Stephen Finn - stock.adobe.com

Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Cuatro pasos para manejar las vulnerabilidades de software

¿Cuál es la forma más práctica y rentable para que las organizaciones identifiquen y remedien las vulnerabilidades de software de alto riesgo?

Para mí, el desafío de las vulnerabilidades de software de alto riesgo no siempre es la remediación. De hecho, las vulnerabilidades técnicas casi siempre se solucionan de una de las dos formas siguientes: Cambiar una configuración o aplicar una actualización de software en forma de un parche de seguridad.

Los directores de seguridad de la información (CISO) se enfrentan a dos desafíos fundamentales, que son aplicables a ambos escenarios:

  1. Visibilidad: Una cosa es aplicar una actualización de seguridad a un dispositivo o pieza de software, pero las empresas no siempre saben dónde existen todos sus activos. En un mundo donde los usuarios pasan tanto tiempo "fuera de la red" como lo hacen en la red de área local (LAN), ¿saben las empresas dónde están sus vulnerabilidades?
  2. Inercia cibernética: El concepto de inercia cibernética es algo más detallado que la administración de parches y configuraciones. La verdad es que las empresas no están interesadas en realizar cambios de configuración porque no están seguras de qué se romperá como resultado. Tomemos WannaCry, por ejemplo. Todos sabían que necesitaban tener SMB v1 (protocolo de bloqueo de mensajes del servidor versión 1) desactivado, pero sé que muchas organizaciones no estaban seguras de qué rompería esto, en todo caso. Las vulnerabilidades no pueden remediarse si no comprendemos la buena configuración conocida con la que estamos operando.

La gestión de vulnerabilidades requiere que las empresas sigan un proceso de cuatro pasos:

Paso 1: Entender los activos

Esto suena obvio, pero a menudo se pasa por alto. Tampoco es fácil. La proliferación de tipos de dispositivos en la mayoría de las empresas significa que la cantidad de activos crece de manera exponencial, junto con muchos más usuarios de estos dispositivos y más tipos de datos que viajan a través de ellos.

Paso 2: Perfilar a los actores de amenazas organizacionales y sus herramientas, técnicas y procedimientos

Una vez que entendemos qué es lo que buscamos proteger, necesitamos entender mejor quién está buscando obtener acceso a nuestros activos y las capacidades que poseen.

Aquí, nuevamente, el contexto es importante. Muchos CISO que conozco dicen que no pueden darse el lujo de protegerse de los estados nación. Pero el hecho es que muchos delincuentes cibernéticos utilizan herramientas que antes se consideraban como del dominio exclusivo de los actores de estados-nación, como las comunicaciones cifradas y el malware polimórfico. Si muchos actores malos utilizan estas herramientas, las organizaciones no pueden ignorarlas.

Paso 3: Identificar tus vulnerabilidades

Las vulnerabilidades son debilidades entre personas, procesos o tecnología. ¿Por qué identificamos vulnerabilidades después de perfilar amenazas y clasificar activos? Porque vivimos en un mundo donde la seguridad absoluta simplemente no es posible. Las herramientas automatizadas solo pueden llegar hasta cierto punto para desenterrar los puntos débiles, como encontrar vulnerabilidades técnicas en una pila de software, pero no pueden decir si sus usuarios necesitan capacitación para que las amenazas no los superen.

El pragmatismo y la priorización son dos principios clave de la buena gestión de las vulnerabilidades. Necesitamos ver qué sistemas de sistemas de datos nos preocupan y en qué volumen. Algunas preguntas clave para hacer acerca de estos sistemas son:

  • ¿Los sistemas son accesibles externamente?
  • ¿Las aplicaciones que atienden los datos ejecutan sus versiones más actualizadas?
  • ¿Dónde y cómo se almacenan los detalles de inicio de sesión?
  • ¿Está enviando información confidencial dentro del cifrado?

Paso 4: Aplicar controles y salvaguardas

Las vulnerabilidades siempre surgirán. Sin embargo, los controles y salvaguardas pueden disminuir el impacto o la probabilidad de que ocurra un riesgo. Los controles no tienen que ser absolutos. Es inusual que un control elimine un riesgo por completo; estamos buscando reducir el riesgo a un nivel aceptable. ¿Quién establece este nivel? Una vez más, es el negocio.

Este artículo se actualizó por última vez en enero 2019

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close