Estudio de Tenable revela que casi la mitad de las organizaciones utiliza la evaluación estratégica de vulnerabilidades como base de ciberdefensa
8 de agosto de 2018 · LAS VEGAS
La investigación realizada a 2,100 organizaciones a nivel mundial, da a conocer la forma en que estas empresas evalúan el riesgo cibernético
Tenable®, Inc., la compañía de Cyber Exposure, publicó hoy su reporte de investigación Informe de estrategias del defensor cibernético today that uses data science against real-world telemetry data to analyze how 2,100 organizations are assessing their exposure to vulnerabilities, a critical component to improving overall cybersecurity posture. El informe muestra que casi el 48% por ciento de las organizaciones a nivel mundial han adoptado evaluaciones estratégicas de vulnerabilidad. Estas evaluaciones se definen como programas maduros o moderadamente maduros que incluyen: exploración dirigida y personalizada y priorización de recursos informáticos basados en la criticidad empresarial, como elemento fundamental de su defensa cibernética y paso crítico hacia la reducción del riesgo. Sin embargo, de esas organizaciones, solo el cinco por ciento exhibe el grado más alto de madurez, con cobertura integral de activos como piedra angular de sus programas. En el otro extremo del espectro, el 33 por ciento de las organizaciones adoptan un enfoque minimalista para las evaluaciones de vulnerabilidad, haciendo lo mínimo requerido por regulaciones de cumplimiento y aumentando el riesgo de que un evento cibernético afecte al negocio.
En un informe anterior de Tenable, “Cuantificación de la ventaja del atacante”, se destaca que los atacantes generalmente tienen una ventana de oportunidad promedio de siete días para explotar una vulnerabilidad conocida, antes de que los defensores incluso hayan determinado que son vulnerables. La brecha resultante de siete días está directamente relacionada con la forma en que las empresas realizan evaluaciones de vulnerabilidad: cuanto más estratégico y maduro sea el enfoque, menor será la brecha y menor será el riesgo para el negocio.
“En un futuro no muy lejano, habrá dos tipos de organizaciones: las que se enfrentan al desafío de reducir el riesgo cibernético y las que no se adaptan a un panorama de amenazas en constante evolución y aceleración en los entornos informáticos modernos”, dijo Tom Parsons, director sénior de gestión de productos en Tenable. “Esta investigación es un llamado a la acción para que nuestra industria tome en serio la oportunidad de devolver la ventaja a los defensores cibernéticos, comenzando con la evaluación rigurosa y disciplinada de las vulnerabilidades como base para la gestión madura de vulnerabilidades y, finalmente, la exposición cibernética.”
Tenable Research analizó los datos de telemetría en empresas durante más de tres meses, en más de 60 países, utilizando la ciencia de datos para identificar distintos estilos de madurez y posicionamiento estratégico sobre la seguridad. Esto puede ayudar a las organizaciones a administrar, medir y reducir el riesgo cibernético. El objetivo era analizar y ayudar a mejorar la respuesta de los defensores.
Los hallazgos clave incluyen:
Cuatro estrategias distintas para la evaluación de vulnerabilidad:
- El Minimalista ejecuta evaluaciones mínimas de vulnerabilidad, como lo exigen las regulaciones de cumplimiento. 33% de las organizaciones entran en esta categoría, ejecutando evaluaciones limitadas, solo sobre activos e específicos. Esto representa una gran cantidad de empresas que están expuestas al riesgo y que aún tienen algo de trabajo por hacer, con decisiones críticas sobre cuales KPIs deben mejorar primero.
- El Explorador realiza frecuentes evaluaciones de vulnerabilidad de amplio alcance, pero con poca autenticación y personalización de las plantillas de escaneo. 19% de las organizaciones siguen el estilo de Inspector, colocándolas en una madurez baja a media.
- El Investigativo ejecuta evaluaciones de vulnerabilidad con un alto nivel de madurez, pero solo evalúa los activos selectos. El 43% sigue el estilo Investigativo, lo que indica una estrategia sólida basada en una buena cadencia de escaneo, plantillas de escaneo enfocadas, amplia autenticación de activos y priorización. Tomando en cuenta los desafíos involucrados en la gestión de vulnerabilidades, asegurar la aceptación de la administración, cooperar con unidades de negocios dispares como operaciones de TI, mantener el personal y las habilidades, y las complejidades de escala, este es un gran logro y proporciona una base sólida sobre la cual se puede fortalecer la madurez.
- El Cuidadoso representa el nivel más alto de madurez, logrando una visibilidad casi continua para saber en dónde un activo está protegido o expuesto y en qué medida, a través de una alta frecuencia de evaluación. Solo el 5% de las organizaciones se incluyen en esta categoría, mostrando cobertura completa de activos, evaluaciones y escaneos personalizados según lo requiera el caso.
- En todos los niveles de madurez, las organizaciones se benefician al tomar decisiones estratégicas y emplear tácticas más maduras como escaneos frecuentes y autenticados para mejorar la eficacia de los programas de evaluación de vulnerabilidad.
Para obtener más información sobre la investigación, lea la publicación del blog de Tenable Research aquí: https://www.tenable.com/blog/how-mature-are-your-cyber-defender-strategies.
Visite Tenable en Black Hat USA 2018 en Las Vegas (stand 404).
Acerca de Tenable
Tenable®, Inc. es la compañía de ¨Cyber Exposure¨ (disciplina emergente para medir y gestionar el riesgo cibernético en la superficie de ataque moderna). Más de 24,000 organizaciones de todo el mundo confían en Tenable para comprender y reducir el riesgo cibernético. Creador de Nessus®, Tenable ha ampliado su experiencia en vulnerabilidad para ofrecer Tenable.io, la primera plataforma del mundo para visibilidad y protección de cualquier activo digital en cualquier plataforma informática. Más del 50% de los clientes de Tenable están en la lista de Fortune 500, más del 25% en Global 2000 y en las grandes agencias gubernamentales. Para mayor información ingrese a tenable.com.
Información de contacto:
Maria Fernanda Torres
[email protected]
Manténgase actualizado
Suscríbase a nuestras alertas de correo electrónico que le avisan de nuevos comunicados de prensa.