Considere por un momento el ciclo de vida de una vulnerabilidad, de cualquier tamaño, en la infraestructura de seguridad de red en la que se basa su organización. Si es descubierta por actores maliciosos cibernéticos, pueden optar por explotarla e implementar desde denegaciones de servicio dedicadas, que detendrán las actividades de su organización, hasta rootkits, que son programas maliciosos clandestinos que permiten un acceso más sutil a los atacantes y gradualmente destructivo.
Los equipos de seguridad de la información tienen grandes desventajas contra los ciberdelicuentes. Tenable demuestra esto en su investigación “Cuantificación de la ventaja del atacante como el primero en actuar”, en la que se encontró que los actores maliciosos tienen entre 5 y 12 días de ventaja para explotar una vulnerabilidad antes de que la empresa atacada la descubra. En pocas palabras, si una brecha no se repara casi de inmediato al descubrirla, el ciberatacante la aprovechará.
Por eso los escaneos de vulnerabilidades son tan importantes, ya que miden la efectividad de las medidas de ciberseguridad.
Las evaluaciones de vulnerabilidades examinan las medidas de protección que su organización ha implementado para salvaguardar sus activos digitales, catalogan las fallas de seguridad que existen y ayudan a los equipos de seguridad a comprender qué tipo de ataques cibernéticos podrían afectar más fácilmente la red, como resultado de dichas fallas.
La frecuencia es importante: hay que realizar evaluaciones basadas en el riesgo y la industria.
Toda organización, no importa a qué sector pertenezca, puede beneficiarse al completar evaluaciones de vulnerabilidades. Como mínimo, debe hacerlo semanalmente, sin embargo, en el entorno de las crecientes amenazas de hoy en día, es muy recomendable realizar tales pruebas con mayor frecuencia, incluso cada 24 horas.
También hay que considerar otros factores para determinar con qué frecuencia efectuar evaluaciones de vulnerabilidades. Uno es su historial de ciberataques e infracciones, y otro, el nivel percibido de riesgo. Por ejemplo, si su red ha sido violada anteriormente, incluso si fue hace algún tiempo y corrigió la vulnerabilidad específica que provocó el incidente, probablemente sea mejor realizar análisis de fallas de red con más frecuencia que una organización sin historial de ciberataques.
Las empresas que operan en industrias que han demostrado ser particularmente vulnerables, como las de finanzas y de atención médica, deben completar las evaluaciones de vulnerabilidades con regularidad. Las regulaciones y estándares globales como PCI (Payment Card Industry) o HIPAA (Health Insurace Portability and Accountability Act, aplicable en Estados Unidos), a menudo dictan qué tan a menudo deben llevarse a cabo dichos análisis. Una cosa es segura, independientemente de la industria o el historial de ataques, si nunca ha ejecutado un análisis de vulnerabilidades, es imprescindible hacerlo ahora.
Esforzarse por ser diligente y nunca conformarse con el mínimo requerido.
En un mundo donde las violaciones de datos han evolucionado de una amenaza esotérica a un peligro bastante común, y donde las vulnerabilidades de la red se multiplican como nunca, no se puede restar importancia a la evaluación de vulnerabilidades. La ciberseguridad nunca debe ser algo que «se configura y se olvida».
Sin embargo, algunas empresas hacen exactamente eso. El informe de Estrategias de Defensa Cibernética de Tenable Research encuestó a más de 2,100 organizaciones y descubrió que 33% podría considerarse «minimalista» en términos de cómo llevaron a cabo sus evaluaciones de vulnerabilidades. Esto significa que los escaneos se realizaron solo por un mandato de cumplimiento, en un formato de un sistema a la vez. Solo 5% de los encuestados fueron «diligentes», cubriendo todos los activos de manera integral y diferenciada, para abordar los diferentes casos de uso.
Para proteger el total de sus activos y optar por la diligencia en la seguridad de su red, es importante efectuar evaluaciones de vulnerabilidades frecuentemente como una prioridad para salvaguardar su negocio.
Deja tu comentario