El Instituto Nacional de Estándares y Tecnología de E.U. (NIST) ha realizado una exhaustiva revisión a su guía de administración de parches de seguridad empresariales por primera vez en casi una década. Mientras que la iteración anterior, que data del 2013, se centraba en ayudar a las organizaciones a implementar tecnologías de gestión de parches, la nueva edición se enfoca en el desarrollo de estrategias para la gestión de parches.
Elaborado por el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del NIST, la Publicación Especial (SP) 800-40 Revisión 4 del NIST se basa en la suposición de que las organizaciones se beneficiarían más al repensar su planificación de administración de parches que su tecnología de administración de parches.
Sin embargo, NIST también ha emitido una publicación complementaria que demuestra cómo las herramientas comerciales pueden ayudar a las empresas a implementar su guía actualizada.
En la nueva guía se discuten los factores comunes que afectan la administración de parches empresariales y recomienda crear una estrategia empresarial para simplificar y poner en funcionamiento los parches y, al mismo tiempo, mejorar la reducción del riesgo. Al hacerlo, la guía se propone salvar la división entre los propietarios de negocios/misiones y la gestión de seguridad/tecnología sobre la práctica del lanzamiento de parches.
Con contribuciones de Cisco, IBM y Microsoft, la guía también describe cómo se pueden implementar tecnologías comerciales para mejorar las capacidades de inventario y parches que las organizaciones necesitan para manejar situaciones de emergencia, además de implementar mitigaciones temporales, aislamiento u otras alternativas al parcheo de vulnerabilidades.
NIST enmarca la aplicación de parches a las vulnerabilidades de seguridad en el firmware, los sistemas operativos o las aplicaciones como un costo de operaciones necesario. Cuando el descuido de la administración de parches da como resultado compromisos de seguridad graves, estos costos sin duda se ven eclipsados por los costos financieros y de reputación relacionados con el tiempo de inactividad del sistema, las filtraciones de datos y otros resultados adversos, así que los administradores de sistemas deberán decidir si afrontar los costos por prevención o gastar aún más para corregir todas las fallas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad