Es claro que en la medida que esas vulnerabilidades sean detectadas y se controle su expansión o impacto en el menor tiempo posible, existen mejores posibilidades de evitar incidentes de seguridad. La gestión de todas esas vulnerabilidades puede resultar agobiante frente a los volúmenes actuales, entendiendo que un control adecuado implica seguir un proceso de gestión de cambios riguroso que garantice la aplicación de parches o ajustes de configuraciones, controlando los riesgos que se puedan presentar sobre la operación. Es así como los esfuerzos de gestión de vulnerabilidades requieren que los equipos de seguridad, auditoria y TI se involucren.
Este trabajo es sumamente agotador, pues realizar el proceso para cada uno de los activos que soporta la operación tecnológica de la organización puede resultar frustrante para los equipos responsables cuando hay muchas más tareas por realizar, tareas que incluso pueden resultar más estratégicas para la organización. Eso no significa que los diferentes equipos no reconozcan la importancia de esta labor, pero no se puede desconocer lo tedioso que puede resultar un ciclo de gestión de vulnerabilidades llevado de manera rigurosa.
La gestión de vulnerabilidades no es sencilla, enfrenta dos retos clave, uno técnico y otro cultural. El primero pretende garantizar que la mayor cantidad de datos alrededor de una activo esté presente para tomar la acciones precisas que faciliten el cierre de brechas encontradas de forma oportuna, en este caso, el escenario ideal es contar con condiciones idénticas del ambiente de producción en ambientes de pruebas o laboratorio, esto permite realizar la mayor cantidad de pruebas posibles para comprobar el correcto funcionamiento de los sistemas o aplicaciones y asegurar el cierre de la brecha.
El otro reto es el cultural, en este la comunicación juega un rol fundamental, pues es un factor crucial para lograr entender que cada una de las áreas tiene unas preocupaciones e intereses totalmente validos desde cada perspectiva, mientras para seguridad o auditoria la reducción de riesgo es crucial, para TI o Infraestructura la disponibilidad representa uno de sus mayores valores para el negocio (sin pretender ignorar la seguridad), unir estas perspectivas y que la gestión de vulnerabilidades funcione para ambas áreas podría representar una de las mayores ganancias para la organización.
[VER VIDEO: ¿Qué es Virtual Patching y cómo resuelve problemas de la gestión de vulnerabilidades?]
Lo primero es ajustar los ciclos de gestión de vulnerabilidades en función de las características de cada organización, pero sobre todo los responsables deben entender que las brechas deben ser cerradas, pero al tiempo también tienen que entender que el negocio debe continuar de forma casi ininterrumpida, bajo estas condiciones, ¿Qué se debe hacer primero?, es ahí donde la automatización, el uso de tecnologías adecuadas y un correcto ciclo, resuelven este interrogante. Para que el ciclo sea efectivo debe contemplar las siguientes fases:
Ahora bien, para aumentar los niveles de eficacia es necesario el uso de este ciclo de forma continua, este enfoque garantiza que las vulnerabilidades se gestionan cuando aparecen y no dentro de ciclos periódicos que solo generan mayor problemática con listas de vulnerabilidades imposibles de manjar debido a la acumulación año tras año. Adicionalmente, si complementamos el proceso con gestión de líneas base de seguridad para evaluar, monitorear y remediar problemas de configuración de diferentes tipos de sistemas, garantizamos el éxito de este tipo de ejercicios.
Hay que recordar que ante el abismal número de vulnerabilidades que aparecen cada día, priorizar los esfuerzos hace que la optimización de los recursos sean una prioridad, en ese sentido, a través del uso de tecnologías adecuadas y adaptación de los ciclos de gestión de vulnerabilidades se pueden establecer los controles y medidas de protección en tiempo real sin sacrificar la operación del negocio.