Un mundo sin ciberriesgos es, por desgracia, una quimera. Afortunadamente, las organizaciones pueden evitar muchos males por sí mismas y, cuando se produce un ataque, resolverlo adecuadamente. Las organizaciones son muy conscientes del peligro de los ciberataques, según la encuesta de referencia sobre ciberseguridad realizada por Conscia en colaboración con la empresa de investigación de mercados comerciales The Blue Hour.

Por ejemplo, 43% de los encuestados indicaron que la mayor parte del tiempo que dedican a la seguridad informática lo dedican a la prevención. En 85%, la "Concienciación y formación" es una medida importante adoptada para prevenir incidentes de ciberseguridad. Sin embargo, cuando se produce un incidente, la investigación muestra que suelen pasar más de 200 días hasta que se advierte el incidente. Maarten Werff, Solution Consultant Cybersecurity de Conscia: "Por eso sigue siendo imprescindible contar con medidas de detección y respuesta además de la prevención, para conocer también los ataques que no se detienen con medidas preventivas. Parece un porcentaje pequeño, pero aún así puede causar muchas desgracias".

SOC: ¿construir uno propio o subcontratar?

Un Centro de Operaciones de Seguridad (SOC) puede aportar la solución. La opinión general suele ser que un SOC implica costes elevados, requiere mucho tiempo, conocimientos y energía por parte de los empleados y, por tanto, es sólo para grandes organizaciones. Pero, ¿es esto cierto?

Un cálculo sencillo: la investigación de Forrester muestra que, de media, las organizaciones necesitan 14 analistas de seguridad ETC para crear y mantener su propia función SOC (11 ETC para organizaciones con menos de 5.000 empleados y 20 ETC para organizaciones con más de 5.000 empleados). Esto tiene en cuenta que las personas trabajan día y noche y también se van de vacaciones de vez en cuando.

El coste de un servicio externo de detección y respuesta gestionadas (MDR) con supervisión permanente para 1.000 empleados es de unos 6.000 euros al mes. Es decir, incluso menos que 1 ETC. Cuando las organizaciones crean su propio SOC, necesitan -además de las personas adecuadas- una plataforma tecnológica apropiada. Esto hace que los costes totales de propiedad de un SOC interno tripliquen los de un SOC subcontratado (con elevados gastos de capital).

Atraer y retener a los analistas de seguridad

Ahora bien, crear una función SOC propia también tiene sus ventajas. El personal interno comprende mejor y más rápidamente los riesgos específicos de la organización. Por otro lado, es difícil encontrar y retener a buenas personas. Tampoco es la menor de sus tareas. Forrester afirma que 96% de los analistas de seguridad experimentan un impacto personal tras un incidente. Piense en largas jornadas de trabajo, estrés al llevarse a casa, dormir poco. Todo ello resultado de la llamada "fatiga de alerta".

Las organizaciones no se enfrentan a este problema cuando externalizan la función SOC, así como a las oportunidades de ampliación. La encuesta de referencia muestra que 15% de los encuestados ya han externalizado la función SOC. En 55% de los casos, la supervisión y el análisis de las alertas de seguridad se llevan a cabo desde el equipo informático interno. Además, 6% de las organizaciones afirman tener su propio SOC que supervisa y analiza durante el horario laboral (3%) o las 24 horas del día, los 7 días de la semana (3%). Casi una cuarta parte de los encuestados no ha garantizado o ha garantizado de otro modo la detección de alertas de seguridad.

El panorama de las amenazas exige un enfoque diferente

Según Maarten Werff, hay otra buena razón para pasarse a MDR: "En la última década, nos centramos principalmente en la red, pero con el cambiante panorama de amenazas debido al aumento del trabajo en casa, la nube y el cifrado, la visibilidad a través de las medidas tradicionales de seguridad de la red es mucho menor. La seguridad requiere hoy un enfoque diferente. Tenemos que tomar medidas de seguridad para lo que queremos proteger: nuestra información, nuestros usuarios y nuestros puntos finales."

Actualmente, 41% de los encuestados afirman haber tomado medidas de protección de endpoints. No es ninguna novedad decir que los empleados -con todos los respetos- suelen ser el mayor problema. En caso de presencia de accesos anómalos a archivos y archivos cifrados, 46% de los encuestados afirman recibir una alerta. Mientras tanto, 21% pueden ver qué archivos se han visto afectados en un ciberincidente y recuperarlos.

Según Maarten Werff, los avances tecnológicos como EDR, SOAR y XDR permiten cambiar la estrategia de detección. En cuanto a estas soluciones, 15% de los encuestados disponen de EDR y 3% de SOAR. "Situar la identidad y el endpoint en el centro de la estrategia de detección y respuesta crea una visibilidad materialmente mayor sobre las alertas y permite una intervención más rápida. Este enfoque no se centra en buscar 'la aguja en el pajar' y, por lo tanto, también es menos costoso."

Fuente: Conscia