19 de agosto de 2015
Cómo aprovechar al máximo las herramientas de ciberseguridad existentes en lugar de reemplazarlas
Leer más
Los trabajadores de la línea de montaje de la empresa Ford Motor aplican los principios de “Gestión científica” de Frederick Taylor en una línea de montaje de automóviles.
Estás pensando como Frederick Taylor, ¿verdad? "Un momento", protestas. "¿Quién, qué?". Puede que el nombre no te suene, pero su forma de pensar, que se estrenó en 1909, probablemente esté teniendo más impacto en tu equipo de seguridad informática de lo que crees.
Taylor fue el padre de la “administración científica”, que postulaba que existía una “manera correcta” de realizar una tarea. Henry Ford, el padre de la producción en masa, fue uno de sus mayores defensores.
“El "taylorismo" fue el precursor de las técnicas actuales de modelado de procesos empresariales. Implicaba estudios exhaustivos del movimiento y el tiempo, donde hombres con cronómetros observaban a los trabajadores realizando tareas. Tras un análisis científico, el "estudior de tiempos" recomendaba el procedimiento correcto, que jamás se modificaría. Para bien o para mal, seguimos viviendo en el mundo de Taylor.
Flujos de trabajo de seguridad de TI
Los flujos de trabajo de seguridad informática (otro término con raíces en el taylorismo) se basan en la idea de que cada paso de un proceso debe tomar un tiempo específico. En la gestión de alertas, por ejemplo, se necesitan unos minutos para evaluar la amenaza, un minuto para abrir un ticket, un minuto para enviar un correo electrónico, etc. Cuantos más pasos haya, más tiempo se tarda. Si evaluar una amenaza toma cinco minutos, un miembro del equipo puede hacer aproximadamente 12 por hora. Si se tienen 1000 amenazas al día, se necesitarán aproximadamente 84 horas-persona al día para gestionarlas (es decir, un equipo de 10 personas trabajando a tiempo completo).
Si tiene 10,000 amenazas al día, como muchas grandes organizaciones, tendrá que ignorar muchas de ellas, porque incluso si tiene el presupuesto para contratar a 100 personas para operaciones de seguridad, lo más probable es que no pueda contratar y retener a 100 empleados cualificados. De hecho, según un análisis de 2015 de las estadísticas de la Oficina de Estadísticas Laborales realizado por Peninsula Press, actualmente hay... Más de 209.000 puestos vacantes en ciberseguridad en EE. UU. solo. La respuesta a más alertas de seguridad no siempre puede ser agregar más personal.
La eficiencia de las operaciones de seguridad es un enfoque adecuado para el taylorismo, pero con ciertas limitaciones. Un proceso solo puede ejecutarse un número determinado de veces en un período determinado. En la era actual, hemos actualizado los conceptos de Taylor con frases tomadas de la tecnología, como "Tengo ancho de banda" o "Se me están agotando los ciclos".“
Respuesta automatizada a incidentes para tareas manuales y tediosas
Respuesta automatizada a incidentes y orquestación de seguridad Puede mejorar drásticamente la eficiencia de su equipo de operaciones de seguridad al automatizar tareas de gestión de seguridad que, de otro modo, serían tediosas y lentas, y centralizar los datos de distintas herramientas para que su personal pueda tomar decisiones informadas rápidamente cuando sea necesario. Ahora, el equipo de seguridad puede definir y modelar sus procesos de respuesta a alertas dentro del software y automatizarlos.
Con la respuesta automatizada a incidentes, su equipo de operaciones de seguridad puede automáticamente:
- Abrir y cerrar tickets programáticamente
- Enviar correos electrónicos a las partes interesadas clave
- Procesar archivos adjuntos de correo electrónico sospechosos para su análisis
- ejecutar automáticamente un plan de remediación y/o marcar un incidente para una revisión adicional
| Tal como está | Con automatización | |
|---|---|---|
| Tiempo de procesamiento de la alerta (horas) | 0.1 | 0.01 |
| Alertas procesadas por persona/turno | 80 | 800 |
Esta es una excelente noticia para los responsables de seguridad. Como muestra la sencilla tabla, si el tiempo de procesamiento de una alerta se puede reducir de 0,1 a 0,01 horas con la respuesta automatizada a incidentes y la orquestación de la seguridad, la capacidad de procesamiento de alertas del personal de seguridad informática se multiplica por diez. Ahora, la eficiencia de las operaciones de seguridad mejora y un equipo de 10 personas puede gestionar 8000 alertas al día.
Mejores evaluaciones de amenazas a través del contexto y el enfoque
Automatizar la respuesta a incidentes le ayuda a sacar más provecho de su equipo, al menos según las cifras. Frederick Taylor estaría orgulloso de las ganancias de eficiencia multiplicadas por diez. Sin embargo, ser puramente taylorista en la gestión de amenazas ignora la tensión mental que supone supervisar el proceso.
Con un proceso manual de gestión de alertas, la sobrecarga mental es enorme. El procesamiento de alertas de seguridad no es lineal. Los incidentes se detienen y se reinician. Se consulta a los usuarios y se realizan cambios en los tickets con el tiempo. La cantidad de detalles y rutas de trabajo que el personal de TI debe controlar mentalmente puede dispararse. Si alguien sigue 100 alertas, cada una con 5 pasos de procesamiento y, por ejemplo, tres partes interesadas con aportaciones, eso supone 1500 detalles que deben controlarse.
Incluso con la automatización de la seguridad, el desafío de la sobrecarga mental persiste. Si cada miembro del personal gestiona 800 alertas al día, pero carece de una forma eficaz de visualizar lo que sucede o de dar seguimiento a los pasos del proceso, se confundirán, se estresarán y tomarán malas decisiones con datos incompletos o erróneos. Eso no es bueno.
Presentamos Swimlane para la respuesta automatizada a incidentes
Swimlane centraliza las actividades de operaciones de seguridad con su automatización y orquestación de la seguridad Solución. Swimlane monitoriza todas las tareas de seguridad empresarial y se integra con todas sus aplicaciones de seguridad para ofrecer una visión integral de toda su situación de seguridad. Proporciona acceso centralizado a casos, informes, paneles y métricas, tanto para individuos como para equipos. Esta centralización y modelado visual permite al personal de seguridad supervisar un gran número de alertas con toda la información contextual necesaria para tomar buenas decisiones, todo desde un único panel.
Además, Swimlane permite la orquestación centralizada de todas sus herramientas de remediación, respuestas e informes. Al trabajar con Swimlane, el equipo de seguridad puede acelerar su ritmo de respuesta ante amenazas sin verse abrumado.
Swimlane es la solución centralizada y automatizada de respuesta a incidentes y orquestación de seguridad con una interfaz visual intuitiva y una integración avanzada y flexible que mantiene el proceso de gestión de alertas altamente automatizado, incluso cuando cambia con frecuencia. Mejore la eficiencia de sus operaciones de seguridad con Swimlane y asegúrese de que ninguna alerta quede desatendida.
Para ver si la automatización y orquestación de la seguridad serían útiles para su organización, contáctenos al 1.844.SWIMLANE o programar una demostración.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español