La importancia de comprender los marcos de gestión de vulnerabilidades para priorizar las respuestas de seguridad
JP supervisa los equipos de investigación e innovación que mantienen a Onapsis a la vanguardia del mercado de seguridad de aplicaciones críticas para el negocio.
getty
El mundo funciona con aplicaciones de planificación de recursos empresariales (ERP). Puede sonar como una declaración demasiado audaz, pero veamos cuánto impactan las aplicaciones ERP en nuestra vida diaria.
Centrándose en SAP, el líder del mercado en ERP, sus clientes por sí solos generan el 87 % del comercio global total, que asciende a aproximadamente $ 46 billones, y consisten en 99 de las 100 empresas más grandes del mundo.
Con esas estadísticas en mente, algunas de las organizaciones más grandes del mundo que nos impactan dependen completamente de las aplicaciones ERP para operar y atender a las personas. Con el tiempo, estas aplicaciones se convirtieron en una parte central de sus sistemas de misión crítica, ya que literalmente respaldan su misión.
Estas aplicaciones son de vital importancia, pero cuando se trata de seguridad, ¿cómo podemos priorizar adecuadamente la inversión en aplicaciones ERP cuando hay tantas otras cosas que considerar? A continuación se presentan algunos estándares y mecanismos diferentes para hacerlo.
Sistema de puntuación de vulnerabilidad común
El Common Vulnerability Scoring System (CVSS) proporciona la gravedad técnica de una vulnerabilidad, mientras que las fuentes de inteligencia de amenazas nos brindan información sobre qué utilizan activamente los actores de amenazas y cómo. Los laboratorios de investigación de Onapsis, por ejemplo, brindan este último a los clientes y al público al trabajar con CERT(s) globales cuando existen riesgos que deben abordarse con mayor prioridad.
Pero con todos estos mecanismos, ¿existe algún estándar que pueda ayudar a poner todo junto y tomar una decisión de priorización?
Guía de categorización de vulnerabilidades específicas de las partes interesadas
Recientemente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) publicó la Guía de Categorización de Vulnerabilidades Específicas de las Partes Interesadas (SSVC, por sus siglas en inglés), que es "un modelo de árbol de decisiones personalizado que ayuda a priorizar la respuesta a las vulnerabilidades" y puede usarse como un estándar para priorizar cómo dar respuesta a las diferentes vulnerabilidades de seguridad por las que una empresa puede verse afectada.
La importancia de esta herramienta es que considera el contexto para tomar una decisión de priorización, por lo que, si bien CVSS proporciona un nivel de impacto técnico, se convierte en solo una parte del árbol de decisiones de SSVC. Este árbol de decisiones está fuertemente influenciado por el componente de explotación, incluso si una vulnerabilidad se está explotando activamente o si es "automatizable".
Este modelo de árbol de decisiones considera de manera efectiva muchos aspectos del estado actual de las vulnerabilidades de seguridad para ayudar a tomar una decisión de respuesta, más concretamente, cuándo parchear o aplicar mitigación a la vulnerabilidad. El SSVC considera los siguientes elementos.
• Acción (cuándo remediar).
• Seguimiento (dentro de los plazos de actualización estándar).
• Asistir (antes de los plazos de actualización estándar).
• Actuar (tan pronto como sea posible).
Cuando volvemos a relacionar esto con el tema de las aplicaciones ERP, el SSVC también es aplicable a las vulnerabilidades que afectan a este tipo de aplicaciones, aunque tiene un componente muy interesante como parte de su árbol de decisión llamado “misión y bienestar”. Esto considera los siguientes dos aspectos.
• Impacto en las funciones esenciales de la misión de las entidades relevantes. (¿Qué relación tiene el componente vulnerable con el cumplimiento de la misión?)
• Impactos del compromiso del sistema afectado en los seres humanos. (¿Qué tan relacionado está el componente vulnerable con tener un impacto en el bienestar público?)
Si bien el impacto en el bienestar público depende del tipo de organización y de cómo se utiliza la tecnología para cumplir su misión, el impacto en las funciones esenciales de la misión puede ser más sencillo de categorizar. Esto es especialmente cierto cuando se hace referencia a aplicaciones críticas para el negocio, ya que son esenciales para cumplir la misión de la mayoría de las organizaciones. Y como el componente de “misión y bienestar” está considerando efectivamente el más alto de sus dos componentes, entonces podemos asumir con seguridad que para el propósito del SSVC, su impacto en “misión y bienestar” siempre será alto cuando refiriéndose a aplicaciones críticas para el negocio.
Un árbol simplificado para aplicaciones críticas para el negocio
Cuando se habla de aplicaciones críticas para el negocio, esto simplifica efectivamente el árbol de decisiones. Con el árbol simplificado, la mayoría de los escenarios aterrizarán en la categoría "Actuar" o "Asistir", como se mencionó anteriormente, los cuales se alinean con las recomendaciones de CISA para parches inmediatos. Para los otros tres escenarios, la recomendación es ceñirse a los plazos estándar de aplicación de parches.
Lo que esto nos dice es que las aplicaciones críticas para el negocio requieren una atención especial cuando se trata de seguridad y vulnerabilidades. Al tener suficiente contexto sobre las posibles vulnerabilidades dentro de una organización, los equipos de seguridad están equipados para responder adecuadamente.
El SSVC proporciona un buen ejemplo de marcos para ayudar a las organizaciones a priorizar las respuestas a las vulnerabilidades cuando se presentan, pero en última instancia, la importancia de la seguridad para las aplicaciones comerciales debe seguir siendo una consideración principal antes de que surja una vulnerabilidad.
El Consejo de Tecnología de Forbes es una comunidad a la que solo se puede acceder por invitación para CIO, CTO y ejecutivos de tecnología de clase mundial. ¿Califico?
