Los datos fragmentados de múltiples escáneres, la puntuación de riesgo aislada y la mala colaboración entre equipos están dejando a las organizaciones cada vez más expuestas a infracciones , fallos de cumplimiento y sanciones costosas, según Swimlane.
El aumento incesante de vulnerabilidades está llevando a los equipos de seguridad a sus límites, obligándolos a gestionar volúmenes abrumadores de riesgos con herramientas y procesos que ya no son adecuados.
Swimlane encuestó a 500 tomadores de decisiones en materia de ciberseguridad en los EE. UU. y el Reino Unido para descubrir cómo los equipos de gestión de vulnerabilidades están afrontando estos desafíos.
“La creciente complejidad de la gestión de vulnerabilidades está obligando a las organizaciones a repensar su forma de abordar las estrategias de seguridad, riesgo y cumplimiento normativo en toda la organización”, afirmó Michael Lyborg , CISO de Swimlane. “Ya no se trata solo de reparar vulnerabilidades, sino de priorizar las que más importan para sus operaciones. Dado que las empresas pierden aproximadamente 47 580 dólares por empleado cada año debido a las tareas manuales, las organizaciones ya no pueden permitirse el lujo de operar en el modo reactivo del pasado”.
Las organizaciones carecen de una priorización eficaz de las vulnerabilidades
El 68 % de las organizaciones deja vulnerabilidades críticas sin resolver durante más de 24 horas, y el 37 % afirma que la falta de contexto o de información precisa es el principal desafío a la hora de establecer prioridades. De manera similar, el 35 % afirma que esta falta de contexto obstaculiza sus esfuerzos de solución.
En 2024, la Base de Datos Nacional de Vulnerabilidades recibirá más de 39 000 nuevas vulnerabilidades, por lo que contar con los datos correctos es fundamental para una calificación de riesgos inteligente y rápida. Sin ellos, los equipos de seguridad deben trabajar con información incompleta o fragmentada, lo que genera procesos ineficientes y tiempos de respuesta más lentos.
El 55 % de las organizaciones aún carece de un sistema integral para la priorización de vulnerabilidades . Si bien el 45 % utiliza un enfoque híbrido que combina procesos manuales y automatizados, muchas dependen de herramientas como la gestión de la postura de seguridad en la nube (71 %), escáneres de múltiples puntos finales (60 %) y escáneres de aplicaciones web (59 %) para la detección de vulnerabilidades.
Los costos ocultos del esfuerzo manual y la ineficiencia
Las tareas manuales consumen recursos significativos: el 57 % de los equipos de seguridad dedica entre el 25 y el 50 % de su tiempo a operaciones de gestión de vulnerabilidades . El 55 % dedica más de cinco horas semanales a consolidar y normalizar datos de vulnerabilidades, mientras que el 51 % señala la utilidad limitada de los resultados del escáner, lo que requiere herramientas y procesos adicionales.
El 65% de las organizaciones no confía en la capacidad de sus programas de gestión de vulnerabilidades para cumplir con los requisitos de auditoría regulatoria. Mientras tanto, el 73% expresa preocupación por las posibles multas vinculadas a prácticas inadecuadas de gestión de vulnerabilidades.
El 59% de las organizaciones informan que las prácticas de gestión de vulnerabilidades aisladas están creando ineficiencias y exponiendo sus sistemas a posibles riesgos de seguridad.
“La priorización y la automatización más inteligentes ya no son opcionales: son esenciales para reducir las vulnerabilidades, prevenir las infracciones y garantizar el cumplimiento continuo”, afirmó Cody Cornell , director de estrategia de Swimlane. “Al combinar la automatización inteligente con la experiencia humana, los equipos de gestión de vulnerabilidades obtienen la claridad que necesitan para actuar con decisión. Centralizar los datos y responder en tiempo real no es un lujo: es un imperativo empresarial que minimiza el riesgo y libera tiempo para centrarse en el próximo desafío”.
Fuente y redacción: helpnetsecurity.com
