Al grueso de las empresas les importa poco la ciberseguridad

Mediante una investigación a nivel mundial, Tenable ofreció un panorama sobre cómo las empresas evalúan el riesgo cibernético e identificó 4 estilos distintos de madurez en cuanto a seguridad.

El llamado: ‘Informe de estrategias del defensor cibernético’, utilizó la ciencia de datos contra datos de telemetría en tiempo real para analizar la manera en que 2100 compañías evalúan su exposición a las vulnerabilidades, lo que puede mejorar la forma en la que adoptan la ciberseguridad.

El estudio reveló que casi 48% de las organizaciones utiliza la evaluación estratégica de vulnerabilidades como base de ciberdefensa. Sin embargo, solo el 5% tiene el grado más alto de madurez, con cobertura integral de activos como piedra angular, mientras el 33% hacen lo mínimo requerido por regulaciones de cumplimiento; lo que aumenta el riesgo que un ataque cibernético las afecte.

Según la compañía, los atacantes generalmente tienen una ventana de oportunidad promedio de siete días para explotar una vulnerabilidad conocida, antes de que los defensores incluso hayan determinado que están indefensos. Esto va de la mano con la forma en que las empresas realizan evaluaciones de vulnerabilidad: cuanto más estratégico y maduro sea el enfoque, menor será la brecha y el riesgo para el negocio.

Hallazgo

Gracias al estudio, la marca encontró 4 perfiles de usuarios respecto a la detección de vulnerabilidades:
-‘El minimalista’. El 33% de las organizaciones entran en esta categoría. Son las que ejecutan evaluaciones mínimas de vulnerabilidad, como lo exigen las regulaciones de cumplimiento.

-‘El explorador’. Realiza frecuentes evaluaciones de vulnerabilidad de amplio alcance, pero con poca autenticación y personalización de las plantillas de escaneo.

-‘El Investigativo’. Ejecuta evaluaciones de vulnerabilidad con un alto nivel de madurez, pero solo evalúa los activos selectos. Es decir, indica una estrategia sólida basada en una buena cadencia de escaneo, plantillas de escaneo enfocadas, amplia autenticación de activos y priorización. El 43% de las compañías están en este rubro.

-‘El cuidadoso’. Es el nivel más alto de madurez, logrando una visibilidad casi continua para saber dónde un activo está protegido o expuesto y en qué medida, a través de una alta frecuencia de evaluación. Solo el 5% de las organizaciones se incluyen en esta categoría, mostrando cobertura completa de activos, evaluaciones y escaneos personalizados según lo requiera el caso.

Labor

Por su parte, Luis Isselin, director general en México para Tenable, compartió que están generando la conciencia sobre Cyber Exposure, la solución para determinar el nivel de vulnerabilidad de las compañías. Que las empresas vean el valor de la adopción y por otro lado, el canal reconozca el negocio incremental que podría tener a través de la comercialización de la propuesta.

Según explicó el vocero, a partir de ofrecer la visibilidad del diagnóstico, vienen una serie de recomendaciones y acciones que se deben implementar; para un canal de ciberseguridad, el que pueda ofrecer de su portafolio varias soluciones, incluyendo Tenable, podrá generarle mayores ganancias.

Hay diversos perfiles que a los que este negocio puede ser atractivo, además de los tradicionales de ciberseguridad: los de cumplimiento/compliance; los que sólo venden infraestructura e integran esta propuesta. El segundo es el que va hacia el riesgo en el desarrollo de aplicaciones, es decir, antes de lanzar a producción.

“El tercero es aquel que va midiendo el riesgo de vulnerabilidad. A los socios los clasificamos en 4 niveles: Afiliado, Silver, Gold y Platinum; los últimos tres con diferentes niveles de certificaciones, metas de ventas y capacitaciones, base instalada, mercadotecnia, entre otros. A todos los podemos atender a través de nuestro distribuidor exclusivo en México: Grupo Dice”, comentó Isselin.