Getting Exposure Management Right: Insights from 500 CISOs

Hoy en día, en un mundo cada vez más digitalizado, “Getting Exposure Management Right” se ha convertido en un mantra crucial para las organizaciones que desean proteger su infraestructura cibernética. De acuerdo con un estudio reciente llevado a cabo por Pentera, donde se encuestó a 500 CISOs de diversas empresas, se revela que, aunque las prácticas de gestión de exposición están madurando, aún persisten desafíos que el mercado debe abordar. Este artículo examinará los hallazgos clave del informe de Pentesting 2025 y proporcionará recomendaciones útiles para mejorar la postura de seguridad de su organización.

La Crescente Superficie de Ataque

La superficie de ataque moderna es vasto y, a menudo, incontrolable. Las empresas que adotan arquitecturas en la nube y utilizan dispositivos IoT incrementan significativamente el riesgo. Actualmente, un promedio de 75 herramientas de seguridad son gestionadas por cada empresa, lo que puede generar una sensación de caos y sobrecarga.

La complejidad del entorno no disuade a los atacantes; al contrario, la favorece. Atacan sin piedad las superficies que perciben como más vulnerables. Por lo tanto, la pregunta para los líderes de seguridad no es cómo proteger más terreno, sino dónde centrar sus esfuerzos para maximizar la seguridad.

La Relación entre Brechas y Gestión de Exposición

A menudo se asume que una brecha significa un compromiso real. Sin embargo, según el informe de Pentera, este no debe ser siempre el caso. Por ejemplo, un activo expuesto puede ser vulnerado técnicamente, pero si no está conectado a datos sensibles o servicios críticos, el impacto puede ser mínimo.

Más del 67% de las empresas encuestadas han experimentado alguna brecha en los últimos dos años, pero solo un 36% enfrentó periodos de inactividad, un 30% sufrió exposición de datos y un 28% experimentó pérdida financiera. Esto pone de manifiesto una verdad fundamental: no todas las brechas son iguales. Lo esencial es enfocarse en aquellas que realmente podrían causar daño.

Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Activos Web: El Eslabón Más Débil

Los activos web representan una preocupación creciente en la gestión de la exposición. Datos del informe revelan que son considerados como los más vulnerables, con un 45% de los CISOs manifestando preocupaciones al respecto. A pesar de que son las áreas más probadas (57%), siguen siendo objeto de brechas (30%).

La razón detrás de esto radica en que, a pesar de la atención, los activos web continúan presentando niveles peligrosos de exposición. Las configuraciones erróneas y los servicios expuestos permiten que los atacantes aprovechen cualquier vulnerabilidad no detectada. Sin embargo, lograr abordar este desafío no implica necesariamente un fracaso. Si un atacante accede a un activo público pero se encuentra con un sistema que no tiene valor, el impacto de la brecha es inexistente.

Redes Internas, Puntos Finales y Aplicaciones: Protegiendo el Núcleo

En contraste con los activos web, las redes internas y aplicaciones son mejor gestionadas. Con tasas de prueba del 48%, se estima que solo un 16% de estas redes han sufrido brechas. Este cumplimiento muestra que las organizaciones están enfocándose en los sistemas que almacenan datos sensibles y que representan un acceso directo a activos críticos.

Esto indica un estado de madurez en la gestión de exposición. Las organizaciones no solo realizan pruebas de vulnerabilidades; llevan a cabo pentesting en contexto para asegurar que los controles actualmente implementados sigan siendo efectivos.

Riesgo de APIs: Brecha Entre Percepción y Realidad

Los APIs son a menudo el eslabón perdido en la gestión de la exposición. Mientras que se someten a pruebas similares a las redes internas, la tasa de brechas se eleva al 21%. Esto sugiere una desconexión entre la percepción y la realidad de su vulnerabilidad.

Los APIs, aunque vitales, son intrínsecamente complejos y muchas veces pasan desapercibidos. Esto aumenta su atractivo para los atacantes, quienes pueden explotar flujos de trabajo erróneos y configuraciones inadecuadas. Por lo tanto, es fundamental mejorar el enfoque de las pruebas, centrándose en la profundidad y frecuencia de estas evaluaciones.

El Futuro de la Gestión de Exposición

A medida que avanzamos hacia el futuro, el informe de Pentesting 2025 demuestra que hay una creciente alineación entre la percepción de riesgos, la actividad de pruebas y las brechas. Este alineamiento es una señal positiva de que las prácticas de gestión de exposición están evolucionando.

El objetivo no es eliminar cada brecha, sino prevenir aquellas que pueden causar un daño significativo. Para lograr esto, las organizaciones deben implementar estrategias de priorización basada en datos y validación continua. Esto permite que cuando un atacante intente entrar, no encuentre nada de valor detrás de la puerta.

Recomendaciones para una Mejor Gestión de Exposición

1. Priorizar Activos Críticos: Concentre los esfuerzos de seguridad en activos que realmente representan un riesgo para la organización.

2. Estrategia de Pentesting Adecuada: Asegúrese de realizar pruebas regulares en todos los niveles de su red, incluyendo activos web y APIs.

3. Implementación de Controles Efectivos: Aplique controles adicionales como la autenticación multifactor (MFA) para mitigar riesgos en activos expuestos.

4. Análisis Continuo para Vulnerabilidades: No se limite a escanear; examine profundamente la configuración de sus sistemas y APIs para prevenir brechas significativas.

5. Educación Continua: Mantenga informado a su equipo sobre las mejores prácticas en ciberseguridad y fomente un enfoque proactivo en la gestión de riesgos.

Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Un Futuro Ciberseguro

A medida que el panorama cibernético continúa evolucionando, es vital que las organizaciones adopten un enfoque proactivo hacia la gestión de la exposición. La información proporcionada por el informe de Pentering no solo destaca áreas de riesgo, sino que también proporciona un lienzo sobre el cual las empresas pueden construir una estrategia de seguridad robusta y dinámica.

En resumen, Getting Exposure Management Right no es solo una tarea a corto plazo; es una inversión constante en el futuro digital de su organización. Un enfoque consciente y estratégico permitirá que su empresa no solo sobreviva, sino que prospere en un mundo cada vez más interconectado y lleno de amenazas. Manténgase a la vanguardia de la seguridad cibernética, y considere registrarse en eventos como Xposure para obtener más información sobre cómo implementar prácticas efectivas de gestión de exposición.

Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Fuente: https://www.bleepingcomputer.com/news/security/getting-exposure-management-right-insights-from-500-cisos/