Una práctica madura de gestión de vulnerabilidades basada en el riesgo requiere de dos métricas esenciales para anticiparse a conocer el riesgo y remediarlo con tiempo suficiente, destacó Tenable.
La primera de ellas es la reducción del riesgo del sistema empresarial para comprender qué activos son más críticos para su organización y qué vulnerabilidades en esos activos presentan la mayor probabilidad de ser explotados.
La segunda es el riesgo de integridad del proceso que se refiere a la exposición que enfrenta su organización debido a procedimientos inadecuados de gestión de vulnerabilidades. Esta métrica ayudará a responder preguntas como:
¿Qué procesos críticos (por ejemplo, frecuencia y profundidad de escaneo) deben mejorarse?
¿Qué nuevos procesos / directivas debemos emprender?
¿Cómo se comparan sus procesos con otros en su industria?
¿La organización está optimizando sus esfuerzos de evaluación por unidad de negocio, geografía y grupos de activos?
Reducir el riesgo de integridad del proceso implica el comprender la efectividad de la remediación y la madurez de la evaluación, una medida que cuantifica y compara qué tan bien está evaluando la organización su entorno en busca de vulnerabilidades.
Desafortunadamente, muchas organizaciones no adoptan un enfoque maduro para la integridad del proceso.
En su informe de Estrategias de Defensa Cibernética, Tenable Research descubrió que el 52% de las organizaciones tienen un nivel de madurez bajo a medio en lo que respecta a su evaluación de vulnerabilidades. Asimismo, si estos procesos de evaluación de vulnerabilidades carecen de frecuencia e integridad la organización podría estar en un gran riesgo.
De acuerdo con Luis Isselin, director general de Tenable México, medir la profundidad y la frecuencia de las evaluaciones sobre toda la superficie de ataque es de vital importancia, la profundidad nos permite realmente entender el estado de los activos y su probabilidad de sufrir un ataque basado en el contexto real y vigente de las amenazas. De igual manera, hacerlo de manera frecuente permite anticiparnos a conocer el riesgo y poder remediarlo con tiempo suficiente.
Agregó: “de poco sirve evaluar 1, 2 ó 4 veces al año. Por lo anterior es importante contar con herramientas como Tenable Lumin que ayude a las organizaciones digitales a traducir datos técnicos en información de negocio, aprovechando el poder del aprendizaje automático y la ciencia de datos para proporcionar una visión más integral de la exposición cibernética”.
