El más reciente Informe de Investigación ESG de Kaspersky, llamado “La modernización del SOC y el papel del XDR”, reveló que tres de cada cuatro organizaciones (70%) tienen problemas para atender las alertas de ciberseguridad, lo que pone en duda la gestión de las tareas de emergencia en los centros de operaciones de seguridad (SOC).
Según las empresas entrevistadas para este informe, el gran volumen de alertas que se reciben repercute en la administración de los equipos, que deberían centrarse en tareas más estratégicas e importantes, pero acaban enfocándose en actividades repetitivas y estresantes que podrían automatizarse, por ejemplo, el registro de los problemas de seguridad en línea.
Esta situación se detectó cuando un tercio de las empresas (34%) afirmó que sus equipos de ciberseguridad están saturados de alertas o de resolución de emergencias, y no tienen tiempo suficiente para ocuparse de la estrategia de seguridad y la mejora de los procesos.
Para hacer frente a esta situación, Claudio Martinelli, Director General para América Latina en Kaspersky, recomendó el uso de servicios externos que puedan mejorar la productividad del equipo, como los canales de información sobre amenazas: “Estos servicios funcionan como la fuente de noticias que utilizamos para mantenernos informados sobre temas de interés. Sólo que, en lugar del anuncio de nuestra banda favorita, estas fuentes hablan de nuevas estafas en línea y los detalles de cómo reconocerlas y bloquearlas. Esta información puede integrarse con las soluciones de protección del SOC, garantizando que el proceso sea 100% automático”.
Para agilizar el trabajo de estos centros y evitar la saturación de alertas, Kaspersky recomienda los siguientes hábitos de seguridad para empresas:
– Organizar los turnos en el centro de operaciones de seguridad, para evitar la sobrecarga de trabajo del personal y asegurarse de que todas las tareas clave se distribuyen entre los colaboradores: supervisión, investigación, arquitectura e ingeniería de TI, administración y gestión general del SOC.
– Evita sobrecargar al equipo con tareas rutinarias, ya que hacerlo puede provocar el agotamiento de los analistas del SOC. Algunas prácticas, como los traslados internos y la rotación, pueden ayudar a organizarlo.
– Utilizar servicios de inteligencia de amenazas aprobados que permitan la integración de inteligencia legible, para máquinas en sus controles de seguridad existentes, como un sistema SIEM, para así automatizar el proceso de clasificación inicial y poder decidir si la alerta debe investigarse inmediatamente.
– Para ayudar a liberar al SOC de las tareas rutinarias de detección y clasificación de alertas, es necesario utilizar un servicio de detección y respuesta, cuya eficacia haya sido probada, como Kaspersky Managed Detection and Response.
Éste servicio combina tecnologías de detección basadas en IA, con la amplia experiencia en detección de amenazas y respuesta a incidentes de unidades profesionales, incluido el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky.