Cuánto puede costarle a tu empresa ignorar una vulnerabilidad crítica
Según la definición de diversas organizaciones de ciberseguridad de distintos países, una vulnerabilidad es una debilidad en un sistema informático que puede ser explotada por un atacante para ejecutar con éxito un ataque. Pueden surgir por fallos, características del sistema o errores del usuario y los atacantes van a buscar aprovechar cualquiera de ellos, combinando frecuentemente uno o más para alcanzar su objetivo final.
De acuerdo con diversas investigaciones de medios especializados y firmas de seguridad informática, las vulnerabilidades de software están siendo más utilizadas como vía de entrada a los sistemas empresariales; este método de ataque representó el 20% de todos ellos, un aumento del 34% con respecto al año anterior.
De forma similar, otros estudios han revelado que los ciberatacantes han explotado vulnerabilidades en más de una cuarta parte de los incidentes que se han registrado en sectores críticos durante el año pasado. Los equipos de seguridad atribuyeron esto a sistemas obsoletos y a ciclos lentos de actualización.
Para los directores de seguridad de la información o CISOs, por sus siglas en inglés, saber cómo distribuir recursos y presupuestos dentro del área de seguridad representa un desafío enorme. Además, existen amenazas que resultan imposibles abordarlas todas.
Una forma de solucionar estos problemas es presentar cifras acerca de la llamada deuda de vulnerabilidad. En el desarrollo de software, existe el concepto de deuda técnica, que se refiere al coste de actualizar y mantener los sistemas frente al hecho de que el software actual funciona sin inconvenientes aparentes.
La deuda de vulnerabilidad es similar; debería reflejar cuánto costaría corregir los problemas en el entorno informático que representan brechas de seguridad. Sin embargo, ¿cómo se puede calcular esta cifra?
Saber que existen vulnerabilidades es relativamente sencillo, lo difícil es rastrearlas en el entorno real. Primero, se necesita un entendimiento completo de los activos existentes, para así generar una lista completa de vulnerabilidades a corregir. Luego, hay que mantener esa lista actualizada de forma constante. Para la mayoría de los CISOs, ese nivel de precisión es difícil de lograr con sus equipos, por lo que obtener una cifra precisa sobre la deuda de vulnerabilidad se vuelve complicado.
TIC Defense es una empresa que se encarga de mantener los sistemas informáticos y de información totalmente resguardados de compañías, todo ello con un conjunto de servicios y herramientas de tecnología de punta, las cuales se enfocan en prevenir y dar respuesta a cualquier tipo de amenazas.
Aunque diversos institutos de estándares y tecnología han anunciado planes para desarrollar una métrica de vulnerabilidades probablemente explotadas, que predecirá los problemas más susceptibles a ser atacados, sería una métrica general. No puede adaptarse a una organización específica. Como lo han expresado diversos CISOs, tienen que saber qué es importante para cada una de las empresas de ellos, no para las otras.
Para los CISOs, calcular una cifra de deuda de vulnerabilidad es un ejercicio frustrante, ya que desean brindar información precisa acerca de estos problemas y costos, pero están tratando con probabilidades e hipótesis. Esto exige una estrategia de operaciones de riesgo similar a la de los centros de operaciones de seguridad o SOC, donde se aplica un mismo proceso para clasificar, entender y gestionar nuevas vulnerabilidades.
