Explícame el ciclo de vida de la gestión de vulnerabilidades.
Respuesta breve
La gestión de vulnerabilidades es un ciclo continuo: descubrir activos y vulnerabilidades (escaneo, inventario de activos), priorizar por riesgo real (CVSS más explotabilidad, exposición y criticidad de los activos — marcos como EPSS y SSVC ayudan), remediar o mitigar, verificar la corrección e informar sobre tendencias y SLA. El escaneo es la parte fácil; la disciplina está en priorizar y cerrar el ciclo para que el riesgo realmente baje con el tiempo.
La gestión de vulnerabilidades no es «ejecutar Nessus». Es un programa continuo que mantiene un riesgo medible con tendencia a la baja, y los entrevistadores preguntan sobre ella para ver si entiendes que el escaneo es la parte trivial — priorizar y cerrar el ciclo es el trabajo.
El ciclo de vida
- Descubrir. No puedes proteger lo que no ves, así que empieza con un inventario de activos preciso. Luego, escaneos autenticados y no autenticados, comprobaciones de postura en la nube y análisis de composición de software sacan a la luz las vulnerabilidades a lo largo de ese inventario.
- Priorizar. Este es el paso difícil que aporta valor. La puntuación base CVSS en bruto es necesaria pero no suficiente — un 9,8 en una máquina interna aislada importa menos que un 7,5 en una aplicación valiosa expuesta a Internet con código de exploit público. Añade la explotabilidad (EPSS, CISA KEV), la exposición y la criticidad de los activos. Marcos de decisión como SSVC formalizan esto.
- Remediar o mitigar. Parchear donde puedas; donde no puedas, aplicar controles compensatorios — segmentación, reglas de WAF, deshabilitar una función — y rastrear el riesgo residual.
- Verificar. Reescanear o reprobar para confirmar que la corrección realmente se aplicó y no provocó una regresión. Un «lo parcheamos» sin seguimiento no es un cierre.
- Informar. Seguir métricas — tiempo medio de remediación, cumplimiento de SLA, número de críticas abiertas — para que la dirección vea el riesgo bajar y dote el programa en consecuencia.
Por qué domina la priorización
Un parque grande genera miles de hallazgos; solo una pequeña fracción es realistamente explotable. Tratar los CVSS 10 como la única prioridad desperdicia esfuerzo y a la vez pasa por alto el bug de gravedad media, activamente explotado y expuesto a Internet que realmente te lleva a una brecha.
Qué buscan los entrevistadores
Quieren escucharte hablar de priorización basada en el riesgo (no solo en la gravedad), apoyo en un inventario de activos, el paso de verificación que muchos equipos se saltan, y el manejo pragmático de las vulnerabilidades sin parche disponible.
Posibles preguntas de seguimiento
- ¿Por qué la puntuación base de CVSS por sí sola es una mala forma de priorizar el parcheo?
- ¿Cómo cambian EPSS o CISA KEV tu orden de remediación?
- ¿Qué haces con una vulnerabilidad crítica que no tiene parche disponible?