Hewlett Packard Enterprise revela los aciertos y los errores de los SOC
Los Centros de Operaciones de Seguridad no contemplan principios básicos, dejando al 82% de las organizaciones vulnerables y por debajo de sus niveles de madurez, según un informe realizado por la compañía.
Hewlett Packard Enterprise ha publicado su cuarto informe anual sobre el estado de las operaciones de seguridad, proporcionando en él un análisis profundo de la eficacia de los centros de operaciones de seguridad de las organizaciones y las mejores prácticas para mitigar los riesgos en el panorama de la ciberseguridad en evolución.
Los resultados del informe de este año muestran que la mayoría de los SOC están cayendo por debajo de los niveles de madurez, dejando a las organizaciones vulnerables en caso de un ataque.
Publicado por HPE Security Intelligence and Operations Consulting (SIOC), el informe analiza unos 140 SOC de todo el mundo en más de 180 evaluaciones. Cada SOC es examinado en la escala del Modelo de Madurez de Operaciones de Seguridad HPE (HPE Security Operations Maturity Model -SOMM) que evalúa las personas, los procesos, la tecnología y las capacidades empresariales que componen un centro de operaciones de seguridad.
Para las empresas actuales se recomienda un SOC bien definido, subjetivamente evaluado y que monitorice de forma efectiva las amenazas existentes y emergentes. Sin embargo, el 82% de los SOC no está cumpliendo este criterio y está por debajo del nivel óptimo de madurez. Si bien se trata de una mejora del 3% con respecto al año anterior, la mayoría de las organizaciones todavía luchan por la falta de recursos cualificados, así como la implementación y documentación de los procesos más eficaces.
"El informe de este año muestra que si bien las organizaciones están invirtiendo fuertemente en capacidades de seguridad, a menudo persiguen nuevos procesos y tecnologías en lugar de mirar un panorama más amplio, dejándolos vulnerables a la sofisticación y rapidez de los atacantes de hoy", afirma Matthew Shriner, vicepresidente de Security Professional Services de Hewlett Packard Enterprise.
Observaciones clave
• La madurez del SOC disminuye solamente con los programas de caza (hunt). La implementación de equipos de caza para buscar amenazas desconocidas se ha convertido en una tendencia importante en el sector de la seguridad. Mientras que las organizaciones que agregaron equipos de caza a sus capacidades existentes de monitorización en tiempo real aumentaron sus niveles de madurez, los programas que se enfocaron exclusivamente en equipos de caza tuvieron un efecto adverso.
• La completa automatización es un objetivo poco realista. La escasez de talentos de seguridad sigue siendo la preocupación número uno para las operaciones de seguridad, haciendo de la automatización un componente crítico para cualquier SOC exitoso. Sin embargo, las amenazas avanzadas todavía requieren investigación humana y las evaluaciones de riesgo necesitan razonamiento por parte de personas, por lo que es imperativo que las organizaciones hagan un balance entre la automatización y la dotación de personal.
• El enfoque y las metas son más importantes que el tamaño de la organización. No existe un vínculo entre el tamaño de una empresa y la madurez de su centro de defensa cibernética. En cambio, las organizaciones que utilizan la seguridad como un diferenciador competitivo, para el liderazgo del mercado o para crear alineación con su industria, son mejores predictores de SOC maduros.
• Las soluciones híbridas y los modelos de dotación de personal proporcionan mayores capacidades. Las organizaciones que mantienen la gestión del riesgo en la empresa y escalan con recursos externos, como el aprovechamiento de los proveedores de servicios de seguridad administrados (MSSP) para coproveer o externalizar, pueden aumentar su madurez y abordar la brecha de habilidades.
Implicaciones y recomendaciones
A medida que las organizaciones continúan construyendo y promoviendo los despliegues SOC en un entorno cambiante, es esencial contar con sólido respaldo, basado en la apropiada combinación de personas, procesos y tecnología. Para ayudar a las organizaciones a lograr este equilibrio, HPE recomienda:
• Dominar los conceptos básicos de identificación de riesgos, detección de incidentes y respuesta, que son la base de cualquier programa de operaciones de seguridad eficaz, antes de aprovechar nuevas metodologías como los equipos de búsqueda.
• Automatizar las tareas cuando sea posible, como automatización de la respuesta, recolección de datos y correlación para ayudar a mitigar la brecha de habilidades, pero también comprender los procesos que requieren interacción humana y personal.
• Evaluación periódica de los objetivos de gestión de riesgos, seguridad y cumplimiento de las organizaciones para ayudar a definir estrategias de seguridad y asignación de recursos.
• Las organizaciones que necesitan aumentar sus capacidades de seguridad, pero no pueden sumar personal, deberían considerar la adopción de una estrategia de solución híbrida de operaciones o de personal que aproveche tanto los recursos internos como la subcontratación a un MSSP.
