Skip to content ↓ | Skip to navigation ↓

En la superficie, la gestión de vulnerabilidades (VM) es casi omnipresente. Si le pregunta a alguien si su organización tiene VM, la gran mayoría responderá afirmativamente.

De hecho, Tripwire hizo esa misma pregunta en una encuesta reciente sobre el tema. El 88% de los encuestados dijeron que sí. Sin embargo, debajo de esa superficie de respuestas “sí,” se encuentra un espectro variado de implementación que abarca desde pruebas de penetración periódicas hasta una gestión de vulnerabilidad completa a nivel de la organización. Como vendor de solución de gestión de vulnerabilidades (VM), uno se acostumbra a la respuesta de “¡Ya tenemos una!”

Al mismo tiempo, el problema del riesgo de vulnerabilidad apenas se ha resuelto. En la misma encuesta, el 27% de los encuestados indicaron que habían experimentado una brecha como resultado de una vulnerabilidad no parcheada. El mercado de VM está creciendo, y eso significa que las organizaciones están expandiendo y reemplazando las herramientas que tienen.

Si va a aumentar la inversión o tomar una decisión de reemplazo, debe responder a esta difícil pregunta: ¿Cómo sabe que su programa de gestión de vulnerabilidades es efectivo? Para arrojar algo de luz sobre esa pregunta y cómo podría responderse, echemos un vistazo a los siete hábitos de los programas de VM altamente efectivos.

1. Aceptación ejecutiva

Es fácil decir que el tono desde arriba marca una gran diferencia, pero ¿cómo se determina realmente si una iniciativa tiene aceptación ejecutiva? Comience con la frase ‘buy-in’ quizás. Si una iniciativa de VM tiene el nivel adecuado de patrocinio y visibilidad, entonces debería ser capaz de articular cómo el éxito o el fracaso de la iniciativa impacta a esos ejecutivos. Puede ser que haya un impacto de compensación específico, o puede ser menos concreto, pero cuando un programa puede tener éxito o fracasar sin afectar a alguien, esa persona definitivamente no tiene aceptación.

2. Descubrimiento de activos

Cualquier límite que coloque en el alcance de la gestión de vulnerabilidades es una limitación del riesgo sobre el que se tiene visibilidad. Es por eso que el descubrimiento de activos tiene que ser un componente central de cualquier programa de gestión de vulnerabilidades. Si un programa de VM excluye activos o áreas específicas del negocio, es una señal de que no será efectivo en la reducción de riesgos. No puede eliminar el riesgo que uno desconoce. Del mismo modo, si el descubrimiento de activos no es continuo o se realiza con baja frecuencia, es probable que se vuelva obsoleto e inexacto.

3. Frecuencia de escaneo

Puede pensar que el mantra aquí es algo así como ‘escanear continuamente,’ pero eso es solo una distracción. La realidad es que está realizando análisis de vulnerabilidades por dos razones: primero, para impulsar la actividad de remediación y segundo, para identificar cambios significativos en su perfil de riesgo (por ejemplo, encontrar nuevas vulnerabilidades de alto riesgo). Su frecuencia de análisis debe ser, ante todo, racional. Eso significa que debe estar vinculado a esos dos objetivos.

Si efectúa remediaciones solo de manera mensual, el escaneo diario no mejorará sus resultados. Sin embargo, si tiene una gestión de cambios inadecuada, podría mitigar parte de ese riesgo con escaneos más frecuentes para lograr el segundo objetivo. El escenario ideal es que los escaneos ocurran en sincronía con las actividades de remediación y automáticamente cuando ocurran cambios.

4. Incorporación del contexto de negocio

El riesgo de vulnerabilidad no es absoluto, y si basa sus prioridades de remediación en alguna noción de riesgo absoluto, es probable que deje el riesgo sobre la mesa. La gestión de vulnerabilidades altamente efectiva incorpora el contexto de negocio de las vulnerabilidades descubiertas y los sistemas en los que existen, en los mecanismos de priorización utilizados para impulsar la actividad de remediación. ¿Qué significa eso en la práctica? Significa que los activos de mayor valor y mayor riesgo para el negocio deben ser remediados primero.

5. Las excepciones son la excepción

No se puede administrar el riesgo que no se desconoce, y la creación de excepciones al escaneo crea bolsas de riesgo desconocido. Es posible que haya dispositivos en un entorno que no se puedan escanear, pero deberían ser pocos y distantes entre sí y, con suerte, en camino a retirarse. Las organizaciones que miden activamente la superficie total que les falta son generalmente de alto rendimiento cuando se trata de VM.

6. Gestión de métricas

El pánico no es una estrategia, pero es una gran parte de la industria de seguridad de la información. Hay mucho miedo, incertidumbre y dudas por ahí. Los programas efectivos de gestión de vulnerabilidades no se basan en miedo, incertidumbre y duda – se basan en métricas. El progreso es inevitable si simplemente comienza con la pregunta “¿cómo sé que estamos haciendo un buen trabajo?” Esa pregunta lleva a una definición de bien, un requisito para medirlo y probablemente a otras métricas para ayudar a entender por qué aún no está allí.

Hay muchas métricas para elegir y consejos más que suficientes sobre cuáles son los mejores. Siempre estoy a favor de utilizar métricas que impulsan el comportamiento correcto de la organización.

7. Flujo de trabajo de remediación

El objetivo de toda esta actividad para encontrar y medir el riesgo de vulnerabilidades no es un informe bonito. El punto es tomar mejores decisiones de mitigación de riesgos. El punto es tomar medidas. La gestión efectiva de la vulnerabilidad debe dar como resultado acciones de remediación efectivas. Ninguna herramienta de evaluación de vulnerabilidad hace esto automáticamente por una variedad de razones válidas e inválidas. Eso significa que los programas de VM eficaces se integran con los flujos de trabajo de remediación que impulsan la acción dentro de la organización. La parte difícil es que estos flujos de trabajo probablemente sean únicos, y generalmente hay varios.

Si su programa VM consiste en generar un informe y entregárselo a otro equipo, es posible que tenga margen de mejora. Comience por descubrir cómo se realiza el trabajo dentro de su organización, luego descubra cómo obtener el trabajo de remediación correcto en esos procesos.

La evidencia en el mercado es que hay muchas evaluaciones de vulnerabilidades, pero también hay margen de mejora con una gestión efectiva. Si se encuentra en una posición de ser dueño de un programa de gestión de vulnerabilidades, estos siete hábitos deberían ayudarlo a aprovechar al máximo sus esfuerzos para gestionar y reducir el riesgo de vulnerabilidad.