Cada 90 minutos una nueva vulnerabilidad de seguridad es detectada y los criminales suelen  aprovecharla para acceder a los sistemas de una empresa. Si un hacker puede atacar con éxito antes de que se corrija el problema, existe un alto riesgo de que se produzca una filtracion de datos. La gestión de vulnerabilidades ayuda a las empresas a prevenir esto mediante la identificación de los puntos débiles del software empleado y de su configuración.

Todas las vulnerabilidades ya conocidas aparecen en el listado online “identificador de vulnerabilidades y riesgos comunes” (CVE). Pero ya que la lista es accesible a todo el mundo, los ciberpiratas también tienen acceso a su contenido. Las debilidades conocidas son blancos fáciles para los hackers debido a que la mayoría de las empresas no actualizan el software a tiempo. ¿Pero por qué ocurre eso?

Primero que nada, corregir una vulnerabilidad conocida toma su tiempo ya que las actualizaciones de software deben ser probadas antes de ser implementadas. Esto tiene sentido  ya que las empresas tienen la que asegurarse de que el funcionamiento operativo no sea interrumpido. Por ejemplo, en los hospitales, el actuar demasiado rápido podría llevar a situaciones complicadas, incluso de vida o muerte.

En segundo lugar, alrededor de dos tercios de los profesionales de seguridad online revelan que es difícil establecer que es lo que se necesita reparar primero. La lista de vulnerabilidades es larga y las empresas requieren decidir cuáles representan mayor riesgo de ataque, ya que ésas deben abordarse inmediatamente.

La gestión de vulnerabilidad es una carrera contra el tiempo

La gravedad y el volumen de los ataques han aumentado y éstos se producen mucho más rápidamente. Reducir las amenazas es una carrera contra el tiempo. Lamentablemente, un promedio de 103 días tardan las empresas en eliminar las debilidades detectadas, demasiado tiempo si consideramos el panorama actual de ciberamenazas.

Un estudio reciente del instituto Ponemon reveló que las empresas que habían evitado las infiltraciones en los últimos dos años, estimaron su capacidad para detectar las vulnerabilidades de manera oportuna un 19% más alto que las que habían sido hackeadas.  A su vez, ellas calificaron su capacidad para reparar rápidamente estas debilidades un 41% más alta que las que habían sido infiltradas. Esto nos muestra que las entidades que detectan y corrigen puntos débiles a tiempo, tienen una mejor chance de evitar los incidentes cibernéticos.

El brote de software ransomware criptográfico WannaCry del 2017 es un buen ejemplo de como una vulnerabilidad conocida puede ser muy bien aprovechada. Si las empresas hubieran reparado el punto débil en un plazo de un mes después de su aparición, WannaCry no habría tenido tal envergadura o hubiese sido tan costosa y perjudicial. Eso es otro ejemplo de cómo las cosas pueden escalar rápidamente cuando las debilidades no están bajo control.

Cuando es necesario el software de gestión de vulnerabilidades

¿Por qué contratar más empleados de TI no necesariamente equivale a una mayor seguridad? En muchas empresas los expertos pierden demasiado tiempo haciendo cosas que podrían ser fácilmente automatizadas. El 61% de los equipos de seguridad cibernéticos afirman que los procesos manuales son los que los ponen en desventaja al corregir las debilidades, ésto representa además un riesgo para la entidad.

Imaginemos una nueva aplicación web con más de 100 superficies potenciales de ataque. Cada punto de entrada necesita ser chequeado contra 400 amenazas de vulnerabilidad de aplicaciones web. Este proceso requiere un especialista altamente capacitado para efectuar 40.000 pruebas de seguridad, donde cada una de ellas dura aproximadamente unos dos minutos. Si sumamos vemos que esto significa 1.333 horas de trabajo, es decir, medio año de trabajo. En cambio, usando un escáner de aplicaciones web automatico, esa labor podía ser efectuada en sólo unas pocas horas.

El software de gestión de vulnerabilidades es una gran ventaja a la hora de detectarlas, evaluarlas, informarlas y corregirlas. Asimismo, es útil para la identificación de riesgos, la reducción y la elaboración de informes adecuados a los estándares a cumplir. Asimismo, el software es escalable y revisa de miles de puntos débiles, lo que permite a los expertos de TI centrar sus esfuerzos en dos cosas: procesos de corrección y ajuste a la medida.

A la hora de priorizar vulnerabilidades hay que basarse en el verdadero riesgo empresarial en vez de la gravedad de la debilidad. Una vulnerabilidad grave no aumenta mucho en la prioridad de la reparación cuando se trata de un dispositivo móvil que no se está utilizando. Pero un punto débil leve en un servidor crítico para la empresa será sin duda una de las tareas urgentes a abordar. El software de gestión de vulnerabilidades simplifica la priorización basada en riesgos.

Los costosos robos de datos pueden ser evitados

La buena noticia es que las empresas pueden reducir el riesgo de ser víctimas de infiltraciones en un 20% simplemente al buscar sus vulnerabilidades TI. Es más, el 57% de las víctimas de robo de datos se vieron involucradas debido a un punto débil ya conocido, pero no corregido. Está claro que las entidades que buscan evitar los hackeos deberán invertir en la gestión de vulnerabilidades.

El robo de datos pueden resultar muy costoso: el promedio de una infiltración de datos es de unos 3,86 millones de dólares. Éstos costos de TI están vinculados con la detección, notificación y respuesta al pirateo de datos, pero además de ello se generan costos por pérdida de negocio: pérdida de clientes, interrupciones en el funcionamiento y tiempo de inactividad del sistema. Cuanto antes se identifique y contenga un robo de datos, menores serán los costos.

Además las empresas también se ven enfrentadas a multas. El GDPR – reglamento general de protección de datos europeo – les exige que informen de los casos ocurridos en el transcurso de 72 horas a partir de su descubrimiento o se enfrentan a multas considerables. Las empresas asimismo, necesitan contar con un proceso de comprobación, valoración y evaluación periódicas para garantizar la seguridad en el procesamiento de datos. Es decir, no hay más remedio que tomar la ciberseguridad en serio.

Al parecer las empresas aprenden, pero sólo cuando se les pone la pistola al pecho. Según la investigación del instituto Ponemon, cuanto mayor sea la infiltración encontrada, menos probable es que se experimente otro incidente en los 24 meses siguientes.

En vez de tener que pasar por una situación de robo de datos ¿no sería más inteligente (y más barato) aprender de los errores de otros?