En promedio, los ciberdelincuentes tienen una ventaja de 7 días entre el momento en el que llevan a cabo un ataque y la empresa afectada lo detecta, de acuerdo con un estudio de Tenable.
Según la compañía de seguridad, esta brecha de tiempo está directamente relacionada con la forma en que las empresas realizan evaluaciones de vulnerabilidad: cuanto más estratégico y maduro sea el enfoque, menor será la brecha y el riesgo para el negocio.
Además, según cifras de Verizon, el 99.9% de las vulnerabilidades explotadas fueron atacadas a más de un año de haber sido reveladas, lo que pone en evidencia la lentitud con la que las organizaciones están respondiendo a los ciberataques.
Un informe de Gartner también resalta el crecimiento exponencial de las vulnerabilidades a nivel global en los últimos 10 años, un periodo en el que los exploits confirmados crecieron de 6,655 en 2008 a 14,803 en 2017.
El ‘Informe de estrategias del defensor cibernético’ de Tenable indica que casi el 48% por ciento de las organizaciones a nivel mundial han adoptado evaluaciones estratégicas de vulnerabilidad.
En opinión de Luis Isselin, Country Manager de Tenable México, las organizaciones deben adoptar una modalidad de prevención ante los ataques cibernéticos, en vista de que cada vez es más difícil atender las vulnerabilidades ‘y las empresas no lo están haciendo a tiempo’.
Cuatro preguntas clave
Existen cuatro cuestionamientos fundamentales que las organizaciones deben hacerse para detectar el nivel de preparación que tienen en cuanto a su seguridad cibernética bajo un concepto de priorización inteligente, de acuerdo con Tenable:
1. ¿Cuál es su nivel de riesgo?
2. ¿Dónde deberían priorizar, basándose en el riesgo?
3. Cómo están mejorando en el tiempo?
4. ¿Cómo se comparan con otras organizaciones?
Ante este escenario, Tenable propone cuatro estrategias distintas para la evaluación del grado de vulnerabilidad dentro de las organizaciones:
1. Según el estudio, sólo el 5% de las empresas mostraron un Estilo Diligente y se ubican en el mayor nivel de madurez, mostrando una alta frecuencia de evaluaciones, una cobertura de activos integral y evaluaciones a la medida y dirigidas.
2. El 45% de las organizaciones adopta el Estilo Investigador, que indican madurez de mediana a alta. Ellos muestran una buena cadencia de evaluaciones dirigidas y con autenticación a la mayoría de sus activos.
3. El 19% de las empresas sigue el Estilo Inspector, ubicándolos en un nivel de madurez de baja a mediana. Realizan evaluaciones amplias pero con poca autenticación y poca personalización.
4. Finalmente, el 33% de las organizaciones en el Estilo Minimalista muestra una baja madurez, con pocas evaluaciones en un número limitado de activos.
En todos los niveles de madurez, las organizaciones se benefician al tomar decisiones estratégicas y emplear tácticas más maduras como escaneos frecuentes y autenticados para mejorar la eficacia de los programas de evaluación de vulnerabilidad.
Tenable propone un concepto de Cyber Exposure, una herramienta que permite prevenir y gestionar los ataques, además de tener el pulso del ciber riesgo en tiempo real.
La compañía ofrece una suscripción anual basada en el número de activos, ya sean instancias o dispositivos, internet de las cosas o máquinas virtuales, por citar algunos ejemplos.