• La investigación realizada a  2,100 organizaciones a nivel mundial,  da a conocer  la forma en que estas empresas evalúan el riesgo cibernético.
  • Los hallazgos contemplan estrategias distintas para evaluación  de  vulnerabilidad, identificando 4 estilos distintos de madurez en cuanto a  seguridad, de donde solo el 5% de las organizaciones exhibe el grado de madurez  más alto
  • Cuanto más estratégico y maduro sea el enfoque, menor será la brecha de seguridad, así como el riesgo para el negocio.

2 de octubre de 2018

Tenable, Inc., la compañía de Cyber ??Exposure, publicó hoy su reporte de investigación Informe de estrategias del defensor cibernético, que utiliza la ciencia de datos contra datos de telemetría en tiempo real para analizar la manera en la que 2.100 organizaciones están evaluando su exposición a las vulnerabilidades, un componente crítico para mejorar la postura general de la ciberseguridad.

El informe muestra que casi el 48% por ciento de las organizaciones a nivel mundial han adoptado evaluaciones estratégicas de vulnerabilidad. Estas evaluaciones se definen como programas maduros o moderadamente maduros que incluyen: exploración dirigida y personalizada y priorización de recursos informáticos basados ??en la criticidad empresarial, como elemento fundamental de su defensa cibernética y paso crítico hacia la reducción del riesgo. Sin embargo, de esas organizaciones, solo el cinco por ciento exhibe el grado más alto de madurez, con cobertura integral de activos como piedra angular de sus programas. En el otro extremo del espectro, el 33 por ciento de las organizaciones adoptan un enfoque minimalista para las evaluaciones de vulnerabilidad, haciendo lo mínimo requerido por regulaciones de cumplimiento y aumentando el riesgo de que un evento cibernético afecte al negocio.

En un  informe anterior de Tenable, “Cuantificación de la ventaja del atacante“, se destaca que los atacantes generalmente tienen una ventana de oportunidad promedio de siete días para explotar una vulnerabilidad conocida, antes de que los defensores incluso hayan determinado que son vulnerables. La brecha resultante de siete días está directamente relacionada con la forma en que las empresas realizan evaluaciones de vulnerabilidad: cuanto más estratégico y maduro sea el enfoque, menor será la brecha y menor será el riesgo para el negocio.

“En un futuro no muy lejano, habrá dos tipos de organizaciones: las que se enfrentan al desafío de reducir el riesgo cibernético y las que no se adaptan a un panorama de amenazas en constante evolución y aceleración en los entornos informáticos modernos”, dijo Tom Parsons, director sénior de gestión de productos en Tenable. “Esta investigación es un llamado a la acción para que nuestra industria tome en serio la oportunidad de devolver la ventaja a los defensores cibernéticos, comenzando con la evaluación rigurosa y disciplinada de las vulnerabilidades como base para la gestión madura de vulnerabilidades y, finalmente, la exposición cibernética”.

Tenable Research analizó los datos de telemetría en empresas durante más de tres meses, en más de 60 países, utilizando la ciencia de datos para identificar distintos estilos de madurez y posicionamiento estratégico sobre la seguridad.  Esto puede ayudar a las organizaciones a administrar, medir y reducir el riesgo cibernético. El objetivo era analizar y ayudar a mejorar la respuesta de los defensores.

Los hallazgos clave incluyen:

Cuatro estrategias distintas para la evaluación de  vulnerabilidad:

  • El Minimalista ejecuta evaluaciones mínimas de vulnerabilidad, como lo exigen las regulaciones de cumplimiento. 33% de las organizaciones entran en esta categoría, ejecutando evaluaciones limitadas, solo sobre activos e específicos. Esto representa una gran cantidad de empresas que están expuestas al riesgo y que aún tienen algo de trabajo por hacer, con decisiones críticas sobre cuales KPIs deben mejorar primero.
  • El Explorador realiza frecuentes evaluaciones de vulnerabilidad de amplio alcance, pero con poca autenticación y personalización de las plantillas de escaneo. 19% de las organizaciones siguen el estilo de Inspector, colocándolas en una madurez baja a media.
  • El Investigativo ejecuta evaluaciones de vulnerabilidad con un alto nivel de madurez, pero solo evalúa los activos selectos. El 43% sigue el estilo Investigativo, lo que indica una estrategia sólida basada en una buena cadencia de escaneo, plantillas de escaneo enfocadas, amplia autenticación de activos y priorización. Tomando en cuenta los desafíos involucrados en la gestión de vulnerabilidades, asegurar la aceptación de la administración, cooperar con unidades de negocios dispares como operaciones de TI, mantener el personal y las habilidades, y las complejidades de escala, este es un gran logro y proporciona una base sólida sobre la cual se puede fortalecer la madurez.
  • El Cuidadoso representa el nivel más alto de madurez, logrando una visibilidad casi continua para saber en dónde un activo está protegido o expuesto y en qué medida, a través de una alta frecuencia de evaluación. Solo el 5% de las organizaciones se incluyen en esta categoría, mostrando cobertura completa de activos, evaluaciones y escaneos personalizados según lo requiera el caso.

En todos los niveles de madurez, las organizaciones se benefician al tomar decisiones estratégicas y emplear tácticas más maduras como escaneos frecuentes y autenticados para mejorar la eficacia de los programas de evaluación de vulnerabilidad.

 

Reporte de investigación Informe de estrategias del defensor cibernético

https://es-la.tenable.com/cyber-exposure/cyber-defender-strategies.