En los últimos años la superficie de ataque en el ámbito corporativo se ha expandido notablemente y también se ha vuelto mucho más compleja.
La pandemia y la popularización del teletrabajo han hecho que las redes empresariales hayan tenido que extender sus tentáculos en muchas direcciones y que los equipos de TI tuvieran que tomar decisiones difíciles y ágiles, en muchos casos para seguir manteniendo los negocios operativos, pero dejando la seguridad en un segundo plano.
Todo esto ha pasado factura a las organizaciones. Algunos análisis de la industria apuntan a que el 47% de las alertas de seguridad son ignoradas y que como promedio se tardan 56 días en identificar un atacante en una red y hasta 76 días en contener una brecha de seguridad.
Minsait (SIA), la filial dedicada a la cibersegurdiad de Indra, ha expuesto en el vertical de ciberseguridad de Digital Enterprise Show (DES), la feria tecnológica que se celebra estos días en Málaga, cómo nos hemos adentrado en una nueva era de servicios de Detección y Respuesta implementados en el CSOC (Centro de Operaciones de Ciberseguridad). Este supondría una especie de puente entre los equipos técnicos y los directivos.
Abel González Bello, Head o Incident Detection & Response en SIA, ha recurrido a una metáfora olímpica para definir el panorama actual de ciberamenazas: el clásico Citius, Altius, Fortius. En su opinión, para la defensa hay que ser más rápidos y más fuertes que los cibermalos, pero no ir más alto.
"Mantenemos una constante competición con los atacantes. Eso cambia el modelo para defender las empresas. El trofeo que buscan son dinero y datos", asegura.
"Nuestra superficie de ataque está siempre al alza, siempre aumentando. Va a ser cada vez más grande y tenemos que protegerla. La diferencia es que tendremos más talento. Hay más de 3,5 millones de posiciones abiertas en ciberseguridad", comenta.
González ha destacado como la distribución del número de incidentes y brechas de seguridad varía de un sector a otro muchísimo.
Según ha defendido, una posición sólida de detección y respuesta se basaría en tres pilares distintos: un servicio integral, una cobertura internacional y un conocimiento y especialización en el sector. Para la base de un modelo robusto, desde Minsait trabajan con un framework general, frameworks específicos, orientación de procesos y relaciones con terceros.
Un nuevo modelo
El responsable de detección y respuesta ha desgranado cómo está surgiendo un nuevo paradigma para la defensa activa contra las amenazas más allá del SOC tradicional. En él hay menos alertas, pero estas son de alto valor y una alta especialización, no profesionales que cubran los tres niveles tradicionales.
"Ahora no necesitas tener mucha gente, sino la gente adecuada. Este nuevo modelo está dotado con mayor automatización y también es mucho más eficiente. La relación con los clientes también está cambiando", señala González, quien explica que en esta gestión extendida la detección de incidentes críticos podría llevar solo 15 minutos y que la clave está también en la medición de los KPIs relevantes para los distintos clientes de manera centralizada.
El nuevo modelo, en definitiva, se estructuraría en 4 pasos distintos: información de inteligencia, desarrollo de casos de uso, enriquecimiento con caza de amenazas y asegurar una respuesta apropiada.
Por último, el responsable de SIA se ha detenido en cómo su gestión extendida de detección y respuesta, que supone una visión de la ciberseguridad de 360 grados, encaja con ese lema del Más Rápido, Más Fuerte pero No Más Alto en cada proceso.