¿Qué exige este criterio?
Proceso continuo: (a) identificación (escaneos periódicos, suscripción a boletines de fabricantes, CVE feeds), (b) evaluación de impacto y exposición, (c) priorización con SLA por criticidad, (d) parcheado o mitigación, (e) verificación post-parcheo. SLA típico para vulnerabilidades críticas: 7-14 días para servicios cualificados.

¿Qué hay que revisar al cliente?

• Procedimiento de gestión de vulnerabilidades.
• Herramientas de escaneo (Nessus, Qualys, etc.) y su frecuencia.
• Suscripciones a boletines (CISA, INCIBE, fabricantes).
• SLA de parcheo por criticidad.
• Métricas de tiempo medio de remediación (MTTR).
• Histórico de vulnerabilidades críticas en los últimos 6 meses.

Preguntas clave para las entrevistas

• ¿Cuál es vuestro SLA de parcheo para una CVE crítica?
• ¿Qué herramienta usáis para escanear el perímetro del servicio?
• ¿Cuál es el MTTR actual por criticidad?
• ¿Cuándo se hizo el último pentest del servicio?

¿Por qué es esencial para QERDS y TSA?
Las vulnerabilidades sin parchear son aprovechadas en horas o días tras su publicación. En servicios cualificados son riesgo crítico de compromiso. El SLA de parcheo es uno de los KPIs más auditados.

Evidencia que demostraría conformidad

• Procedimiento documentado.
• Informes de escaneos.
• SLA y métricas MTTR.
• Tickets de vulnerabilidades cerradas.