Cerca del 48% de las organizaciones a nivel mundial han adoptado evaluaciones estratégicas de vulnerabilidad, informó Luis Isselin, director general de Tenable México, tras señalar que solo el 5% de las organizaciones están logrando una visibilidad casi continua para saber en dónde un activo está protegido o expuesto y en qué medida.
En conferencia de prensa el directivo dijo que cada vez es más difícil gestionar las vulnerabilidades y el problema es que las organizaciones no las están atendiendo a tiempo, como lo acontecido con WannaCry. “Las organizaciones no están haciendo evaluaciones de manera frecuente, en promedio las organizaciones evalúan vulnerabilidades cada tres meses, esto ya no responde al contexto de las amenazas actuales. Desgraciadamente muchas organizaciones se van al mínimo obligado por una norma de cumplimiento; necesitamos que haya un mayor nivel de madurez al momento de evaluar”, insistió.
Luis Isselin citó un estudio de Tenable Research, el cual hace un análisis sobre el comportamiento en el tiempo de un ataque, donde se identifican tres movimientos: “lo que dispara la carrera contra el tiempo es cuando el fabricante revela una vulnerabilidad, entonces en el primer movimiento el atacante lo que obtiene es el exploit, es el arma que va a permitir atacar la vulnerabilidad, mientras que el defensor debe cuestionarse si se encuentra en dicha situación. En el segundo movimiento, el atacante define cuáles son esos objetivos que quiere atacar, mientras que la visión de la organización debe ser priorizar, qué es lo primero que tiene que resolver; y finalmente en el tercer movimiento, el atacante perpetra el ataque y el defensor elimina el riesgo.
Destacó que los atacantes generalmente tienen una ventana de oportunidad promedio de siete días para explotar una vulnerabilidad conocida, antes de que los defensores incluso hayan determinado que son vulnerables. La brecha resultante de siete días está directamente relacionada con la forma en que las empresas realizan evaluaciones de vulnerabilidad: cuanto más estratégico y maduro sea el enfoque, menor será la brecha y menor será el riesgo para el negocio.
Luis Isselin dijo que existen cuatro categorías distintas para la evaluación de vulnerabilidades, de acuerdo con un estudio de Tenable Research:
- El Minimalista ejecuta evaluaciones mínimas de vulnerabilidad, como lo exigen las regulaciones de cumplimiento. El 33% de las organizaciones entran en esta categoría, ejecutando evaluaciones limitadas, solo sobre activos específicos. Esto representa una gran cantidad de empresas que están expuestas al riesgo y que aún tienen algo de trabajo por hacer, con decisiones críticas sobre cuales KPIs deben mejorar primero.
- El Explorador realiza frecuentes evaluaciones de vulnerabilidad de amplio alcance, pero con poca autenticación y personalización de las plantillas de escaneo. El 19% de las organizaciones siguen el estilo de Inspector, colocándolas en una madurez baja a media.
- El Investigativo ejecuta evaluaciones de vulnerabilidad con un alto nivel de madurez, pero solo evalúa los activos selectos. El 43% sigue el estilo Investigativo, lo que indica una estrategia sólida basada en una buena cadencia de escaneo, plantillas de escaneo enfocadas, amplia autenticación de activos y priorización. Tomando en cuenta los desafíos involucrados en la gestión de vulnerabilidades, asegurar la aceptación de la administración, cooperar con unidades de negocios dispares como operaciones de TI, mantener el personal y las habilidades, y las complejidades de escala, este es un gran logro y proporciona una base sólida sobre la cual se puede fortalecer la madurez.
- El Diligente representa el nivel más alto de madurez, logrando una visibilidad casi continua para saber en dónde un activo está protegido o expuesto y en qué medida, a través de una alta frecuencia de evaluación. Solo el 5% de las organizaciones se incluyen en esta categoría, mostrando cobertura completa de activos, evaluaciones y escaneos personalizados según lo requiera el caso.
En todos los niveles de madurez, las organizaciones se benefician al tomar decisiones estratégicas y emplear tácticas más maduras como escaneos frecuentes y autenticados para mejorar la eficacia de los programas de evaluación de vulnerabilidad.
“Cuando venga el siguiente WinnaCry a quienes les afectará será a aquellas empresas que tengan un nivel de madurez bajo. Para lograr un nivel de madurez alto se requiere de procesos, recursos humanos y herramientas”, finalizó Luis Isselin.