¿Qué es la gestión de la superficie de ataque?

La gestión de la superficie de ataque (ASM) consiste en identificar, supervisar y gestionar de manera continua todos los activos conectados a internet (tanto internos como externos), con el objetivo de encontrar posibles vectores de ataque y exposiciones.

La finalidad de la ASM es aumentar la visibilidad y reducir el riesgo. Si adoptan un enfoque proactivo para detectar y mitigar las vulnerabilidades, las organizaciones podrán reducir considerablemente el riesgo de sufrir un ciberataque, así como mejorar su estrategia de seguridad en general.

¿Qué es una superficie de ataque?

La superficie de ataque es la suma de todos los puntos desde los que un atacante podría intentar acceder a los sistemas y datos de una empresa. Entre estos posibles puntos de entrada se encuentran los siguientes:

  • Aplicaciones: cualquier aplicación de software a la que se pueda acceder desde fuera de la empresa, como las aplicaciones web o móviles y las API.
  • Sitios web: cualquier sitio web que aloje la empresa, como los sitios públicos, los internos y los de comercio electrónico.
  • Redes: cualquier red que utilice la empresa para conectar sus dispositivos y sistemas, incluida la red internet, las redes privadas y las redes en la nube.
  • Dispositivos: cualquier dispositivo conectado a las redes de la empresa, como ordenadores portátiles, teléfonos inteligentes, servidores y dispositivos IoT.
  • Infraestructura en la nube: cualquier infraestructura en la nube que utilice la empresa, incluidas nubes públicas, privadas e híbridas.

La superficie de ataque crece constantemente debido a factores como la adopción de la nube o el número cada vez mayor de dispositivos conectados. Esto hace que a las organizaciones les resulte muy complicado llevar un seguimiento de todas las vulnerabilidades presentes en su entorno y tomar medidas para mitigarlas.

¿Por qué es importante la ASM?

No se puede proteger lo que no se sabe que existe. La gestión de la superficie de ataque ayuda a las organizaciones a ver más claramente la superficie de ataque y reducir los riesgos que le afectan. Debido a la naturaleza dinámica de las organizaciones que buscan adoptar la nube, es necesario recurrir a la gestión de la superficie de ataque tanto interna como externa.

Al minimizar el número de puntos de entrada y vulnerabilidades presentes en sus sistemas y redes, las organizaciones pueden reducir el riesgo de sufrir un ciberataque o una brecha de datos. Minimizar esto garantiza que la organización disponga de un inventario exhaustivo que se actualice continuamente y reúna todos los activos conectados a internet y sus correspondientes riesgos.

Establecer un sistema de registro exhaustivo de este tipo requiere cambiar de estrategia. Esto es así porque los perímetros de la red son hoy cosa del pasado y, por lo tanto, ya no vale con tener una visión tradicional de la superficie de ataque de una organización. Las superficies de ataque modernas abarcan todos los activos conectados a internet presentes en la nube, en las instalaciones locales o en distintas ubicaciones compartidas.

Con los entornos de varias nubes, las nubes públicas y privadas, los activos procedentes de fusiones y adquisiciones, y el acceso de los partners de la cadena de suministro y de los trabajadores remotos, a los expertos de TI les resulta imposible seguirles la pista a todos los activos y a las personas responsables de ellos con métodos manuales.

Antes, los inventarios de activos se generaban con procesos lentos, manuales y esporádicos, como ejercicios de Red Team o pruebas de penetración. Por desgracia, las infraestructuras modernas pueden cambiar en un instante, sobre todo en el caso de la nube. Para crear una instancia en la nube nueva a espaldas de los procesos de seguridad, basta con que un empleado tenga una tarjeta de crédito. Esta constituye una de las causas más habituales de la expansión de la superficie de ataque.

Además, la calidad de los datos de los inventarios de activos afecta directamente a la eficacia de todos los procesos de seguridad. Con los escáneres de vulnerabilidades que solo analizan los activos conocidos, los activos desconocidos quedan desprotegidos. Estos activos desconocidos representan una amenaza directa y hacen que a los equipos de seguridad les resulte imposible tenerlo todo bajo control.

Una encuesta de MIT Technology Review Insights reveló que el 50 % de las organizaciones habían sufrido un ciberataque a un activo desconocido o no gestionado, y que otro 19 % creía que era inminente que se produjese un incidente.

La velocidad y escala de internet

Los actores maliciosos encuentran y atacan activos desconocidos por el simple hecho de que siempre están buscando blancos fáciles. Los atacantes han sufrido su propia transformación digital y, en menos de una hora, son capaces de analizar toda la red Internet en busca de sistemas vulnerables. En consecuencia, el tiempo medio de inventariado (MTTI) que necesitan los responsables de la seguridad de las empresas para elaborar una lista de todos los activos de su superficie de ataque debe ser menor que el que tardan los atacantes en encontrar dichos activos.

Según Cortex Xpanse, nada más anunciarse las vulnerabilidades y exposiciones comunes (en 15 minutos o menos), los actores de amenazas realizan análisis en busca de activos internos vulnerables conectados a internet cada hora o incluso más a menudo. Por el contrario, las multinacionales necesitan 12 horas de media para encontrar los sistemas vulnerables, y eso suponiendo que la empresa conozca todos los activos de su red.

La gestión de la superficie de ataque implica tener en cuenta todos los aspectos para elaborar un inventario exhaustivo y actualizado de todos los activos conectados a la red de una organización —lo que incluye direcciones IP, dominios, certificados, infraestructuras en la nube y sistemas físicos— y establecer qué parte de la organización es responsable de cada activo.

La ASM tiene que funcionar a la misma velocidad y escala que el IoT, cada vez más predominante, para detectar, identificar y mitigar los riesgos continuamente en todos los activos públicos, independientemente de que estén alojados en entornos locales, en la nube o controlados por filiales y proveedores estratégicos.

Además, debe analizar el entorno desde fuera hacia dentro y no puede depender de logs o inventarios de activos procedentes de otros productos de seguridad, porque probablemente estén incompletos. Los análisis externos garantizan que se tenga constancia de todos los activos conocidos y desconocidos, y los datos resultantes se utilizan después en los procesos de seguridad.

En su informe 2021 Hype Cycle for Security Operations, Gartner explicaba cómo, al examinar la exposición desde la perspectiva de la gestión de la superficie de ataque externa, las organizaciones obtienen información más detallada para decidir qué es relevante en su caso, sin tener que fijarse en el panorama de amenazas de manera más general ni preguntarse si su empresa se estará viendo afectada.

Tipos de superficies de ataque

Dentro de la gestión de la superficie de ataque, existen varias categorías especializadas, cada una centrada en ciertos tipos de activos concretos y sus correspondientes superficies de ataque. Para garantizar una seguridad sólida para los activos de la organización, es imprescindible conocer muy bien los distintos tipos de gestión de la superficie de ataque, entre los que se incluyen los siguientes:

Tipo Definición Características clave
ASM externa (EASM) Se centra en la gestión de los activos externos. Aquí se incluyen sitios web, infraestructura en la nube pública y cuentas de redes sociales.
ASM interna (IASM) Se centra en la gestión de los activos internos. Aquí se incluyen redes, aplicaciones y dispositivos internos.
ASM de activos cibernéticos (CAASM) Se centra en la gestión de los activos cibernéticos. Aquí se incluyen programas de software, datos y propiedad intelectual.
ASM del código abierto (OSASM) Se centra en la gestión del software de código abierto. Aquí se incluyen bibliotecas, marcos y herramientas.

Conozca en detalle los distintos tipos, categorías y funciones de la gestión de la superficie de ataque: ¿Qué tipos y funciones existen dentro de la gestión de la superficie de ataque?

Activos conocidos

Los activos digitales conocidos son dispositivos, sistemas y aplicaciones que constan en los registros de los equipos de seguridad de una organización y que estos han autorizado a conectarse a la red empresarial. Estos activos figuran en el inventario de la organización y se someten a supervisiones y evaluaciones de seguridad periódicas.

Activos desconocidos

Los activos digitales desconocidos, por el contrario, son aquellos dispositivos, sistemas y aplicaciones de los que la organización y sus equipos de seguridad no tienen constancia y, por tanto, no han autorizado en la red. Aquí se incluyen la informática en la sombra, los dispositivos no autorizados, el ransomware y las aplicaciones no gestionadas. Los activos desconocidos suponen un grave riesgo para la seguridad de la organización, ya que introducen puntos débiles en la estrategia de ciberseguridad.

Activos no autorizados

Al igual que los activos digitales desconocidos, los activos digitales no autorizados están conectados a la red sin que se les haya dado autorización para ello. La diferencia es que los activos no autorizados hacen referencia a activos conocidos que no cuentan con la debida autorización o que representan un riesgo para la seguridad.

Por el contrario, los activos desconocidos son activos presentes en una red o sistema que no han sido detectados ni identificados, pero que quizás sí hayan sido autorizados en su día y luego se hayan olvidado. Suelen utilizarse para obtener acceso no autorizado a la red o los datos de una organización. Los activos no autorizados pueden ser difíciles de detectar y gestionar, ya que no figuran en el inventario de la organización ni están sometidos a los controles de seguridad.

Proveedores

Los proveedores pueden suponer un riesgo importante para la seguridad de una organización, ya que podrían introducir vulnerabilidades o puntos débiles en su red o sus datos. Las organizaciones deben gestionar y supervisar cuidadosamente sus relaciones con ellos para minimizar el riesgo de que se produzca un ciberataque.

Esto puede incluir la realización de evaluaciones de seguridad periódicas, el establecimiento de requisitos contractuales para la seguridad y la supervisión y gestión de riesgos continuas. En el ámbito de la gestión de la superficie de ataque, los proveedores podrían ser proveedores de software, de servicios en la nube o de otros servicios externos.

 

Principales funciones de la ASM

Las soluciones de gestión de la superficie de ataque deben realizar cinco funciones principales para proteger de las vulnerabilidades. Gracias a estas funciones, las organizaciones pueden obtener una vista completa de su superficie de ataque, identificar las vulnerabilidades y los puntos débiles, priorizar sus esfuerzos y reducir el riesgo de que se produzcan ciberataques o brechas de datos.

Detección

Durante la detección, la organización y sus equipos de seguridad realizan análisis, revisan los logs y utilizan otras herramientas para detectar activos conocidos y desconocidos. El objetivo es identificar todos los activos, sistemas, aplicaciones y puntos de entrada presentes en la red de una organización.

Correspondencia

Una vez que se hayan identificado todos los activos, lo siguiente que hay que hacer es garantizar que se llevan a cabo dos procesos automáticamente: que se establezca su correspondencia con las filiales y las unidades empresariales individuales, y que se integren con las herramientas del SOC existentes. Así, se tardará menos en identificar al propietario y en facilitar información para corregir los incidentes.

Contexto

La contextualización ayuda a las organizaciones a priorizar y centrar sus recursos en aquellos aspectos que más riesgo conllevan y que más consecuencias tienen para la empresa. Para que la gestión de la superficie de ataque resulte eficaz, los activos y las vulnerabilidades que se hayan detectado deben estar contextualizados. Para ello, es necesario analizar los activos y las vulnerabilidades en el contexto de las características específicas de la organización, a saber, el perfil de riesgo, los requisitos de cumplimiento normativo y los objetivos empresariales.

Priorización

Las vulnerabilidades y los activos deben priorizarse por orden de importancia en función del riesgo que entrañan y de su posible impacto, teniendo en cuenta factores como la probabilidad de que sean explotados, las posibles consecuencias de un ataque y el grado de dificultad de la corrección. Esto ayuda a las organizaciones y a los equipos de seguridad a centrar sus recursos en abordar primero las vulnerabilidades más críticas.

Corrección

Una vez que se han identificado las vulnerabilidades o los puntos débiles de la red, los sistemas o las aplicaciones de la organización, es necesario corregirlos. El objetivo de la corrección es reducir o eliminar el riesgo de sufrir un ciberataque o una brecha de datos que puedan aprovecharse de esas vulnerabilidades.

La corrección puede llevarse acabo de distintas maneras, dependiendo de la naturaleza y la gravedad de la vulnerabilidad. Puede ser necesario aplicar un parche de seguridad o actualizar un programa de software, configurar cortafuegos u otros controles de seguridad, restringir el acceso a ciertos activos o retirar aplicaciones o sistemas obsoletos. La corrección debe darse de manera continuada para garantizar que no se vuelva a producir o introducir la vulnerabilidad.

Descubra cómo la estrategia de ciclo de vida de la ASM proporciona un marco dinámico para ayudar a los equipos de seguridad a detectar y mitigar los riesgos cibernéticos de manera proactiva. ¿Qué es el ciclo de vida de la ASM?

 

Superficie de ataque vs. superficie de la amenaza

Aunque muchas veces se utilicen indistintamente, «superficie de ataque» y «superficie de la amenaza» son dos conceptos distintos con diferencias sutiles pero fundamentales. Entender estas diferencias resulta imprescindible para proteger con eficacia los activos de la organización.

La superficie de ataque es más amplia, ya que abarca todas las posibles vulnerabilidades, y su objetivo es reducir el riesgo general. La superficie de la amenaza, por su parte, es más específica: se centra en las vulnerabilidades de las que se aprovechan las amenazas conocidas y las prioriza en función de amenazas concretas. La superficie de ataque también es relativamente estática, ya que cambia lentamente a lo largo del tiempo, mientras que la superficie de la amenaza es dinámica, porque se transforma según van apareciendo amenazas nuevas y conforme cambian las tácticas de los atacantes.

Al identificar y abordar las vulnerabilidades en toda la superficie de ataque y, al mismo tiempo, centrarse en amenazas concretas que suponen el riesgo más grave, las organizaciones pueden mejorar considerablemente su estrategia de seguridad y blindar sus activos cruciales.

Aprenda a identificar las diferencias entre sus superficies de ataque y de la amenaza para reforzar sus estrategias de seguridad: ¿En qué se diferencian la superficie de ataque y la superficie de la amenaza?

 

Principales actores de amenazas

En el contexto de la ASM, los actores de amenazas hacen referencia a individuos, grupos o entidades que suponen un riesgo para la seguridad de los recursos de TI (datos, aplicaciones, dispositivos, infraestructura de red, equipos, etc.). Los principales actores de amenazas en este contexto pueden incluir los siguientes:

Hackers y ciberdelincuentes

Los hackers de sombrero negro son individuos o grupos con intenciones maliciosas que explotan las vulnerabilidades del software y las operaciones de TI en beneficio propio o para causar daños. Los ciberdelincuentes son individuos —o, cada vez más, grupos— que llevan a cabo actividades como el robo de identidades, el fraude financiero o la distribución de malware con el objetivo de lucrarse.

Actores estatales

Se trata de gobiernos o entidades patrocinadas por estados que participan en actividades maliciosas como el ciberespionaje o la guerra cibernética con fines políticos, económicos o militares. La Cybersecurity and Infrastructure Security Agency de EE. UU. publica informes «Threat Overview and Advisory» periódicos sobre grupos confabulados con China, Rusia, Corea del Norte e Irán y que operan desde sus suelos.

Amenazas internas

Empleados, contratistas o partners empresariales que conocen los sistemas de una organización desde dentro y podrían utilizar sus accesos en beneficio propio, para vengarse de la empresa o por algún otro motivo.

Hacktivistas

Individuos o grupos con motivaciones políticas, sociales o ideológicas que hackean sistemas para hacer llegar sus ideales a más gente o para protestar contra ciertas acciones u organizaciones.

 

Vectores de ataque que se explotan habitualmente

Los vectores de ataque son las rutas o los métodos que siguen los atacantes para explotar las vulnerabilidades y obtener acceso a los sistemas y datos de una organización. Dicho de otro modo, son formas en las que los atacantes pueden explotar una vulnerabilidad y alcanzar su objetivo. Estos son algunos ejemplos de vectores de ataque:

Phishing

Los ataques de phishing consisten en enviar correos electrónicos o mensajes de texto fraudulentos que parecen proceder de una fuente fiable, como un banco, una agencia gubernamental o una persona de confianza. Estos mensajes suelen contener enlaces o archivos adjuntos maliciosos que, al hacer clic en ellos, pueden instalar malware, robar información confidencial o poner en riesgo las cuentas de los usuarios.

Malware

El malware es software que ha sido diseñado para dañar o perturbar los sistemas informáticos. Los atacantes suelen utilizar el malware para obtener acceso no autorizado, robar datos o dañar los sistemas. Entre los tipos de malware más habituales, están los virus, los gusanos, el ransomware y el spyware.

Ingeniería social

La ingeniería social consiste en manipular a las personas para que revelen información confidencial o realicen alguna acción que ponga en riesgo la seguridad. Los atacantes utilizan diferentes técnicas, como la suplantación de identidad, el pretexting y el alarmismo, para engañar a sus víctimas y conseguir que estas desvelen información confidencial o realicen acciones que los beneficien.

Vulnerabilidades de las aplicaciones web

Los atacantes suelen tener las aplicaciones web en su punto de mira por el uso tan generalizado que se hace de ellas y el gran número de vulnerabilidades que pueden contener. Algunas de las vulnerabilidades que se encuentran habitualmente en las aplicaciones web son la inyección de SQL, las secuencias de comandos entre sitios (XSS) y los mecanismos de autenticación poco seguros. Si consiguen explotar estas vulnerabilidades, los atacantes podrían robar datos, obtener acceso no autorizado o alterar la funcionalidad de un sitio web.

Ataques a la red

Los ataques a la red ponen la mira en la infraestructura de red de una organización y su objetivo es interrumpir el tráfico de la red, obtener acceso no autorizado a los sistemas o robar datos confidenciales. Los ataques a la red más comunes incluyen los ataques por denegación de servicio (DoS) y de tipo «man-in-the-middle» (MitM), y los análisis de redes.

Exploits de día cero

El objetivo de los exploits de día cero son las vulnerabilidades de las que el proveedor o desarrollador del software no tienen constancia. Estas vulnerabilidades son muy peligrosas, ya que no existen parches ni actualizaciones de seguridad para corregirlas. Los ataques suelen utilizar los exploits de día cero para obtener acceso a los sistemas y robar información confidencial antes de que la vulnerabilidad se haga pública.

Errores de configuración en la nube

Los errores de configuración en la nube se producen cuando las aplicaciones o los servicios en la nube no están configurados de manera segura, por lo que quedan expuestos a los ataques. Algunos errores de configuración habituales son los depósitos de almacenamiento poco seguros, los puertos abiertos y los controles de acceso laxos. Los atacantes pueden aprovecharse de estos errores de configuración para obtener acceso a datos confidenciales o causar trastornos en los servicios en la nube.

Ataques a la cadena de suministro

El objetivo de los ataques a la cadena de suministro es obtener acceso a los sistemas o datos de una organización por medio de los proveedores externos. Los ciberdelincuentes podrían atacar los sistemas o el software de un proveedor para introducir malware o puertas traseras en la red de una organización.

Amenazas internas

Las amenazas internas son incidentes de seguridad provocados por personas que están autorizadas para acceder a los sistemas o datos de una organización y que podrían, deliberadamente o de manera involuntaria, poner en riesgo la seguridad, por ejemplo, porque tienen intenciones maliciosas, porque actúan con negligencia o porque no son conscientes de las consecuencias de sus acciones.

Ataques físicos

Los ataques físicos ponen en peligro la seguridad física de las instalaciones, los equipos o el personal de una organización. Pueden implicar el robo de dispositivos, el acceso no autorizado a zonas restringidas o daños materiales a los equipos.

Cómo mitigar los riesgos que afectan a la superficie de ataque

Para mitigar los riesgos, las organizaciones y, más concretamente, los directores de seguridad de la información (CISO) deben utilizar soluciones de gestión de la superficie de ataque interna y externa. Esto incluye tomar medidas para lo siguiente:

  • Reducir el número de puntos de entrada presentes en sus sistemas y redes.
  • Identificar y corregir las vulnerabilidades de sus sistemas y aplicaciones.
  • Implementar un sistema de autenticación y de control de accesos riguroso para limitar el acceso a los sistemas y los datos confidenciales.
  • Supervisar los sistemas y las redes por si hubiese actividad inusual o comportamientos sospechosos.
  • Revisar y actualizar periódicamente las políticas y los procedimientos de seguridad para garantizar que tengan en cuenta las amenazas y prácticas recomendadas más recientes.

Consulte la guía definitiva sobre ASM para CISO, que incluye las estrategias de los expertos para la evaluación de riesgos, el control de activos y la ciberseguridad: ¿Qué pueden hacer los CISO para gestionar la superficie de ataque de manera eficaz?

Evaluación de la superficie de ataque

Para garantizar la seguridad, es imprescindible evaluar continuamente la superficie de ataque, las vulnerabilidades y los protocolos de seguridad. Realizar búsquedas de vulnerabilidades y análisis de la superficie de ataque con regularidad permite sacar a la luz amenazas y puntos de explotación nuevos.

La puntuación de la superficie de ataque y las evaluaciones de riesgos elaboradas por equipos externos arrojan métricas muy útiles a la hora de evaluar la estrategia de seguridad. Siguiendo estos métodos, se obtienen información sobre la exposición a las amenazas y recomendaciones de cara a mejorar la seguridad.

Indicadores y métricas de evaluación

La puntuación de la superficie de ataque resulta muy útil a la hora de medir la exposición al riesgo general y valorar el estado de la estrategia de seguridad. La mayoría de las soluciones de ASM proporcionan un conjunto de herramientas eficaz en términos de puntuación de riesgos, pero si lo que se quiere es obtener una visión de conjunto exhaustiva de las amenazas y la estrategia de seguridad, es conveniente recurrir a los servicios de un equipo de evaluación de riesgos externo.

El primer paso del proceso profesional de evaluación de la superficie de ataque es revisar y evaluar las topologías de red existentes, los inventarios de activos, los análisis de vulnerabilidades y otros datos relevantes. A partir de esta información, el equipo de evaluación de riesgos realiza una serie de entrevistas para entender mejor los objetivos y las preocupaciones de la empresa, y familiarizarse con su superficie de ataque.

A continuación, los resultados de estas averiguaciones pueden contextualizarse con la inteligencia sobre amenazas y los conocimientos avanzados del equipo sobre las vulnerabilidades y amenazas correspondientes. Las observaciones y recomendaciones que se desprendan de esto se pueden adaptar al entorno y a los problemas de seguridad específicos de la organización, centrándose sobre todo en las cuestiones más importantes que, según las tendencias del sector, tienen más probabilidades de ser explotadas.

Este método le permite priorizar los recursos cuando son limitados para garantizar que los mecanismos de defensa estén cumpliendo su cometido y entender qué medidas son necesarias para mejorar la estrategia de seguridad.

Descubra cómo realizar una evaluación de la superficie de ataque puede poner en marcha y mejorar su programa de ASM: ¿Qué es la evaluación de la superficie de ataque?

El impacto de la transformación digital en la superficie de ataque

Durante la última década, las organizaciones han apostado por la transformación digital y el teletrabajo, lo cual ha provocado cambios importantes en su superficie de ataque. Esto ha desembocado en la expansión y evolución de los puntos de vulnerabilidad que pueden explotar los adversarios. Son varias las tendencias de TI que han contribuido a esta expansión de las vulnerabilidades:

Mayor conectividad

Las transformaciones digitales suelen implicar la integración de nuevos sistemas, dispositivos y tecnologías. Esta mayor conectividad general contribuye a la ampliación de la superficie de ataque, ya que cada punto de conexión nuevo introduce posibles vulnerabilidades que los atacantes pueden explotar.

Adopción de la nube

En el transcurso de las transformaciones digitales, es muy común trasladar servicios y datos a la nube. Si bien los proveedores de nube implementan medidas de seguridad sólidas, la configuración de los recursos en la nube, los controles de acceso y las transferencias de datos entre entornos locales y en la nube pueden introducir vectores de ataque nuevos si no se gestionan debidamente.

El internet de las cosas (IoT)

La adopción de dispositivos IoT es un componente fundamental de la transformación digital. Estos dispositivos, como los sensores inteligentes o el IoT industrial, pueden introducir nuevos puntos de entrada para las ciberamenazas. Si no se gestionan y configuran bien, los dispositivos IoT pueden convertirse en el blanco de los atacantes, sobre todo aquellos que se implementan sin haber actualizado las contraseñas de fábrica.

Trabajadores itinerantes

Las transformaciones digitales abren la puerta al teletrabajo y la informática móvil. Las políticas relativas al teletrabajo ofrecen flexibilidad, pero también aumentan la superficie de ataque, ya que exponen las redes empresariales a dispositivos y redes públicas que no siempre son seguros. Los enrutadores domésticos obsoletos con problemas de seguridad sin actualizar constituyen una vulnerabilidad muy común, y los dispositivos móviles también pueden convertirse en vectores de ataque si no se protegen de manera adecuada.

Integraciones de terceros

A menudo, las organizaciones integran sus sistemas con servicios y plataformas de terceros para mejorar sus capacidades digitales. El problema es que, si no se aprueban ni se protegen como es debido, cada una de estas integraciones es susceptible de introducir un riesgo nuevo. Los atacantes podrían aprovechar las vulnerabilidades en los sistemas de terceros para obtener acceso a la red de la organización.

Brecha de competencias en ciberseguridad

Las transformaciones digitales suelen requerir una serie de competencias nuevas en materia de ciberseguridad, pero las organizaciones no lo tienen fácil para conservar una plantilla con las competencias oportunas y capaz de afrontar las nuevas amenazas derivadas de los cambios en el entorno.

El último estudio de ISC2 sobre los trabajadores de la ciberseguridad concluyó que más de 9 de cada 10 profesionales encuestados (el 92 %) reconocieron que en su organización existía una brecha de competencias, y el 67 % aseguraron que faltaba personal de ciberseguridad para prevenir y corregir los problemas de seguridad.

Casos de uso de la gestión de la superficie de ataque

La gestión de la superficie de ataque (ASM) no es una solución «de talla única», sino una herramienta versátil que puede utilizarse en varios casos de uso de diferentes sectores y organizaciones. En el enlace que encontrará al final de esta sección, incluimos una serie de ejemplos destacados de cómo se puede utilizar la ASM para abordar ciertos retos relativos a la seguridad.

Gracias a su versatilidad y a que permite identificar y mitigar las vulnerabilidades en toda la superficie de ataque, la ASM ayuda a las organizaciones a reducir el riesgo de sufrir un ciberataque, a proteger los activos cruciales, a cumplir con las normativas en materia de seguridad y a mejorar su estrategia de seguridad en general.

Descubra los distintos casos de uso de la ASM y cómo encajan en los diferentes sectores: ¿Cuáles son los casos de uso más habituales de la gestión de la superficie de ataque?

Preguntas frecuentes sobre la gestión de la superficie de ataque (ASM)

Esto depende de varios factores, como el tamaño de la organización, la complejidad de la superficie de ataque y el nivel de riesgo. Lo ideal es que la gestión de la superficie de ataque sea un proceso continuo, más que un acontecimiento periódico.
Dar prioridad a la corrección de unas vulnerabilidades u otras depende de la superficie de ataque de la organización, de su nivel de riesgo y de lo fácil o difícil que sea explotarlas. Por lo tanto, las organizaciones deberían priorizar estas vulnerabilidades atendiendo a su nivel de gravedad, las probabilidades de que se produzca una explotación y el impacto en la empresa, y también en función de qué activos son más cruciales para la organización en caso de ataque.
Hay varias cosas que las organizaciones pueden hacer en este sentido:
  • Evaluar el porcentaje de vulnerabilidades corregidas en un período de tiempo determinado para supervisar el progreso del programa.
  • Determinar el tiempo que se tarda en corregir las vulnerabilidades, con el objetivo de identificar áreas de mejora en el proceso de corrección.
  • Calcular la reducción del riesgo asociado con la superficie de ataque para demostrar cómo contribuye el programa a disminuir las probabilidades de que se produzca un ciberataque.
  • Evaluar si la organización cumple con los estándares y reglamentos del sector oportunos para garantizar que el programa se rija por la normativa aplicable.
Como decíamos antes, las organizaciones deben adoptar una estrategia basada en la proactividad y la continuidad para evaluar la detección y la gestión. Así, podrán gestionar con eficacia los riesgos asociados con los activos digitales conocidos y desconocidos presentes en su superficie de ataque.