3min. read

No se trata de recopilarlo todo. Se trata de recopilar la información necesaria y de contar con los profesionales, los procesos y la tecnología adecuados para mejorar la ciberseguridad.

En los últimos años, las organizaciones de todos los tamaños han recopilado volúmenes cada vez mayores de datos de telemetría de las aplicaciones y el tráfico procedentes de distintos dispositivos, logs y servicios. En gran parte, se recopilan para contar con información que ayude a tomar decisiones estratégicas y operativas. De todas formas, estos mismos datos también pueden servir para reforzar de forma considerable la estrategia de seguridad de una organización, pero solo si se procesan y utilizan de forma eficaz.

Hay muchos datos que las organizaciones pueden recopilar (y, de hecho, lo hacen) para saber qué ocurre dentro de sus entornos y reforzar así la ciberseguridad. Estos datos proceden de numerosas fuentes diferentes: archivos de log, eventos del sistema, tráfico de red, aplicaciones, sistemas de detección de amenazas, fuentes de inteligencia y un largo etcétera. El problema es que, con semejante acumulación de datos, a las organizaciones no les resulta nada fácil sacar provecho de la información recopilada y aplicarla para mejorar las políticas de seguridad, la detección de amenazas y la mitigación de riesgos.

Si sus sistemas no son capaces de procesar los datos recopilados, no podrán sacar conclusiones ni saber qué está ocurriendo. En ese caso, los logs disponibles no servirán de nada. Para complicar aún más las cosas, los datos recopilados suelen estar aislados, lo que impide a los responsables de la seguridad relacionarlos entre sí para detectar posibles problemas. Los analistas no deberían verse obligados a dedicar tiempo y esfuerzo a realizar conexiones a mano observando 25 pantallas diferentes, pues esta forma de trabajar les distrae de su objetivo principal: detectar amenazas.

El sector de la ciberseguridad ha creado un mundo en el que hay tantas soluciones independientes que las organizaciones se han acabado convirtiendo en una especie de mecánicos encargados de conectar entre sí todos estos sistemas diferentes. Creo que ha llegado el momento de empezar a buscar un sistema más automatizado e integrado, porque muchas de las herramientas que se están utilizando ahora no se habían diseñado para interactuar y funcionar de forma conjunta.

Cómo sacar más provecho de los datos con la automatización y los libros de estrategias

Recopilar los datos adecuados y aprovecharlos al máximo no es algo que se consiga con una sola tarea u operación, sino que se trata de un proceso en el que intervienen diversos componentes.

Tecnología. Desde el punto de vista tecnológico, ¿con qué cuenta en la actualidad? Para empezar, ¿las herramientas disponibles logran detectar las amenazas modernas? En caso contrario, tiene un problema, porque probablemente no podrá recopilar logs ni datos de telemetría que le permitan tomar decisiones bien fundadas.

La automatización también desempeña un papel clave a la hora de aprovechar mejor los datos. Dado el volumen de información que se recopila, aunque se trate de los datos adecuados, la capacidad humana no basta para seguirles el ritmo. Resulta crucial automatizar la detección de los incidentes de más valor a partir de datos que correlacionen y contextualicen los datos de los logs y proporcionen información útil.

Personas. La automatización está directamente vinculada con la perspectiva humana sobre cómo aprovechar al máximo los datos. Numerosas organizaciones cuentan con centros de operaciones de seguridad (SOC, por sus siglas en inglés) en los que, en turnos de 8 horas, trabajan expertos xen TI que se