Identificação de vulnerabilidades


O processo deve ser iniciado com a avaliação dos resultados das ferramentas e testes utilizados para levantamento de dados.

 

Verificação da vulnerabilidade


Depois de ter sido identificada, a vulnerabilidade deve passar por um processo de análise, identificação de possíveis cenários de exploração, seus impactos e sua criticidade, criando uma lista para organizar as correções.

 

Priorização


Avalie quais vulnerabilidades serão corrigidas ou mitigadas primeiro com base em sua criticidade.

 

 

 

 

Score

 

Pontuação CVSS

 

Muito Baixo

 

0

 

Baixo

 

0,1 a 3,9

 

Médio

 

4,0 a 6,9

 

Alto

 

7,0 a 8,9

 

Muito Alto

 

9,0 a 10,0

 

Mitigação de Vulnerabilidades


Na etapa de mitigação as equipes responsáveis pelos ativos analisados devem identificar a melhor forma de tratar os problemas reportados levando em consideração o nível de risco ou score atrelado a cada uma das vulnerabilidades.

 

Deve ser identificado um tratamento para cada uma das vulnerabilidades encontradas, que pode ser:

  • Evitar o risco – os controles recomendados foram implementados e o risco mitigado.
  • Modificar o risco – os controles implementados diminuem o nível de risco;
  • Aceitar o risco – na impossibilidade de implementar ações para corrigir a vulnerabilidade, o risco deve ser aceito formalmente pelo responsável do ativo;

 

Notificação de Vulnerabilidades


No caso de não mitigação de uma vulnerabilidade dentro do prazo, deve-se notificar os responsável de acordo com a tabela abaixo.

 

 

Score

Nível   de Risco

 

Prazo de correção

 

Notificar

 

Prazo de correção

 

Notificar

 

Prazo de correção

 

Notificar

 

Muito Alto

 

5 dias

 

 

 

 

Responsável  pelo ativo

 

15 dias

 

 

 

 

 

Gerente

 

30 dias

 

 

 

 

 

Diretor

 

Alto

 

15 dias

 

30 dias

 

60 dias

 

Médio

 

30 dias

 

60 dias

 

120 dias

 

Baixo

 

60 dias

 

120 dias

 

240 dias

 

Muito Baixo

 

120 dias

 

240 dias

 

360 dias