Ciberseguridad

Seis pasos esenciales para ganar madurez en ciberseguridad

El objetivo último de la ciberinteligencia es pasar de la reactividad a la anticipación a la amenaza.

inteligencia artificial
Créditos: Gertruda Valaseviciute (Unsplash)

Un año y medio después del estallido de la crisis de la COVID-19, y con una aceleración inédita de los procesos de digitalización, muchas organizaciones están dispuestas a dar un paso más en medidas de ciberseguridad e inversión en el terreno. Y es que los ciberataques son cada vez más sofisticados y dañinos, y se han convertido en uno de los principales riesgos para las compañías, de todo tipo de sectores, tamaños y localizaciones. Sin embargo, no todas las empresas saben cuál es la siguiente tecla a pulsar para que suene y se compenetre bien esa orquesta en que se ha convertido la ciberprotección, que se compone de tecnologías, procesos y personas. Para ello, explica Eutimio Fernández, country manager de ThreatQuotient para España, deben avanzar en su madurez teniendo en cuenta los siguientes seis pasos. 

En primer lugar, expresa, está la fase de adquisición e ingesta de información de diferentes fuentes de inteligencia. “Un único feed nos ayuda a mejorar nuestras operaciones, pero no es suficiente”, indica. “Si tenemos en cuenta que la información común entre feeds es de alrededor del 8%, debemos contar con más de una fuente que nos otorgue información valiosa”. Así, el reto pasa por encontrar cuáles son las que más información relevante van a aportar para la seguridad de la compañía. Además, en España es habitual que algunas organizaciones cuenten con información que se comparte en plataformas MISP del CCN (Centro Criptológico Nacional) o MISP del vertical al que pertenecen. 

 

Los ciberataques son ya uno de los principales riesgos de todo tipo de compañías

 

El siguiente paso, cuenta Fernández, es el de ‘deduplicar’ y normalizar. Es decir, una vez que se tienen los datos relevantes, hay que conseguir normalizarlos y que sean fácilmente interpretables por cada persona y aplicación involucrada y que cada una lo haga de la misma manera. “Así, será más sencillo automatizar procesos y hacerlos ágiles”. Y pasar al siguiente paso, el de la priorización. “Ahora contamos con mucha más información que procesar y relacionar para hacerla actuable”, explica el directivo. “Si no la priorizamos y solo intentamos automatizar tareas repetitivas con herramientas SOAR, incrementaremos la productividad con los datos que están curados y son relevantes, pero también elevaremos mucho el nivel de falsos positivos”. Priorizar es crítico para hacer las operaciones eficaces, pero no vale solo con contar con el ratio de criticidad estándar que aporta el proveedor del feed. “Esto es solo un buen comienzo, pero hay que tener en cuenta otros factores como la información interna, el área geográfica, sector de actividad, atacante… La experiencia y el conocimiento de empresa es vital, la misma amenaza no afecta a dos compañías diferentes”, añade el experto.

 

 

En cuarto lugar, llegaría el proceso de automatización. Es vital que la información fluya entre todas las personas y procesos involucrados, y que estos sean ágiles. En este sentido, dice Fernández, hay muchos procesos que se pueden automatizar y con los pasos previos es más sencillo. Algunos ejemplos son la actualización de los equipos de detección y defensa, como firewalls o los sistemas de seguridad de correo; o la automatización de procesos que no requieren inteligencia humana y se pueden hacer mediante playbooks. 

El penúltimo escalón es el de generación de inteligencia y memoria interna. “Esto es muy importante ya que cada empresa es única y cada amenaza tiene sus peculiaridades en función del comportamiento de sus usuarios, políticas de gestión interna, arquitectura de TI o presencia geográfica”, asevera. Este paso es vital para aspectos como una vez que se ha producido una brecha saber muy bien cómo se resolvió y poderlo hacer de nuevo con éxito, independientemente de las personas que estén al cargo; el conocimiento operativo queda en la empresa. También ayuda a mejorar la productividad y la anticipación. “Si recibimos información que podemos ver relacionada con eventos anteriores puede ser el momento de lanzar una tarea de ThreatHunting para verificar que no estamos ya comprometidos”, añade Fernández.

Por último, encontramos el reporte. Es esencial mantener informadas a todas las personas  en la jerarquía de la compañía con los datos que son pertinentes para cada una de ellas. “Que un técnico tenga lo necesario para eliminar una amenaza o que un CIO sepa la evolución de Solarwinds son reportes muy diferentes pero muy necesarios; y pueden llevar mucho tiempo si la información no está organizada”.

 

¿En qué posición se encuentran las compañías?

Preguntado por la madurez de la empresa española, Fernández responde que la gran mayoría de las grandes cuentas están en el punto en el que adquieren un servicio de reputación o una fuente de ciberinteligencia y, directamente, automatizan procesos en un SIEM o SOAR. “Algunas, aunque pocas, ya empiezan a ver que deben hacer más, ya que tienen plataformas MISP compartidas y se ven con problemas serios para gestionar los datos”, dice. “Esto nos da una fotografía de una práctica de ciberinteligencia inmadura todavía y que debe evolucionar en los próximos años”. 

 

"Las prácticas de ciberinteligencia todavía están inmaduras en muchas compañías y deben evolucionar en los próximos años"

 

Además, asume, muchas todavía están satisfechas con los procedimientos implantados y no se plantean otra estrategia. “Esto es falta de madurez y muchas veces conocimiento. Las empresas que están avanzadas ya tienen diferentes fuentes y se ven con el problema de la gran cantidad de datos y procesos inexistentes, y ya empiezan a explorar nuevas soluciones”. En cualquier caso, el objetivo final es pasar de la reactividad a la anticipación. “No podemos esperar a ver indicios de una amenaza para empezar a preocuparnos. Es necesario trabajar para anticiparnos y estar preparados para cuando venga una amenaza”.

 

Un salto definitivo de madurez

Desde ThreatQuotient proponen la plataforma ThreatQ, que se pone en el centro de toda esta operación para agilizarla y automatizarla, permitiendo llegar a la anticipación. Asimismo, y al utilizar la ciberinteligencia, reduce los costes de gestión de todas las operaciones de ciberseguridad. Se trata, en definitiva, de una solución holística que simplifica los procesos y que hace que los datos sean actuales mediante la automatización de adquisición de esa información, clasificación y diseminación por la infraestructura

“ThreatQ permite a las empresas dar un salto hacia la anticipación y la proactividad haciendo que la infraestructura de la empresa esté preparada para identificar y parar las amenazas importantes antes de que lleguen al negocio”, asevera Fernández. “Entender las amenazas que nos acechan y estar preparados para la actuación son beneficios diferenciales”.

Contenido elaborado en colaboración con ThreatQuotient

 


TE PUEDE INTERESAR...

Revista Digital

Revista Digital CSO julio/agosto 2021

Portada CSO 61 TENDENCIAS

Contenido Destacado

Webinar Ondemand

Cybersecurity Evolved

Partnerzones IDG
Registro IDG España:

Eventos IDG:

 

Especiales IDG:


Revistas Digitales IDG

ComputerWorld Digital

CSO España Digital

DealerWorld Digital

IDG Research

 

Ya disponible en IDG Research: