Casi todos los bancos tienen problemas con la gestión de vulnerabilidades, incluido el mío. Estábamos enterrados en vulnerabilidades y nos enfrentábamos al reto de averiguar cuáles hay que solucionar primero. Después de asociarnos con el equipo de hackers veteranos de IBM X-Force Red, logramos un nivel significativamente mejor de control sobre nuestra situación de gestión de vulnerabilidades y continuamos disfrutando de mejoras continuas tanto en las prácticas como en los resultados.
Nuestro equipo estaba desbordado con un gran número de vulnerabilidades, incluida una acumulación de vulnerabilidades críticas que no se estaban reduciendo con la suficiente rapidez. Entre los problemas estaba nuestra incapacidad para convertir de manera efectiva los datos agregados de tendencias en información procesable para las personas responsables de la remediación.
El equipo de X-Force Red se adentra en nuestro desorden de problemas. Cuatro meses después del inicio del programa, vimos una reducción del 60 por ciento en las vulnerabilidades críticas y una reducción de casi el 45 por ciento en las vulnerabilidades totales.
Las empresas de servicios financieros son víctimas de ataques de ciberseguridad con 300 veces más frecuencia que las empresas de otros sectores, por lo que nuestra empresa ha invertido y priorizado nuestro programa de gestión de vulnerabilidades.
Teníamos una acumulación de vulnerabilidades altas y críticas. El gran volumen hizo que la presentación de informes, la priorización y el seguimiento de los problemas fueran realmente difíciles. Simplemente carecíamos de una solución a escala empresarial para la gestión de vulnerabilidades.
Teníamos una solución ineficaz de hojas de cálculo complejas que extraían un gran número de vulnerabilidades de múltiples sistemas y escáneres, lo que en última instancia dejaba tanto al equipo de gestión de vulnerabilidades como a otros equipos responsables de la aplicación de parches incapaces de deconstruir los complicados informes y profundizar en los datos. Los informes mostraban un número total de vulnerabilidades y un indicador clave de riesgo basado en fórmulas, pero necesitábamos información sobre cómo se calculaba esa métrica y qué vulnerabilidades afectaban a sistemas específicos.
Nos sentíamos paralizados. El resultado de nuestros escáneres de vulnerabilidades nos permitió ver cuántas vulnerabilidades teníamos, pero no pudimos correlacionar de manera confiable los datos con sistemas y propietarios específicos. Sin informes efectivos, los administradores de sistemas no sabían por dónde empezar con la aplicación de parches y el equipo de vulnerabilidades no podía proporcionar una dirección útil.
El estrés se apoderó de nuestro equipo. Los datos eran tan opacos que parecía que estábamos perdiendo el control. Todos los meses informábamos a la dirección con la esperanza de que las cifras de vulnerabilidad tendieran a la baja, pero sabíamos que no controlábamos el resultado. Nos sentimos impotentes.
Además, nuestro proveedor de entonces no se hizo cargo de las crecientes preocupaciones ni abordó los problemas de su modelo de información que nos impedían avanzar. Necesitábamos revisar nuestro programa de gestión de vulnerabilidades y cambiar de proveedor.
Buscamos un servicio con la experiencia, las herramientas y la inteligencia que nos ayudaran a corregir la acumulación de vulnerabilidades, particularmente las críticas. La selección de X-Force Red Vulnerability Management Services en noviembre de 2018 resultó rápidamente beneficiosa. El equipo de hackers veteranos de X-Force Red analizó inmediatamente las diferentes áreas tecnológicas y las diferentes líneas de negocio de nuestra empresa. Revisaron el modelo de datos, solucionaron importantes problemas de calidad de los datos e introdujeron la automatización que continúan mejorando en la actualidad.
Mientras que antes revisábamos manualmente cada vulnerabilidad y tratábamos de descifrar cuáles de entre millones eran potencialmente las más dañinas, la fórmula de clasificación automatizada de X-Force Red nos ayudó a priorizar las vulnerabilidades más críticas de forma más eficiente y eficaz.
El equipo de X-Force Red hizo que la fórmula fuera transparente, para que supiéramos exactamente cómo funcionaba el algoritmo. Con su mentalidad de hacker, X-Force Red priorizó las vulnerabilidades en función de si los delincuentes las estaban convirtiendo en armas y del valor del activo expuesto. La priorización automatizada sólo nos llevó unos minutos, frente a los días que tardábamos con nuestros métodos manuales anteriores. Esta rápida respuesta nos ayudó a corregir inmediatamente las vulnerabilidades para evitar ataques y permitió a los miembros de mi equipo centrarse en otras tareas.
Con la ayuda de X-Force Red, mi equipo pudo atribuir vulnerabilidades a los propietarios de remediación adecuados, pero también medir más fácilmente el desempeño de esos propietarios a lo largo del tiempo. Nuestra nueva capacidad para apoyar a los propietarios de sistemas y exigirles responsabilidades ha impulsado grandes avances. Los servicios de gestión de vulnerabilidades de X-Force Red permiten realizar ajustes rápidos en nuestro proceso de elaboración de informes. Ahora entendemos datos que antes no podíamos descifrar durante años y podemos pedir ver esos datos en un formato específico o como una porción, todo gracias a los servicios de gestión de vulnerabilidades de X-Force Red.
Los números no mienten. Solo cuatro meses después de nuestra asociación con X-Force Red, vimos una reducción del 60 por ciento en las vulnerabilidades más críticas y una reducción del 44 por ciento en las vulnerabilidades totales.
Ahora estamos implementando el componente de facilitación de corrección de los servicios de gestión de vulnerabilidades de X-Force Red para enviar nuestros problemas más importantes, en lotes manejables, a los equipos de administración de sistemas responsables de solucionarlos.
Además de los aspectos de informes y seguimiento de la práctica de gestión de vulnerabilidades, el equipo de X-Force Red también asumió la responsabilidad de impulsar mejoras en nuestra infraestructura de escaneo. Podemos escanear el entorno casi el doble de rápido gracias a las reconfiguraciones para eliminar escaneos redundantes y solucionar problemas de configuración del escáner.
Nuestro equipo es optimista sobre nuestra asociación continua con X-Force Red y el impacto significativo que sus servicios de gestión de vulnerabilidades tienen en nuestra seguridad futura. Estoy extraordinariamente feliz, no es frecuente que un compañero supere las expectativas, pero en este caso, X-Force Red lo ha hecho.
Legal
© Copyright IBM Corporation 2019. IBM Corporation, IBM Security, New Orchard, Armonk, NY 10504
Producido en los Estados Unidos, septiembre de 2019.
IBM, el logotipo de IBM, ibm.com y X-Force son marcas comerciales de International Business Machines Corp., registradas en muchas jurisdicciones del mundo. Los demás nombres de productos y servicios pueden ser marcas comerciales de IBM u otras empresas. La lista actual de las marcas registradas de IBM está disponible en la web en "Información sobre derechos de autor y marcas registradas" en ibm.com/legal/copyright-trademark.
La información contenida en este documento es la vigente en la fecha de su publicación original y está sujeta a cambios por parte de IBM. No todas las ofertas mencionadas en este documento están disponibles en todos los países en los que IBM está presente.
Los datos de rendimiento y ejemplos de clientes mencionados se presentan únicamente con fines ilustrativos. Los datos reales de rendimiento pueden variar en función de las configuraciones y condiciones de funcionamiento específicas. LA INFORMACIÓN DE ESTE DOCUMENTO SE OFRECE "TAL CUAL ESTÁ" SIN NINGUNA GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE COMERCIALIZACIÓN, ADECUACIÓN A UN FIN CONCRETO Y CUALQUIER GARANTÍA O CONDICIÓN DE INEXISTENCIA DE INFRACCIÓN. Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.
Declaración de buenas prácticas de seguridad: La seguridad del sistema de TI implica proteger los sistemas y la información a través de la prevención, detección y respuesta al acceso indebido desde dentro y fuera de su empresa. Un acceso indebido puede dar lugar a la alteración, destrucción, apropiación o uso indebidos de la información o puede provocar daños o el uso indebido de sus sistemas, incluso para utilizarlos en ataques a terceros. Ningún sistema o producto informático debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad por sí solo puede ser completamente eficaz a la hora de evitar usos o accesos indebidos. Los sistemas, productos y servicios de IBM están diseñados para formar parte de un enfoque de seguridad legal y global, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más eficaz. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES O VAYAN A HACER QUE SU EMPRESA SEA INMUNE A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS.