El aumento de la cantidad y la complejidad de las amenazas, así como la ampliación de la superficie de ataque, dificultan el principal propósito de un SOC: la detección, el análisis y la respuesta a los incidentes de seguridad. Estos factores provocan un crecimiento exponencial del volumen de datos y alertas de seguridad que es necesario atender y que el equipo no tiene los medios para cubrir.
Un 31 por ciento de los líderes y expertos que conforman los SOC indican que la sobrecarga de información es un elemento significativo de estrés, y el 34 por ciento de ellos percibe el aumento de la carga de trabajo como la principal causa de agotamiento o burnout. Además, otro 31 dice sentirse incapacitado a la hora de priorizar las amenazas debido al alto volumen de alertas, que en su mayoría son falsas y desencadenadas por la falta de contexto. Y el 34 por ciento del personal experimenta dificultades para operar con demasiadas herramientas, lo que deriva en problemas para alcanzar una seguridad eficiente, según datos del SOC Performance Report de 2022 de Devo.
Estas circunstancias han generado la necesidad de modernizar los equipos de SOC de las empresas con el uso de la automatización como método para reducir las alertas, y así optimizar sus recursos y liberar tiempo del equipo para el desarrollo de procesos que permitan adoptar un enfoque proactivo de detección y respuesta.
Este enfoque permite detectar y responder a las amenazas que son capaces de penetrar en la red sin ser vistas por los controles de seguridad existentes, antes de que se produzca el daño o este sea mayor.
Modernizar el SOC
En general, permite al equipo desempeñar su trabajo de forma eficiente y les apoya en el cumplimiento de su cometido. Pero para entender lo que un SOC moderno significa para una organización, es necesario conocer los seis principales beneficios que aporta a las empresas:
- Reduce el tiempo de detección de incidentes.
El tiempo medio que tardan las organizaciones en detectar una amenaza en sus sistemas es de 212 días. Ahora, con la supervisión ininterrumpida es posible reducir este espacio de tiempo gracias a la identificación e investigación de actividad anormal.
Para llevar a cabo esta detección temprana, el equipo debe obtener una visibilidad contextualizada de lo que ocurre, correlacionándolo con un conocimiento actualizado y profundo de las técnicas utilizadas por las amenazas. Así se entenderá qué sucede y se responderá rápidamente.
La ayuda de la automatización en la detección, priorización e investigación permite que el equipo no se vea desbordado por la cantidad de alertas y pueda analizar las actividades anómalas que realmente requieran su atención. Esta monitorización continua es esencial para detectar las primeras señales sospechosas y mejorar el tiempo de detección y respuesta a incidentes.
Hay que anticiparse a las amenazas que hacen peligrar la productividad y reputación
- Reduce el tiempo de respuesta y los costes asociados a los incidentes de seguridad.
Datos de IBM revelan que el tiempo de contención de un incidente de seguridad es de alrededor de 75 días, y que este supone un coste de unos 4,35 millones de dólares.
Gracias a la supervisión constante y a la detección en las primeras fases de la intrusión, el SOC puede responder de forma temprana al atacante reduciendo el impacto económico y reputacional debido al tiempo de inactividad del negocio, el coste de la vuelta a la normalidad, la pérdida de datos o las demandas judiciales.
El mismo estudio indica que las empresas atacadas que contaban con un equipo de respuesta a incidentes ahorró un 58 por ciento (una media de 2,66 millones de dólares) de los costes relacionados con un ataque de gran magnitud.
- Reduce el riesgo de ciberataques y mejora la ciberresiliencia.
Una vez controlado el incidente, el análisis de los activos impactados, las vulnerabilidades utilizadas y los controles de seguridad eludidos proporcionarán la información clave para tomar acciones de mejora en los sistemas para reducir la superficie de ataque y mejorar las medidas y procesos de los programas de seguridad de la organización. De esta forma, la empresa incrementa su capacidad de anticiparse a nuevas amenazas y será más resiliente en futuros ciberataques.
- Consigue un enfoque integral de la seguridad de la empresa.
Un artículo de Security Brief expone que el 62 por ciento de los líderes de TI y empresariales encuestados globalmente afirman tener puntos ciegos que dificultan la seguridad y estiman que solo poseen un 62 por ciento de visibilidad de su potencial superficie de ataque.
En este sentido, los procesos y prácticas de un SOC moderno contribuyen a detectar antes e incluso a evitar que se produzcan nuevos ataques al ofrecer una mayor visibilidad de la causa raíz, del curso de las acciones y de los sistemas impactados durante el incidente de forma integral. Todo esto ofrece a las organizaciones la posibilidad de adelantarse a futuros riesgos y adversarios.
- Mejora la comunicación dentro del equipo y con los demás departamentos de la compañía.
La falta de colaboración entre las partes implicadas en el proceso de detección, investigación y respuesta es uno de los principales obstáculos para obtener mejores resultados de los programas de seguridad. Al trabajar en silos se provocan lagunas de comunicación que generan retrasos en la detección de amenazas y procesos de respuesta lentos y desarticulados que pueden tener graves repercusiones para la organización. Crear un eje centralizado, intuitivo y colaborativo cuando se produce un incidente permite tanto a los miembros del equipo de seguridad como al resto de implicados trabajar de manera más eficaz y ágil al estar todos los flujos de trabajo interconectados.
- Mejora la reputación corporativa.
Contar con un SOC moderno dedicado demuestra que la compañía se toma muy en serio la seguridad y la privacidad de los datos que maneja. Esto genera confianza entre sus empleados, clientes y colaboradores, que no dudarán de la protección de sus datos cuando deban compartirlos con la organización.
Las ventajas de modernizar el SOC son muchas y se traducen principalmente en una mayor seguridad defensiva y ofensiva de la empresa y de sus equipos de operaciones de seguridad (SecOps), así como en una reducción significativa del riesgo y de los costes de seguridad para la compañía. Sin embargo, la transformación de un SOC tradicional a un SOC moderno puede ser complicado.
Hoy más que nunca es necesario estar un paso por delante y anticiparse a las amenazas que ponen en riesgo la productividad y reputación de las organizaciones.
