El apocalipsis de los parches: una crisis para las organizaciones
Hace cinco años, la gestión de parches recaía casi por completo en el área de TI: Programar, desplegar, verificar y reportar. Un trabajo técnico importante que rara vez llamaba la atención fuera del equipo responsable de ejecutarlo. Eso ha cambiado.
Este cambio está impulsado por tres fuerzas convergentes. Los modelos de IA de vanguardia, como el Project Glasswing de Anthropic, están acelerando el descubrimiento de vulnerabilidades a una escala sin precedentes. Los atacantes están utilizando la misma IA para realizar ingeniería inversa de los parches en apenas 72 horas.
Asimismo, muchos profesionales de la seguridad consideran que los líderes del área no comunican eficazmente la exposición al riesgo a la alta dirección de la empresa; de hecho, según un estudio de Ivanti, el 59 % afirma que dicha comunicación es, en el mejor de los casos, solo moderadamente eficaz. Cuando el riesgo operativo trasciende al ámbito estratégico, esta brecha deja a la junta directiva sin los datos necesarios para tomar decisiones fundamentadas sobre financiación, tolerancia al riesgo y prioridades.
El 83 % de las organizaciones ya cuenta con un marco documentado para definir su tolerancia al riesgo. El 79 % afirma cuantificar el riesgo de ciberseguridad en su proceso de toma de decisiones. Esto significa que ya existe la infraestructura necesaria para tomar decisiones informadas. qué activos son críticos, qué exposiciones son realmente explotables y dónde es posible reducir el riesgo con la menor fricción operativa. El problema radica en que los datos no llegan a la junta directiva en un formato que esta pueda utilizar.
Lo que el CIO debe hacer ahora
La tarea inmediata es verificar si el marco de gestión de riesgos documentado sobre el papel coincide con el programa de gestión de parches que se está ejecutando en la práctica. Estas son tres preguntas que todo CIO debe ser capaz de responder cuando la próxima divulgación de una vulnerabilidad crítica llegue al conocimiento de la junta directiva:
- ¿Cuál es el tiempo promedio transcurrido desde la divulgación pública de una CVE hasta la remediación del último endpoint afectado dentro de nuestro entorno?
- ¿Qué porcentaje de nuestras exposiciones susceptibles de explotación se corrigen dentro del plazo de 72 horas?
- ¿Cuál es nuestra tasa de resolución de exposiciones de alta prioridad?
Si no tiene respuestas a estas preguntas, ese es el hallazgo más importante: la brecha existe. Si tiene respuestas, pero los indicadores muestran una tendencia negativa, es una señal clara de que el programa debe discutirse a nivel de junta directiva.
La gestión de parches es ahora un imperativo estratégico, no un asunto meramente operativo. Esto significa que requiere la atención de la junta directiva, no solo del área de TI; exige nuevas métricas y conlleva implicaciones diferentes si falla. La responsabilidad del CIO es comunicar claramente este cambio, antes de que la próxima divulgación de una vulnerabilidad lo obligue a hacerlo.
Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú
Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario
