Organizaciones difieren en cómo evaluar el riesgo cibernético

Cerca de 48% de las organizaciones globalmente han adoptado una estrategia de evaluación de vulnerabilidades (definiendo programas maduros o moderadamente maduros que incluyen una exploración dirigida y adaptada y priorización de recursos basándose en criticidad del negocio) como un elemento fundamental de su defensa de ciberseguridad y un paso crítico hacia la reducción del riesgo, según revela un nuevo reporte de Tenable.

Sin embargo, de estas organizaciones, solo un 5% muestra el más alto nivel de madurez, con una evaluación comprensiva que cubre cada rincón de sus programas. En el otro extremo, 33% de las organizaciones tienen un enfoque minimalista para la evaluación de vulnerabilidades, haciendo lo mínimo requerido por los mandatos de cumplimiento y aumentando el riesgo de un evento cibernético que afecte el negocio.

¿Cuál es su estrategia de evaluación de vulnerabilidad?

El reporte anterior de la compañía reveló que los atacantes generalmente tienen en promedio una ventana de 7 días de oportunidad para explotar una vulnerabilidad conocida, antes de que los protectores incluso determinen que son vulnerables. La brecha resultante de 7 días está directamente relacionada a cómo las empresas conducen sus evaluaciones de vulnerabilidades: cuanto más estratégico y maduro sea el enfoque, es probable que el riesgo sea menor y disminuya el riesgo al negocio.

“En un futuro no muy lejano, existirán dos tipos de organizaciones: las que se enfocan en reducir el riesgo cibernético y las que fallan en adaptarse a la constante y acelerada evolución del escenario de amenazas en los entornos modernos computacionales”, dice Tom Parsons, director principal de gestión de productos de Tenable.

“Esta investigación es un llamado a la acción para que nuestra industria se tome en serio el devolver la ventaja a los ciber defensores, comenzando con la rigurosa y disciplinaria evaluación de vulnerabilidades como la base para una gestión madura de vulnerabilidades y en última instancia la exposición cibernética”.

Tenable Research analizó datos de alrededor de tres meses en 2100 organizaciones y más de 60 diferentes países usando datos científicos para identificar diferentes estilos de madurez de seguridad distintos, e ideas de estrategias que puedan ayudar a las organizaciones a manejar, medir y reducir el riesgo cibernético. El objetivo fue analizar y al final ayudar a mejorar la respuesta de los protectores.

Tenable encontró que existen cuatro diferentes estrategias de evaluación de vulnerabilidades:

• La minimalista ejecuta evaluaciones mínimas de vulnerabilidades requeridas para el cumplimiento de mandato. 33% de las organizaciones caen dentro de esta categoría, ejecutando evaluaciones limitadas solo en activos seleccionados. Representan una porción de empresas que están expuestas a riesgo y aún tienen trabajo que hacer, con decisiones críticas para hacer que los KPI mejoren primero.
• La inspectora. Realiza frecuentes evaluaciones de seguridad de amplio alcance, pero con poca autenticación y personalización de las plantillas de escaneo. 19% de las organizaciones siguen el estilo inspector, colocándose en una madurez de baja a media.
• La investigadora. Ejecuta evaluaciones de seguridad con un alto grado de madurez, pero solo evaluando a activos seleccionados. 43% sigue el estilo investigativo, indicando una sólida estrategia basada en un buen ritmo de escaneo, plantillas de escaneo dirigidas, priorización y autenticación de amplia evaluación. Considerando los retos involucrados en el manejo de vulnerabilidades, asegurando la aceptación de la administración, cooperando con unidades de negocio como operaciones de TI, manteniendo al personal y habilidades, y la complejidad de escala, esta tiene un gran alcance y proporciona un fundamento sólido para llegar a una madurez futura.
• La diligente representa el más alto nivel de madurez, alcanza una continua visibilidad sobre si un activo es seguro o está expuesto y en qué medida, a través de una frecuencia de evaluación alta. Solo el 5% de las organizaciones caen en esta categoría, mostrando una cobertura de activos, una evaluación enfocada y personalizada y escaneos a medida que son requeridos por un caso de uso.
• A través de los niveles de madurez, las organizaciones se benefician al evitar un enfoque disperso para la evaluación de seguridad y en su lugar toman decisiones estratégicas y emplean tácticas más maduras, como frecuentes escaneos de autenticación para proporcionar la eficacia de un programa de evaluación de vulnerabilidades.

“No es malo estar en un grado de madurez baja. Lo que es malo es permanecer ahí”, dijo Oliver Rochford, director investigador de Tenable.

“Si es un adoptante posterior, significa que tiene más trabajo que hacer para alcanzarlo.  Esto además significa que se puede aprender de los errores y las experiencias de los primeros usuarios. En lugar de hacer que su organización sirva como blanco de pruebas para soluciones nuevas, inmaduras y no probadas, se beneficiará de la disponibilidad de soluciones probadas. Además, existe un conjunto de experiencia que puede aprovechar, en lugar de intentar desarrollar sus propias estrategias sin homogeneidad.  Después de la fase de experimentación, estará posicionado para dirigirse correctamente a la innovación y optimización”.

“Y, si se identifica con la estrategia de evaluación de vulnerabilidad más madura, no significa que pueda tomar un año sabático. Incluso los protectores más sofisticados saben que su trabajo nunca termina”.

Articulos relacionados:

• Las ciudades inteligentes están expuestas a amenazas bien conocidas​

• El estrés laboral es la nueva amenaza de la ciberseguridad