Gina Sanders - stock.adobe.com

P
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Balancee el costo y el riesgo en la gestión de vulnerabilidades de sofware

¿Cuál es la forma más práctica y rentable para que las organizaciones identifiquen y remedien las vulnerabilidades de software de alto riesgo?

Al tratar de identificar la manera más práctica y rentable para que las organizaciones identifiquen y remedien las vulnerabilidades de software de alto riesgo, abordar esto únicamente desde la perspectiva de un producto o herramienta solo analiza el problema a través de una lente particular.

Lo que es rentable es lo que cumpla con los requisitos de seguridad precisos de la organización, algo más y está desperdiciando recursos vitales; algo menos, y usted está exponiendo a la organización a un riesgo que no está (teóricamente) preparada para aceptar.

Sobre esa base, es más probable que un modelo combinado de actividades técnicas y comerciales satisfaga la relación costo-eficacia y la cuestión de la practicidad. Solo hacer un tipo de evaluación, o usar una herramienta o proceso, no proporcionará la profundidad necesaria para asegurar a la alta gerencia.

Entonces, ¿cómo se ve eso en la práctica? Para una pequeña empresa que no está enfocada en TI, la solución más rentable podría ser un servicio administrado con actividad de prueba de penetración anual y soporte continuo para abordar vulnerabilidades y brindar asesoramiento para evitar exponer a la empresa a componentes potencialmente vulnerables. Para una organización de tamaño similar, pero con un mayor enfoque en TI, puede ser más rentable invertir en capacitar a los desarrolladores en el arte de escribir código seguro, reduciendo así la cantidad de vulnerabilidades desde el principio.

Para las organizaciones de escala empresarial, puede ser más valioso ejecutar un equipo interno que tenga un conocimiento completo de la infraestructura compleja implementada, reduciendo así los costos asociados con una larga revisión de terceros.

Todos los tipos anteriores de compañías deben implementar un proceso reconocido para programas de administración de parches y vulnerabilidades para ayudar en cada etapa de su viaje.

En cuanto a las herramientas que podrían utilizarse, una empresa debe considerar aquellas diseñadas para evaluar tipos específicos de software implementados. Una evaluación de la aplicación web sería diferente de una revisión del dispositivo o una evaluación de escalada de privilegios en una computadora portátil. De manera similar, una empresa que use computadoras portátiles de un solo proveedor con el mismo sistema operativo no tendría que implementar una solución que soporte y proteja a otros proveedores.

También es importante recordar que la complejidad de la solución de software, así como los fragmentos más grandes de código fuente detrás de una pequeña pieza de software, aumentarán el número de vulnerabilidades potenciales contra las que defenderse.

Todo lo anterior puede sonar como un bloqueador para las empresas creativas y centradas en la innovación; sin embargo, puede estar seguro de que no lo es. Una organización puede experimentar con tantos productos de software como desee para fomentar el crecimiento del negocio, pero esto debe hacerse en un entorno de prueba moderno, preferiblemente con espacio de aire o espacio aislado, para evitar la introducción de riesgos desconocidos en el negocio principal.

Este artículo se actualizó por última vez en enero 2019

Profundice más

¿Qué necesita resolver?

Por favor, añada un título para su pregunta

Obtenga respuestas de un experto de TechTarget en lo que sea que necesite resolver

Usted será capaz de añadir detalles en la siguiente página

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close