Cada vez más, la eficacia de los directores de seguridad de la información se medirá en relación a su capacidad para crear valor para el negocio. En este contexto, Tenable nos recomienda cinco iniciativas clave para conocer la madurez de un programa de seguridad que permitirá identificar dónde se necesitan mejoras imprescindibles para la empresa.
La capacidad de influencia de los departamentos de seguridad y riesgos de TI en los resultados del negocio será fundamental en los próximos años, donde la eficacia de los directores de seguridad de la información se medirá en relación a su capacidad para crear valor para el negocio.
Ante dicho panorama, los líderes de seguridad y gestión de riesgos tendrán que emprender acciones específicas para alinear mejor su desempeño con los retos del negocio.
1) Escaneo frecuente de los activos
Es el inicio y el cimiento hacia una madurez exitosa de una estrategia en ciberseguridad. De acuerdo con Tenable Research, una organización promedio escanea sus activos con una frecuencia aproximada de cuatro días. Un escaneo frecuente permite identificar nuevos riesgos y priorizar la remediación de vulnerabilidades mientras que entre más largo sea el ciclo de escaneo (tiempo entre escaneos), más tiempo permanecerán las vulnerabilidades. Es importante cuestionarse: ¿Qué grado de su entorno escanea periódicamente? ¿Cuánto tiempo pasa aproximadamente entre escaneos?
De tal modo, será de suma importancia realizar escaneos automatizados de rutina durante el programa de seguridad que ayudarán a reducir el riesgo cibernético, así como ejecutar escaneos continuos lo que permitirá obtener información casi en tiempo real sobre la superficie de ataque a medida que ésta evoluciona y cambia.
2) Evaluación de vulnerabilidades
Los diversos tipos de activos, incluyendo los activos tradicionales de TI, así como los transitorios, móviles, dinámicos y de tecnologías operativas, a menudo requieren diferentes tecnologías de evaluación. Los escaneos activos de evaluación son más adecuados para los activos de TI tradicionales. Sin embargo, la nube, las aplicaciones web, los contenedores y las tecnologías operativas (OT) requieren métodos de evaluación adicionales; por ejemplo, se debe utilizar el monitoreo pasivo para evaluar los activos de OT, tales como los PLC (Controlador Lógico Programable) y las RTU (Unidades de Telemetría Remotas). Los líderes de seguridad deben ampliar la evaluación para incluir todos los activos modernos para gestionar la superficie de ataque más eficientemente. Obtener una evaluación lo más profunda y amplia posible de un activo es un paso fundamental para poder saber dónde están los riesgos, qué activos/funciones empresariales se ven afectadas y qué hay que hacer para remediar y reducir el riesgo.
El escaneo con credenciales es un escaneo más preciso para identificar mejor las configuraciones débiles, los parches que faltan y otras vulnerabilidades similares, lo que a su vez refuerza aún más el programa de seguridad. Los escaneos con credenciales detectan un promedio de 45 veces más vulnerabilidades por activo que aquellos escaneos sin credenciales; sin embargo, casi el 60% de los activos empresariales se escanean sin credenciales locales, lo cual arroja falsos negativos, según un estudio de Tenable Research.
3) Resolver con rapidez las vulnerabilidades de alto riesgo
A fin de reducir el riesgo cibernético de la manera más eficiente y eficaz, es fundamental abordar con rapidez las vulnerabilidades que se han identificado como de alto riesgo en los activos que tienen una importancia alta o crítica para sus funciones de negocio. Según el Informe de inteligencia de vulnerabilidades 2021 de Tenable, en 2020 se identificaron más de 18,358 nuevas vulnerabilidades. Abordar todas las vulnerabilidades detectadas se vuelve una tarea titánica. Es por eso, que es necesario clasificar y priorizar el riesgo que supondría para la empresa. Una práctica de seguridad sólida requiere análisis dinámicos continuos, que evalúen los cambios en la criticidad de las vulnerabilidades, las amenazas y los activos a lo largo de toda la superficie de ataque.
4) Verificar y garantizar la seguridad en puntos de conexión de los activos
Los líderes de seguridad deben cuestionarse sobre qué porcentaje de activos cuentan con protección de puntos de conexión. Es vital conocer si los sistemas tienen instalados los programas de seguridad necesarios y si se tiene conocimiento sobre cualquier software no autorizado o altamente peligroso instalado en esos activos, además de vigilar y estar al pendiente de varios requisitos de cumplimiento y estándares de seguridad. El riesgo de no formular esta pregunta es sencillamente que no se sabe si los controles están en todos los lugares donde se espera que estén.
Una estrategia de seguridad exitosa comienza con una visibilidad completa y continua de su superficie de ataque que incluya servicios en la nube, Active Directory, tecnologías operativas, aplicaciones Web modernas y una fuerza de trabajo cada vez más remota. Según un estudio realizado por Forrester Consulting a encargado por Tenable, solo el 44% de los responsables de InfoSec afirmó que su organización tiene una buena visibilidad hacia la seguridad de sus activos más críticos.
5) Reducir el riesgo cibernético en las funciones clave del negocio
Los líderes empresariales buscan un panorama claro del riesgo al que se enfrentan en su organización y cómo mejora o empeora el mismo en la medida en que avanzan sus estrategias de negocios. El entender si el riesgo se está reduciendo en todas las funciones del negocio (equipos, geolocalizaciones, tipos de activos, etc.) y se alinea con las metas del negocio en general, muestra el valor y el retorno de inversión para el presupuesto otorgado al programa de seguridad.
A nivel táctico, los responsables de la corrección y la colocación de parches deben entender cómo sus esfuerzos están impulsando la dirección correcta para su función de negocio en particular, así como la forma en que sus iniciativas se comunican en la cadena de valor y de suministro hasta el ámbito ejecutivo. Mientras que, a nivel estratégico, la gestión del riesgo cibernético ayuda a tomar mejores decisiones sobre los aspectos en los que el programa de seguridad se desempeña mejor (y, por tanto, sobre cómo reproducirlo en otras áreas) y los aspectos en los que no funciona tan bien.
Asimismo, la comparación de sus métricas con los equipos internos y con los pares externos le permitirá identificar dónde se necesitan mejoras clave: por ejemplo, su departamento de contabilidad podría tener una cobertura de escaneo autenticado inadecuada; o su programa general podría no estar solucionando los problemas críticos con la suficiente rapidez en comparación con los competidores del sector.
Finalmente, Tenable reiteró que a través de estas cinco iniciativas los líderes de seguridad y gestión de riesgo podrán descubrir las debilidades en toda su superficie de ataque, además de unificar las metas de seguridad con los objetivos de negocio. Adicionalmente, esto les permitirá tomar decisiones más fundamentadas al abordar el riesgo e impulsar mejoras midiendo y comparando métricas de seguridad clave.