Articles

Cómo crear un programa de gestión de vulnerabilidades

Un programa de gestión de vulnerabilidades identifica, evalúa, prioriza y mitiga sistemáticamente las vulnerabilidades que pueden suponer un riesgo para la infraestructura y las aplicaciones de una empresa. Un programa moderno de gestión de vulnerabilidades combina la automatización, la inteligencia de amenazas y la ciencia de los datos para predecir qué vulnerabilidades representan el mayor riesgo para un entorno específico.

¿Por qué es crítico un programa de gestión de vulnerabilidades?

El número de vulnerabilidades observadas en dispositivos, redes y aplicaciones ha crecido de forma espectacular en los últimos años. Un vistazo a la base de datos nacional de vulnerabilidades revela que el número de vulnerabilidades y exploits comunes (CVE) se ha triplicado desde 2016.

También está en aumento: los esfuerzos altamente sofisticados para explotar esas vulnerabilidades. Según el Centro de Recursos para el Robo de Identidad (ITRC), el número de violaciones de datos registradas se disparó un 17% de 2018 a 2019. Solo en los dos primeros meses de 2020, se expusieron 1.660 millones de registros en 11.476 violaciones.

Sin embargo, la mayoría de las empresas aún no están adecuadamente preparadas. En 2019, PwC descubrió que «menos de la mitad de las empresas a nivel mundial están suficientemente preparadas para un ataque de ciberseguridad.» Los ciberdelincuentes son cada vez más avanzados y las organizaciones se esfuerzan por garantizar que los conjuntos de habilidades, herramientas y procesos de ciberseguridad de su equipo puedan hacer frente a estas amenazas.

Todo esto tiene un coste real para las empresas. Para 2021, Cybersecurity Ventures predice que los daños causados por la ciberdelincuencia costarán al mundo 6 billones de dólares anuales (frente a los 3 billones de 2015), unos costes que, en una época de trastornos económicos históricos, las empresas apenas pueden permitirse.

Como las vulnerabilidades y los ataques diversificados continúan creciendo, usted necesita un programa de gestión de vulnerabilidades para proteger adecuadamente su infraestructura, aplicaciones y datos.

¿Puede un programa tradicional de gestión de vulnerabilidades mantenerse al día?

Muchas empresas todavía confían en el hábito de parchear cualquier cosa que supere un determinado umbral, como las puntuaciones del Sistema de Puntuación de Vulnerabilidad Común (CVSS) de siete o más. Algunas siguen utilizando enormes hojas de cálculo de vulnerabilidades que luego clasifican basándose en la intuición, el perfil público de una vulnerabilidad o el número de activos afectados. En su mayor parte, este enfoque básico de un programa de gestión de vulnerabilidades funcionó, es decir, hasta que los atacantes se volvieron más sofisticados y las infraestructuras se volvieron más intrincadas, sensibles y extensas.

El problema para las organizaciones de hoy en día es que estos modelos tradicionales de programas de gestión de vulnerabilidades les obligan a tratar de priorizar las vulnerabilidades sin el contexto necesario para evaluar con precisión el riesgo que una vulnerabilidad representa para su organización específica. Por ejemplo, una vulnerabilidad puede estar en los titulares y causar ansiedad entre las partes interesadas y los ejecutivos. Muchas vulnerabilidades han sido parcheadas en estas condiciones. Pero en muchos casos, la vulnerabilidad puede no ser una que se explote activamente dentro de su industria; en otras palabras, plantea un riesgo relativamente bajo para su infraestructura. Disponer de este contexto le ayudaría a determinar qué vulnerabilidades merece la pena reparar, y a defender ante los demás su decisión de no dar prioridad a la reparación de las vulnerabilidades que acaparan los titulares.

Considere ahora que sólo entre el 2% y el 5% de las vulnerabilidades de una organización son susceptibles de ser explotadas. Las formas tradicionales de gestionar las vulnerabilidades no son probablemente de gran ayuda para identificar las que tienen más probabilidades de ser explotadas. Los escáneres de vulnerabilidad y las puntuaciones CVSS ofrecen a los equipos de TI y de seguridad poca información sobre el riesgo específico que cada vulnerabilidad supone para una organización.

Esto hace que los equipos de Seguridad intenten obligar a los de TI y DevOps a remediar un gran volumen de vulnerabilidades que, en última instancia, podrían no reducir el riesgo y desperdiciar preciosos ciclos que podrían dedicarse a iniciativas más estratégicas y significativas. La fricción entre los equipos de Seguridad y TI es algo que las organizaciones con programas tradicionales de gestión de vulnerabilidades conocen demasiado bien.

Programas de gestión de vulnerabilidades tradicionales frente a los basados en el riesgo

Una alternativa más moderna a los métodos tradicionales es la llamada gestión de vulnerabilidades basada en el riesgo, que infunde la ciencia de los datos, la inteligencia de vulnerabilidades en tiempo real y la automatización para crear un enfoque priorizado y eficiente para aislar y comprender mejor los riesgos que realmente suponen una amenaza real para una organización. Las empresas que buscan ahorrar tiempo, crear flujos de trabajo de remediación más eficientes y reducir su perfil de riesgo han recurrido a la gestión de vulnerabilidades basada en el riesgo.

Según los principales analistas, el futuro de los programas de gestión de vulnerabilidades está basado en el riesgo. En los últimos meses, a medida que las vulnerabilidades y amenazas siguen aumentando y evolucionando, Gartner ha reconocido la necesidad de priorizar las vulnerabilidades en función del riesgo. «Gartner ha llamado la atención sobre la necesidad crítica de evaluar los activos en busca de problemas de configuración y vulnerabilidades, y de ser capaz de priorizar lo que se hace con esa evaluación, basándose en el riesgo para la organización.»

Y a finales del año pasado, Forrester también observó que la priorización basada en el riesgo definirá los futuros programas modernos de gestión de vulnerabilidades.

¿Cuáles son los pasos para construir un programa de gestión de vulnerabilidad?

Las organizaciones que buscan establecer o fortalecer sus programas de gestión de vulnerabilidad deben comenzar siguiendo estos seis pasos clave.

  1. Reúna a su equipo. Empiece a sentar las bases de su programa identificando a todos los actores clave necesarios. Las organizaciones suelen tener un director o gerente de seguridad encargado de la gestión de las vulnerabilidades y al menos un analista que identifica, rastrea y evalúa las vulnerabilidades en todo su entorno. El miembro de su equipo de remediación, a cargo de arreglar las vulnerabilidades, puede abarcar múltiples departamentos como TI, DevOps y AppSec.
  2. Adquiera las herramientas adecuadas. Las herramientas comunes de búsqueda de vulnerabilidades utilizadas por los equipos de seguridad descubren vulnerabilidades dentro del entorno. Una vez localizadas estas vulnerabilidades, una base de datos de gestión de la configuración proporciona información detallada sobre todos los activos de hardware y software de una organización. Una solución de gestión de vulnerabilidades da sentido y clasifica estos datos adquiridos, que identifican las principales vulnerabilidades que suponen el mayor riesgo para la organización. A continuación, se introducen en un flujo de trabajo de remediación (normalmente utilizando un sistema de tickets) que se comparte con TI y DevOps.
  3. Cruza el panorama de amenazas con su entorno. Tome su conocimiento de los activos y las vulnerabilidades conocidas dentro de su organización y crúcelos con su inteligencia de amenazas. Esto le ayudará a determinar el impacto de un potencial exploit, otro factor clave para determinar el riesgo. Herramientas como las listas CVE, la información CPE (enumeración común de plataformas) y CWE (enumeración común de debilidades) ofrecen un comienzo, pero para cruzar eficazmente las referencias, se necesitan datos amplios y reales que sólo un programa moderno de gestión de vulnerabilidades incorporará.
  4. Conozca sus activos, aplicaciones y tolerancia al riesgo. Entender sus activos actuales y el nivel de riesgo aceptable de su organización es crítico para una priorización efectiva. Para desarrollar un inventario detallado de activos, busque herramientas automatizadas que le ayuden en esta tarea de descubrimiento, que explorarán su organización para identificar activos como servidores, estaciones de trabajo, máquinas virtuales, matrices de almacenamiento y dispositivos de red. Su tolerancia al riesgo puede depender de su sector o de las directrices específicas de su empresa. Busque fuentes dentro de su empresa que le indiquen las directrices de evaluación de riesgos que afectan a otros aspectos de la empresa. Para vulnerabilidades específicas, es crítico entender cuánto riesgo puede aceptar y las compensaciones que vienen con remediar ahora o esperar.
  5. Mida, evalúe y priorice sus vulnerabilidades. Esta es la etapa en la que su elección de la plataforma de gestión de vulnerabilidades se vuelve crítica. Cuando considere la plataforma adecuada para su organización, busque una que integre inteligencia de vulnerabilidad del mundo real, ciencia de datos, análisis de riesgo automatizado, métricas de riesgo personalizadas e incluso SLAs basados en el riesgo. Las mejores plataformas modernas combinan todo esto en una métrica -o puntuación- que es simple, comprensible y repetible.
  6. Comunicar, remediar e informar. Su solución de gestión de vulnerabilidades debe ayudar -no dificultar- su comunicación interna entre los equipos clave. También debe apoyar su capacidad para remediar rápida y eficientemente mientras mantiene a todos al día, y hacer que los informes sobre su progreso sean simples e intuitivos. Asegúrese de buscar una plataforma que ofrezca integración con los sistemas de tickets más populares y la capacidad de desarrollar métricas y paneles personalizados para que las partes interesadas clave tengan una ventana constante y fácil de entender sobre el progreso de la gestión de riesgos de su empresa. La mayoría de las organizaciones emplean una mezcla de tres tácticas comunes de remediación que incluyen parches automatizados, herramientas de gestión de parches y actualizaciones manuales.

Aprenda a implementar un programa moderno de gestión de vulnerabilidades basado en el riesgo

La necesidad de que una empresa establezca un programa moderno de gestión de vulnerabilidades es clara. Apoyarse en los métodos tradicionales de gestión de vulnerabilidades deja a los equipos de remediación persiguiendo vulnerabilidades que pueden no reducir su riesgo general y crea ineficiencias dentro de los flujos de trabajo. Los programas modernos de gestión de vulnerabilidades permiten a las organizaciones adoptar una postura proactiva y basada en datos contra las amenazas y agiliza las operaciones internas para ahorrar tiempo y dinero, reducir los esfuerzos desperdiciados, mejorar la colaboración entre los equipos y lograr un impacto significativo en sus perfiles de riesgo.

Para ver en profundidad cómo implementar un programa de gestión de vulnerabilidades basado en riesgos, descargue Cómo implementar ahora la gestión de vulnerabilidades basada en riesgos: Una Guía Práctica. Lleno de consejos prácticos y mejores prácticas, este libro electrónico detalla la importancia de un programa moderno de gestión de la vulnerabilidad en medio del panorama actual de amenazas en evolución y recorre en detalle los seis pasos clave para establecer un programa de gestión de la vulnerabilidad basado en el riesgo descrito anteriormente.

Descargue el libro electrónico hoy mismo y comience a preparar su negocio para el futuro.