base — antes de escanear mejor, saber qué se escanea: inventario de infraestructura y aplicaciones, identificación de los activos expuestos a internet y de los que sostienen procesos de negocio críticos, y una primera foto completa del estado real. Esa línea base marcó los SLAs de remediación por severidad que gobiernan el programa desde entonces.
- Escaneo recurrente de infraestructura y aplicaciones — ciclos mensuales sobre todo el parque, con frecuencia reforzada en el perímetro expuesto y análisis adicionales tras cambios relevantes. Sin fotos anuales: el parque cambia cada semana y las vulnerabilidades se publican cada día.
- Priorización por riesgo real, no por CVSS a secas — cada hallazgo se pondera con tres lentes: criticidad técnica, exposición (¿se llega desde internet? ¿desde dónde?) y contexto de negocio (¿qué proceso sostiene ese activo?). Una crítica en una máquina aislada puede esperar; una media en el perímetro del negocio, no. Esa lista corta y ordenada es la que se trabaja — no un listado de cientos de entradas que nadie lee.
- Resolución coordinada con equipos internos y proveedores — cada vulnerabilidad priorizada sale con dueño, plazo según SLA y el detalle técnico que quien parchea necesita. Nosotros coordinamos: perseguimos vencimientos, escalamos bloqueos, documentamos mitigaciones compensatorias cuando el parche no es viable y verificamos cada cierre en el ciclo siguiente.
- Comité mensual con métricas que dirección entiende — cada mes, un comité de seguimiento con las cifras que importan: tiempo de exposición por severidad, cumplimiento de SLAs, antigüedad del backlog y riesgos aceptados pendientes de revisión. En lenguaje de negocio, con decisiones encima de la mesa — no un anexo técnico que nadie abre.
- Mejora continua del propio programa — los SLAs se revisan con los datos de cada ejercicio, los falsos positivos alimentan el ajuste de los escaneos y las lecciones de cada ciclo — qué proveedor va lento, qué plataforma concentra hallazgos — se convierten en acciones preventivas. El programa del tercer año detecta mejor y molesta menos que el del primero.
Resultados
≈ 0
vulnerabilidades críticas abiertas más de 30 días: de meses de exposición a prácticamente cero
3 años
de programa continuo con los SLAs de remediación cumplidos
12/12
comités anuales de seguimiento celebrados: gobierno estable, no proyecto puntual
El cambio más visible está en la métrica que de verdad protege: el tiempo de exposición. Las vulnerabilidades críticas que antes cumplían meses abiertas hoy se resuelven dentro de SLA, y las que superan los 30 días son casos contados, cada uno con su mitigación compensatoria documentada y su fecha de revisión. Cuando un auditor o un cliente institucional pregunta, la respuesta ya no se improvisa: se imprime.
El cambio menos visible es cultural. Tres años y doce comités anuales después, la gestión de vulnerabilidades ha dejado de ser un proyecto con principio y fin para ser parte del gobierno de la compañía: dirección conoce sus cifras, los equipos conocen sus plazos y el programa sobrevive a vacaciones, picos de trabajo y cambios de personal — que es exactamente lo que un proceso debe hacer.
Claves del caso
- La gestión de vulnerabilidades es un proceso continuo, no un escaneo anual: el parque cambia cada semana y las vulnerabilidades se publican cada día.
- Sin implicar a quienes resuelven — equipos internos y proveedores —, el informe muere en una bandeja de entrada. La coordinación es la mitad del servicio.
- La métrica que protege es el tiempo de exposición, no el número de hallazgos: mil vulnerabilidades cerradas en días asustan menos que diez críticas abiertas seis meses.
Preguntas frecuentes
¿Qué diferencia hay entre un escaneo de vulnerabilidades y un programa de gestión?
Un escaneo es una foto: lista lo que hay en un momento dado y muere en un PDF. Un programa de gestión es un proceso continuo con dueños, plazos y gobierno: escaneo recurrente, priorización por riesgo real, resolución coordinada con quien tiene que ejecutarla, verificación de que lo corregido está corregido y métricas que evolucionan mes a mes. La diferencia práctica es simple: el escaneo dice cuántos problemas tienes; el programa hace que cada mes tengas menos y que los peores duren menos tiempo abiertos.
¿Cada cuánto se escanea y quién resuelve las vulnerabilidades?
El escaneo es recurrente — mensual como base, con ciclos más frecuentes sobre los activos expuestos a internet y análisis adicionales tras cambios relevantes — y cubre infraestructura y aplicaciones. La resolución la ejecutan quienes conocen cada sistema: los equipos internos del cliente y sus proveedores. Nuestro papel es que eso ocurra: priorizamos, asignamos con plazos pactados según severidad, damos el detalle técnico que el que parchea necesita, perseguimos los vencimientos y verificamos el cierre. Sin esa coordinación, el informe más brillante no arregla nada.
¿Qué métricas se reportan a dirección?
Las que miden exposición, no actividad: tiempo medio de resolución por severidad, cumplimiento de los SLAs de remediación, antigüedad del backlog y evolución de las vulnerabilidades críticas abiertas — en especial las que superan los 30 días, que es donde vive el riesgo real. En el comité mensual esas métricas se presentan en lenguaje de negocio: qué riesgo se ha eliminado, qué queda abierto y por qué, y qué decisiones necesitan a dirección. Un directivo no necesita saber cuántos CVEs hay: necesita saber cuánto tiempo está expuesta su compañía.
¿Qué pasa con las vulnerabilidades que no se pueden parchear?
Se tratan, no se ignoran. Cuando el parche no existe, rompe una aplicación o depende de un proveedor que no llega, se aplican mitigaciones compensatorias — segmentación, reglas de filtrado, endurecimiento de configuración, monitorización reforzada — que reducen la explotabilidad aunque la vulnerabilidad siga ahí. Y si el riesgo residual se asume, se asume por escrito: quién lo acepta, por qué, hasta cuándo y con qué condiciones de revisión. Un riesgo aceptado y documentado es una decisión de negocio; uno ignorado es una sorpresa esperando fecha.
Servicios relacionados
¿Cuánto tiempo llevan abiertas tus críticas?
Si no puedes responder con un número, tu escaneo no es un programa. Montamos gestión de vulnerabilidades continua con priorización por riesgo, resolución coordinada y métricas que dirección — y el auditor — entienden.