Actualización de Software

1 Objeto

Garantizar la seguridad, estabilidad y continuidad de los sistemas y aplicaciones de la empresa mediante la aplicación controlada de actualizaciones y parches de software. Esto minimiza riesgos de seguridad, mejora el desempeño y asegura el cumplimiento normativo.

2 Alcance

Este procedimiento alcanza a todos los Activos de IT según lo definido en este mismo documento:

Sistemas operativos.
Software en Endpoints.
Software en Servidores (on-premise y en la nube).
Aplicaciones empresariales (ERP, CRM, software propio y de terceros).
Equipos de usuario final (PCs, móviles).
Software de ciberseguridad (firewalls, antivirus, SIEM, IDS/IPS).
Librerías y otras dependencias.
Firmware de dispositivos.

3 Definiciones

Activos de IT: Elementos de la arquitectura IT que contienen software susceptibles de ser actualizado, como por ejemplo:

Sistemas operativos.

Software en Endpoints.

Software en Servidores (on-premise y en la nube).

Aplicaciones empresariales (ERP, CRM, software propio y de terceros).

Equipos de usuario final (PCs, móviles).

Software de ciberseguridad (firewalls, antivirus, SIEM, IDS/IPS).

Librerías y otras dependencias.

Firmware de dispositivos.
Actualización/Parche de seguridad: Código que corrige vulnerabilidades o errores en software.
Actualización crítica: Corrección de seguridad de alto impacto que debe implementarse de inmediato.
Zero-day: Vulnerabilidad explotable sin parche disponible.
Gestión de configuración: Control de versiones y cambios en sistemas para asegurar estabilidad.
Hardening: Configuración segura para minimizar riesgos de explotación.

4 Responsabilidades

Tarea	Responsabilidades
Tarea	R	A	S	C	I
Validar el cumplimiento de las políticas y planes de actualización	CISO	Responsable del SGSI
Aprobar las políticas y planes de actualización	CTO	CISO			Responsable del SGSI
Monitorizar las vulnerabilidades de la arquitectura TIC	CISO	Responsable del SGSI			CTO
Aplicar las actualizaciones o parches en los distintos elementos de la arquitectura TIC	CTO	CISO			Responsable del SGSI
Gestionar las actualizaciones en software propio y pruebas	CTO	CISO	Personal de IT		Responsable del SGSI
Aplicar las actualizaciones requeridas en sus dispositivos personales	Usuario de dispositivos BYOD	CISO			Responsable del SGSI

5 Desarrollo

5.1 Control de Actualizaciones en dispositivos End Point

Se utiliza la actualización automática cuando esté disponible y sea apropiada. Cuando sea apropiado y esté disponible, se llevará a cabo el seguimiento automático de las actualizaciones en los dispositivos de punto final, con alertas y reportes automáticos de aquellos que no cumplan con los requisitos.

Si se encuentra que un dispositivo o activo no cumple con los requisitos, se toman medidas correctivas que en cada caso sean de aplicación.

5.2 Identificación de nuevas vulnerabilidades, parches y actualizaciones

La identificación de las nuevas vulnerabilidades y/o parches se podrá realizar:

mediante consulta o suscripción a diferentes boletines de seguridad, tales como:
- Microsoft Security Response Center,
- Linux Security Advisories,
- Apple Security Updates,
- Bases de datos de vulnerabilidades (CVE, NVD, MITRE),
a través de herramientas de escaneo, tales como:
- Nessus / OpenVAS (Análisis de vulnerabilidades en infraestructura),
- GitHub Dependabot / Snyk (Análisis de código fuente),
- WSUS, SCCM (Gestión de parches en Windows).

5.3 Severidad de los parches y plazos de implantación

Cualquier vulnerabilidad se evaluará según la puntuación CVSS y se parcheará de acuerdo con el siguiente plazo.

Puntuación CVSS	Descripción	Plazo de implementación
Puntuación ≥9	Considerándose de alta gravedad o críticas. La explotación de dichas vulnerabilidades podría dar lugar a consecuencias graves, incluyendo violaciones de datos, interrupciones del servicio y daños financieros y reputacionales sustanciales.	Inmediatamente. No más tarde de 14 días.
9 > Puntuación ≥ 8	Consideradas de moderada a alta gravedad. Estas vulnerabilidades aún pueden representar riesgos significativos, pero generalmente son menos críticas. La explotación de dichas vulnerabilidades puede conducir a accesos no autorizados, exposición de datos o interrupciones del servicio, pero el impacto suele ser menos grave o probable que sea explotado.	Inmediatamente. No más tarde de 30 días.
Puntuación <8	Consideradas de moderada a baja gravedad. Estas vulnerabilidades aún pueden representar riesgos, pero generalmente son menos críticas y menos propensas a ser explotadas que las vulnerabilidades de puntuación más alta. La explotación de dichas vulnerabilidades puede llevar a algún acceso no autorizado, exposición de datos o interrupciones menores del servicio, pero el impacto suele ser limitado. Si bien estas vulnerabilidades deben abordarse para mantener la seguridad, no requieren una solución inmediata y a menudo se pueden gestionar a través de ciclos regulares de actualización y parcheo.	En evaluación. No más tarde que las actualizaciones o mantenimiento periódicos.

5.4 Aplicación del parche o actualización

Previo a la aplicación del parche o actualización se avisará a los usuarios y/o equipos afectados y partes interesadas.

En el caso de actualización o parches en los sistemas críticos, se hará un respaldo antes de aplicar los cambios, y se validará primero en el entorno de preproducción apropiado.

Una vez llevado a cabo estas medidas, se aplicará la actualización o aplicación del parche, según se haya planificado.

5.5 Monitorización y validación post-implementación

Una vez aplicado el parche y/o actualización, se llevará a cabo una monitorización para comprobar su correcta aplicación. Este monitorización se llevará a cabo aplicando las siguientes medidas:

Verificar logs de errores o caídas inesperadas.
Comparar métricas de rendimiento antes y después del parche.
Analizar registros en SIEM para detectar anomalías.

5.6 Sanciones

El incumplimiento de esta política podrá dar lugar a medidas disciplinarias, incluyendo la terminación del contrato, según la gravedad de la infracción.

6 Anexos

N/A

7 Formatos

ref2 Referencia a Formato.

8 Registros

ref3 Referencia a Registro.

9 Documentos Relacionados

ref4 Referencia a Documento.

10 Referencias Normativas

ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.

Metadatos

Identificación
Documento	Actualización de Software
Clasificación	Uso Interno
Propietario/a	Carlos Alberto Rodríguez Lago CISO \| crodriguez@cysmanagement.com
Información de la Revisión
Revisión	v1.0
Fecha y hora	13/01/2026 15:00:32
Estado	Borrador
Hash (SHA-256)	946d86a6a45da5484e0985383c851686796e6d4d2f15ff888c8d50313ecc060c
Hash versión previa (SHA-256)	N/A
Autor/a/es	Carlos Alberto Rodríguez Lago CISO \| crodriguez@cysmanagement.com
Información de la Verificación
Verificador/a/es	Corina Junquera Sánchez-Vallejo Person Responsible for Regulatory Compliance (PRRC) \| corina@sincrolab.es
Información de la Aprobación
Aprobado por	Ignacio de Ramón Burgos CEO \| nacho@sincrolab.es
Vigencia	21/01/2026 00:00:00 - No Indicado
Firma Aprobación	1defba806465d2055b4b74a5cf1ab9bf4075f8b692a3defbd046d8b5d50f720a

1 Objeto​

2 Alcance​

3 Definiciones​

4 Responsabilidades​

5 Desarrollo​

5.1 Control de Actualizaciones en dispositivos End Point​

5.2 Identificación de nuevas vulnerabilidades, parches y actualizaciones​

5.3 Severidad de los parches y plazos de implantación​

5.4 Aplicación del parche o actualización​

5.5 Monitorización y validación post-implementación​

5.6 Sanciones​

6 Anexos​

7 Formatos​

8 Registros​

9 Documentos Relacionados​

10 Referencias Normativas​