Los 10 errores de gestión de vulnerabilidades que siguen cometiendo los CISO
Estos pasos en falso y conceptos erróneos pueden estar impidiendo que tu gestión de la vulnerabilidad sea la mejor posible.
Múltiples incidentes, incluida la filtración masiva de datos de la agencia de informes de crédito Equifax en 2017, han sido indagados hasta llegar a la existencia de vulnerabilidades sin parches: un estudio de Tripwire de 2019 encontró que el 27% de todos los incidentes de ciberseguridad fueron causados por vulnerabilidades sin parches, mientras que un estudio de Ponemon de 2018 puso la cifra en un asombroso 60%.
Esto no debería sorprender a nadie en el ecosistema de la seguridad: el número de vulnerabilidades identificadas anualmente ha aumentado en los últimos años.
Al mismo tiempo, los equipos de seguridad han estado muy ocupados haciendo posible el trabajo remoto seguro y abordando otras necesidades relacionadas con la pandemia, a la vez que lidiaban con la escasez de personal.
Como resultado, la mejora del programa de gestión de la vulnerabilidad no siempre es una prioridad.
Sin embargo, los jefes de seguridad veteranos dicen que ven errores comunes y pasos en falso que pueden y deben ser abordados para fortalecer estos programas. Aquí hay 10 errores que, según ellos, los CISO siguen cometiendo con frecuencia:
1. No conseguir el respaldo de los ejecutivos
El trabajo necesario para un buen programa de gestión de vulnerabilidades va mucho más allá del equipo de seguridad. Las decisiones sobre riesgos requieren la opinión de los ejecutivos, la aplicación de parches requiere experiencia en TI y el tiempo de inactividad programado para las actualizaciones afecta a múltiples funciones empresariales.
En consecuencia, los CISO necesitan el apoyo de múltiples actores en la organización para hacer bien esta tarea, y es más probable que obtengan ese apoyo cuando tienen el respaldo de los líderes más altos dentro de la empresa, dice Michael Gray, CTO del proveedor de servicios gestionados Thrive.
Por otro lado, los CISO que carecen de apoyo a nivel ejecutivo para sus esfuerzos de gestión de la vulnerabilidad pueden verse obstaculizados por la falta de claridad sobre el riesgo aceptable y la resistencia de las unidades de TI y de negocio a la hora de programar los parches y el tiempo de inactividad del sistema.
Pero hay buenas noticias: Gray y otros dicen que los CISO están encontrando cada vez más el apoyo ejecutivo que necesitan, ya que la ciberseguridad se ha convertido en una preocupación a nivel directivo. Las cifras de Gartner confirman la tendencia, con su encuesta de 2021 a directores, en la que encontró que el 88% de los consejos directivos ahora ven la ciberseguridad como un riesgo comercial.
2. No fomentar la responsabilidad compartida
"Los CISO cargan con la responsabilidad o el riesgo de la gestión de vulnerabilidades: no deberían", dice Alex Attumalil, CISO de Under Armour.
Los CISO no son dueños de los sistemas o de las funciones de negocio que apoyan, ni tienen la autoridad para determinar únicamente si la organización se siente cómoda aceptando algún riesgo en particular.
"No estamos autorizados a aceptar riesgos en nombre de la empresa. Así que hay que subir la información", dice. Esto requiere comunicar el riesgo a otros líderes de la empresa, enmarcar la gestión de la vulnerabilidad en términos de riesgo empresarial y "permitirles formar parte de la solución. Tienen que saber que son responsables de las vulnerabilidades que introducen sus sistemas".
Attumalil dice que este enfoque da a los ejecutivos de la empresa más allá del CISO "una participación en el juego", un movimiento que construye más apoyo y colaboración cuando se trata de la gestión de la vulnerabilidad, como la programación del tiempo de inactividad del sistema para la aplicación de parches.
3. Utilizar la priorización genérica de riesgos
Un estudio reciente, realizado por Pulse para el proveedor de seguridad Vulcan Cyber, mostró que la gran mayoría de los ejecutivos de seguridad y TI de las empresas no priorizan las vulnerabilidades en función de los perfiles de riesgo propios de su organización. Más concretamente, el estudio reveló que el 86% confía en los datos de gravedad de la vulnerabilidad de terceros para priorizar las vulnerabilidades y el 70% también utiliza la inteligencia de amenazas de terceros.
Los líderes de seguridad veteranos advierten contra este enfoque, diciendo que podría hacer que los CISO y sus equipos centren sus limitados recursos en las amenazas equivocadas.
Kyle Lai, presidente y CISO de KLC Consulting, que proporciona asesoramiento en ciberseguridad y servicios vCISO para contratistas de defensa de Estados Unidos, recomienda un enfoque diferente. Dice que los CISO y sus equipos deben entender el entorno tecnológico de la organización y tener un inventario de activos actualizado, y deben entender el apetito y la tolerancia al riesgo de la organización, para que puedan identificar las mayores amenazas para su propia empresa y priorizar su tratamiento.
"Deben conocer bien el impacto que puede tener una determinada amenaza; deben saber cuáles son las más graves. Deberían priorizar en función del impacto en su propia organización", afirma.
4. Escatimar en formación
El CISO de Lexmark International, Bryan Willett, reconoce que las habilidades para parchear sistemas Linux varían de las necesarias para parchear Windows, y esas habilidades difieren de las requeridas para ejecutar otras tareas dentro de su programa de gestión de vulnerabilidades.
Además, dice, los conocimientos que sus trabajadores de seguridad necesitan para la gestión de la vulnerabilidad son diferentes de los conocimientos que los trabajadores de TI requieren para hacer los parches en los sistemas reales.
"Así que quiero que esos equipos reciban la formación que necesitan para asumir sus responsabilidades", afirma.
Pero los responsables de seguridad dicen que no todas las organizaciones se comprometen a proporcionar la formación continua que los empleados necesitan para ofrecer una seguridad de primera clase y, más concretamente, una función sólida de gestión de la vulnerabilidad. Los expertos dicen que las organizaciones a veces subestiman la cantidad de especialización que requieren las tareas de gestión de la vulnerabilidad o pasan por alto la necesidad de que los trabajadores reciban formación sobre los sistemas o herramientas específicas que se utilizan en su propia empresa.
"Lo que todo el mundo debe recordar es que los empleados quieren hacer lo correcto, pero tenemos que invertir en ellos para que sean capaces de hacerlo", añade Willett.
5. No hacer un seguimiento del código
Una investigación de la Fundación Linux muestra que un número cada vez mayor de organizaciones está utilizando una lista de materiales de software (SBOM) para comprender mejor todo el código que tienen dentro de sus sistemas. Más concretamente, el informe indica que el 47% está produciendo o consumiendo SBOM y el 78% de las organizaciones esperan producir o consumir SBOM en 2022 (frente al 66% en 2021).
Aunque las cifras muestran un aumento en el uso de SBOM, siguen indicando que un buen número de organizaciones podrían estar quedándose cortas a la hora de conocer todo el código que tienen en su entorno de TI. Y esa falta de visibilidad limita su capacidad para saber si tienen vulnerabilidades que deben ser abordadas, dice Lai.
"Tienes que saber qué código y qué componentes de código abierto tienes, por lo que cuando sale algo como Log4J, sabes todos los lugares donde existe", dice.
6. Posponer las actualizaciones
Aunque la gestión de la vulnerabilidad es una tarea interminable, podría incorporarse a un programa más eficaz si se aborda la deuda técnica, dice Joe Nocera, líder del Instituto de Innovación Cibernética y de Privacidad de la firma de servicios profesionales PwC.
Como explica Nocera: "Cuanto más pueda retirar las versiones heredadas o consolidar en una pila estándar, menos tendré que gestionar en términos de vulnerabilidades. Por eso creo que la simplificación y la consolidación es el mejor multiplicador de fuerza que se puede conseguir".
Nocera reconoce que retirar los sistemas heredados y abordar la deuda técnica no elimina, por supuesto, las vulnerabilidades. Pero deshacerse de los sistemas heredados elimina parte del trabajo y puede librar a la empresa de sistemas que ya no pueden ser parcheados, reduciendo así el riesgo.
Y al deshacerse de esos problemas, los equipos de seguridad junto con sus homólogos de TI pueden centrarse en abordar las prioridades restantes, lo que hace que el programa sea mucho más eficaz y tenga más impacto, afirma.
A pesar de las ventajas de este enfoque, un buen número de organizaciones no lo han convertido en una prioridad. El informe 2022 Endpoint Management and Security Trends Report de Action1 Corp, fabricante de una plataforma de monitorización y gestión remota en la nube, descubrió que sólo el 34% de los encuestados planea centrarse en "eliminar el software heredado de riesgo que han sustituido por alternativas en la nube”.
7. Ignorar las noticias sobre amenazas emergentes
Los primeros avisos sobre nuevas vulnerabilidades o amenazas emergentes suelen llegar a través de breves boletines que carecen de muchos detalles. A pesar de la escasa información que acompaña a estos primeros informes, Lai dice que los equipos de seguridad no deben desestimar su importancia. De hecho, dice, es fundamental seguir las noticias y los titulares de varias fuentes de seguridad para saber qué hay en el horizonte.
"Hay que prestar atención a lo que sale. Puede que no ofrezcan ningún detalle, pero este tipo de información te ayuda a prepararte mejor", afirma. "Puedes empezar a trabajar o planificar".
8. Reaccionar ante cada nueva amenaza
Por otro lado, Erik Nost, analista senior de Forrester Research, advierte a los CISO que no reaccionen a las noticias de última hora sin evaluar primero si podrían afectar a sus propias organizaciones y en qué medida.
"Muchos CISO todavía están aprendiendo a lidiar con zero day y las vulnerabilidades que aparecen en los titulares de las noticias, lo que está aumentando en frecuencia", dice. "Clasificar lo que es sensacionalismo de las noticias y qué vulnerabilidades son una amenaza real para tu organización es un desafío, pero pedir a los equipos que prioricen la solución de todo lo que llega a su bandeja de entrada o lo que el CEO ve en los titulares de las noticias no es el enfoque correcto".
Nost señala un análisis reciente de la Universidad de Cornell que muestra que las APT (amenazas persistentes avanzadas) tienen más probabilidades de explotar vulnerabilidades conocidas que zero day. Por lo tanto, dice Nost, "los CISO también deberían tener en cuenta a los actores de las amenazas y considerar si es probable que las APT se dirijan a sus organizaciones".
Él dice que los equipos de seguridad deben considerar los exploits activos como un "mejor factor de priorización a considerar frente a lo que los medios de comunicación están hablando".
"Los equipos están presionados por el tiempo. Si están jugando a atacar cada vulnerabilidad que aparece en Twitter, entonces no están evaluando activamente el riesgo que es específico para su organización, contra su apetito de riesgo aceptable, y remediando la vulnerabilidad que es la mayor amenaza", añade Nost. "Y si hay un zero day o una vulnerabilidad que llega a los titulares de las noticias, es posible que tenga que tomar medidas, por lo que sus equipos deben tener procedimientos sobre cómo evaluar la amenaza. Sólo recuerde atenerse al libro de jugadas establecido, al apetito de riesgo y a los procedimientos de análisis de amenazas”.
9. Confiar en información obsoleta
La encuesta de directores de Gartner no solo mostró que la mayoría de los consejos directivos ahora ven la ciberseguridad como un riesgo, sino que también encontró que la mayoría (57%) ha aumentado o espera aumentar su apetito de riesgo durante el período de 2021-2022. Al mismo tiempo, el número de nuevas vulnerabilidades identificadas sigue creciendo año tras año. Y el entorno informático típico de las empresas evoluciona continuamente.
Tomados en conjunto, estos puntos ilustran la necesidad de que los CISO desarrollen procesos para revisar sus cálculos para priorizar la mitigación y solución de vulnerabilidades, dicen los expertos.
"Con demasiada frecuencia, las empresas no son buenas gestoras del ciclo de vida de las vulnerabilidades", afirma Gray. "Siempre está creciendo, siempre está cambiando, y es algo a lo que hay que prestar atención constantemente".
10. No integrar la seguridad en el desarrollo
Nocera dice que no hay suficientes organizaciones que integren la seguridad y los principios de diseño seguro en el proceso de desarrollo, lo que lleva a una oportunidad perdida para que los CISO y los CIO construyan juntos un programa de gestión de vulnerabilidades más sólido para sus organizaciones.
Introducir la seguridad en las primeras fases del proceso de desarrollo -o "desplazarse hacia la izquierda"- permite a los CISO adelantarse a los problemas de seguridad antes de que el código llegue a la producción, afirma Nocera. "Así no estás introduciendo vulnerabilidades conocidas en el entorno".
El desplazamiento a la izquierda no necesariamente reducirá la cantidad de trabajo de gestión de vulnerabilidades, dice Nocera, pero -al igual que la eliminación de los sistemas heredados y la deuda técnica- libera recursos para que los equipos puedan optimizar su gestión de vulnerabilidades.
