¿Cómo es tu ventana de vulnerabilidad?

Las empresas son bombardeadas continuamente con nuevos parches de software que intentan mejorar su seguridad. Parece que todos los días se descubre un error que obliga a buscar nuevos remedios. Hasta tal punto que cuesta imaginar que una organización se mantenga al día, con el incesante ritmo de actualizaciones de software que impone la industria.

Según la base de datos CVE (Common Vulnerabilities Exposures), en 2017 se publicaron 14.709 vulnerabilidades. Eso son 40 nuevas vulnerabilidades al día. ¿Cómo es posible mantener este ritmo? Muchas empresas, de hecho, no lo consiguen. Sin embargo, algunos lo hacen, y se esfuerzan en  moverse con rapidez para seguir el ritmo de la distribución de parches.

El proveedor de seguridad Tripwire, junto con Dimensional Research, ha analizado esta respuesta de las organizaciones a los nuevos parches. Aunque ha encuestado a un número pequeño de empresas, y de tamaño también reducido, tan solo 100 empleados, y no se menciona el número de terminales o aplicaciones de software que manejan, los resultados que arroja son interesantes.

La mayoría (56%) de quienes respondieron aseguran poder descubrir nuevo hardware y software añadido a su red, en apenas minutos (23%) o en unas horas (33%). Cuando se trata de detectar vulnerabilidades, solo el 17% tardó 31 días o más en resolver una vulnerabilidad.

Curiosamente, el 6% de los encuestados asegura no utilizar herramientas de evaluación de vulnerabilidades en su entorno. Eso es razonable, en un entorno muy pequeño, por lo que esperamos que la mayoría de ese 6% tenga entornos pequeños. El resto de los encuestados, el 77%, logra parchear las vulnerabilidades en menos de 30 días. De hecho, el 37% dice contar con una solución adecuada en apenas 15 días, desde su descubrimiento

De acuerdo con el comunicado de prensa, solo el 17% emplea herramientas de descubrimiento de activos, que detectan los sistemas en red y, uno esperaría, que pudieran priorizar la criticidad del parche, en función del valor del negocio.

El valor comercial es otro elemento interesante e importante, al respecto. Las encuestas que analizan la velocidad de parcheo en una organización son divertidas, y pueden ser un indicador de las tendencias en curso, pero no proporcionan mucha información, sobre qué tal se responde realmente a ellas y cuánto se reduce el riesgo. La velocidad que una organización demuestra, para parchear y descubrir nuevos sistemas en su red, son indicadores indudables de que existe un programa de seguridad saludable. Pero no aportan la imagen completa.

Otros indicadores de que el programa de gestión de vulnerabilidades es maduro sería lo minuciosa y exacta que sea la clasificación y priorización de sus activos en red, según el valor comercial, y cómo se mitigan estas vulnerabilidades con otros sistemas, tipo cortafuegos de aplicaciones, redes y segmentación de acceso. La madurez también depende de cómo se prioriza el parcheo. No todos los sistemas comerciales tienen el mismo valor, y no todas las vulnerabilidades son de alto riesgo, por lo que esperamos que, en lugar de simplemente tratar de corregir todas las vulnerabilidades en 15 ó 30 días, sean esas vulnerabilidades de alto riesgo las que son parcheadas en primer lugar.

George V. Hulme es un autor especializado en seguridad de la información y tecnología corporativa de reconocido prestigio internacional. Lleva más de 20 años escribiendo sobre negocios, tecnología y seguridad de las TI. Ha sido editor de la  revista InformationWeek durante más de nueve años.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s

%d bloggers like this: