Llegamos a ustedes gracias a:



BrandPost

Gestión de vulnerabilidades: Cómo crear un programa eficaz basado en el riesgo

Patrocinado por TENABLE

[13/04/2021] Ante el imparable incremento de ataques en Latinoamérica, Tenable hace un llamado a los responsables de la ciberseguridad para crear un programa de gestión de vulnerabilidades basado en el riesgo en sus organizaciones, con el cual lograrán comunicar más efectivamente su nivel de exposición y reducirlo hasta en un 97% según estimaciones.

"Con la gestión de vulnerabilidades tradicional, el número de vulnerabilidades detectadas suele ser tan grande que resulta difícil mantenerse al día con todas ellas y es complicado saber cuáles son las que representan el mayor riesgo. De tal manera que evolucionar a una gestión de vulnerabilidades basada en el riesgo, ayuda a priorizar efectivamente las amenazas críticas en una empresa, señaló Francisco Ramírez, VP de Ventas para Latinoamérica.

De acuerdo con el informe Retrospectiva del panorama de las amenazas en el 2020 realizado por Tenable, del 2015 al 2020 el número de vulnerabilidades y exposiciones comunes (CVE) reportadas aumentó a una tasa de crecimiento porcentual anual del 36,6%. Los 18.358 CVE registrados en el 2020 representan un aumento del 6% con respecto a los 17.305 del 2019 y un 183% de aumento sobre los 6.487 revelados en el 2015. Para el profesional de seguridad, priorizar cuál de estas vulnerabilidades merece su atención es más desafiante que nunca, y no todas las vulnerabilidades son iguales.

Asimismo, de enero a octubre del 2020, como indica este mismo informe de Tenable, fueron identificados 730 eventos divulgados públicamente que dieron como resultado más de 22 mil millones de registros expuestos, sin mencionar el daño incalculable a la reputación y la confianza. Además, más del 35% de las brechas de seguridad estuvieron vinculadas a ataques de ransomware, lo que genera un gran costo financiero.

Las prioridades que todo CSO debe considerar

A fin de enfrentar los nuevos desafíos de ciberseguridad que se avecinan en el 2021, Ramirez insistió en que la gestión de vulnerabilidades basada en el riesgo es un proceso continuo que incluye la detección proactiva de activos, monitoreo continuo, la mitigación, la corrección y las tácticas de defensa que se necesitan para proteger la superficie de ataque moderna de TI de una organización contra la exposición cibernética (Cyber Exposure).

El directivo hizo hincapié en los 10 pasos claves que todo CISO debe seguir al momento de elaborar un programa de gestión de vulnerabilidades basada en el riesgo:

  1. Detectar las brechas en los procesos actuales de gestión de vulnerabilidades.  Las empresas deben evaluar la madurez de su programa en el área de seguridad para garantizar que sus métricas de riesgo se basen en datos de suma credibilidad.
  2. Identificar y mapear todos los activos críticos para el negocio, no solo los de la TI tradicional sino también entornos móviles y en la nube, tecnología operativa, contenedores y aplicaciones web.
  3. Comprender todos los activos y vulnerabilidades dentro del contexto completo, incluyendo la criticidad de los activos afectados y una evaluación de la actividad actual y la probable actividad futura de los atacantes.
  4. Evaluación continua de todos los activos conocidos y nuevos; se recomienda emplear una solución completa para priorizar cada vulnerabilidad en función del riesgo para el negocio, adoptar medidas de corrección adecuadas y medir los indicadores clave de rendimiento (KPI).
  5. Adoptar una estrategia proactiva con respecto a la gestión de vulnerabilidades para enfocarse en el riesgo real para el negocio.
  6. Usar el aprendizaje automático para unir de manera espontánea los datos de vulnerabilidades y la criticidad de los activos con inteligencia de amenazas y exploits.
  7. Enfocarse en el 3% de las principales vulnerabilidades que representan el mayor riesgo para la organización con mayores posibilidades de ser explotadas en los próximos 28 días.
  8. Corregir las vulnerabilidades que representan el mayor riesgo para una compañía.
  9. Usar métricas basadas en el riesgo para determinar el nivel de eficiencia y eficacia del equipo de seguridad.
  10. Utilizar el análisis de vulnerabilidades basado en el riesgo y otros informes de inteligencia para comunicar de manera eficaz su postura en el área de seguridad a las principales partes interesadas.

"Con una solución de gestión de vulnerabilidades basada en el riesgo, una empresa obtiene una visibilidad completa hacia la superficie de ataque convergente, evaluación dinámica y continua, priorización automatizada basada en aprendizaje automático y tableros de control personalizados para comunicar el riesgo para los sistemas de negocios. Esto permitirá que los recursos de la empresa se concentren en los problemas más importantes a corregir para disminuir los riesgos de ciberseguridad de una manera altamente eficiente, indicó Ramirez.

Como Tenable puede ayudarlo

Abandone su abordaje fragmentado hacia la gestión de vulnerabilidades, al trasladarse hacia Tenable.ep, la solución más completa para obtener conocimiento de la ciber exposición de todos los activos, en cualquier entorno. Tenable.ep integra completamente todas las capacidades como parte de una amplia solución para obtener máxima eficacia; es una plataforma amplia y unificada de gestión de vulnerabilidades para la revolución basada en el riesgo.

Para mayor información o solicitar una reunión con Tenable en Perú, favor dirigirse a mailto:cmoreno@tenable.com