El 36% de las vulnerabilidades carece de parches tres meses después de ser descubiertas
Datos de la industria recogidos en el análisis “Las Virtudes de los Parches Virtuales” de la firma de investigación Aberdeen Group, revelan que sólo el 58% de las vulnerabilidades descubiertas en 2011 tenía parches del fabricante en el mismo día, y el 36% no tenía parches disponibles tres meses después, ya en 2012, dificultando la gestión de parches de seguridad.
El informe de Aberdeen analiza la gestión de parches de seguridad que hacen las empresas, y concluye que, de media, casi las tres cuartas partes (75%) de todas las empresas cuentan con las actuales implementaciones para la gestión de parches. Con todo, y a pesar de que el despliegue de parches se sitúe en un nivel del 100%, aún existen riesgos residuales.
Y eso, porque los fabricantes, en general, no son capaces de mantener al día sus soluciones frente al creciente número de vulnerabilidades y amenazas. Aberdeen se hace eco en su texto de cifras procedentes de la industria que aseguran que, en 2011, solo el 58% de las vulnerabilidades recibió un parche el mismo día en el que se descubrió, y que, tres meses después, ya en este año, el 36% de las brechas aún no tenía solución.
Los cálculos de la firma de investigación apuntan, por otra parte, que el coste medio total de un incidente de seguridad se eleva a 130.000 dólares; mientras que el coste medio total de los incidentes que implican pérdida o exposición de datos sensibles asciende a 640.000 dólares.
Como solución, Aberdeen trata de impulsar la gestión de parches virtuales, para la que recomienda “comprar más tiempo”. Según su texto, la aplicación de parches virtuales se refiere al despliegue estratégico de controles de compensación seleccionados para ofrecer una especie de escudo protector que permita a las organizaciones disponer de más tiempo para evaluar, planificar, probar y solucionar las amenazas y 
vulnerabilidades en función de un programa de propia elección.
"El parche virtual puede representar una cuestión financiera y operativa importante para el negocio", afirma Derek Brink, vicepresidente e investigador de seguridad TI de Aberdeen Group. "Entre otras ventajas, puede proporcionar a las empresas la flexibilidad necesaria para parchear en base a su propia planificación y ayudar a mitigar el elevado coste de oportunidad del tiempo de inactividad no planificado, que fácilmente puede ascender a decenas de miles de dólares por hora. Las empresas deberían prestar más atención a los parches virtuales como estrategia para incrementar sus procesos tradicionales de gestión de parches, y para mejorar la eficiencia y eficacia de la gestión de vulnerabilidades y amenazas en su infraestructura de TI".
