Con el creciente aumento de ataques informáticos que sufren las organizaciones actualmente, se hace necesario reevaluar la frecuencia con la que se revisan las vulnerabilidades informáticas presentes en los equipos informáticos y los riesgos digitales a los que estos están expuestos.
Independiente del país donde se encuentre, la normatividad le exigirá que realice dos o cuatro análisis de vulnerabilidades dependiendo del sector en el cual se encuentre. Esta es la medición mínima que debe hacer de acuerdo con las normatividades vigentes hace más de diez años.
La pregunta aquí sería: ¿desea cumplir con la normatividad exclusivamente o prefiere atender su cumplimiento y a la vez proteger su organización con la detección temprana de riesgos digitales?
Analicemos el caso de la empresa AAA que desea solo cumplir con la normatividad y para ello contrata una consultoría externa que ejecuta dos análisis de vulnerabilidades al año, uno en la primera semana de enero y otro en la primera semana de julio.
Teniendo en cuentas que la mayoría de los fabricantes liberan parches de seguridad semanalmente y que solo durante el 2019 se descubrieron 12174 vulnerabilidades a un promedio de 230 nuevas vulnerabilidades por semana, vamos a tomar la semana como la unidad de frecuencia de análisis de vulnerabilidades.
Para la empresa AAA, si solo se realizan dos análisis durante el año entonces solo en dos de las cincuenta y dos (52) semanas sabrá cómo está sus activos informáticos con respecto a las vulnerabilidades conocidas hasta el momento, tendrá solo 4% de visión, lo que quiere decir que el 96% del año no sabrá si esta expuesta, adicionalmente, si son descubiertas nuevas vulnerabilidades en febrero, marzo o cualquier otro mes ciego, deberá esperar hasta la primera semana de julio para saber si las nuevas vulnerabilidades halladas se encuentran en alguno de sus activos informáticos.
En la tabla podemos observar que a medida que se incrementa el número de análisis por año, también aumenta el porcentaje de visibilidad del riesgo digital.
El porcentaje de incertidumbre se puede determinar como el porcentaje del tiempo en un año en el que la empresa no sabe si está expuesta a nuevos riesgos digitales. A mayor frecuencia de análisis, menor porcentaje de incertidumbre.
Para concluir, se puede decir que dos veces al año no es suficiente, el análisis de vulnerabilidades se debe realizar lo más frecuentemente posible para reducir el nivel de incertidumbre ante los riesgos digitales. A manera de anotación debo decir que hay organizaciones que de acuerdo con la criticidad de sus activos, realizan dos o tres análisis por semana.
En una próxima entrada veremos las diferencias entre los siguientes términos: Análisis de vulnerabilidades, pruebas de hacking ético, pruebas de pentesting y pruebas de auditoría.
Tenga en cuenta que para este post solo se trató exclusivamente del tema de análisis de vulnerabilidades, independiente si se realiza de forma interna o con una firma externa especializada en el tema, más adelante hablaremos de la inclusión del análisis de vulnerabilidades dentro de un programa de gestión de vulnerabilidades y como se puede incluir este programa dentro del marco de ciberseguridad para el tratamiento de riesgos digitales.
No hay comentarios:
Publicar un comentario