Es costumbre para el personal del área de seguridad tecnológica, ejecutar escaneos periódicos sobre la infraestructura tecnológica que están protegiendo, con el fin de encontrar vulnerabilidades o fallas que pongan en riesgo la producción del negocio. El resultado de estas búsquedas se plasma en un reporte el cual hace una relación entre, las fallas encontradas (vulnerabilidades) y el área afectada (redes, servidores, base de datos, etc.).
Ahora bien, de acuerdo con experiencias pasadas la emisión de dicho reporte, su contenido y el impacto que se supone que cause, no es algo que se recibe con agrado por los equipos que deben de resolver la brecha encontrada. Generalmente hay un poco de resistencia al contenido del mismo y una que otra argumentación sobre los famosos falsos-positivos.
Esta situación es algo que debe de cambiar. El escaneo de las vulnerabilidades y el beneficio que este proceso aporta a cualquier institución, es sumamente apreciado hoy en día.
Estas ejecuciones pueden aportar información precisa, sobre lo que adolece dentro de la infraestructura y lo que pudiera ser explotado por cualquier persona que se conecte a su red. Este conocimiento representa en una ventaja u oportunidad para corregir la falla a tiempo o buscar una alternativa.
Realmente creo que es imperante involucrar a todas las áreas tecnológicas desde el principio. La aceptación del reporte y el sentido de urgencia que se busca con el mismo, puede cambiar radicalmente si todas las áreas de TI entienden el alcance de estos escaneos, como influyen en el nivel de riesgo de las operaciones diarias y la importancia de su participación en el proceso de saneamiento.
A veces existe la tendencia a imponer los hallazgos y a exigir las soluciones, sin embargo, creo que es de mayor provecho incluir a todos los actores desde el principio, haciendo que los mismos tengan conciencia de que la seguridad somos todos.