/ Segundo semestre 2025 38 Monográfico Infraestructuras críticas A simple lectura, pareciera una respuesta fácil: “remediar las vulnerabilidades” debe ser nuestra prioridad. Sin embargo, en la práctica, y con tantos parches, configuraciones, librerías desactualizadas, shadow IT y hasta shadow AI, la remediación de las vulnerabilidades puede convertirse en un caos absoluto en muchas organizaciones. Y es que gestionar las vulnerabilidades no depende de una tecnología (aunque muchos vendors digan lo contrario); sino de un proceso claramente establecido, implementado y que, en la medida de lo posible, haya madurado con el paso de los años. Claro que es necesaria la tecnología y los sistemas automatizados para aumentar la eficiencia de un proceso, pero el proceso por sí mismo debería dictar qué tecnología lo puede volver más eficiente y maduro; y no al revés, en donde en muchos casos es la tecnología la que ¿Remediar vulnerabilidades o gestionarlas? Jorge Osorio Director de Servicios de Consultoría de CSI Consultores en Seguridad de la Información implementa el proceso, lo que dificulta su maduración debido a que no puede adaptarse si la tecnología no se adapta; es decir, se produce un bloqueo por el uso de cierta tecnología. Remediación Vayamos al inicio de todo. ¿Por qué necesitamos remediar una vulnerabilidad? Porque buscamos disminuir la probabilidad de que un riesgo se materialice. Sin embargo, es ahí en donde las herramientas y servicios muchas veces fallan y se requiere un análisis más profundo para lograr una correcta medición del riesgo. A lo largo de más de 21 años de experiencia, me he encontrado con incontables reportes de análisis de vulnerabilidades y pruebas de penetración que carecen de niveles aceptables de presentación y que en muchas de las ocasiones generan más problemas de los que intentan resolver. Por mencionar algunos de los principales errores: Vulnerabilidades inexistentes: En algunas ocasiones, reportes completos son falsos positivos, inclusive en ejercicios de pruebas de penetración donde ni siquiera los pentesters se tomaron unos minutos para validar las salidas de alguna herramienta automatizada. Esto genera una carga importante adicional para quien lo revisa, atiende y posteriormente intente gestionar estas vulnerabilidades. Errores en redacción: El copy/paste en su máximo esplendor, un formato que se utilizó de otro cliente, en donde hasta copiaron la redacción de los principales hallazgos. Mala clasificación del riesgo: Al no existir un criterio de clasificación del
RkJQdWJsaXNoZXIy MTI4MzQz