«En muchos negocios y empresas suelen recortar presupuestos en el apartado de Ciberseguridad»
Ciudad de México, México │Por Ángel Ramírez│Escritor de LAGLvL
Cuando de Ciberseguridad hablamos, pensaríamos que cuanta mayor cantidad, es mejor ¿no?, pues en muchas empresas ven la seguridad de la información y el departamento de TI en su conjunto como costos que deben minimizarse. Sin embargo, La calidad se entiende comúnmente que tiene un precio.
Para determinar cuanta seguridad es suficiente, las amenazas deben evaluarse mediante un gran número de parámetros: cuantas más características de los atacantes potenciales evaluemos, mayores serán las posibilidades de obtener una imagen imparcial.
Tiempo medio para detectar un ataque
Desafortunadamente, un ataque complejo a menudo se nota solo cuando se evalúa el impacto, pero nuestras estadísticas incluyen un buen número de empresas maduras que detectaron un ataque en una etapa anterior, lo que es favorable para nuestra evaluación. Nuestros análisis muestran que el tiempo medio de detección difiere según el escenario de ataque, pero la planificación de los controles de seguridad debe utilizar el menor tiempo medido en horas.
Como consecuencia, se requiere que el SOC detecte y localice el ataque en el tiempo, que normalmente se expresa con dos indicadores: tiempo medio de detección (MTTD) y tiempo medio de respuesta (MTTR). Ambos deben ser menores que el tiempo medio del atacante para alcanzar el objetivo, independientemente del tipo de ataque. Este es el segundo atributo, igualmente importante, que obviamente está relacionado con la duración de la presencia de los atacantes en la infraestructura comprometida.
El equipo de SOC debe tener acceso a este valor y los recursos para responder sin afectar la calidad del monitoreo. Los indicadores que demuestran la (in)capacidad de nuestro SOC para detectar la amenaza antes de que vaya lo suficientemente lejos como para causar daños son mucho más fáciles de entender para las empresas. Combinados con muchos otros indicadores, como «la capacidad de nuestro SOC para detectar técnicas y herramientas específicas de atacantes» o «la capacidad de nuestro SOC para monitorear vectores de penetración específicos», estos ayudan a formar la evaluación más imparcial de la preparación operativa del SOC y proporcionan mejores argumentos para las empresas a favor de invertir en un área de seguridad.
Conclusión
El costo real de la seguridad requerida es la diferencia entre las capacidades de los atacantes y los recursos del equipo SOC, siempre que los primeros se evalúen en términos de incidentes reales y estadísticas relevantes, y los segundos, en términos de métricas SOC. Los MTTD y MTTR mencionados anteriormente funcionarán mejor, ya que son más fáciles de entender para las empresas que el modelo de madurez SOC u otros argumentos académicos. En mi opinión, es la combinación de métricas operativas basadas tanto en el trabajo pasado de los propios equipos de la empresa como en los informes analíticos de los proveedores de servicios de SI lo que puede ayudar a lograr el equilibrio adecuado, lo que resulta en el nivel deseado de rendimiento y eficiencia a un costo aceptable a largo plazo, o en una palabra, en belleza.
¿Quieres ver mas noticias sobre PC Gamer?
¡Visita nuestra categoría de noticias PC Gamer!
