Por qué ni siquiera el 99 por ciento es suficiente para la respuesta a incidentes

En la mayoría de las profesiones e industrias, una tasa de éxito del 99 % para cualquier objetivo sería más que suficiente; probablemente no tendría precedentes. Sin embargo, las operaciones y los informes de análisis de seguridad son un área donde ese 1 % restante puede ser un desastre para una organización.

Los centros de operaciones de seguridad en las empresas actuales se ven inundados con miles de alertas de seguridad todos los días provenientes de herramientas de detección y, en muchos casos, sufren sobrecarga de información. Con tantas alertas para investigar, clasificar y generar informes, la realidad para los profesionales de la ciberseguridad es que algunas de esas alertas en cola serán ignoradas, ya sea involuntariamente o porque simplemente no hay tiempo suficiente para investigarlas a fondo.

El problema para estas organizaciones, a menudo abrumadas, es que ignoran incluso un evento de seguridad clave, independientemente de la gravedad, puede ser la diferencia entre un ataque frustrado y uno exitoso; y como lo han demostrado recientes violaciones de datos de alto perfil, un ataque exitoso expone a una organización a riesgo tremendo y puede sacudirlo hasta sus cimientos.

Ante la avalancha de alertas, las empresas se quedan básicamente con dos opciones:

1. Gastar capital para contratar nuevo personal de seguridad de la información
2. Aumentar la capacidad y la productividad del personal existente

Si bien contar con más personal para la ciberseguridad no es mala idea, las cifras demuestran que ni siquiera las organizaciones más grandes podrán contratar personal proporcional al aumento de ciberataques. El Informe sobre Amenazas a la Seguridad en Internet de 2015 de Symantec, por ejemplo, reveló que los ataques a grandes empresas aumentaron. 40 por ciento En 2015, el total de ataques de ransomware aumentó un asombroso 113 % el año pasado. En otras palabras, la ‘Opción A’ por sí sola no es una estrategia suficiente.

Una forma de que las organizaciones garanticen que ninguna alerta pase desapercibida es automatizar la respuesta a incidentes para las tareas más administrativas y las alertas de baja prioridad, de modo que puedan abordarse casi en tiempo real, liberando así al personal directivo para que pueda dedicarse a los eventos más sofisticados. Dicho de otro modo, las organizaciones pueden beneficiarse enormemente al incorporar la misma capacidad de "velocidad de máquina" a la resolución de amenazas que ofrecen las excelentes soluciones de detección de amenazas actuales.

Si la gestión de operaciones de seguridad llega a un punto donde todas las alertas son abordadas ya sea por herramientas de resolución de amenazas o por profesionales de seguridad de la información, las organizaciones pueden garantizar que no se ignore ninguna alerta; en otras palabras, pasar del 99 por ciento al 100.