Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir

Cómo medir la eficacia de su programa de ciberseguridad: cinco preguntas que debe formular

Cuando se trata de medir la eficacia de sus iniciativas de seguridad, comprender cómo se compara su programa con el de sus competidores puede indicar dónde se necesitan mejoras o inversiones clave. 

Demostrar el éxito en materia de ciberseguridad siempre ha sido un reto: Si juega a la defensiva y no pasa nada malo, ¿se debe a que es inteligente o a la suerte? Obtener una perspectiva de la eficacia de su organización es un paso crucial para mejorar su higiene cibernética. 

Aunque los nuevos exploits o los ataques de día cero ocupan los titulares, las causas más comunes de las filtraciones son familiares y predecibles. De acuerdo con el documento Panorama de amenazas del 2020, una retrospectiva de Tenable Research, estas incluyen las siguientes:

  • Vulnerabilidades antiguas a las que no se les colocó ningún parche.

  • Procesos administrativos y de configuración deficientes.

  • Seguimiento insuficiente de los activos.


La comprensión de su proceso de gestión de vulnerabilidades es primordial para evaluar el riesgo cibernético

El escaneo del entorno y las medidas para afrontar los riesgos inaceptables de forma prioritaria son los dos pilares de cualquier programa de seguridad eficaz.  Pero las organizaciones a menudo no tienen un conocimiento completo de estos procesos. Dos mediciones críticas que debe tener a tu alcance son las siguientes:

  • Madurez de la evaluación Esta métrica le proporciona una visión de sus procesos de escaneo para asegurar que su equipo trabaja con un panorama completo y preciso de su superficie de ataque en evolución

  • Madurez de la corrección Esta métrica le permite evaluar el grado de puntualidad y proactividad en la mitigación de los riesgos críticos


Las comparaciones entre competidores muestran dónde se necesitan inversiones clave

Por sí solas, estas métricas del proceso de gestión de vulnerabilidades no le revelan todo lo que necesita saber: necesita un sentido de la perspectiva para entender cómo se apilan en el contexto de su grupo de competidores. Sea cual sea su sector, no querrá estar al pie del cañón. Pero, sin una evaluación comparativa entre competidores, es difícil saber el grado de en el qué rinden las medidas que toma realmente.

Cuando piense en los aspectos fundamentales de la higiene cibernética -evaluación y corrección- debe saber lo siguiente: 

  1. ¿Cómo voy?

  2. ¿Cómo me comparo con mis competidores?
  3. ¿Qué medidas concretas debo tomar para mejorar? 


Las respuestas a estas preguntas le permitirán solicitar un presupuesto y asignar recursos, ya que le ayudarán a comprender y comunicar su rendimiento entre las unidades de negocio internas y en comparación con sus competidores externos. Considérelo como si un profesor le calificara en una curva y le dijera exactamente lo que tiene que hacer para obtener un sobresaliente en la clase.

Cinco preguntas para conocer la madurez de su programa de seguridad

1. ¿Con qué frecuencia escanea la mayoría de sus activos?


Aquí es donde comienza su camino hacia la madurez.  Si responde a esta pregunta con precisión, empezará a comprender de qué recursos dispone en el ámbito interno, qué es razonable lograr y qué métricas críticas puede obtener.


  • 
Con el escaneo en marcha, se pueden hacer preguntas adicionales como estas: 
  • ¿Qué grado de su entorno escanea periódicamente?

  • ¿Cuánto tiempo pasa aproximadamente entre escaneos?

  • ¿Estos comportamientos varían según las unidades de negocio o las zonas geográficas? 

  • ¿Las áreas se desglosan según la criticidad del activo para su negocio, el tipo o la geolocalización del activo o cualquier otro factor? 

  • ¿Cuál es el requisito de SLA para cada una de esas categorías? 



Cuanto más largo sea el ciclo de escaneo (tiempo entre escaneos), más tiempo permanecerán las vulnerabilidades sin identificar y sin colocarles parches.  No solamente hay que cuantificar los riesgos, sino también identificarlos con rapidez. Para darle algo de perspectiva, la organización promedio escanea sus activos con una frecuencia aproximada de cuatro días, según Tenable Research.

2. ¿Qué porcentaje de vulnerabilidades abiertas está registrando?



La autentificación es el primer punto de clasificación. No se puede cuantificar lo que no se ve. Si su meta es la reducción de riesgos, la autenticación es fundamental siempre y cuando se pueda. A final de cuentas, la realización de una evaluación lo más profunda y amplia posible de un activo es un paso primordial para poder saber dónde se encuentran los riesgos, qué activos o funciones de negocio se ven afectados y qué hay que hacer para corregir y reducir el riesgo. Sin conocer el alcance, la criticidad, el impacto y los requisitos de trabajo, simplemente no hay manera de gestionar con eficacia el riesgo y desarrollar un programa más maduro que pueda afrontar y reducir los riesgos de forma adecuada en el futuro. Tenable Research muestra que los escaneos con credenciales detectan un promedio de 45 veces más vulnerabilidades por activo que aquellos escaneos sin credenciales; sin embargo, casi el 60 % de los activos empresariales se escanean sin credenciales locales, lo cual arroja falsos negativos. 


3. ¿Con qué rapidez se resuelven las vulnerabilidades de alto riesgo?


Según el Informe de inteligencia de vulnerabilidades 2021 de Tenable, en 2020 se identificaron 18 358 nuevas vulnerabilidades. Pero solo el 5,2 % tenía un exploit que era de público conocimiento. Hay que reparar primero lo que más importa. Para reducir el riesgo de la manera más eficiente y eficaz, es necesario conocer la rapidez con la que se abordan las vulnerabilidades que se han identificado como de alto riesgo en los activos que tienen una importancia alta o crítica para sus funciones de negocios. Comprender la naturaleza de la amenaza que supone una vulnerabilidad implica conocer las características de dicha vulnerabilidad que la hacen atractiva para los atacantes, junto con la información sobre amenazas para conocer la actividad que se desarrolla en torno a esa vulnerabilidad concreta. No puede permitirse el lujo de desperdiciar recursos valiosos en vulnerabilidades que suponen una amenaza escasa o nula.

4. ¿Qué porcentaje de activos cuentan con protección de puntos de conexión?


La seguridad de los puntos de conexión es una capa de defensa necesaria entre muchas otras.  Debe saber si sus sistemas tienen instalados los programas de seguridad necesarios y si está al tanto de cualquier software no autorizado o potencialmente peligroso instalado en esos activos. Pero no se trata únicamente de un problema de malware; por ejemplo, podría tratarse de violaciones de las políticas como tener telnet abierto, cuando no está permitido que telnet esté disponible en ningún sistema corporativo. El riesgo de no formular esta pregunta es sencillamente que no se sabe si los controles están en todos los lugares donde se espera que estén. Este es un problema demasiado común. Solo el 44 % de los responsables de infosec afirma que su organización tiene una buena visibilidad hacia la seguridad de sus activos más críticos, según un estudio encargado por Forrester Consulting en nombre de Tenable.


5. ¿Está reduciendo el riesgo cibernético a lo largo de las funciones clave del negocio?


El estudio de Forrester también revela que solo cuatro de 10 líderes de seguridad pueden responder con mucha confianza a la pregunta: "qué tan seguros, o en riesgo, estamos?". Es una pregunta sencilla, pero que puede ser muy difícil de responder sin la inteligencia y las métricas adecuadas. 
A nivel ejecutivo, comprender si el riesgo se está reduciendo en todas las funciones del negocio (equipos, geolocalizaciones, tipos de activos, etc.) se alinea con las metas del negocio en general y demuestra el valor y el retorno de la inversión para el presupuesto otorgado al programa de seguridad. A nivel estratégico, la respuesta a esta pregunta ayuda a los directivos cotidianos a tomar mejores decisiones sobre los aspectos en los que el programa rinde más (y, por tanto, sobre cómo reproducirlo en otras áreas) y los aspectos en los que no funciona tan bien. A nivel táctico, los responsables de la corrección y la colocación de parches deben entender cómo sus esfuerzos están impulsando la dirección correcta para su función de negocio en particular, así como la forma en que sus iniciativas se comunican en la cadena hasta el ámbito ejecutivo. 

Sin respuestas precisas a estas preguntas, es posible que no sepa si realmente está reduciendo el riesgo o no. Además, puede obviar áreas de la organización que tienen dificultades para reducir el riesgo o que están poniendo en peligro al resto de la organización debido a su incapacidad para reducirlo. 

Mejore su programa de seguridad para reducir su Cyber Exposure

Al responder honestamente a estas cinco preguntas, puede establecer su programa para el éxito con una línea de base de inteligencia de seguridad, riesgo cibernético y métricas de integridad del proceso a partir de las cuales medir la mejora en el tiempo. A continuación, la comparación de sus métricas con los equipos internos y con los pares externos le permitirá identificar dónde se necesitan mejoras clave: por ejemplo, su departamento de contabilidad podría tener una cobertura de escaneo autenticado inadecuada; o su programa general podría no estar solucionando los problemas críticos con la suficiente rapidez en comparación con los competidores del sector.


Independientemente de la etapa de madurez en la que se encuentre su programa, Tenable puede ayudarle haciendo un seguimiento automático de estas métricas de procesos clave y destacando las deficiencias en las que las inversiones adicionales pueden tener un mayor impacto en la reducción del riesgo. Una vez que tenga esta imagen completa, puede empezar a priorizar sus esfuerzos y jugar a la ofensiva ocupándose activamente de la fruta que está más al alcance de la mano y que los atacantes tienen más probabilidades de explotar. 

Más información

Artículos relacionados

Noticias de ciberseguridad que le son útiles

Ingrese su correo electrónico y nunca se pierda alertas oportunas y orientación en seguridad de los expertos de Tenable.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Probar Tenable Web App Scanning

Disfrute de acceso completo a nuestra última oferta de escaneo de aplicaciones web diseñada para aplicaciones modernas como parte de la plataforma Tenable One Exposure Management. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Registrarse ahora.

Su prueba de Tenable Web App Scanning también incluye Tenable Vulnerability Management y Tenable Lumin.

Comprar Tenable Web App Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Probar Tenable Lumin

Visualice y explore su gestión de exposición, realice un seguimiento de la reducción de riesgos a lo largo del tiempo y compárese con sus competidores con Tenable Lumin.

Su prueba de Tenable Lumin también incluye Tenable Vulnerability Management y Tenable Web App Scanning.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para saber cómo puede ayudarle Tenable Lumin a obtener información de toda su organización y gestionar el riesgo cibernético.

Probar Tenable Nessus Professional gratuitamente

GRATIS POR 7 DÍAS

Tenable Nessus es el escáner de vulnerabilidades más completo en el mercado hoy en día.

NUEVO - Tenable Nessus Expert
Ahora disponible

Nessus Expert viene con aún más funcionalidades, incluyendo escaneo de superficie de ataque externa y la capacidad de agregar dominios y escanear infraestructura en la nube. Haga clic aquí para probar Nessus Expert.

Rellene el formulario a continuación para continuar con la prueba de Nessus Pro.

Comprar Tenable Nessus Professional

Tenable Nessus es el escáner de vulnerabilidades más completo en el mercado hoy en día. Tenable Nessus Professional ayudará a automatizar el proceso de escaneo de vulnerabilidades, ahorrará tiempo en sus ciclos de cumplimiento y le permitirá involucrar a su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año.

Seleccione su licencia

Compre una licencia multi anual y ahorre.

Añada soporte y capacitación

Probar Tenable Nessus Expert gratuitamente

GRATIS POR 7 DÍAS

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

¿Ya tiene Tenable Nessus Professional?
Actualice a Nessus Expert gratuitamente por 7 días.

Comprar Tenable Nessus Expert

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

Seleccione su licencia

Compre una licencia plurianual y ahorre más.

Añada soporte y capacitación