Propuesta de un plan de gestión de vulnerabilidades de red para el departamento de IT Operations and Compliance de Symbiotic

Abstract

Este documento presenta la concepción y ejecución de un Plan de Gestión de Vulnerabilidades de Red, con el objetivo de establecer un marco de trabajo que abarque todas las fases del ciclo de vida de dicha gestión. El propósito central es estandarizar los procesos relacionados con la gestión de Vulnerabilidades de Red, alineándolos con las buenas prácticas de la industria, lo cual resulta esencial para salvaguardar activos críticos y datos sensibles manejados por Symbiotic. El Capítulo I identifica la problemática en el departamento de IT Operations and Compliance, asociada con una gestión ineficiente de las vulnerabilidades de red. Se evidencian incumplimientos de estándares internacionales, dificultades en la comunicación entre equipos de seguridad y TI, y la falta de procedimientos claros para identificar y clasificar vulnerabilidades. El Capítulo II establece las bases teóricas necesarias. La metodología adoptada, explicada en el Capítulo III, es cualitativa con un alcance explicativo y un diseño de investigación-acción. El Capítulo V presenta la solución, centrada en la implementación de un marco de trabajo basado en la metodología de BPM. Este enfoque busca estandarizar eficientemente las fases de detección, categorización, priorización, mitigación, evaluación y comunicación de vulnerabilidades de red, garantizando la adherencia a estándares internacionales. Además, se propone una estrategia de implementación que aborda aspectos completados, asigna responsabilidades y establece un cronograma. Se incluye un plan de comunicación y la definición de métricas de control para monitorear y evaluar la efectividad del plan. En resumen, el documento propone una solución integral que no solo aborda las problemáticas identificadas, sino que también establece un camino claro para la implementación exitosa del plan de gestión de vulnerabilidades de red en Symbiotic.

This document introduces the conception and implementation of a Network Vulnerability Management Plan, aiming to establish a framework that encompasses all phases of its life cycle. The primary objective is to standardize processes related to Network Vulnerability Management, aligning them with industry best practices, which is essential for safeguarding critical assets and sensitive data handled by Symbiotic. Chapter I identifies the issues within the IT Operations and Compliance department, linked to inefficient management of network vulnerabilities. There are observed breaches of international standards, communication challenges between security and IT teams, and a lack of clear procedures for identifying and classifying vulnerabilities. Chapter II lays down the necessary theoretical foundations. The adopted methodology, explained in Chapter III, is qualitative with an explanatory scope and an action research design. Chapter V presents the solution, focusing on implementing a framework based on the BPM methodology. This approach aims to efficiently standardize the phases of detection, categorization, prioritization, mitigation, evaluation, and communication of network vulnerabilities, ensuring adherence to international standards. Furthermore, a implementation strategy is proposed in Chapter V, addressing completed aspects, assigning responsibilities, and establishing a timeline. This includes a communication plan and the definition of control metrics to monitor and evaluate the plan's effectiveness. In summary, the document proposes a comprehensive solution that not only addresses identified issues but also establishes a clear path for the successful implementation of the network vulnerability management plan at Symbiotic.