Jonathan Nguyen-Duy, Vice President, Global Field CISO Team at Fortinet

Entre un panorama de amenazas cada vez más complejo que ha incrementado exponencialmente el número de alertas de seguridad, la creciente brecha de competencias en materia de ciberseguridad y las complicadas normativas de cumplimiento y presentación de informes que deben cumplir los equipos de seguridad, las organizaciones se esfuerzan por garantizar una respuesta rápida y eficaz a los incidentes.

El tiempo de respuesta desempeña un papel fundamental a la hora de determinar la gravedad y las repercusiones de un incidente de ciberseguridad. Cuanto más tiempo pase sin que se detecte una amenaza en la red, más daño puede causar y más costosa será su recuperación. Desgraciadamente, los equipos de seguridad se enfrentan a un sinfín de retos que dificultan una respuesta rápida y eficaz a los incidentes.

El primer reto al que se enfrentan los equipos de seguridad es la sobrecarga de información y la fatiga por el elevadísimo número de alertas que reciben diariamente. Sin embargo, muchas organizaciones siguen desplegando más herramientas de seguridad con el objetivo de tener una mejor visibilidad y control. Al mismo tiempo, el panorama de las amenazas es cada vez más desafiante, con un mayor volumen, variedad y velocidad en los ataques. Esta situación genera un círculo vicioso que deja a muchos equipos de seguridad exhaustos en sus intentos de identificar, proteger, detectar, responder y recuperar.

Cuando llegan las alertas de seguridad, los analistas necesitan un contexto para determinar si la alerta es una amenaza genuina o un falso positivo. Para ello, es posible que tengan que recopilar y asimilar datos aislados en múltiples dispositivos o herramientas. Por término medio, un analista puede investigar de forma realista entre 20 y 25 alertas en una jornada de trabajo estándar. Sin embargo, el centro de operaciones de seguridad (SOC) de una organización media recibe más de 10.000 alertas al día, y las organizaciones más grandes pueden ver más de 150.000. Con este volumen de información, es fácil concluir por qué la mayoría de las organizaciones simplemente no disponen de la capacidad para detectar y mitigar las amenazas.

Una sola alerta puede significar la diferencia que un incidente importante sea pasado por alto. Es fundamental que los equipos de seguridad tengan una visibilidad completa de estas alertas y, aunque los ataques son cada vez más eficaces, la mayoría pueden mitigarse si el equipo de seguridad busca en el lugar adecuado y en el momento adecuado. Los equipos de seguridad necesitan medios más eficientes para clasificar e investigar las alertas que les permitan seguir el ritmo de la avalancha de datos de seguridad.

Carencia de personal formado para una elevada carga de trabajo

Además de tener un número abrumador de alertas de seguridad que investigar y rastrear, las organizaciones están lidiando con una creciente brecha de habilidades en ciberseguridad. Simplemente no pueden adquirir el talento de ciberseguridad necesario para abordar el volumen de datos de amenazas a las que deben hacer frente. Un estudio reciente reveló que el 68% de las organizaciones tienen dificultades para reclutar, contratar y retener talento en ciberseguridad. Además, en marzo de 2020, el 73% de las empresas sufrieron al menos una intrusión/infracción que puede atribuirse, al menos en parte, a una brecha en las habilidades de ciberseguridad.

Diferenciar con precisión entre un verdadero incidente y un falso positivo requiere amplios conocimientos y experiencia, y por eso los actores de amenazas sofisticadas han pasado a realizar ataques "low and slow" que se camuflan entre las alertas de falsos positivos. Esto hace que sea difícil para otros miembros del personal de TI realizar labores propias de perfiles expertos en seguridad. El déficit de competencias en materia de ciberseguridad se ve agravado por el hecho de que muchas organizaciones dependen de procesos manuales para el triaje y la corrección de las alertas. Los procesos manuales conducen a largos tiempos de respuesta a los incidentes, lo que aumenta drásticamente el riesgo para las organizaciones.

Más allá de los retos que supone llevar a cabo la investigación y la respuesta a incidentes con una plantilla de ciberseguridad reducida, los equipos de seguridad también son responsables de demostrar el cumplimiento de un número cada vez mayor de normativas de seguridad. El Reglamento General de Protección de Datos (RGPD) de la UE y el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) son solo dos de las muchas normativas de protección de datos que dificultan el trabajo de los equipos de seguridad.

Los retos que plantean estas normativas son dobles. En primer lugar, las auditorías trimestrales y anuales requieren que los equipos de seguridad generen y recopilen datos detallados que demuestren cómo sus controles de seguridad cumplen los requisitos de una determinada normativa. Esto suele implicar la asignación de los requisitos normativos generales a los controles de seguridad específicos de la red de la empresa, y la posterior recopilación de los datos correspondientes a dichos controles. En segundo lugar, la notificación obligatoria de las infracciones ejerce una gran presión de tiempo sobre el equipo de seguridad.

El GDPR exige que una organización informe de una violación de datos en un plazo de 72 horas desde su descubrimiento. Un informe preciso requiere una investigación exhaustiva antes de la fecha límite. Cada normativa tiene diferentes requisitos de notificación y autoridades reguladoras, lo que puede hacer que las notificaciones manuales de infracciones sean un proceso complicado y lento. Debido a sus implicaciones legales y potencialmente financieras, las tareas de cumplimiento de la normativa a menudo superan el trabajo diario del equipo de seguridad. Todo el tiempo que se dedica a investigar una normativa concreta, a asignar los controles de seguridad a los requisitos normativos y a demostrar el cumplimiento de la normativa resta capacidad al equipo para identificar y responder a los incidentes de seguridad.

El número y la complejidad de estas normativas sigue creciendo. Una organización puede ser responsable del cumplimiento de la normativa en todas las jurisdicciones en las que opera, y la creciente lista de normativas estatales, nacionales, regionales y específicas del sector hace que lograr y mantener el cumplimiento sea cada vez más difícil.

Afortunadamente, la integración y la automatización de la gestión de la información y los eventos de seguridad (SIEM) pueden contribuir en gran medida a priorizar las alertas y simplificar la respuesta a los incidentes, abordando muchos de los retos mencionados anteriormente. Además, los responsables de seguridad deben aprovechar las capacidades de la automatización y otras innovaciones impulsadas por la IA para aliviar a los equipos de seguridad sobrecargados.