FlagDomingo, 16 Diciembre 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

tenable ev

 

Tenable dio a conocer el nivel de madurez que tienen las empresas respecto a su seguridad informática, a través de un estudio conducido por la firma desarrolladora. En el mismo, expuso el concepto de Cyber Exposure, que considera la gestión, medición y acciones preventivas contra riesgos cibernéticos

Luis Isselin, Country Manager para Tenable México explicó como contexto que de tres años a la fecha, el tema de seguridad informática rebasó las conversaciones técnicas entre especialistas para ser parte de las pláticas cotidianas que sostenemos como usuarios finales, esto por eventos como WannaCry o el robo a la banca mexicana contra SPEI, cuyo impacto mediático y afectación resultaron ser de dominio público.

Más adelante citó el reporte hecho por Verizon “Data Breach Investigation Report”, el cual señala que en el 99.9% de las vulnerabilidades explotadas, las empresas tuvieron una ventana de oportunidad equivalente a un año para evitar que los atacantes usarán dicho recurso en su contra. Mientras tanto, Gartner señaló que el crecimiento de vulnerabilidades en 2017 fue del 97%; sin embargo tan sólo se sabe de un 5% de exploits confirmados; dicho de otra forma las empresas tienen ante sí el dilema de encontrar una aguja en el pajar.

No obstante las métricas en contra de las empresas, el directivo consideró que una oportunidad tangible es plausible a partir de métodos de prevención. Para dar más detalle, señaló parte de la investigación que sostuve Tenable respecto al comportamiento de los atacantes y la empresa, o el defensor, cuando se da a conocer una vulnerabilidad en específico. Ese comportamiento fue detectado por Tenable Research, el grupo de especialistas del fabricante, dentro de tres momentos.

En un primer paso, el fabricante de tecnología revela la vulnerabilidad por un tema de compliance y entonces está obligado a dar una posible solución a la misma. En esta etapa ambas partes, atacante y defensor, se encuentran en una carrera sobre quién actúa primero, relató el directivo.

Un segundo paso se da cuando el atacante define el objetivo que desea atacar y por su parte, la organización comienza a definir que resolverá como una prioridad. Esto da paso al tercer momento donde el atacante logra exfiltrar información y la empresa remedia el ataque. De acuerdo con los hallazgos de la marca, las empresas tienen un promedio de 7 días, a partir de que un fabricante da a conocer una vulnerabilidad.


Gestión a incidentes
Luis Isselin agregó que las empresas tienen en su mayoría el mínimo de seguridad informática, normalmente para estar en cumplimiento, pero no cuentan con el nivel de madurez necesario para hacer frente al reto actual de cibercrimen.

Teniendo como fundamento una investigación a más de 6 mil empresas de 67 países, el estudio concretó que conceptualizan ese nivel de madurez en cuatro perfiles de empresas. El más elemental, un nivel minimalista, cuenta con una inspección laxa y probablemente realiza pocas inspecciones de ciberseguridad al año (33% de las empresas analizadas). 19% posee un estilo Inspector, que en síntesis desarrolla una seguridad baja-media con evaluaciones periódicas sin profundidad en las mismas.

Un tercer perfil es el nivel Investigador (43% de las empresas) que desarrollan un nivel medio-medio alto en sus procesos de ciberseguridad; y tan sólo el 5% de las empresas tienen un perfil diligente, es decir, con una robusta infraestructura, evaluaciones y gestión de su seguridad digital. Estos datos coinciden con el número de empleados que tiene las empresas, por lo que organizaciones corporativas constituyen el nivel diligente y las PyMES oscilan en el resto de los niveles y ello deriva en el grado de susceptibilidad a ser atacadas; es curioso señalar que este perfil está presente en cualquiera de las regiones del orbe.


Cyber Exposure, medir el riesgo
Tenable por tanto propuso su concepto de Cyber Exposure, el cual considera medir el riesgos cibernético, poder controlarlo a través de la visibilidad y desarrollar de manera continua, es decir, en tiempo real, esta medición a partir de cuatro preguntas clave:

¿Cuál es nuestro nivel de riesgo?
¿Dónde deberíamos priorizar, basado en el riesgo?
¿Cómo estamos mejorando en el tiempo?
¿Cómo nos comparamos?

Ello fue demostrado a partir de un dashboard que permite entregar reportes ejecutivos al CISO, hacia su junta directiva. En un ejemplo, es posible reconocer ese nivel de riesgos mediante un marcador o KPI denominado “Total Exposure Score”, el cual indica el marcador anterior y el porcentaje de variación con el total actual. Una gráfica en el tiempo, coteja dicho marcador con una gráfica versus lo que registra la industria donde se inserta esa empresa, o bien, la población. Un tercer elemento lo representa un checklist que muestra por prioridades, cuáles son las acciones recomendadas, las medidas que se contemplan y en caso de aplicarlas cuál es la disminución en puntos de riesgo que ahora tendría la empresa.

La marca cuenta con un acuerdo de distribución con Grupo Dice, con quienes pueden orientar al canal e introducirlo a su programa de canales que contempla tres niveles de asociación, más un cuarto nivel Registrado sin compromiso de cuota. De igual manera los interesados pueden acercarse con Teresa Arriaga, Channel Manager para Tenable México. Mientras en el tema legislativo las empresas nacionales no están obligadas a discutir si tuvieron alguna brecha de seguridad informática, el directivo indicó que el grado de ataques y su visibilidad harán conciencia en más empresas respecto a la adopción de este tipo de herramientas de gestión para conocer qué tan preparadas están.