De acuerdo con el ESET Security Report, por segundo año consecutivo la explotación de vulnerabilidades se posicionó como la principal preocupación de los ejecutivos de empresas latinoamericanas.
Esto tiene sentido si pensamos en la cantidad de incidentes de seguridad conocidos ampliamente durante 2014 y a principios de este año -algunos con repercusiones importantes y otros tal vez de menor relevancia, pero sin duda, mediáticos. Por tal motivo, se vuelve fundamental saber cómo evitar riesgos asociados.
En esta publicación abordaremos 5 aspectos relevantes durante el tratamiento de vulnerabilidades en las organizaciones, como resultado de los puntos de vista expuestos en el panel “Gestión de vulnerabilidades en entornos corporativos” del ESET Security Day 2015 en la Ciudad de México, en el que participaron los especialistas en seguridad Jorge Osorio, Miguel Ángel Trujillo y Pablo Antonio Lorenzana.
1. Servicios de seguridad para gestionar las vulnerabilidades
El primer punto abordado en el panel se relacionó a la percepción de un incremento en la solicitud de servicios para atender debilidades en la infraestructura tecnológica de las empresas. Si bien no se tiene un dato preciso o una estadística, es una realidad que existen distintos factores que han detonado el aumento en este tipo de actividades.
Entre las razones para solicitar más servicios como evaluaciones de vulnerabilidades, pruebas de penetración o incluso análisis y evaluaciones de riesgos, se encuentran principalmente la aparición de nuevas legislaciones que consideran la protección de información, incidentes que han padecido otras organizaciones o la adopción de mejores prácticas en materia de seguridad.
2. ¿Contratación de servicios de seguridad o desarrollo de equipos propios?
Por otro lado, una pregunta razonable se relacionó con la disyuntiva sobre contratar servicios de seguridad de empresas especializadas en la materia, o desarrollar equipos propios dentro de las organizaciones encargados de estas actividades, con las implicaciones que cada uno de los enfoques conlleva.
Sin duda, la principal limitante son los recursos necesarios, ya sea que las actividades las realice un externo o se desarrollen con personas de la empresa. Si son servicios externos, los costos son considerables, mientras que con personal interno, se necesitará capacitar y desarrollar las habilidades de los encargados de estas funciones.
Independientemente de la manera de realizar estas actividades, es un hecho que la gestión de vulnerabilidades considera estas actividades, mismas que se están convirtiendo en una necesidad, considerando puntos a favor y en contra que revisaremos a continuación.
3. Ventajas y desventajas de contratar servicios de seguridad externos
Cuando los servicios de seguridad se adquieren de manera externa, una de las principales ventajas que se considera es la experiencia y conocimiento del personal que participa, ya que si mantiene una capacitación constante, puede contar con un mayor panorama sobre amenazas informáticas y vulnerabilidades. Además, se obtiene una perspectiva objetiva e imparcial sobre lo que sucede en las organizaciones.
Por el contrario, una desventaja se relaciona con el hecho de que el consultor desconoce los objetivos y procesos de las empresas que evalúa, es decir, el foco principal del negocio. Esto puede desvirtuar el proceso de revisión, al realizar una evaluación que no aporte valor o información relevante, por lo que es necesario definir un alcance que considere los procesos sustanciales y la información crítica de la empresa en cuestión.
4. Período para la ejecución de evaluación de vulnerabilidades
Si bien no existe un manual que indique el lapso de tiempo idóneo y esta decisión está en función de distintas variables como el presupuesto, conocimientos técnicos, personal, planes de remediación o la carga laboral, al menos una vez al año se deben ejecutar este tipo de servicios. Una de las principales razones para aplicar estos procesos es el dinamismo de las amenazas informáticas.
En condiciones ideales, sería prudente realizar una mayor cantidad de evaluaciones en un periodo anual, con el objetivo de identificar nuevas vulnerabilidades en menos tiempo, lo que reduce el periodo de exposición a las amenazas como malware o exploits, sin embargo, esto no siempre es posible.
5. Actividades posteriores al proceso de evaluación de vulnerabilidades
Luego de las revisiones de seguridad, es necesario corregir vulnerabilidades. Estas actividades posteriores están relacionadas principalmente con el seguimiento de las mismas y pueden considerar entre otras cosas, la aplicación de parches de seguridad o instalación de actualizaciones.
Es claro que si las vulnerabilidades son identificadas, analizadas y evaluadas, se les debe dar un tratamiento posterior que permita su solución y erradicación, de manera que tenga sentido ejecutar todas las actividades previas, con los esfuerzos que esto amerita.
Otros aspectos importantes a considerar en la gestión de vulnerabilidades
Además de los puntos antes desarrollados, hacemos énfasis en la definición de un alcance razonable para realizar las evaluaciones de seguridad, que limite a la información, sistemas y en general la infraestructura tecnológica crítica, junto con las funciones relevantes para el cumplimiento de los objetivos de las empresas.
Además, la seguridad debe ser vista como un proceso cíclico y de mejora permanente, y no como un estado finito que ha sido alcanzado. Por lo tanto, las actividades de evaluación deben ser continuas, ya que los riesgos cambian y, constantemente, nuevas vulnerabilidades son descubiertas y nuevas amenazas se desarrollan.
Por último y quizá el elemento más importante, es considerar el factor humano, ya que en ocasiones las empresas solo se enfocan en el tratamiento y corrección de vulnerabilidades tecnológicas, sin pensar en la explotación de vulnerabilidades en las personas, relacionadas principalmente con la Ingeniería Social. Por tal motivo, las campañas de concientización y educación orientadas al personal, también deben formar parte de las acciones de remediación.