Blog B-SECURE

En los últimos días, se ha generado inquietud en la industria de la ciberseguridad debido a la noticia sobre un posible riesgo de financiamiento para el programa Common Vulnerabilities and Exposures (CVE) operado por MITRE. El programa CVE es uno de los pilares históricos de la identificación de vulnerabilidades en sistemas y aplicaciones a nivel global.

El CVE proporciona un sistema estandarizado para identificar, describir y catalogar vulnerabilidades de seguridad, permitiendo a organizaciones, fabricantes de tecnología y proveedores de ciberseguridad alinear esfuerzos de detección y respuesta ante amenazas. Muchos sistemas de gestión de vulnerabilidades, entre ellos los que utilizan tecnologías como Qualys, Tenable, Rapid7 y otros fabricantes líderes, se apoyan en esta fuente para enriquecer su capacidad de análisis y correlación.

Frente a la posibilidad de que el programa CVE enfrentara recortes o suspensiones, CISA (Cybersecurity and Infrastructure Security Agency) confirmó recientemente que se ha extendido el financiamiento para garantizar la continuidad de este servicio esencial. Puedes consultar el anuncio oficial aquí.

Tradicionalmente, la gestión de vulnerabilidades se ha centrado en identificar y corregir fallas específicas en la infraestructura de TI. Sin embargo, la complejidad y sofisticación de las amenazas modernas han impulsado una transición hacia una gestión de riesgo cibernético más holística y estratégica.

Las vulnerabilidades cada año crecen de forma exponencial, según Ponemon Institute, se estima que cada 90 minutos una nueva vulnerabilidad es detectada. Ese panorama no es alentador para las organizaciones, pues amplía dramáticamente el espectro de acción necesario para el control del riesgo cibernético en sus activos de información, además ese riesgo trasciende el impacto técnico de seguridad y obliga a contemplar los impactos operativos y de usabilidad de las aplicaciones del negocio.