Ya hemos hablado de cada cuanto se debe
hacer pruebas de seguridad, en Porque el análisis de
vulnerabilidades dos veces al año no es suficiente, en
esta entrada vamos a tratar la periodicidad y dos términos nuevos que han sido
acuñados “recientemente” por los especialistas en ciberseguridad: MTTD y MTTR.
Tanto si la organización cuenta o no, con
un programa de gestión de riesgos, es muy importante la ejecución de las
pruebas de análisis de vulnerabilidades para determinar la existencia de debilidades
en los activos crÃticos de la organización. Por normatividad, estas pruebas se
deben de realizar, para unas empresas dos (2) veces al año y para otras cuatro (4)
veces al año. Se debe tener en cuenta que estas normatividades tienen más de
diez (10) años y hablan acerca de lo “mÃnimo” que se debe hacer. Más allá de
cumplir con las normatividades, está el hecho de detectar posibles riesgos a
tiempo para prevenir los incidentes de ciberseguridad.
El término “periódicamente” se refiere a
que una actividad se repite a intervalos de tiempo, en términos de
ciberseguridad, un año es una barbaridad de tiempo, más aún cuando, solo
durante el 2019 se descubrieron 12174 vulnerabilidades a un promedio de 230
nuevas vulnerabilidades por semana. Por ello, cuando la organización tiene
definido el término periódicamente como un año, serÃa similar a una persona que
se hace chequeos de salud periódicamente cada 10 años.
Ahora, aceptemos temporalmente el periodo anual.
En ciberseguridad se manejan dos términos importantes que son: MTTD y MTTR. En palabras
simples, el primero se refiere al tiempo que se demora una organización en
detectar una vulnerabilidad crÃtica en la organización y el segundo se refiere
a, una vez detectada una vulnerabilidad, cuánto tiempo se demora el equipo
responsable en cerrar esa vulnerabilidad.
Las preguntas ahora serÃan:
¿Cuánto tiempo se está dispuesto a estar a
ciegas sin saber si existen vulnerabilidades crÃticas en los activos crÃticos de
la organización? Posibles respuestas: un mes, tres meses, un año... este es el tiempo que la organización va a estar en riesgo por desconocimiento.
¿Una vez identificada la vulnerabilidad, cuánto
tiempo se está dispuesto a permitir que la organización esté en riesgo? Posibles respuestas: un dÃa, una semana, un mes... este es el tiempo que la organización va a estar en riesgo por no tratamiento a tiempo de los riesgos.
En cualquiera de los dos casos, entre más alto es este tiempo, mayor es el riesgo que corre la organización.
Para el siguiente ejercicio, definamos un riesgo como: Posibilidad de sufrir un incidente de ciberseguridad por desconocimiento de las vulnerabilidades a las cuales está expuesta la plataforma de tecnologÃa.
El anterior gráfico muestra el nivel de riesgo cualitativo conocido, el cual va creciendo periódicamente durante un año. Para la serie 1, suponemos que los análisis son realizados el primer dÃa de cada mes, el nivel de riesgo va creciendo durante el mes pero llega a cero el primer dÃa de cada mes debido a que se ejecuta un nuevo análisis y se conocen las nuevas vulnerabilidades que pueden afectar la plataforma. Lo mismo ocurre para la serie dos (2) de forma trimestral y para la serie tres (3) de forma anual. De las tres (3) series la que más alto riesgo tiene es la serie con periodicidad anual (número 3), en la otra mano, la que menos riesgo tiene es la serie número uno (1) con periodicidad mensual, como resultado: entre más frecuentes se realicen las pruebas menor va a ser el nivel de riesgo.
A manera de conclusión podemos afirmar que
a mayor frecuencia de las pruebas de seguridad, menor es el riesgo al cual se
ve expuesto la organización.
ActivosTI cuenta con un paquete análisis de
vulnerabilidades consumible por puntos durante un año. Puede ponerse en
contacto al PBX:(+571) 9260100 o al móvil: (+57) 3152301090 o por email a
soluciones@activosti.com.
No hay comentarios:
Publicar un comentario