12 pasos para crear un programa de gestión de vulnerabilidades

Los ejecutivos de seguridad conocen desde hace tiempo la importancia de abordar las vulnerabilidades de sus entornos informáticos.

Y otros ejecutivos de la C-suite también se han dado cuenta de la importancia de esta tarea, dado el número de violaciones de alto perfil que se produjeron como resultado de un sistema sin parches.

Las noticias recientes deberían disipar cualquier duda sobre la importancia de esta tarea.

La Comisión Federal de Comercio de EE.UU., por ejemplo, a principios de enero puso a la comunidad empresarial sobre aviso para abordar Log4j, escribiendo en un post en línea que "el deber de tomar medidas razonables para mitigar las vulnerabilidades de software conocidas implica leyes que incluyen, entre otras, la Ley de la Comisión Federal de Comercio y la Ley Gramm Leach Bliley. Es fundamental que las empresas y sus proveedores que confían en Log4j actúen ahora, para reducir la probabilidad de daños a los consumidores, y para evitar las acciones legales de la FTC".

La FTC tiene buenas razones para advertir sobre estos problemas: Los informes constatan constantemente que las vulnerabilidades conocidas sin parches siguen siendo uno de los principales vectores de ataque.

Consideremos las cifras del informe Ransomware Spotlight Year End 2021 de las empresas de seguridad Ivanti, Cyber Security Works y Cyware. El informe contabiliza 65 nuevas vulnerabilidades relacionadas con el ransomware en 2021, un aumento del 29% respecto al año anterior, y cuenta con un total de 288 vulnerabilidades conocidas asociadas al ransomware.
A pesar de estos resultados, muchas organizaciones carecen de un programa formal de gestión de vulnerabilidades. Una encuesta realizada en 2020 por el Instituto SANS, una organización de formación y certificación en ciberseguridad, descubrió que casi el 37% solo tiene un enfoque informal o no tiene ningún programa.

Los líderes de seguridad experimentados están de acuerdo en que la gestión de la vulnerabilidad no debe ser manejada de manera ad hoc o a través de métodos informales. Por el contrario, debe ser programática para imponer la acción, la responsabilidad y la mejora continua.

Para ello, estos expertos ofrecen 12 pasos para construir un programa de gestión de vulnerabilidades de primera categoría:

 

1. Formar un equipo

"Antes de comprar cualquier cosa, realizar cualquier proceso o crear procedimientos, es necesario construir un equipo", dice Daniel Floyd, que como CISO de Blackcloak supervisa su SOC, la plataforma de inteligencia de amenazas, sus pruebas de penetración y los equipos forenses digitales.

Además de asignar a los trabajadores de seguridad y de TI que suelen encargarse de la gestión de vulnerabilidades y la aplicación de parches, Floyd recomienda incluir a otras partes interesadas clave, como los empleados del lado de la empresa que pueden hablar del impacto al que se enfrenta la organización cuando se desconectan los sistemas para reiniciarlos, de modo que el equipo pueda entender cómo afecta su trabajo a los demás.

 

2. Mantener un inventario actualizado y completo de los activos

Otro elemento fundamental para cualquier programa eficaz de gestión de la vulnerabilidad es un inventario de activos actualizado con un proceso que garantice que se mantiene lo más definido y completo posible. "Definitivamente es algo que todo el mundo conoce, pero es un área que es realmente difícil", dice Floyd, particularmente en los entornos modernos de hoy con sus artículos físicos, conexiones de empleados remotos y componentes de IoT, así como elementos de la nube, SaaS y de código abierto.

Pero el trabajo duro es crítico, dice Alex Holden, CISO con Hold Security y miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA. "Hay que tenerlo todo en cuenta, para que cuando surja algo nuevo, sepas si es algo que tienes que solucionar".

 

3. Desarrollar un 'enfoque obsesivo en la visibilidad'

Con un inventario completo de activos en su lugar, el vicepresidente senior de seguridad de la información de Salesforce, William MacMillan, aboga por dar el siguiente paso y desarrollar un "enfoque obsesivo en la visibilidad" mediante "la comprensión de la interconexión de su entorno, donde fluyen  los datos y las integraciones".

"Incluso si todavía no estás maduro en tu viaje para ser programático, comienza con la pieza de visibilidad", dice. "El dólar más poderoso que puedes gastar en ciberseguridad es entender tu entorno, conocer todas tus cosas. Para mí, eso es la base de tu casa, y quieres construir sobre esos sólidos cimientos".

 

4. Ser más agresivo con el escaneo

El escaneo de vulnerabilidades es otro elemento fundamental dentro de un programa sólido de ciberseguridad, sin embargo, los expertos dicen que muchas organizaciones que están ejecutando regularmente escaneos todavía no identifican los problemas porque no están siendo lo suficientemente exhaustivos. "Creo que la gente falla en la cobertura", dice Floyd.

En consecuencia, los programas de gestión de vulnerabilidades de alto rendimiento han adoptado prácticas de escaneo más agresivas que incorporan múltiples opciones de escaneo. Floyd, por ejemplo, dice que cree que los equipos deberían incluir escaneos con credenciales para una búsqueda más exhaustiva de configuraciones débiles y parches faltantes, además de ejecutar los escaneos de red basados en los agentes más comúnmente utilizados.

 

5. Tener flujos de trabajo documentados y deliberados

Los programas maduros y bien establecidos de gestión de la vulnerabilidad tienen flujos de trabajo documentados y deliberados que establecen lo que sucede y quién es responsable de qué, dice MacMillan.
"Las empresas más grandes y complejas entienden que las vulnerabilidades de seguridad son una amenaza existencial y que tienen que superar la etapa ad hoc con bastante rapidez, y establecer lo que debe suceder de forma deliberada y centrada", explica.

Los equipos de seguridad de todo el mundo pueden beneficiarse de seguir esas mejores prácticas y establecer esos flujos de trabajo, añadiendo automatización siempre que sea posible.

Además, MacMillan afirma que los equipos deberían desarrollar una imagen operativa común, con los mismos datos e inteligencia sobre amenazas a disposición de todos los miembros del equipo que trabajan en la gestión de vulnerabilidades. "Todos deberían operar desde esa imagen operativa común, y todos deberían sincronizarse", añade.

 

6. Establecer y hacer un seguimiento de los KPI

"Para validar la eficacia de sus controles y demostrar a la dirección que es eficaz, es bueno tener métricas que informen sobre el rendimiento de su programa de gestión de la vulnerabilidad", dice Niel Harper, director de la junta directiva de ISACA y CISO de una gran empresa global.

Dice que las organizaciones podrían utilizar cualquiera de los indicadores clave de rendimiento comúnmente utilizados —como el porcentaje de vulnerabilidades críticas remediadas a tiempo y el porcentaje de vulnerabilidades críticas no remediadas a tiempo— para medir el estado actual y hacer un seguimiento de la mejora a lo largo del tiempo.

Otros KPIs a utilizar podrían ser el porcentaje de activos inventariados, el tiempo de detección, el tiempo medio de reparación, el número de incidentes debidos a vulnerabilidades, la tasa de reapertura de vulnerabilidades y el número de excepciones concedidas.

Como explica Harper: "Todos ellos presentarán a la dirección una idea de lo bien que está funcionando su programa de gestión de vulnerabilidades".

 

7. Evaluación comparativa

El seguimiento de los KPI puede indicar si su propio programa de gestión de la vulnerabilidad está mejorando con el tiempo, pero tendrá que compararlo con los esfuerzos de otras empresas para determinar si su programa supera o se queda corto en comparación con otros, dice Harper.

"La evaluación comparativa le ayuda a entender cómo se está desempeñando en comparación con sus pares y competidores, y también proporciona garantías a la administración de que su programa de gestión de la vulnerabilidad es eficaz", dice. "También puede servir como un diferenciador en el mercado, que incluso podría utilizar para impulsar la línea superior".

Harper dice que los proveedores de servicios gestionados suelen tener datos que los equipos de seguridad pueden utilizar para este ejercicio.

 

8. Haz que alguien sea responsable y rinda cuentas del éxito

Para tener un verdadero programa de gestión de la vulnerabilidad, múltiples expertos dicen que las organizaciones deben hacer que alguien sea responsable y rinda cuentas de su trabajo y, en última instancia, de sus éxitos y fracasos.

"Tiene que ser un puesto con nombre, alguien con un trabajo de liderazgo pero separado del CISO, porque el CISO no tiene tiempo para hacer un seguimiento de los KPI y gestionar equipos", dice Frank Kim, fundador de ThinkSec, una empresa de consultoría de seguridad y asesoramiento de CISO, y miembro de SANS.
Kim dice que las empresas más grandes suelen tener suficiente trabajo de gestión de la vulnerabilidad como para que alguien asuma esta función a tiempo completo, pero las empresas más pequeñas y medianas que no requieren un gestor a tiempo completo deberían, de todos modos, hacer de esta labor de responsabilidad una parte oficial del trabajo de alguien.

"Porque si no le das la responsabilidad a esa persona", dice Kim, "ahí es donde consigues que todos se apunten con cifras".

 

9. Alinear los incentivos con la mejora del programa, los éxitos

Asignar la responsabilidad del programa es un paso, pero Kim y otros dicen que las organizaciones también deben establecer incentivos como bonos vinculados a la mejora de los KPI.

"E incentivar no sólo a los equipos responsables de hacer los parches, sino a las partes interesadas de toda la organización", dice Floyd, ya sea que esos incentivos sean en forma de compensación extra, días libres de bonificación u otras formas de reconocimiento. "Se trata de incentivar y celebrar los éxitos. Demuestra que esto debe ser una prioridad".

 

10. Crear un programa de recompensas por errores

Salesforce recompensó a los hackers éticos con más de 2,8 millones de dólares en recompensas en 2021 por identificar problemas de seguridad en sus productos, viendo esta recompensa de errores como una parte importante de la gestión de las vulnerabilidades, dice MacMillan.

MacMillan recomienda que otras organizaciones implementen programas de recompensas por errores como parte de sus esfuerzos de gestión de vulnerabilidades. "Es una forma eficaz de sacar a la luz los problemas", afirma.

Otros están de acuerdo. Holden, por ejemplo, dice que las organizaciones más pequeñas pueden establecer un programa interno de recompensas por errores que premie a los empleados que encuentren vulnerabilidades o trabajar con partes externas o empresas de ciberseguridad que ofrezcan tales servicios para aprovechar una mayor reserva de experiencia.

 

11. Establecer expectativas y ajustarlas con el tiempo

El número de fallos de seguridad informática divulgados públicamente en la lista de Vulnerabilidades y Exposiciones Comunes (CVE) sigue creciendo, y el número de nuevos añadidos anualmente ha aumentado casi todos los años durante la última década. En 2011 había 4.813 CVE; en 2020 había 11.463, según un análisis de Kenna Security.

Dado el volumen, los expertos coinciden en que las organizaciones deben priorizar qué vulnerabilidades suponen los mayores riesgos para ellas, de modo que puedan abordarlas primero.

Peter Chestna, CISO de Norteamérica para Checkmarx, está de acuerdo, pero también dice que las organizaciones deben ser francas y claras en cuanto a las prioridades y centrar su programa de gestión de vulnerabilidades en aquellas que realmente planean abordar.

Por ejemplo, si una organización sólo planea abordar las vulnerabilidades calificadas como altas, ¿por qué escanear siquiera las de bajo riesgo? Chestna explica que ese enfoque puede agotar los recursos y distraer a los equipos del trabajo de alta prioridad, haciendo más probable que pasen por alto problemas críticos.

"En su lugar, hay que establecer las reglas que se quieren seguir (tienen que ser reglas que realmente se puedan seguir) y luego seguirlas", dice, y añade que esto ayuda a la organización a centrarse mejor en la reducción de riesgos. "Y cuando seamos realmente buenos en esas prioridades más altas, entonces hablaremos de abrir las compuertas".

 

12. Informar sobre el rendimiento del programa a las partes interesadas, la junta

Además de mantener a las partes interesadas dentro de la organización informadas sobre cualquier trabajo de parcheo que pueda afectar a su acceso a los sistemas, los expertos dicen que el departamento de seguridad debería informar sobre el rendimiento general del programa de gestión de vulnerabilidades, enmarcado en términos de negocio en torno al riesgo y la reducción del riesgo.

"Esto es algo de lo que debería informar a su junta directiva", añade Floyd. "Hazte responsable".