Perspectivas de Gartner sobre la gestión de respuesta a incidentes

Si ha visitado este blog en los últimos meses, sabe que creemos que la seguridad de la información se encuentra en una encrucijada crítica. Durante años, las organizaciones han dependido en gran medida de soluciones de detección que, si bien son eficaces, generan demasiadas alertas que la mayoría de los centros de operaciones de seguridad (SOC) no pueden gestionar manualmente; inevitablemente, algo se les escapa. Por ello, creemos que la única manera de que las empresas puedan protegerse eficazmente es centrarse más en la gestión de la respuesta a incidentes.

Resulta que no somos los únicos en esta perspectiva. Gartner, la firma líder mundial en análisis de TI, también aboga por un enfoque más integral para la ciberseguridad. El año pasado, los analistas de Gartner, Neil MacDonald y Peter Firstbrook, escribieron un artículo titulado "Diseño de una arquitectura de seguridad adaptativa para la protección contra ataques avanzados", cuyo resumen señalaba:

“Las empresas dependen excesivamente de mecanismos de bloqueo y prevención cada vez menos eficaces contra ataques avanzados. Una protección integral requiere un proceso de protección adaptativo que integre capacidades predictivas, preventivas, de detección y de respuesta.” ¹

La tendencia hacia la gestión de respuesta a incidentes también se puede observar en un vistazo a la agenda de los próximos eventos de la empresa. Cumbre de Seguridad y Gestión de Riesgos. Enumera numerosos temas relacionados con la respuesta a incidentes, algunos de los cuales ya hemos tratado en este blog, entre ellos:

• Aprovechar la inteligencia sobre amenazas para la respuesta
• Cómo el Internet de las cosas afectará la seguridad de la información
• La necesidad de nuevas arquitecturas de seguridad que completen el ciclo de vida de la seguridad de la información

Con una firma tan respetada como Gartner impulsando la gestión de respuesta a incidentes, sin duda llegarán al mercado numerosas herramientas y soluciones de automatización dirigidas a este sector en los próximos años. Pero antes de que los CIO o CISO inviertan en cualquiera de estas herramientas, deben tener una idea clara de cómo funcionan sus SOC: los procesos que utilizan sus expertos para responder a las alertas, sus métricas más cruciales y los problemas más comunes. Solo con esta información disponible, los responsables de la toma de decisiones pueden asegurarse de invertir en una herramienta que resuelva sus casos de uso específicos.

En ese momento, los CIO y CISO pueden tomar una decisión basada en evidencia sobre qué solución satisface mejor sus necesidades de respuesta a incidentes y mirar con confianza hacia el futuro.

¹ Gartner, Diseño de una arquitectura de seguridad adaptativa para la protección contra ataques avanzados, Neil MacDonald, Peter Firstbrook, 12 de febrero de 2014, actualizado el 19 de noviembre de 2014