Blog B-SECURE

Claves para un monitoreo de ciberseguridad efectivo

Dada la importancia y el crecimiento acelerado que tienen las tecnologías de la información y las comunicaciones para todas las empresas en la actualidad, se han convertido en el principal objetivo de los ciberdelincuentes, lo que se ha traducido en un incremento exponencial de amenazas cibernéticas y aumento de la superficie de ataque de las empresas.

Las organizaciones conscientes de esta problemática buscan fortalecer su estrategia de ciberseguridad para reducir el riesgo de compromiso de sus activos críticos, mejorar el nivel de madurez en cuanto a ciber resiliencia y dar cumplimiento a las regulaciones vigentes en cada sector.

Monitoreo-de-ciberseguridad

Un componente fundamental de cualquier estrategia de ciberseguridad se centra en el monitoreo de la infraestructura, los usuarios y las aplicaciones, ya que permite dar visibilidad de las amenazas que pueden materializarse y dado que esta infraestructura está en constante crecimiento, un monitoreo manual a cargo del equipo de TI se hace insostenible, y es justo ahí donde cobra vital importancia contar un servicio de monitoreo de ciberseguridad especializado que permita alcanzar un estado de automatización y priorización de los eventos fortaleciendo la postura de ciberseguridad de la organización al tener una respuesta eficiente ante incidentes de ciberseguridad.

El monitoreo de ciberseguridad inteligente suma la tecnología, los procesos y las personas que apoyan la gestión integral de las amenazas a las que pueden estar expuestas las organizaciones. El proceso inicia con la recolección de datos de diferentes fuentes como dispositivos de red, seguridad, servidores, endpoints, base de datos, servicios de nube, entre otros, para su posterior análisis y clasificación, y finaliza con la respuesta, contención y/o erradicación de la amenaza permitiendo así, una detección y respuesta tempranas y efectivas.

Las organizaciones son conscientes de la necesidad de contar con un servicio de monitoreo de ciberseguridad, sin embargo, en ocasiones desconocen cómo aprovechar al máximo las capacidades de este servicio y así tener una visión más clara de hacia dónde deben encaminar su estrategia de ciberseguridad.

Dentro de este contexto, surgen las siguientes preguntas: ¿qué activos de nuestra organización debemos seleccionar para lograr tener mayor visibilidad?, ¿qué tipos de datos necesitamos?, ¿cómo garantizamos una detección efectiva frente amenazas a las que puede estar expuesta la organización? ¿cómo reducimos los tiempos de detección y respuesta?; A continuación, comparto algunas recomendaciones para lograr un monitoreo efectivo de la infraestructura critica de TI.

Identificación de activos

Es primordial que la organización identifique los activos más valiosos de acuerdo con los objetivos planteados por el negocio, una buena forma es basarse en los siguientes criterios:

Identifique a través del inventario de activos, aquellos dispositivos y/o segmentos de red que tengan alto impacto operativo, financiero y regulatorio en caso de ser afectados por una amenaza.

Es preciso pensar en el peor de los escenarios de amenaza posible, como pueden ser los ataques a las aplicaciones Web, infección de ransomware, fuga de información, denegación de servicios, entre otros. Tener claro los escenarios posibles, permite identificar los activos que pueden brindar la visibilidad necesaria para reducir los tiempos de detección y responder rápidamente.

Muchas organizaciones, según su actividad comercial, tienen requerimientos de cumplimiento normativo como PCI o SOX. Tener un alcance definido de los activos permite una mejor comprensión de lo que se requiere vigilar.

Creación de casos de uso

Con base en la selección de activos de información, es indispensable empezar a conocer cómo son las interacciones con esos activos, para esto es conveniente preguntarse: ¿qué servicios se están prestando? ¿qué información se almacena? ¿desde dónde se conectan? ¿qué interacciones existen con otros servicios? ¿qué usuarios se conectan y con qué frecuencia?; tener las respuestas a estas preguntas dará mayor claridad en la creación de casos de uso ajustados a las necesidades de la organización y en la posibilidad de incluir más activos al monitoreo de ciberseguridad.

Contextualizar registros mediante fuentes externas

Una vez se ha realizado la selección de los activos a monitorear, es importante blindarlos contra amenazas externas conocidas, basándose en datos de distintos motores reputacionales que permitan la priorización de eventos y casos de uso para su tratamiento, despliegue y respuesta.

Ejercicios para garantizar detección efectiva

Es indispensable que se realicen ejercicios para probar los casos de uso, de esta forma comprobar la efectividad de la detección, repuesta actual ante eventos reales. Probar los casos de uso permitirá un afinamiento continuo hasta lograr el estado deseado y reducir la fatiga de alarmas frente a falsos positivos.

Flujos de respuesta

Una vez se tengan los casos de uso bien afinados es indispensable tener flujos de respuesta, esto es; el tratamiento que se le debe dar, para lo que es indispensable definir playbooks describiendo paso a paso cómo se debe responder. La respuesta ante un incidente debe estar alineada con los procedimientos internos de la organización e involucrar a todos los actores externos durante el ciclo de vida del incidente.

Automatización de respuesta

En casos de uso que han sido debidamente estudiados, probados y afinados, es importante intentar alcanzar un estado de automatización de la respuesta ante su detección, este proceso conocido como SOAR (Security Orchestration, Automation and Response) ayuda a reducir la carga operativa, mejorando los tiempos de detección de respuesta ante posibles eventos de mayor prioridad.

Estas recomendaciones y procesos están sujetos a la revisión, evaluación y mejora continua y deben realizarse de manera periódica dentro de la organización, debido la constante actualización de la normas y regulaciones, el crecimiento organizacional (superficie de ataque) y el constante crecimiento del panorama de amenazas.