Casi todos los bancos tienen problemas con la gestión de vulnerabilidades, incluido el mío. Estábamos enterrados en vulnerabilidades y nos enfrentábamos al reto de averiguar cuáles había que solucionar primero. Después de asociarnos con el equipo de hackers veteranos de IBM X-Force Red, logramos un nivel significativamente mejor de control sobre nuestra situación de gestión de vulnerabilidades y continuamos disfrutando de mejoras continuas tanto en las prácticas como en los resultados.
Nuestro equipo estaba desbordado con un gran número de vulnerabilidades, incluida una acumulación de vulnerabilidades críticas que no se estaban reduciendo con la suficiente rapidez. Entre los problemas estaba nuestra incapacidad para convertir de manera efectiva los datos agregados de tendencias en información procesable para las personas responsables de la corrección.
El equipo de X-Force Red se adentra en nuestro desorden de problemas. Cuatro meses después del inicio del programa, vimos una reducción del 60 por ciento en las vulnerabilidades críticas y una reducción de casi el 45 por ciento en las vulnerabilidades totales.
Las empresas de servicios financieros son víctimas de ataques de ciberseguridad con 300 veces más frecuencia que las empresas de otros sectores, por lo que nuestra empresa ha invertido y priorizado nuestro programa de gestión de vulnerabilidades.
Teníamos una acumulación de vulnerabilidades altas y críticas. El gran volumen hizo que la presentación de informes, la priorización y el seguimiento de los problemas fueran realmente difíciles. Simplemente carecíamos de una solución a escala empresarial para la gestión de vulnerabilidades.
Teníamos una solución ineficaz de hojas de cálculo complejas que extraían un gran número de vulnerabilidades de múltiples sistemas y escáneres, lo que en última instancia dejaba tanto al equipo de gestión de vulnerabilidades como a otros equipos responsables de la aplicación de parches incapaces de deconstruir los complicados informes y profundizar en los datos. Los informes mostraban un número total de vulnerabilidades y un indicador clave de riesgo basado en fórmulas, pero necesitábamos insights sobre cómo se calculaba esa métrica y qué vulnerabilidades afectaban a sistemas específicos.
Nos sentíamos paralizados. El resultado de nuestros escáneres de vulnerabilidades nos permitió ver cuántas vulnerabilidades teníamos, pero no pudimos correlacionar de manera confiable los datos con sistemas y propietarios específicos. Sin informes efectivos, los administradores de sistemas no sabían por dónde empezar con la aplicación de parches y el equipo de vulnerabilidades no podía proporcionar una dirección útil.
El estrés se apoderó de nuestro equipo. Los datos eran tan opacos que parecía que estábamos perdiendo el control. Todos los meses informábamos a la dirección con la esperanza de que las cifras de vulnerabilidad tendieran a la baja, pero sabíamos que no controlábamos el resultado. Nos sentimos impotentes.
Además, nuestro proveedor de entonces no se hizo cargo de las crecientes preocupaciones ni abordó los problemas de su modelo de información que nos impedían avanzar. Necesitábamos revisar nuestro programa de gestión de vulnerabilidades y cambiar de proveedor.
Buscamos un servicio con la experiencia, las herramientas y la inteligencia que nos ayudaran a corregir la acumulación de vulnerabilidades, particularmente las críticas. La selección de X-Force Red Vulnerability Management Services en noviembre de 2018 resultó rápidamente beneficiosa. El equipo de hackers veteranos de X-Force Red analizó inmediatamente las diferentes áreas tecnológicas y las diferentes líneas de negocio de nuestra empresa. Revisaron el modelo de datos, solucionaron importantes problemas de calidad de los datos e introdujeron la automatización que continúan mejorando en la actualidad.
Mientras que antes revisábamos manualmente cada vulnerabilidad y tratábamos de descifrar cuáles de entre millones eran potencialmente las más dañinas, la fórmula de clasificación automatizada de X-Force Red nos ayudó a priorizar las vulnerabilidades más críticas de forma más eficiente y eficaz.
El equipo de X-Force Red hizo que la fórmula fuera transparente, para que supiéramos exactamente cómo funcionaba el algoritmo. Con su mentalidad de hacker, X-Force Red priorizó las vulnerabilidades en función de si los delincuentes las estaban convirtiendo en armas y del valor del activo expuesto. La priorización automatizada sólo nos llevó unos minutos, frente a los días que tardábamos con nuestros métodos manuales anteriores. Esta rápida respuesta nos ayudó a corregir inmediatamente las vulnerabilidades para evitar ataques y permitió a los miembros de mi equipo centrarse en otras tareas.
Con la ayuda de X-Force Red, mi equipo pudo atribuir vulnerabilidades a los propietarios de corrección adecuados, pero también medir más fácilmente el desempeño de esos propietarios a lo largo del tiempo. Nuestra nueva capacidad para apoyar a los propietarios de sistemas y exigirles responsabilidades ha impulsado grandes avances. Los servicios de gestión de vulnerabilidades de X-Force Red permiten realizar ajustes rápidos en nuestro proceso de elaboración de informes. Ahora entendemos datos que antes no podíamos descifrar durante años y podemos pedir ver esos datos en un formato específico o como una porción, todo gracias a los servicios de gestión de vulnerabilidades de X-Force Red.
Los números no mienten. Solo cuatro meses después de nuestra asociación con X-Force Red, vimos una reducción del 60 por ciento en las vulnerabilidades más críticas y una reducción del 44 por ciento en las vulnerabilidades totales.
Ahora estamos implementando el componente de facilitación de corrección de los servicios de gestión de vulnerabilidades de X-Force Red para enviar nuestros problemas más importantes, en lotes manejables, a los equipos de administración de sistemas responsables de solucionarlos.
Además de los aspectos de informes y seguimiento de la práctica de gestión de vulnerabilidades, el equipo de X-Force Red también asumió la responsabilidad de impulsar mejoras en nuestra infraestructura de escaneo. Podemos escanear el entorno casi el doble de rápido gracias a las reconfiguraciones para eliminar escaneos redundantes y solucionar problemas de configuración del escáner.
Nuestro equipo es optimista sobre nuestra asociación continua con X-Force Red y el impacto significativo que sus servicios de gestión de vulnerabilidades tienen en nuestra seguridad futura. Estoy extraordinariamente feliz, no es frecuente que un compañero supere las expectativas, pero en este caso, X-Force Red lo ha hecho.
Legal
© Copyright IBM Corporation 2019. IBM Corporation, IBM security, New orchard road, Armonk, NY 10504
Producido en los Estados Unidos de América, septiembre de 2019.
IBM, el logotipo de IBM, ibm.com y X-Force son marcas comerciales de International Business Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas. Puede consultar una lista actual de marcas registradas de IBM en la web, en “Información sobre derechos de autor y marcas registradas” en https://ibm.com/legal/copyright-trademark.
Este documento está vigente a partir de la fecha inicial de publicación, pero IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los datos de rendimiento y los ejemplos de clientes citados se presentan solo con fines ilustrativos. Los resultados de rendimiento reales pueden variar según las configuraciones específicas y las condiciones de funcionamiento. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE PROPORCIONA “TAL CUAL”, SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y CUALQUIER GARANTÍA O CONDICIÓN DE NO INFRACCIÓN. Los productos de IBM están garantizados de conformidad con los términos y condiciones de los acuerdos bajo los cuales se proveen.
Declaración de buenas prácticas de seguridad. La seguridad del sistema de TI implica proteger los sistemas y la información a través de la prevención, detección y respuesta al acceso indebido desde dentro y fuera de su empresa. El acceso inadecuado puede resultar en la alteración, destrucción, apropiación indebida o mal uso de la información o puede resultar en daños o mal uso de sus sistemas, incluso para su uso en ataques a otros. Ningún sistema o producto de TI debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso indebido. Los sistemas, productos y servicios de IBM están diseñados para ser parte de un enfoque de seguridad legal e integral, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más efectivos. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS, NI QUE VAYAN A HACER QUE SU EMPRESA SEA INMUNE A DICHA CONDUCTA.