Gesti\u00f3n de vulnerabilidades en 2025: los roles y el futuro de los equipos de TI y ciberseguridad<\/p>\n\n\n\n
Resolver ataques cibern\u00e9ticos puede costar millones. A medida que las organizaciones conectan m\u00e1s activos a la nube, permiten el trabajo remoto y promueven la interacci\u00f3n virtual con los clientes, las superficies de ataque siguen creciendo. Resulta complejo mantenerse por delante del intenso escenario de las amenazas actuales.<\/p>\n\n\n\n
Para afrontarlas las compa\u00f1\u00edas tienen que adoptar un abordaje trif\u00e1sico de gesti\u00f3n de vulnerabilidades que abarque la identificaci\u00f3n, priorizaci\u00f3n y correcci\u00f3n.<\/p>\n\n\n\n
Los equipos de TI y ciberseguridad contribuyen con esa gesti\u00f3n de vulnerabilidades, pero los l\u00edmites de sus responsabilidades pueden ser, muchas veces, indefinidos. De acuerdo con el informe reciente de Tenable \u201cEl estado de la gesti\u00f3n de vulnerabilidades\u00bb, las opiniones de dichas \u00e1reas sobre el rol que desempe\u00f1an en cada fase frecuentemente est\u00e1n alineadas y no prev\u00e9n que la divisi\u00f3n de responsabilidades cambie en gran medida en un tiempo. Sin embargo, puede ser dif\u00edcil suponer qu\u00e9 depara el futuro a causa de las presiones actuales.<\/p>\n\n\n\n
En su investigaci\u00f3n, Tenable explica las perspectivas de los equipos de TI y ciberseguridad, tanto actual como en un estado ideal, considerando las tres fases de la gesti\u00f3n de vulnerabilidades:<\/p>\n\n\n\n
\u25cf Fase 1: Identificaci\u00f3n. Detectar y documentar vulnerabilidades en entornos objetivo.<\/p>\n\n\n\n
\u25cf Fase 2: Priorizaci\u00f3n. Determinar qu\u00e9 vulnerabilidades requieren atenci\u00f3n inmediata y cu\u00e1les pueden esperar.<\/p>\n\n\n\n
\u25cf Fase 3: Correcci\u00f3n. Reparar o colocar parches en las vulnerabilidades identificadas.<\/p>\n\n\n\n
Hallazgos clave del informe<\/p>\n\n\n\n
1. Los profesionales de ciberseguridad y TI asumen roles directivos en todas las fases de la gesti\u00f3n de vulnerabilidades.<\/p>\n\n\n\n
Las organizaciones m\u00e1s grandes pueden contar con especialistas en ciberseguridad, mientras que, en las de menor tama\u00f1o, el equipo de TI puede ocuparse de las vulnerabilidades.<\/p>\n\n\n\n
En un escenario futuro ideal, ambos grupos ven un cambio leve en las responsabilidades, donde TI asume un rol menos directivo y m\u00e1s consultivo en relaci\u00f3n con la identificaci\u00f3n de vulnerabilidades. M\u00e1s all\u00e1 de eso, los equipos no visualizan una evoluci\u00f3n importante en la divisi\u00f3n del trabajo entre ciberseguridad y TI. Las limitaciones de presupuesto y personal, la falta de conocimiento y apoyo por parte de los directivos, as\u00ed como la resistencia interna al cambio y la complejidad del escenario de las amenazas son barreras potenciales que impiden imaginar un estado futuro evolucionado.<\/p>\n\n\n\n
M\u00e1s adelante, las compa\u00f1\u00edas pueden desarrollar y mejorar las pr\u00e1cticas de identificaci\u00f3n de vulnerabilidades, aumentar el \u00e9nfasis en la priorizaci\u00f3n y correcci\u00f3n. La automatizaci\u00f3n ofrece nuevas capacidades, reduce los procesos manuales e incrementa la protecci\u00f3n de las organizaciones.<\/p>\n\n\n\n
2. Identificaci\u00f3n de vulnerabilidades<\/p>\n\n\n\n
Poco m\u00e1s de la mitad de los profesionales de ciberseguridad informa que las operaciones de TI asumen un rol importante en cuanto a esta fase, en comparaci\u00f3n con casi tres cuartos de los miembros de TI. Esta discrepancia puede deberse a que algunas organizaciones no tienen equipos de ciberseguridad separados y entonces TI asume la responsabilidad predeterminadamente. El 71 % de las organizaciones inform\u00f3 que TI toma la iniciativa en sus organizaciones actuales en comparaci\u00f3n con un 54 % de los equipos de ciberseguridad.<\/p>\n\n\n\n
3. Priorizaci\u00f3n de vulnerabilidades<\/p>\n\n\n\n
Menos de la mitad de los profesionales de seguridad (44 %) inform\u00f3 que las operaciones de TI asumen un rol importante en la identificaci\u00f3n de vulnerabilidades, en comparaci\u00f3n con casi el 60 % de los profesionales de TI. Sin embargo, los equipos de seguridad se destacan en su rol consultivo en un 49 % en comparaci\u00f3n a un 35 % de TI.<\/p>\n\n\n\n
Respecto a la perspectiva de priorizaci\u00f3n, ambos equipos concuerdan que la integraci\u00f3n de la inteligencia de amenazas sobre las vulnerabilidades que se explotan de forma activa y la cuantificaci\u00f3n o inclusi\u00f3n de la criticidad del activo son los aspectos m\u00e1s importantes. Sin embargo, los profesionales de TI y ciberseguridad tienen perspectivas diferentes sobre dos \u00e1reas de desaf\u00edos que presenta esta fase.<\/p>\n\n\n\n
Los equipos de TI (casi el 60 %) fueron m\u00e1s propensos a abordar las dificultades mediante la explicabilidad de los resultados de priorizaci\u00f3n mientras que los equipos de seguridad destacaron el hecho de haber demasiadas vulnerabilidades de riesgo high (alto) o critical (cr\u00edticas) (54%). Como segundo punto, el 37 % de los trabajadores de ciberseguridad identific\u00f3 la discrepancia en la priorizaci\u00f3n de los proveedores como un problema, en comparaci\u00f3n con el 26 % de los miembros de TI.<\/p>\n\n\n\n
Cabe mencionar que casi 8 de 10 organizaciones manifestaron utilizar al menos dos metodolog\u00edas de priorizaci\u00f3n. Frecuentemente, esto se da cuando una organizaci\u00f3n determina que un m\u00e9todo inicial no produce los resultados deseados.<\/p>\n\n\n\n
4. Correcci\u00f3n de vulnerabilidades<\/p>\n\n\n\n
La mitad de los profesionales de ciberseguridad informa que TI asume un rol importante en esta fase, en comparaci\u00f3n con m\u00e1s del 60 % de los trabajadores de TI. Las percepciones del rol futuro de esta \u00faltima \u00e1rea respecto a la correcci\u00f3n demuestran un patr\u00f3n similar. La mayor\u00eda de los profesionales de TI espera que su equipo tome la iniciativa, mientras que para aproximadamente la mitad de los miembros de ciberseguridad la expectativa es que se consulte a TI en el proceso.<\/p>\n\n\n\n
Cuando se les pregunt\u00f3 por los desaf\u00edos principales sobre la correcci\u00f3n de vulnerabilidades, ambos equipos coincidieron en que los mayores retos son: c\u00f3mo priorizar qu\u00e9 vulnerabilidad hay que abordar primero, colocar autom\u00e1ticamente los parches correctos a lo largo de toda la infraestructura, asignar a las vulnerabilidades la actividad de correcci\u00f3n adecuada y eliminar el error humano. Sin embargo, se destaca que para el 43 % de los profesionales de ciberseguridad es dif\u00edcil identificar a los propietarios de los activos, mientras que este punto fue el \u00faltimo con un 30 %.<\/p>\n\n\n\n
\u00bfQu\u00e9 retos tienen las organizaciones?<\/p>\n\n\n\n
No es de sorprender que los profesionales de ciberseguridad y TI tengan diferentes opiniones sobre las capacidades de gesti\u00f3n de la seguridad de su organizaci\u00f3n. Los agentes maliciosos inventan todo el tiempo formas nuevas de crear caos \u2014y surgen amenazas a diario. Las personas que se especializan en la gesti\u00f3n de vulnerabilidades, ya sea que trabajen en TI o ciberseguridad, tienen una carga intensa y sus prioridades cambian constantemente.<\/p>\n\n\n\n
\u201cEsta investigaci\u00f3n revela puntos de inflexi\u00f3n clave en la gesti\u00f3n de vulnerabilidades entre los equipos de TI y ciberseguridad y presenta un punto de partida para que las organizaciones en Am\u00e9rica Latina evolucionen sus procesos y puedan reducir el riesgo del negocio de manera m\u00e1s efectiva\u201d, se\u00f1ala Hermes Romero, director para Centro, Suram\u00e9rica y Caribe de Tenable. \u201cNo podemos dar ventaja a los cibercriminales que s\u00f3lo necesitan una puerta de entrada para ser efectivos\u201d, finaliz\u00f3.<\/p>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Gesti\u00f3n de vulnerabilidades en 2025: los roles y el futuro de los equipos de TI y ciberseguridad Resolver ataques cibern\u00e9ticos puede costar millones. A medida que las organizaciones conectan m\u00e1s activos a la nube, permiten el trabajo remoto y promueven la interacci\u00f3n virtual con los clientes, las superficies de ataque siguen creciendo. Resulta complejo mantenerse […]<\/p>\n","protected":false},"author":1,"featured_media":6316,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-6315","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologias"],"_links":{"self":[{"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/posts\/6315","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6315"}],"version-history":[{"count":1,"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/posts\/6315\/revisions"}],"predecessor-version":[{"id":6317,"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/posts\/6315\/revisions\/6317"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/media\/6316"}],"wp:attachment":[{"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6315"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6315"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.elcapital.pe\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6315"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}