Mejora de la ciberseguridad
Cómo sacar más provecho de los datos con los que cuenta
No se trata de recopilarlo todo. Se trata de recopilar la información necesaria y de contar con los profesionales, los procesos y la tecnología adecuados para mejorar la ciberseguridad.
En los últimos años, las organizaciones de todos los tamaños han recopilado volúmenes cada vez mayores de datos de telemetría de las aplicaciones y el tráfico procedentes de distintos dispositivos, logs y servicios. En gran parte, se recopilan para contar con información que ayude a tomar decisiones estratégicas y operativas. De todas formas, estos mismos datos también pueden servir para reforzar de forma considerable la estrategia de seguridad de una organización, pero solo si se procesan y utilizan de forma eficaz.
Hay muchos datos que las organizaciones pueden recopilar (y, de hecho, lo hacen) para saber qué ocurre dentro de sus entornos y reforzar así la ciberseguridad. Estos datos proceden de numerosas fuentes diferentes: archivos de log, eventos del sistema, tráfico de red, aplicaciones, sistemas de detección de amenazas, fuentes de inteligencia y un largo etcétera. El problema es que, con semejante acumulación de datos, a las organizaciones no les resulta nada fácil sacar provecho de la información recopilada y aplicarla para mejorar las políticas de seguridad, la detección de amenazas y la mitigación de riesgos.
Si sus sistemas no son capaces de procesar los datos recopilados, no podrán sacar conclusiones ni saber qué está ocurriendo. En ese caso, los logs disponibles no servirán de nada. Para complicar aún más las cosas, los datos recopilados suelen estar aislados, lo que impide a los responsables de la seguridad relacionarlos entre sí para detectar posibles problemas. Los analistas no deberían verse obligados a dedicar tiempo y esfuerzo a realizar conexiones a mano observando 25 pantallas diferentes, pues esta forma de trabajar les distrae de su objetivo principal: detectar amenazas.
El sector de la ciberseguridad ha creado un mundo en el que hay tantas soluciones independientes que las organizaciones se han acabado convirtiendo en una especie de mecánicos encargados de conectar entre sí todos estos sistemas diferentes. Creo que ha llegado el momento de empezar a buscar un sistema más automatizado e integrado, porque muchas de las herramientas que se están utilizando ahora no se habían diseñado para interactuar y funcionar de forma conjunta.
Cómo sacar más provecho de los datos con la automatización y los libros de estrategias
Recopilar los datos adecuados y aprovecharlos al máximo no es algo que se consiga con una sola tarea u operación, sino que se trata de un proceso en el que intervienen diversos componentes.
Tecnología. Desde el punto de vista tecnológico, ¿con qué cuenta en la actualidad? Para empezar, ¿las herramientas disponibles logran detectar las amenazas modernas? En caso contrario, tiene un problema, porque probablemente no podrá recopilar logs ni datos de telemetría que le permitan tomar decisiones bien fundadas.
La automatización también desempeña un papel clave a la hora de aprovechar mejor los datos. Dado el volumen de información que se recopila, aunque se trate de los datos adecuados, la capacidad humana no basta para seguirles el ritmo. Resulta crucial automatizar la detección de los incidentes de más valor a partir de datos que correlacionen y contextualicen los datos de los logs y proporcionen información útil.
Personas. La automatización está directamente vinculada con la perspectiva humana sobre cómo aprovechar al máximo los datos. Numerosas organizaciones cuentan con centros de operaciones de seguridad (SOC, por sus siglas en inglés) en los que, en turnos de 8 horas, trabajan expertos xen TI que se pasan el día corriendo detrás de los logs. Así nunca encontrarán nada.
Por si fuera poco, la primera línea de defensa y el análisis de los datos suelen estar en manos de un profesional de nivel uno, que a menudo acaba quemándose en menos de un año por la monotonía de un trabajo consistente en filtrar una cantidad infinita de logs y decidir cuándo tiene que intervenir un cargo de nivel superior. Pensémoslo un momento: la persona con menos experiencia y peor pagada se dedica a llamar a otra con un cargo superior para que se ocupe de un incidente. No tiene sentido, y ya es hora de cambiar de modelo.
Si la automatización se convierte en la primera línea de defensa que gestiona la avalancha de datos y decide cuándo tiene que intervenir un profesional, los recursos humanos podrán centrarse en retos más complejos, como la búsqueda de amenazas. Los especialistas en búsqueda de amenazas lo tendrán mucho más fácil si es posible conectar las distintas fuentes de datos para seguir el rastro de los posibles riesgos, en lugar de tener que filtrar alertas y logs voluminosos. Y cuanto más sencillo sea su trabajo, mejor.
Procesos. Por último, los procesos son la clave para la mejora continua y para optimizar en todo momento el valor de los datos. Tenemos que volver constantemente a la fase de planificación y no dejar nunca de perfeccionar los datos y las tecnologías con que ya contamos. Las organizaciones tienen que seguir creando libros de estrategias para facilitar la automatización. Todas las tareas que sean repetitivas deberían automatizarse lo más posible.
Dada la cantidad de fuentes de datos sobre la seguridad disponibles en las empresas modernas, puede resultar abrumador decidir qué hacer. Si empezamos por saber qué fuentes de datos de seguridad tiene la organización, agilizamos los procesos gracias a la automatización y los libros de estrategias y nos servimos de la tecnología para conectarlo todo y crear una vista unificada, la seguridad mejorará drásticamente