Las amenazas a la seguridad aumentan cada año, pero es útil adoptar un enfoque basado en el riesgo para la gestión de amenazas y vulnerabilidades. Aquí hay cinco pasos para comenzar.
Como antecedente, 2018 fue un año récord para la ciberseguridad, y no en el buen sentido. Más de 16,500 vulnerabilidades de seguridad fueron descubiertas y catalogadas en la Base de Datos de Vulnerabilidad y Exposición Común de Mitre . Este es un aumento del 12% desde 2017.
Con un crecimiento como ese, puede pensar que es imposible mantenerse por delante de ellos. Pero la automatización y un enfoque basado en el riesgo para la gestión de vulnerabilidades pueden ayudarlo a abordar este problema creciente.
Para comenzar, debe analizar su estrategia de ciberseguridad de manera integral. Pero esto es a menudo más fácil decirlo que hacerlo.
Entonces, ¿qué primeros pasos debe seguir para encaminarse hacia un enfoque de gestión de vulnerabilidades basado en el riesgo?
Comprenda la importancia de sus activos (haga un inventario)
La criticidad de los activos es el valor que asigna a los activos más vitales de la organización, incluido el hardware, el software y la información confidencial. Definir esto dirige su enfoque a monitorear y mantener los activos más importantes. Estos son los que costarán más si fallan, son robados o quedan obsoletos. Los costos se obtienen al considerar el reemplazo de activos, la pérdida de servicio / tiempo de inactividad y la responsabilidad legal. Para comprender la importancia de sus activos, el primer paso es crear un inventario de los mismos.
“Una buena plataforma de gestión de amenazas y vulnerabilidades utilizará su puntuación y clasificaciones para delegar y asignar automáticamente tareas de corrección”.
Asigne una calificación de riesgo (cuantifique su enfoque)
Ahora que sus activos están catalogados, el siguiente paso es identificar los riesgos, o combinaciones de amenazas y vulnerabilidades, que pueden afectar sus activos. Esta no es una tarea rápida, pero vale la pena el esfuerzo. Piense en los escenarios que podrían afectar las computadoras de la organización, los dispositivos móviles, el almacenamiento y los empleados. ¿Qué tipo de incidentes no deseados pueden tener lugar? ¿Qué debilidades podrían ser explotadas?
Así es como calculará una calificación de riesgo, una puntuación que determina el impacto y la probabilidad de que cada riesgo ocurra realmente. Estos puntajes le brindan un punto de referencia, para que sepa exactamente cuándo los riesgos están más allá de los niveles aceptables, y puede tomar medidas.
Normalice las definiciones de seguridad y riesgo (hable el mismo idioma)
A medida que realiza un inventario de los activos y asigna sus puntajes de riesgo, es importante crear definiciones de riesgo y seguridad interna estándar. Esto se debe a que los escáneres de vulnerabilidades y otras fuentes de información sobre amenazas no registran la gravedad de manera uniforme. Algunos asignan calificaciones numéricamente (por ejemplo, 1-10), mientras que otros califican las cosas cualitativamente (“urgente” o “crítico”). Debe elegir lo que funcione para usted, en lugar de encerrarse en las definiciones de gravedad y riesgo de otra persona.
Si está utilizando un software de gestión de vulnerabilidades específico, aquí es donde ingresaría sus propias clasificaciones de riesgo y mapearía cómo interpreta un puntaje de Qualys versus un puntaje de Nexpose. Hacer esto crea un sistema de puntuación unificado que normaliza los hallazgos del escáner y estandariza los planes de corrección. También extrae los hallazgos de todas las herramientas de seguridad para crear informes y paneles precisos y oportunos.
Delegar la gestión de amenazas y vulnerabilidades (tomar medidas)
Una buena plataforma de gestión de amenazas y vulnerabilidades utilizará la puntuación y las clasificaciones para delegar automáticamente y asignar tareas de remediación a la persona o equipo correcto para manejar la amenaza.
Muchas organizaciones tienen políticas sobre la cantidad máxima de tiempo que debería tomar resolver una vulnerabilidad basada en el nivel de amenaza, por ejemplo:
- 1-10 días para vulnerabilidades críticas
- 30 días para vulnerabilidades de alta gravedad
- 60 días para vulnerabilidades medias.
Pero estos plazos para la reparación son a menudo difíciles de cumplir. Una encuesta del Instituto SANS señaló que solo el 68% de los encuestados pudieron reparar, parchar o mitigar vulnerabilidades críticas en menos de un mes. Obviamente, eso no es lo ideal, porque cuanto más tiempo se demore en resolver, mayor será el riesgo. Pero al automatizar el cálculo de estas amenazas y asignar las clasificaciones de riesgo apropiadas, puede comenzar a rastrear los plazos y priorizar los flujos de trabajo.
Esta configuración y automatización optimizarán su trabajo y lo ayudarán a lidiar con las enormes cantidades de datos de vulnerabilidad que recibe diariamente. Muchas organizaciones que automatizan estos procesos ven reducciones sólidas en el tiempo que lleva realizar la gestión diaria del riesgo cibernético. Y al crear esta jerarquía, responderá a los elementos de alta prioridad más rápido.
Aprovecha al máximo tus datos
Una de las partes más importantes de todo este proceso es tener una comprensión clara de cómo analizar sus datos. Muchos profesionales de seguridad de TI se encuentran con muchos datos, pero sin poder darles utilidad. Pero como ya tiene los datos, ahora es solo cuestión de llevarlos a una plataforma de administración de amenazas y vulnerabilidades. Luego, puede completar esas primeras asignaciones para comprender la crítica.
Vale la pena trabajar la vulnerabilidad de su organización, especialmente cuando comienza a ver el ahorro de tiempo, la corrección más rápida y la reducción de riesgos y amenazas.
