Por: Karin Shopen /Fortinet
Muchos de nosotros llegamos a un punto en la vida, y en nuestro negocio, cuando sentimos la necesidad de volver a centrarnos en nuestras capacidades y fortalezas centrales y subcontratar o pedir asesoramiento experto sobre el resto. Esta decisión estratégica nos permite dar saltos aún más significativos en aquellos lugares en los que somos excepcionalmente capaces de resolver los problemas en cuestión.
En ciberseguridad, hablamos mucho sobre la necesidad de automatización de extremo a extremo para respaldar una postura de seguridad dinámica y ágil capaz de responder a la nueva información de amenazas casi en tiempo real. Nuestra industria traduce esto en ser capaz de detener los ataques en su camino. Todos hemos invertido y seguiremos invirtiendo tiempo y recursos en la construcción de esta visión a medida que elegimos agregar nuevas tecnologías, proveedores y socios a nuestro ecosistema de ciberseguridad.
Sin embargo, un área de la que muchos líderes de seguridad tienden a hablar menos es el componente humano de las estrategias de ciberseguridad y cómo podemos aumentar su impacto en nuestro éxito general. Hoy en día, dos tercios de los líderes mundiales afirman que la escasez global de habilidades crea riesgos cibernéticos adicionales para su organización, incluido el 80% que informó haber experimentado al menos una violación durante los últimos 12 meses que podrían atribuir a la brecha de habilidades de ciberseguridad.
Es hora de hablar sobre el elemento humano como parte de su marco general de ciberseguridad.
Mejore, automatice y externalice: el elemento humano
Si le preguntara hoy cuántas de sus capacidades de seguridad tecnológica se están consumiendo como servicio y cuántas más está evaluando actualmente, la respuesta sería: la mayoría. Los proveedores de seguridad ya operan, mantienen y avanzan en las capacidades de seguridad críticas para su tecnología, ya sea su IPS, URL, DNS, sandbox, AV, CASB, IoT, etc., al proporcionar inteligencia de seguridad para mantenerlos sintonizados con las últimas amenazas. Los equipos de expertos en ciberseguridad ya están ayudando a mantenerte por delante de los ciberdelincuentes de hoy. Lo mismo ocurre con los procesos automatizados. Muchos de ustedes están en camino de crear una postura de seguridad totalmente automatizada, SOC y flujos de procesos. Y en muchos casos, usted y sus proveedores están en este viaje juntos.
Pero cuando hablamos de su gente, hay menos de un proceso organizado, estrategia o prioridad, o incluso tiempo para mejorar las habilidades. Y aún menos están evaluando qué tareas realiza el equipo de SOC que sería mejor subcontratar.
Existen tres estrategias para aplicar servicios a su equipo de seguridad, empleados y socios para proteger mejor su organización. El primero es mejorar sus capacidades con las habilidades y tecnologías de los profesionales dedicados a la ciberseguridad que pasan todos los días en la primera línea de la guerra cibernética de hoy. Lo siguiente es automatizar muchos de los procesos de su equipo para mejorar la precisión, el tiempo medio de detección (MTTD) y el tiempo medio de corrección (MTTR). Y simplemente hay algunos aspectos de la ciberseguridad que elegirá subcontratar para mantener a su equipo enfocado en las tareas críticas a mano.
Mejorar
- Empleados
Muchos ataques hoy en día comienzan con la explotación de una vulnerabilidad, ya sea una tecnología o una falla humana (por ejemplo, phishing). Todos nos esforzamos por prevenir y detener los ataques lo antes posible durante el ciclo de ataques mediante la adición de capacidades avanzadas como la gestión de superficies de ataques externos (EASM), la detección y respuesta de red (NDR), el engaño, la detección y respuesta de puntos finales (EDR), e incluso puertas de enlace de correo electrónico seguras y firewalls de aplicaciones web (WAF) para enfrentar activos críticos, todo para minimizar el daño y evitar el largo proceso de remediación.
En muchos casos, sus empleados son su primera línea de defensa. Supongamos que evalúa a sus empleados de la misma manera que evalúa las tecnologías, buscando vulnerabilidades (brechas de conocimiento y habilidades) que deben ser “parcheadas” de forma regular. Entonces debería ser fácil entender la necesidad de programas ciberseguros. Este proceso de mejora continua puede y debe construirse junto con la asociación con un proveedor / equipo de ciberseguridad bien versado en las tácticas de ataque actuales que pueden integrar ese conocimiento en el programa de capacitación de empleados de su organización.
- Equipos SOC y profesionales de ciberseguridad
Si usted es como la mayoría de nosotros, sus equipos de SOC están mirando hacia abajo a través de alertas, registros y tareas. Como resultado, les resulta difícil encontrar el tiempo para mantenerse alerta cuando se trata del panorama de amenazas de ataque en evolución y el estado general de su postura de seguridad de extremo a extremo.
La práctica hará que su equipo sea mejor y más rápido para responder a los ataques. Tómese un tiempo para ello. Asigne tiempo para el entrenamiento táctico, una evaluación completa de las capacidades, Y para construir y probar la automatización efectiva y los libros de jugadas, aprovechando herramientas como la orquestación de seguridad, la automatización y la respuesta SOAR. Los expertos en ciberseguridad que trabajan activamente en la búsqueda de amenazas y la respuesta a incidentes tendrán la experiencia práctica del mundo real necesaria para crear y ejecutar la capacitación para su equipo. Además, evalúe y aproveche los programas de incorporación y capacitación que respaldan los objetivos cortos de la curva de aprendizaje y la optimización de las inversiones.
Externalizar
La intensidad actual, tanto en velocidad como en sofisticación, que estamos experimentando en todo el panorama de amenazas significa que todos debemos trabajar aún más para mantenernos en la cima de nuestro juego. Pero eso solo puede llevarnos hasta cierto punto. Por lo tanto, también debemos trabajar de manera más inteligente, que es el motor detrás de la construcción de sistemas automatizados de autoaprendizaje y la subcontratación de algunas funciones a expertos dedicados. Tales mejoras son una forma crítica de eliminar el ruido y ayudar a su equipo a concentrarse en sus tareas más críticas y avanzar en su negocio. La subcontratación puede servir para muchos propósitos. Se puede usar temporalmente hasta que su equipo haya superado la curva de aprendizaje de la nueva tecnología o como un arreglo permanente como una extensión de su equipo de seguridad.
Generalmente hay tres áreas en las que vemos que las organizaciones subcontratan funciones de seguridad:
- Evaluación de la eficacia de la seguridad
Existe una máxima entre los profesionales de la ciberseguridad de que el equipo que construye una postura de seguridad no debe ser el que evalúe su efectividad. Aprovechar un equipo externo para realizar estas tareas invariablemente producirá un mejor resultado. Estos servicios pueden variar desde evaluaciones puntuales individuales, como la vulnerabilidad o el monitoreo continuo de su administración de superficie de ataque externa para determinar la preparación de extremo a extremo para ataques como el ransomware. Estas evaluaciones también respaldan una priorización muy necesaria basada en el riesgo de las inversiones futuras.
- Externalización de algunas o todas sus capacidades de búsqueda de amenazas SOC
La externalización de la detección de monitoreo activo y la respuesta a las amenazas se extiende desde el punto final (MDR), a la red, a las responsabilidades completas de SOC (SOC-as-a-Service). Y dada la velocidad de las amenazas actuales, la prevención se sirve mejor con un ciclo totalmente automatizado desde la detección hasta la respuesta. Sin embargo, en la mayoría de los casos, la adopción de una respuesta totalmente automatizada estará vinculada al nivel de confianza que el equipo de SOC tiene en las recomendaciones y datos de aprendizaje automático (ML) y no en las capacidades tecnológicas, que como en todos los campos impulsados por la automatización, evolucionarán y se expandirán con el tiempo, los datos y la experiencia.
- Externalización de algunas o todas sus capacidades de respuesta a incidentes
Los beneficios de trabajar con un equipo de respuesta a incidentes (IR) antes de estar bajo ataque activo no se pueden enfatizar lo suficiente. Al involucrarse temprano, un equipo de IR puede ayudarlo a evolucionar y fortalecer su postura de seguridad. También obtendrán conocimientos críticos sobre su implementación de seguridad existente y cualquier proceso de respuesta y corrección acordado. Eso, con el tiempo, ayudará a reducir los incidentes y acortar el tiempo requerido para la remediación una vez que ocurre un incidente.
Automatizar
Todo el mundo contribuye al problema de los entornos de trabajo cada vez más complejos. Los equipos de marketing e ingeniería utilizan múltiples sistemas. Los usuarios emplean numerosos dispositivos para conectarse a un número aún mayor de aplicaciones. El objetivo de todos los líderes de ciberseguridad hoy en día debe ser establecer un marco de seguridad unificado en toda la organización que priorice los sistemas sinérgicos y los procesos centralizados para ofrecer automatización impulsada por ML.
Pero la IA y el ML son tan buenos como los datos en los que están entrenados y las personas que les enseñan. Al interactuar con proveedores que ofrecen soluciones impulsadas por ML, es esencial que mire dentro de la organización y descubra quién está diseñando sus modelos. ¿Con qué conjuntos de datos están trabajando? Asegúrese de que el proceso y la automatización utilizados para recopilar, procesar, identificar y responder a los incidentes sean confiables.
Los servicios de FortiGuard proporcionan un espectro completo de soporte crítico para el negocio
Como parte del Security Fabric totalmente integrado líder de la industria, que ofrece sinergia nativa y automatización en todo su ecosistema de seguridad, Fortinet también ofrece una amplia cartera de tecnología y ofertas de servicio como servicio basadas en humanos. Estos servicios son impulsados por nuestro equipo global de FortiGuard de expertos en ciberseguridad experimentados.
