Vulnerabilidad crítica vigente analizada con la lupa de tres KPIs

El primero de julio de 2021 fue revelada por accidente una vulnerabilidad en el sistema operativo Windows de Microsoft. 

La publicación de esta vulnerabilidad sin haber sido desarrollado un parche por parte de Microsoft, ha causado que muchos sistemas operativos estén en riesgo crítico, ya que esta vulnerabilidad le permite a un atacante tomar control de los equipos afectados. 

Microsoft está trabajando fuertemente en el desarrollo del parche que corrija la vulnerabilidad, por el momento, lo recomendado es que donde sea posible, se deshabilite el servicio de impresión que viene activado por defecto. 

Esta es una de las razones por las que se recomienda realizar un análisis de vulnerabilidades por semana para verificar la presencia de esta clase de riesgos. Entre más tiempo tardes en realizar esta tarea, mayor va a ser el riesgo al cual va a estar expuesta tu organización. 

Vamos a analizar esta vulnerabilidad desde la lupa de tres (3) indicadores de ciberseguridad.

La vulnerabilidad fue descubierta en julio 1 de 2021, el tiempo que demores en detectar esta vulnerabilidad en la organización se le conoce como TTD (Time to Detect), tiempo en detectar, este indicador está dado en días, a mayor número de días, mayor es el riesgo.

Ahora, el segundo indicador es TTR (Time to Resolv), tiempo en resolver, el cual corresponde al tiempo que te tomará cerrar la vulnerabilidad. Al igual que la variable anterior, a mayor número de días, mayor es el riesgo.

Finalmente tenemos el indicador WTE (Window to Expose), ventana de exposición, el cual corresponde a la suma de los dos indicadores anteriores y da como resultado el tiempo total en el que la organización estuvo expuesta a la vulnerabilidad.

Pongámosle números a los indicadores, digamos que aún no has realizado un análisis de vulnerabilidades en todos los equipos Windows de la organización y que lo tienes planeado para el próximo martes 13 de julio de 2021. El indicador TTD será de 13 días.

Se hallaron 250 equipos con la vulnerabilidad reportada, hablas con tu equipo de trabajo y ellos te dan un tiempo estimado de cierre de15 días. El indicador TTR será 15 días.

Ahora, la ventana de exposición será: TTD + TTR. 13 + 15 = 28 días.

28 días fue el tiempo al cual van a estar expuestos 250 equipos de tu organización a una vulnerabilidad crítica que permite tener el control completo de la información contenida en ellos.

Te recomiendo mantener estos indicadores lo más pequeño que sea posible para evitar situaciones de riesgo. Ten presente que estas recomendaciones siempre dependerán del apetito de riesgo de cada organización y de lo valiosa que consideren su información. 

Tres indicadores de ciberseguridad que debes conocer y aplicar en tu organización.

En este post vamos a trabajar tres indicadores de ciberseguridad y ver como puede llegar a afectar los activos de tu infraestructura tecnológica.

El primer indicador es MTTD y está relacionado con el tiempo que te demoras en detectar una vulnerabilidad en la infraestructura de tu organización y me refiero a todos los equipos conectados a la red interna, la nube, sedes remotas, datacenter alterno y los equipos en teletrabajo (puede haber otros sitios dependiendo de la arquitectura de red de la organización). 

Entre más rápido detectes una vulnerabilidad, más rápido puedes trabajar en un plan de remediación. Este indicador deberá ser lo más corto posible, puedes comenzar con un análisis de vulnerabilidades cada treinta días y a medida que vayas madurando el proceso deberás llegar a siete días o menos.  

El segundo indicador es MTTR y corresponde al tiempo que vas a demorar en remediar la vulnerabilidad. Aquí tenemos que hacer una bifurcación entre los equipos críticos como servidores y equipos de red, y los no tan críticos como lo son las estaciones de trabajo. 

Para los equipos no críticos es más fácil la remediación porque en la mayoría de los casos no requieren de laboratorios de pruebas para verificación de no afectación del servicio. Este tiempo puede iniciar en quince días y madurar el proceso para que tome máximo siete días. Para el caso de los equipos críticos, el tiempo recomendado es de tres semanas, dependiendo de la criticidad de la infraestructura. Debes tratar de reducir este tiempo lo máximo posible en aras de proteger la información. 

El tercer indicador es AWOE, corresponde al tiempo transcurrido desde que una vulnerabilidad se hace pública y el tiempo del cierre de la vulnerabilidad, en términos prácticos, es la suma de los dos indicadores anteriores. Para equipos no críticos deberá estar al rededor del los quince días y para equipos críticos al rededor de los treinta días. 

La base de estos indicadores es la frecuencia del análisis de vulnerabilidades y el rápido tratamiento de los resultados hallados. Recomendado, un análisis mensual y madurar el proceso hasta llegar a un análisis cada siete días o menos, como siempre depende de la criticidad de la información. 

Recuerda que no todas las organizaciones son iguales por lo que lo sugerido, está basado en las recomendaciones de expertos y se deben de ajustar a los requerimientos de cada una, teniendo en cuenta que entre más altos sean estos indicadores, mayor va a ser la exposición al riesgo.  

“Lo que no se mide no se puede mejorar”. William Thomson Kelvin