Luis Fornelli, Country Manager de Tenable en México, hizo un llamado a los responsables de la ciberseguridad para crear un programa de gestión de vulnerabilidades basado en el riesgo en sus organizaciones, con el cual lograrán comunicar más efectivamente su nivel de exposición y reducirlo hasta en un 97%, según estimaciones.
El directivo enfatizó que con la gestión de vulnerabilidades tradicional, el número de vulnerabilidades detectadas suele ser tan grande que resulta difícil mantenerse al día con todas ellas y es complicado saber cuáles son las que representan el mayor riesgo. De tal manera que evolucionar a una gestión de vulnerabilidades basada en el riesgo, ayuda a priorizar efectivamente las amenazas críticas en una empresa.
De acuerdo con el informe Retrospectiva del panorama de las amenazas en 2020 realizado por Tenable, de 2015 a 2020 el número de vulnerabilidades y exposiciones comunes (CVE) reportadas aumentó a una tasa de crecimiento porcentual anual del 36.6%.
Los 18,358 CVE registrados en 2020 representan un aumento del 6% con respecto a los 17,305 de 2019 y un 183% de aumento sobre los 6,487 revelados en 2015. Para el profesional de seguridad, priorizar cuál de estas vulnerabilidades merece su atención es más desafiante que nunca, y no todas las vulnerabilidades son iguales.
Luis Fornelli destacó que de enero a octubre de 2020, como indica este mismo informe de Tenable, fueron identificados 730 eventos divulgados públicamente que dieron como resultado más de 22 mil millones de registros expuestos, sin mencionar el daño incalculable a la reputación y la confianza. Además, más del 35% de las brechas de seguridad estuvieron vinculadas a ataques de ransomware, lo que genera un gran costo financiero.
Las prioridades que todo CSO debe considerar
A fin de enfrentar los nuevos desafíos de ciberseguridad que se avecinan en 2021, Luis Fornelli insistió que la gestión de vulnerabilidades basada en el riesgo es un proceso continuo que incluye la detección proactiva de activos, monitoreo continuo, la mitigación, la corrección y las tácticas de defensa que se necesitan para proteger la superficie de ataque moderna de TI de una organización contra la exposición cibernética (Cyber Exposure).
El directivo hizo hincapié en los 10 pasos claves que todo CISO debe seguir al momento de elaborar un programa de gestión devulnerabilidades basada en el riesgo:
- 1. Detectar las brechas en los procesos actuales de gestión de vulnerabilidades. Las empresas deben evaluar la madurez de su programa en el área de seguridad para garantizar que sus métricas de riesgo se basen en datos de suma credibilidad.
- 2. Identificar y mapear todos los activos críticos para el negocio, no solo los de la TI tradicional sino también entornos móviles y en la nube, tecnología operativa, contenedores y aplicaciones web.
- 3. Comprender todos los activos y vulnerabilidades dentro del contexto completo, incluyendo la criticidad de los activos afectados y una evaluación de la actividad actual y la probable actividad futura de los atacantes.
- 4. Evaluación continua de todos los activos conocidos y nuevos; se recomienda emplear una solución completa para priorizar cada vulnerabilidad en función del riesgo para el negocio, adoptar medidas de corrección adecuadas y medir los indicadores clave de rendimiento (KPI).
- 5. Adoptar una estrategia proactiva con respecto a la gestión de vulnerabilidades para enfocarse en el riesgo real para el negocio.
- 6. Usar el aprendizaje automático para unir de manera espontánea los datos de vulnerabilidades y la criticidad de los activos con inteligencia de amenazas y exploits.
- 7. Enfocarse en el 3% de las principales vulnerabilidades que representan el mayor riesgo para la organización con mayores posibilidades de ser explotadas en los próximos 28 días.
- 8. Corregir las vulnerabilidades que representan el mayor riesgo para una compañía.
- 9. Usar métricas basadas en el riesgo para determinar el nivel de eficiencia y eficacia del equipo de seguridad.
- 10. Utilizar el análisis de vulnerabilidades basado en el riesgo y otros informes de inteligencia para comunicar de manera eficaz su postura en el área de seguridad a las principales partes interesadas.
Por último, Luis Fornelli concluyó que, con una solución de gestión de vulnerabilidades basada en el riesgo, una empresa obtiene una visibilidad completa hacia la superficie de ataque convergente, evaluación dinámica y continua, priorización automatizada basada en aprendizaje automático y tableros de control personalizados para comunicar el riesgo para los sistemas de negocios. Esto permitirá que los recursos de la empresa se concentren en los problemas más importantes a corregir para disminuir los riesgos de ciber seguridad de una manera altamente eficiente.