Emmanuel Roeseler, EMEA Strategic Accounts Director, Devo.

La visibilidad es fundamental para el éxito en ciberseguridad de las organizaciones. Este hecho queda reflejado gracias a la investigación y análisis realizado por ESG que descubrió que casi el 80% de las organizaciones que carecen de visibilidad de sus activos registran aproximadamente tres veces más incidentes [de ciberseguridad].

SANS cita esta estadística en su informe Making Visibility Definable and Measurable, que examina la cuestión desde múltiples perspectivas. Una ciberseguridad eficaz es un componente vital de la salud general de la empresa. El trabajo del equipo de seguridad y sus líderes es desarrollar y ejecutar un plan para garantizar que la seguridad de la organización es lo suficientemente robusta como para frustrar las ciberamenazas. El corazón de un programa de ciberseguridad siempre debeserla visibilidad.

SANS examina las expectativas de los grupos clave -la alta dirección, los equipos de seguridad operativa y los analistas del SOC- en relación con la seguridad de la organización.

La alta dirección necesita una "visión concisa de las amenazas y los riesgos, tanto actuales como de tendencia", que incluya las respuestas a estas preguntas:

• ¿Está aumentando el riesgo de seguridad en mi sector?
• ¿Está mi organización preparada para detectar, proteger y defenderse de las amenazas frecuentes?
• ¿El riesgo de mi organización aumenta o disminuye?

Los equipos de seguridad operativa necesitan "una visión de alto nivel (casi en tiempo real) de las vulnerabilidades, los eventos y las amenazas" y la capacidad de "ver todos los detalles rápidamente". "Entre las cuestiones que se les plantean figuran:

• ¿Muestran nuestros sistemas signos de malware?
• ¿Podemos detectar si los empleados hacen un mal uso del acceso?
• ¿Pasaremos la conformidad PCI?

Los analistas del SOC "se concentran en las líneas de base de lo que se considera un comportamiento normal, generalmente utilizando técnicas similares a las que se usan en el análisis empresarial". Las preguntas clave son:

• ¿Qué dispositivos intentan comunicarse con sitios de Internet maliciosos conocidos?
• ¿Qué sistemas están sondeando nuestras redes?
• ¿Vemos algún indicio de [última amenaza]?

Veamos los casos de uso de cada grupo.

En lo que respecta a la seguridad, los casos de uso empresarial suelen estar relacionados con uno o más casos de uso de seguridad que identifican las necesidades técnicas/de seguridad. Por ejemplo, mantener la información de propiedad a salvo de las ciberamenazas es el caso de uso empresarial que el equipo de seguridad necesita lograr a través de su programa de ciberseguridad.

Un caso de uso del equipo de seguridad operativa es una necesidad técnica o de seguridad que apoya los objetivos empresariales. Un caso de uso de la seguridad está diseñado para mitigar un riesgo empresarial, mejorar los procesos o la tecnología, o facilitar las mejoras de las personas. Los casos de uso de la seguridad se relacionan directa o indirectamente con los casos de uso de la empresa. Por ejemplo, un programa de seguridad de datos bien planificado y ejecutado ayudará a la organización a alcanzar los casos de uso empresarial.

Un caso de uso del SOC es una necesidad técnica o de seguridad que apoya tanto los objetivos de negocio como los de seguridad. Mientras que los casos de uso de la seguridad suelen incluir una definición más amplia que abarca varios departamentos o unidades de negocio, los casos de uso del SOC son específicos y tácticos.

Así es como SANS resume la importancia de la visibilidad para el éxito de la seguridad:

"Dado que la visibilidad en un mundo cibernético sigue siendo impulsada por los datos, he aquí algunos consejos básicos para avanzar:

• Exponga sus objetivos y cualquier suposición/limitación.
• Decida sus objetivos. ¿Qué preguntas debe responder? ¿Qué procesos debe supervisar? ¿Qué tendencias quiere seguir?
• Comprenda las funciones de cada público. Es posible que la alta dirección no tenga los mismos problemas (o la misma capacidad de atención) que su director o analista de SOC.
• Identifique lo que necesita para alcanzar su objetivo. Qué fuentes y datos necesita para supervisar los procesos o seguir las tendencias?
• Enmarque sus resultados para que sus preguntas tengan respuestas objetivas. Establezca métricas significativas que midan el funcionamiento de las cosas y que puedan utilizarse para identificar tendencias importantes. Pero tenga cuidado de evitar el sesgo de las expectativas.
• No te dejes atrapar por la analítica o el "arte" de la presentación/visualización. Deja que los datos y la información hablen por sí mismos. ”

SANS concluye: "Sobre todo, tenga en cuenta los patrones de éxito de la visibilidad a medida que su organización pasa de la no visibilidad a las prácticas de seguridad reactivas a las proactivas y, en última instancia, a las predictivas."