Hace cinco años, la gestión de parches recaía casi por completo en el área de TI: programar, desplegar, verificar y reportar.
Un trabajo técnico importante que rara vez llamaba la atención fuera del equipo responsable de ejecutarlo. Eso ha cambiado.
Este cambio está impulsado por tres fuerzas convergentes. Los modelos de IA de vanguardia, como el Project Glasswing de Anthropic, están acelerando el descubrimiento de vulnerabilidades a una escala sin precedentes.
Los atacantes están utilizando la misma IA para realizar ingeniería inversa de los parches en apenas 72 horas.
Además, las divulgaciones públicas ya no siguen calendarios predecibles: aparecen cuando surgen y en volúmenes que superan la capacidad de procesamiento para la que fueron diseñados los programas tradicionales.
El resultado es una brecha creciente en la comunicación de riesgos
Muchos profesionales de la seguridad consideran que los líderes del área no comunican eficazmente la exposición al riesgo a la alta dirección de la empresa.
Según un estudio de Ivanti, el 59 % afirma que dicha comunicación es, en el mejor de los casos, solo moderadamente eficaz.
Cuando el riesgo operativo trasciende al ámbito estratégico, esta brecha deja a la junta directiva sin los datos necesarios para tomar decisiones fundamentadas sobre financiación, tolerancia al riesgo y prioridades.
Revelar el verdadero riesgo
La gestión de la exposición al riesgo traduce un escenario operativo complejo en algo que la junta directiva puede evaluar y sobre lo que puede actuar.
En lugar de tratar cada vulnerabilidad detectada con el mismo nivel de urgencia, un enfoque de gestión de la exposición prioriza en función del impacto real en el negocio: qué activos son críticos, qué exposiciones son realmente explotables y dónde es posible reducir el riesgo con la menor fricción operativa.
El estudio de la compañía revela que el 83 % de las organizaciones ya cuenta con un marco documentado para definir su tolerancia al riesgo.
El 79 % afirma cuantificar el riesgo de ciberseguridad en su proceso de toma de decisiones.
Esto significa que ya existe la infraestructura necesaria para tomar decisiones informadas.
El problema radica en que los datos no llegan a la junta directiva en un formato que esta pueda utilizar.
Lo que el CIO debe hacer ahora
La tarea inmediata es sencilla en cuanto a concepto, pero compleja en su ejecución: verificar si el marco de gestión de riesgos documentado sobre el papel coincide con el programa de gestión de parches que se está ejecutando en la práctica.
Si ambos se han desalineado —y en la mayoría de las organizaciones así ha ocurrido—, el Apocalipsis de los Parches ampliará rápidamente esa brecha.
Estas son tres preguntas que todo CIO debe ser capaz de responder cuando la próxima divulgación de una vulnerabilidad crítica llegue al conocimiento de la junta directiva:
- ¿Cuál es el tiempo promedio transcurrido desde la divulgación pública de una CVE hasta la remediación del último endpoint afectado dentro de nuestro entorno?
- ¿Qué porcentaje de nuestras exposiciones susceptibles de explotación se corrigen dentro del plazo de 72 horas?
- ¿Cuál es nuestra tasa de resolución de exposiciones de alta prioridad?
Si no tiene respuestas a estas preguntas, ese es el hallazgo más importante: la brecha existe.
Si tiene respuestas, pero los indicadores muestran una tendencia negativa, es una señal clara de que el programa debe discutirse a nivel de junta directiva.
La gestión de parches es ahora un imperativo estratégico, no un asunto meramente operativo.
Esto significa que requiere la atención de la junta directiva, no solo del área de TI; exige nuevas métricas y conlleva implicaciones diferentes si falla.
La responsabilidad del CIO es comunicar claramente este cambio, antes de que la próxima divulgación de una vulnerabilidad lo obligue a hacerlo.
