Un nuevo post en la sección «El invitado experto» donde invitamos a diferentes especialistas para que nos expliquen temas relevantes en el mundo de los negocios de las empresas tecnológicas. Hoy Vanessa Álvarez explica uno de los riesgos de las empresas, las vulnerabilidades. Tenéis la bio y datos de contacto al final del artículo. 

¿Qué es una vulnerabilidad en el entorno de ciber seguridad?

• Debilidad en un sistema de información, procedimientos de seguridad del sistema, controles internos o implementación que podrían ser explotados o desencadenados por una amenaza (NIST). Un hacker, conociendo este error podría explotarlo y hacerse con el control del sistema o extraer información. Las vulnerabilidades se pueden encontrar tanto a nivel de capa de red como a nivel de aplicación.  

¿A qué cantidad de vulnerabilidades nos enfrentamos?

• En 2019 se reportaron 16.500 vulnerabilidades, de las cuales solo el 10%  fueron explotadas (Gartner). En 2020 el número total de vulnerabilidades se incrementó un 9% anual.

Consecuencias de ejecutar una vulnerabilidad por parte de un atacante:

• El 60% de las brechas de datos se produjeron a raíz de una vulnerabilidad donde existía un parche o solución disponible, pero que no fue implementado.

• El 53% de las vulnerabilidades (Gartner) que llevan a  ataques de Ransomware tienen un nivel de criticidad menor de 8, con lo que no suelen estar entre las vulnerabilidades críticas y por tanto, no en el radar de solución urgente.

Algunos ejemplos de Ciber ataques perpetrados a través de una vulnerabilidad:

• SolarWinds, aunque principalmente fue un ataque de cadena de suministro que ha afectado a más de 18.000 compañías en todo el mundo, los investigadores han revelado que también se explotó una vulnerabilidad en una segunda fase del ataque.

• Ataque de WannaCry, fue un ataque de ransomware que afectó a un gran número de empresas españolas y se ejecutó a través de la explotación de una vulnerabilidad de Windows.

• Equifax Bank, una de las brechas de datos más grandes afectando a casi la mitad de la población de US. Las acciones cayeron un 31% el día de la publicación, erosionando 5 Billones de dólares de capitalización bursátil y tuvo que hacer frente a una multa de 700 Millones de dólares.

• First American Bank en US, una vulnerabilidad no solventada durante años en la página web de acceso de sus clientes, provocó una de las brechas de datos más grandes hasta el momento, con más de 16 años de información sensible de clientes al descubierto.

• Ticketmaster, el chatbot ubicado en su página web de pagos y desarrollado por un tercero, contenía una vulnerabilidad que fue explotada por un atacante. Se filtraron más de 600.000 tarjetas de crédito de clientes. La sanción impuesta fue de 1,4 Millones de euros.

Motivos por los que existen tantas vulnerabilidades  sin solventar en las empresas incrementando el nivel de riesgo:

Según los equipos de operaciones:

• Volumen de vulnerabilidades al que se enfrentan y falta de recursos para estar al día en la aplicación de los parches o soluciones.

• Hay una dificultad en priorizar lo que debe ser parcheado o solucionado, debido a la falta de visibilidad de todos los activos afectados así como de la relevancia de esos activos para el negocio en cuestión.

• La coordinación con otras áreas suele provocar una media de 12 días extras antes de que se pueda desplegar la solución, incrementando los riesgos y el coste.

Según las unidades de negocio:

• El parcheo o solución de vulnerabilidades requiere invertir tiempo y recursos que no generan valor para el negocio, ya que además puede dejarlo sin servicio.

• La falta de estrategias en el proceso de gestión de vulnerabilidades ha repercutido en un incremento de costes en el proceso del 21% anualmente en grandes organizaciones (Ponemon Institute).

Por tanto, las estrategias deberían considerar los siguientes factores para mejorar los procesos de gestión de vulnerabilidades:

• Automatizar el proceso, para aumentar la eficiencia –herramientas como SOAR (Security  Orchestration, Automation and Response) pueden ayudar en este proceso.

• Incrementar la visualización de todos los activos (superficie de ataque) y las vulnerabilidades asociadas

• Establecer criterios de priorización de parcheo de vulnerabilidades que incluyan la criticidad del activo para el negocio.

• Evaluar la eficiencia vs la cobertura de parcheado de vulnerabilidades.

• Concienciar a las unidades de negocio de la importancia de este proceso para el bienestar la organización teniendo en cuenta la repercusión en la reputación de la compañía en caso de ciber ataque.

Disclaimer: Este artículo recoge mis opiniones y no hace referencia a mi posición actual o anteriores. No tengo ninguna relación comercial con ninguna empresa cuyas acciones se mencionan en este artículo.

Vanessa Alvarez cuenta con más de 15 años de experiencia en estrategia tecnológica,ciberseguridad e innovación tanto en el sector tecnológico como financiero. Ingeniera superior de telecomunicaciones, MBA por IE y especialización en ciberseguridad por SANS Institute y certificación por el NIST. 

Linkedin: Vanessa Alvarez Colina

En la web de MultiVersial tienes los artículos destacados, en la newsletter tienes toda la actualidad:

Por favor, deja este campo vacío

Comprueba tu bandeja de entrada o de spam ahora para confirmar tu suscripción.