En un estudio reciente del World Economic Forum (WEF), 86% de los líderes empresariales dijo creer que es probable que la inestabilidad geopolítica mundial provoque un acontecimiento catastrófico en los próximos dos años, mientras 74% afirmó que la inestabilidad geopolítica mundial ha influido en su estrategia cibernética “moderada” o “sustancialmente”.
Las organizaciones están cambiando rápidamente sus modelos de negocio y sus correspondientes entornos tecnológicos. Los datos empresariales que antes se guardaban bajo llave ahora se comparten entre múltiples unidades de negocio, socios y proveedores externos para satisfacer la necesidad de agilidad que tienen las compañías. Los datos y aplicaciones que residían en servidores locales están ahora dispersos en sistemas y centros de datos en la nube, a veces en distintas partes del mundo.
En el reporte del WEF, los ejecutivos identificaron la continuidad del negocio (67%) y el daño a la reputación (65%) como los principales riesgos cibernéticos para sus organizaciones. Los ejecutivos pretenden responder a estas preocupaciones reforzando los controles de terceros con acceso a sus entornos y/o datos (73% y 66% respectivamente) y reevaluando los países con los que hacen negocios (50%).
En este nuevo contexto, la necesidad de las empresas de contar con un centro de operaciones de seguridad (SOC) efectivo se ha convertido en una urgencia. Un SOC eficiente no sólo debe identificar las amenazas, también debe tener la capacidad de analizar, investigar y responder a los potenciales ataques, informar sobre las vulnerabilidades descubiertas y determinar cómo anticipar eventos similares en el futuro.
Cuando se habla de SOC inmediatamente se piensa en nuevas tecnologías. Sin embargo, antes de adquirir estas herramientas, es fundamental implementar los elementos básicos de seguridad. Una vez que la empresa domine lo básico, podrá sacar mucho más partido de tecnologías avanzadas como la automatización, el aprendizaje automático, la analítica avanzada y la inteligencia artificial.
Cómo mejorar la ciberseguridad
Una de las mejores formas para optimizar las capacidades actuales es primero desarrollar la visibilidad y, para esto, la integración es esencial. Las empresas deben poder identificar sus capacidades y medirlas, para luego desarrollar una hoja de ruta estratégica para mejorarlas.
En un principio, las compañías deben contar con controles de prevención y corrección, para luego avanzar hacia la gestión de eventos e información de seguridad o lago de datos. Esto permite a las empresas examinar los registros de datos de la organización en busca de indicios de peligro. Entre sus ventajas se incluyen el registro y la retención centralizados, las capacidades de consulta/búsqueda y la posibilidad de llevar a cabo investigaciones.
Luego de contar con esas herramientas básicas, es el momento de la automatización. Un número significativo de amenazas no se aborda ni se mitiga actualmente porque los analistas ya están abrumados por la sobrecarga de alertas. Al adoptar la automatización se da solución a ese problema, ya que con esta tecnología, las herramientas de seguridad dispares envían información de registro a un lago de datos común.
Con la automatización de la seguridad, el SOC puede detectar y actuar sin problemas sobre los eventos de seguridad en toda la empresa. Una automatización eficaz de la seguridad racionalizará las alertas en ataques y automatizará las guías de operaciones para dar respuestas oportunas.
Sin embargo, para lograr la automatización efectiva, es necesario recopilar datos, codificar los incidentes y luego clasificar y orquestar las respuestas que hay que dar. Esto significa comprender el panorama de las amenazas y comprobar que los sensores y controles de seguridad están integrados en la herramienta de mando y control. Y lo que es más importante, se debe contar con secuencias de automatización que definan las acciones a realizar cuando las amenazas ataquen la red.
En este aspecto, la información es clave. La eficacia de la detección depende de los datos enriquecidos históricos y en tiempo real de actividades. Los datos correctos junto con la analítica de seguridad adecuada permiten a los buscadores de un SOC detectar y validar hipótesis y ejecutarlas como detecciones automáticas rápido y con precisión.
Luego de avanzar hacia la automatización inteligente, las empresas pueden dar el paso hacia el análisis, incluido el aprendizaje automático, big data, las estadísticas, las búsquedas avanzadas, la información sobre amenazas y el análisis integrado para identificar adversarios en la red. En otras palabras, una visión de toda la empresa a través de múltiples fuentes de registro.
Tras adoptar estas herramientas, las empresas tendrán la capacidad de adelantarse al adversario. Por ejemplo, a través del análisis del comportamiento de los usuarios, pueden hoy detectar amenazas internas, ataques dirigidos y fraudes financieros que rastrea a los usuarios de un sistema. Esta tecnología busca patrones en el comportamiento humano y luego analiza sus hallazgos para detectar amenazas potenciales. La inteligencia artificial y el aprendizaje automático permiten analizar grandes conjuntos de datos con el fin de identificar patrones que indiquen brechas de seguridad, exfiltración de datos u otras actividades maliciosas que, de otro modo, podrían pasar desapercibidas para el personal de seguridad.
Las organizaciones tendrán la capacidad de predecir dónde es probable que ataquen a continuación, e instrumentar las rutas y bloquear proactivamente el movimiento de los atacantes. La respuesta es clave. Para tener éxito, los SOC modernos tendrán que encontrar la manera de automatizar tareas clave pero repetitivas, al tiempo que liberan a los analistas para que puedan centrarse en funciones más valiosas, como la búsqueda de amenazas y la gestión de vulnerabilidades.
Las herramientas para enfrentar el nuevo escenario de amenaza están disponibles. La prioridad es primero avanzar en lo básico para luego potenciar la respuesta a través de las nuevas tecnologías.