La gestión de vulnerabilidades IT es un proceso que ayuda a mitigar las debilidades de las aplicaciones y la red para crear un entorno más seguro y disminuir las incidencias de seguridad que sufre una organización.

Muchas organizaciones intentan priorizar estas vulnerabilidades basándose exclusivamente en las puntuaciones de CVSS (sistema común de puntuación de vulnerabilidades).

¡Pero este método ha demostrado ser ineficaz!

Sin duda, la gestión de vulnerabilidades es muy estresante ya que implica lo siguiente:

• El número de vulnerabilidades a atender es mucho mayor a número de equipos en nuestra infraestructura
• Una vulnerabilidad puede estar presente en diferentes tipos de equipos y diferentes soluciones, por lo que requerirá expertos con diferentes áreas de especialización (servidores, red, base de datos, seguridad, servidores web, balanceadores, virtualizadores, etc.)
• Todos los días son reportadas nuevas vulnerabilidades
• El personal no da para atender todas las vulnerabilidades
• Muchas veces la remediación no es clara y se desconoce si afectara o no a los aplicativos
• Demanda mucho tiempo

Lo que ha llevado a los equipos de seguridad a perder la mayor parte de su tiempo persiguiendo los problemas incorrectos, mientras no se atienden muchas de las vulnerabilidades que representan un mayor riesgo para las empresas.

Enfoque basado en riesgos

Las soluciones de gestión de vulnerabilidades no fueron diseñadas para manejar la superficie de ataque moderna, ni el creciente número de amenazas que ésta representa. Además, se limitan a una visión teórica del riesgo que puede ocasionar vulnerabilidad, lo que lleva a los equipos de seguridad a desperdiciar tiempo investigando los problemas equivocados y pasando por alto muchas de las vulnerabilidades más críticas.

Por ello, un enfoque basado en riesgos para la gestión de vulnerabilidades permite a los responsables de seguridad centrar los esfuerzos en las vulnerabilidades y los activos más importantes y, al mismo tiempo, eliminar la prioridad de aquellas vulnerabilidades que probablemente nunca se exploten.

Y aquí están nuestras 6 recomendaciones:

• Identificar la criticidad: Para construir un programa efectivo de gestión de riesgos, primero se debe determinar qué activos necesita proteger de la organización. Esto se aplica a los sistemas informáticos, dispositivos de almacenamiento, redes, datos y sistemas de terceros dentro de la red de la organización. Los activos deben clasificarse y jerarquizarse en función de su riesgo real e inherente para la organización.

Hay que considerar varios aspectos al momento de desarrollar una valoración del riesgo inherente de un activo, como la conexión física o lógica a otros activos con una valoración más alta, el acceso de los usuarios y la disponibilidad del sistema.

• Considerando todo el contexto: Para comprender el verdadero riesgo que representa cada vulnerabilidad, identifica y analiza las características de las vulnerabilidades, junto con otros elementos clave, como criticidad de los activos afectados, inteligencia de amenazas, si existe xploit, y reportes de actividad actual de los atacantes sobre estas.

• Prioriza: Abordar el verdadero riesgo y no perder tiempo valioso en vulnerabilidades que tienen una baja probabilidad de ser explotadas. Como resultado, podrás maximizar la eficiencia del equipo considerando la mayor cantidad de riesgo con la menor cantidad de esfuerzo.

• Contempla toda la superficie: Evalué todos los activos de la red, no solo aquellos que le serán auditados. Esto te permite obtener visibilidad hacia toda la superficie de ataque y así poder determinar qué vulnerabilidades priorizar para corregir con base en el riesgo, sin importar dónde estén en la red.

• Implemente métricas: Las métricas adecuadas ayudan a tomar mejores decisiones porque se puede justificar y cuantificar sus acciones, decisiones y utilización de recursos.

• Documente los riesgos: Documente todas aquellas vulnerabilidades que no puedan ser remediadas y establezca planes de mitigación con controles compensatorios y revisiones periódicas.

La gestión de vulnerabilidades y riesgos es un proceso continuo. Los programas más exitosos se adaptan continuamente y están alineados con los objetivos de reducción de riesgos del programa de ciberseguridad dentro de su organización. El proceso debe revisarse periódicamente y el personal debe mantenerse actualizado con las últimas amenazas y tendencias en seguridad de la información.

Asegurarse que el desarrollo continuo de las personas, procesos y tecnología garantizará el éxito del programa de gestión de riesgos y vulnerabilidades del negocio.