Facebook Google Plus Twitter LinkedIn YouTube RSS Menú Buscar Recurso: BlogRecurso: Seminario webRecurso: InformeRecurso: Eventoicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir
  • Twitter
  • Facebook
  • LinkedIn

Cómo medir la eficacia de su programa de ciberseguridad: cinco preguntas que hay que hacer

Cómo medir la eficacia de su programa de ciberseguridad: cinco preguntas que debe formular

Cuando se trata de medir la eficacia de sus iniciativas de seguridad, comprender cómo se compara su programa con el de sus competidores puede indicar dónde se necesitan mejoras o inversiones clave. 

Demostrar el éxito en materia de ciberseguridad siempre ha sido un reto: Si juega a la defensiva y no pasa nada malo, ¿se debe a que es inteligente o a la suerte? Obtener una perspectiva de la eficacia de su organización es un paso crucial para mejorar su higiene cibernética. 

Aunque los nuevos exploits o los ataques de día cero ocupan los titulares, las causas más comunes de las filtraciones son familiares y predecibles. De acuerdo con el documento Panorama de amenazas del 2020, una retrospectiva de Tenable Research, estas incluyen las siguientes:

  • Vulnerabilidades antiguas a las que no se les colocó ningún parche.

  • Procesos administrativos y de configuración deficientes.

  • Seguimiento insuficiente de los activos.


La comprensión de su proceso de gestión de vulnerabilidades es primordial para evaluar el riesgo cibernético

El escaneo del entorno y las medidas para afrontar los riesgos inaceptables de forma prioritaria son los dos pilares de cualquier programa de seguridad eficaz.  Pero las organizaciones a menudo no tienen un conocimiento completo de estos procesos. Dos mediciones críticas que debe tener a tu alcance son las siguientes:

  • Madurez de la evaluación Esta métrica le proporciona una visión de sus procesos de escaneo para asegurar que su equipo trabaja con un panorama completo y preciso de su superficie de ataque en evolución

  • Madurez de la corrección Esta métrica le permite evaluar el grado de puntualidad y proactividad en la mitigación de los riesgos críticos


Las comparaciones entre competidores muestran dónde se necesitan inversiones clave

Por sí solas, estas métricas del proceso de gestión de vulnerabilidades no le revelan todo lo que necesita saber: necesita un sentido de la perspectiva para entender cómo se apilan en el contexto de su grupo de competidores. Sea cual sea su sector, no querrá estar al pie del cañón. Pero, sin una evaluación comparativa entre competidores, es difícil saber el grado de en el qué rinden las medidas que toma realmente.

Cuando piense en los aspectos fundamentales de la higiene cibernética -evaluación y corrección- debe saber lo siguiente: 

  1. ¿Cómo voy?

  2. ¿Cómo me comparo con mis competidores?
  3. ¿Qué medidas concretas debo tomar para mejorar? 


Las respuestas a estas preguntas le permitirán solicitar un presupuesto y asignar recursos, ya que le ayudarán a comprender y comunicar su rendimiento entre las unidades de negocio internas y en comparación con sus competidores externos. Considérelo como si un profesor le calificara en una curva y le dijera exactamente lo que tiene que hacer para obtener un sobresaliente en la clase.

Cinco preguntas para conocer la madurez de su programa de seguridad

1. ¿Con qué frecuencia escanea la mayoría de sus activos?


Aquí es donde comienza su camino hacia la madurez.  Si responde a esta pregunta con precisión, empezará a comprender de qué recursos dispone en el ámbito interno, qué es razonable lograr y qué métricas críticas puede obtener.


  • 
Con el escaneo en marcha, se pueden hacer preguntas adicionales como estas: 
  • ¿Qué grado de su entorno escanea periódicamente?

  • ¿Cuánto tiempo pasa aproximadamente entre escaneos?

  • ¿Estos comportamientos varían según las unidades de negocio o las zonas geográficas? 

  • ¿Las áreas se desglosan según la criticidad del activo para su negocio, el tipo o la geolocalización del activo o cualquier otro factor? 

  • ¿Cuál es el requisito de SLA para cada una de esas categorías? 



Cuanto más largo sea el ciclo de escaneo (tiempo entre escaneos), más tiempo permanecerán las vulnerabilidades sin identificar y sin colocarles parches.  No solamente hay que cuantificar los riesgos, sino también identificarlos con rapidez. Para darle algo de perspectiva, la organización promedio escanea sus activos con una frecuencia aproximada de cuatro días, según Tenable Research.

2. ¿Qué porcentaje de vulnerabilidades abiertas está registrando?



La autentificación es el primer punto de clasificación. No se puede cuantificar lo que no se ve. Si su meta es la reducción de riesgos, la autenticación es fundamental siempre y cuando se pueda. A final de cuentas, la realización de una evaluación lo más profunda y amplia posible de un activo es un paso primordial para poder saber dónde se encuentran los riesgos, qué activos o funciones de negocio se ven afectados y qué hay que hacer para corregir y reducir el riesgo. Sin conocer el alcance, la criticidad, el impacto y los requisitos de trabajo, simplemente no hay manera de gestionar con eficacia el riesgo y desarrollar un programa más maduro que pueda afrontar y reducir los riesgos de forma adecuada en el futuro. Tenable Research muestra que los escaneos con credenciales detectan un promedio de 45 veces más vulnerabilidades por activo que aquellos escaneos sin credenciales; sin embargo, casi el 60 % de los activos empresariales se escanean sin credenciales locales, lo cual arroja falsos negativos. 


3. ¿Con qué rapidez se resuelven las vulnerabilidades de alto riesgo?


Según el Informe de inteligencia de vulnerabilidades 2021 de Tenable, en 2020 se identificaron 18 358 nuevas vulnerabilidades. Pero solo el 5,2 % tenía un exploit que era de público conocimiento. Hay que reparar primero lo que más importa. Para reducir el riesgo de la manera más eficiente y eficaz, es necesario conocer la rapidez con la que se abordan las vulnerabilidades que se han identificado como de alto riesgo en los activos que tienen una importancia alta o crítica para sus funciones de negocios. Comprender la naturaleza de la amenaza que supone una vulnerabilidad implica conocer las características de dicha vulnerabilidad que la hacen atractiva para los atacantes, junto con la información sobre amenazas para conocer la actividad que se desarrolla en torno a esa vulnerabilidad concreta. No puede permitirse el lujo de desperdiciar recursos valiosos en vulnerabilidades que suponen una amenaza escasa o nula.

4. ¿Qué porcentaje de activos cuentan con protección de puntos de conexión?


La seguridad de los puntos de conexión es una capa de defensa necesaria entre muchas otras.  Debe saber si sus sistemas tienen instalados los programas de seguridad necesarios y si está al tanto de cualquier software no autorizado o potencialmente peligroso instalado en esos activos. Pero no se trata únicamente de un problema de malware; por ejemplo, podría tratarse de violaciones de las políticas como tener telnet abierto, cuando no está permitido que telnet esté disponible en ningún sistema corporativo. El riesgo de no formular esta pregunta es sencillamente que no se sabe si los controles están en todos los lugares donde se espera que estén. Este es un problema demasiado común. Solo el 44 % de los responsables de infosec afirma que su organización tiene una buena visibilidad hacia la seguridad de sus activos más críticos, según un estudio encargado por Forrester Consulting en nombre de Tenable.


5. ¿Está reduciendo el riesgo cibernético a lo largo de las funciones clave del negocio?


El estudio de Forrester también revela que solo cuatro de 10 líderes de seguridad pueden responder con mucha confianza a la pregunta: "qué tan seguros, o en riesgo, estamos?". Es una pregunta sencilla, pero que puede ser muy difícil de responder sin la inteligencia y las métricas adecuadas. 
A nivel ejecutivo, comprender si el riesgo se está reduciendo en todas las funciones del negocio (equipos, geolocalizaciones, tipos de activos, etc.) se alinea con las metas del negocio en general y demuestra el valor y el retorno de la inversión para el presupuesto otorgado al programa de seguridad. A nivel estratégico, la respuesta a esta pregunta ayuda a los directivos cotidianos a tomar mejores decisiones sobre los aspectos en los que el programa rinde más (y, por tanto, sobre cómo reproducirlo en otras áreas) y los aspectos en los que no funciona tan bien. A nivel táctico, los responsables de la corrección y la colocación de parches deben entender cómo sus esfuerzos están impulsando la dirección correcta para su función de negocio en particular, así como la forma en que sus iniciativas se comunican en la cadena hasta el ámbito ejecutivo. 

Sin respuestas precisas a estas preguntas, es posible que no sepa si realmente está reduciendo el riesgo o no. Además, puede obviar áreas de la organización que tienen dificultades para reducir el riesgo o que están poniendo en peligro al resto de la organización debido a su incapacidad para reducirlo. 

Mejore su programa de seguridad para reducir su Cyber Exposure

Al responder honestamente a estas cinco preguntas, puede establecer su programa para el éxito con una línea de base de inteligencia de seguridad, riesgo cibernético y métricas de integridad del proceso a partir de las cuales medir la mejora en el tiempo. A continuación, la comparación de sus métricas con los equipos internos y con los pares externos le permitirá identificar dónde se necesitan mejoras clave: por ejemplo, su departamento de contabilidad podría tener una cobertura de escaneo autenticado inadecuada; o su programa general podría no estar solucionando los problemas críticos con la suficiente rapidez en comparación con los competidores del sector.


Independientemente de la etapa de madurez en la que se encuentre su programa, Tenable puede ayudarle haciendo un seguimiento automático de estas métricas de procesos clave y destacando las deficiencias en las que las inversiones adicionales pueden tener un mayor impacto en la reducción del riesgo. Una vez que tenga esta imagen completa, puede empezar a priorizar sus esfuerzos y jugar a la ofensiva ocupándose activamente de la fruta que está más al alcance de la mano y que los atacantes tienen más probabilidades de explotar. 

Más información

Artículos relacionados

¿Es usted vulnerable a los últimos exploits?

Ingrese su correo electrónico para recibir las últimas alertas de Cyber Exposure en su bandeja de entrada.

Solución de prueba Compre ahora
Tenable.io GRATIS DURANTE 30 DÍAS

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Regístrese ahora.

Tenable.io COMPRE

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

65 activos

Seleccione su tipo de suscripción:

Comprar ahora
Solución de prueba Compre ahora

Pruebe Nessus Professional gratis

GRATIS DURANTE 7 DÍAS

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre Nessus Professional

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año. Más detalles aquí.

Solución de prueba Compre ahora

Pruebe Tenable.io Web Application Scanning

GRATIS POR 30 DÍAS

Disfrute el acceso completo a nuestra oferta de productos más recientes para el escaneo de aplicaciones web diseñados para aplicaciones modernas como parte de la plataforma Tenable.io. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Regístrese ahora.

Adquiera Tenable.io Web Application Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Versión de prueba Compre ahora

Pruebe Tenable.io Container Security

GRATIS POR 30 DÍAS

Disfrute del acceso sin límites a la única oferta de productos para la seguridad de contenedores integrada en una plataforma de gestión de vulnerabilidades. Supervisa imágenes de contenedores para detectar vulnerabilidades, malware e infracciones a las políticas. Integración con sistemas de implementación continua (CI/CD) para respaldar las prácticas de las operaciones de desarrollo, fortalecer la seguridad y respaldar el cumplimiento con las políticas empresariales.

Adquiera Tenable.io Container Security

Tenable.io Container Security permite de forma fácil y segura procesos de DevOps al ofrecer visibilidad sobre la seguridad de las imágenes de contenedores, incluyendo vulnerabilidades, malware e infracciones a políticas, mediante la integración con el proceso de desarrollo.

Versión de prueba Compre ahora

Probar Tenable Lumin

GRATIS POR 30 DÍAS

Con Tenable Lumin, visualice y explore su Cyber Exposure, dé seguimiento a la reducción del riesgo con el tiempo y compárela con la de sus competidores.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para averiguar cómo Lumin puede ayudarle a obtener información de toda su organización y gestionar el riesgo cibernético.