29 May 2019

No basta con corregir tus vulnerabilidades

En estos días he leído varios artículos hablando que para mantener la seguridad IT relativamente estable en tu empresa, debes corregir las vulnerabilidades asociadas a tu infraestructura, las cuales son alrededor de 14.000 al año (por ende, casi imposibles de corregir), y que debes tener una forma de priorizarlas. Hasta ahí todo bien, incluso hay algunas marcas que explican que corrigiendo un 3%, según su priorización, vas a estar casi tranquilo, con lo que no puedo estar más en desacuerdo. ¿Cómo va a saber alguien externo, sin conocer tu negocio, cuáles son las vulnerabilidades que tienen mayor impacto en tu organización? No basta con que se prioricen por criticidad, CVSS más alto, o todos los modelos de IA que apliquen, si no entiendes el negocio.

Cada vez veo más marcas de seguridad orientadas a resolver todo lo que encuentran por una priorización “automatizada” (y errada), pero eso es imposible, es como luchar contra el mundo con un alfiler. Hay que priorizarlas, estamos de acuerdo, pero debe hacerse de la forma correcta. Debemos ponernos en los zapatos del cliente y no en el beneficio de la marca. Partiendo con que el presupuesto es limitado, por lo que no puedes arreglar el mundo, solo algunos pedazos

 Entonces, ¿cómo hacerlo?

Primero, haz un listado de tus “Servicios Críticos” y asóciales un impacto. Luego, busca cómo asociar una probabilidad de ocurrencia a tu infraestructura crítica; hay muchos modelos matemáticos para hacer eso. Ordena ese resultado de mayor a menor, concéntrate en lo que tenga el puntaje más alto y corrige esos issues. Atención, no solo las vulnerabilidades deben estar en ese detalle de “Servicio Crítico”, también la infraestructura, los incidentes, la documentación, etc. Todo lo que esté relacionado a ese servicio.

Con esto cambia el paradigma, ya no corriges por criticidad, sino por riesgo. ¿Qué importa que una máquina tenga 50 vulnerabilidades críticas, si está debajo de la escalera y no se conecta a internet? Hay que corregirla igual, porque hay un issue, pero hay cosas más importantes que corregir antes que eso. A esto nos referimos con corregir por Servicio de Negocio y no por infraestructura.

Para conocer más sobre nuestro approach, visiten nuestra sección de Camel Business Exposure

Fabián Rodríguez – CEO & Founder Camel Secure

 

Deja tu comnetario, ¡nos importa!

2 × one =