Las empresas digitales de hoy en día se enfrentan a riesgos de ciberseguridad cada vez mayores. La cadena de suministro de software está constantemente bajo amenaza, ya que los actores malintencionados atacan las vulnerabilidades dentro de los paquetes populares de código abierto y las dependencias comunes. Las amenazas nativas de la nube persisten: configuraciones incorrectas, valores predeterminados inseguros y claves filtradas, entre otras. Además, la mayoría de las organizaciones no están bien equipadas para la nueva ubicuidad de las API web y sus repercusiones únicas en el control de acceso.
Si cree que es mucho para responder manualmente, ¡no está solo! Para aumentar la respuesta de ciberseguridad en todos los ámbitos, las empresas continúan recurriendo a la automatización para áreas como la detección de amenazas y las alertas de incidentes. Sin embargo, aunque las organizaciones están automatizando varios elementos de su estrategia de seguridad, todavía son inconsistentes en lo que respecta a los niveles de madurez de la seguridad, que varían ampliamente de un negocio a otro. Además, las incompatibilidades tecnológicas continúan representando una barrera común para las iniciativas de automatización de la seguridad.
El informe “Estado de la adopción de la automatización de la ciberseguridad en 2022” de ThreatQuotient analiza el estado actual de la automatización de la ciberseguridad en las empresas distribuidas. El estudio destacó los impulsores clave detrás de la automatización de la seguridad cibernética y descubrió que la mayoría de las organizaciones experimentan problemas dolorosos al implementar estas iniciativas.
A continuación, revisaré el estudio para seleccionar algunos puntos clave que los profesionales de seguridad deben tener en cuenta al tratar de tratar la ciberseguridad como un habilitador de negocios, no como un inhibidor de negocios.
Estado de la automatización de la ciberseguridad
En primer lugar, está claro que la automatización de la ciberseguridad tiene una importancia cada vez mayor para los profesionales de la tecnología de la información (TI) y la seguridad. El estudio encontró que el 68% dice que la automatización de la ciberseguridad es importante. Es probable que esta actitud dirija las decisiones de compra en el próximo año, ya que el 98% han aumentado sus presupuestos de automatización.
La gestión de inteligencia de amenazas y la respuesta a incidentes son algunos de los casos de uso de automatización de ciberseguridad más populares. Sin embargo, el informe encontró que la clasificación de alertas se está quedando atrás en la adopción: solo el 18 % de los encuestados está automatizando la clasificación de alertas. ThreatQuotient define la clasificación de alertas como:
“El proceso de revisar alertas de manera eficiente y precisa e investigarlas para determinar la gravedad de la amenaza y si la alerta debe escalarse o no a la respuesta a incidentes”.
Los registros de aplicaciones y las herramientas de monitoreo producen una tonelada de datos, tanto que los ingenieros a menudo se ven ahogados en un mar de datos observables. Puede ser un desafío examinar las alertas para separar los falsos positivos de los incidentes reales. Como tal, una mayor automatización para la clasificación de alertas es un área importante para disminuir el tiempo de revisión manual y priorizar los incidentes de seguridad. La racionalización del proceso de respuesta es una forma de cumplir los objetivos de rendimiento y reducir el tiempo medio de recuperación (MTTR).
Desafíos
Aunque la automatización de la ciberseguridad suena como una victoria fácil, lograrlo es una perspectiva desafiante. El 97% reporta dificultades para implementar iniciativas de automatización. Según los encuestados, el principal obstáculo son los problemas tecnológicos: el 21% dice que los problemas tecnológicos impiden la automatización. Esto probablemente se deba a la complejidad de administrar diferentes stacks tecnológicos y lidiar con una gran cantidad de conjuntos de herramientas heredados en una empresa. Otras barreras comunes incluyen la escasez de habilidades y la falta de compromiso de la gerencia.
Al medir su madurez de automatización, el informe encontró que la mayoría (62%) se califica a sí mismo en el nivel dos o tres en una escala de uno a cinco. Es posible que estas organizaciones aún no tengan un centro de operaciones de seguridad (SOC) o herramientas de gestión de eventos e información de seguridad (SIEM), sugiere el informe.
Otro dilema persistente es determinar el retorno de la inversión de los proyectos de automatización de la seguridad. El informe encontró que las empresas no tienen una medida cuantitativa del éxito; tienden a confiar en medidas cualitativas, como la forma en que se administran los recursos o la eficacia del personal. Una encuesta reciente de inteligencia sobre amenazas cibernéticas (CTI) de SANS también encontró que los grupos tienen dificultades para medir la efectividad del programa CTI. Siempre que sea posible, las mediciones cuantitativas son más objetivas y preferidas para sopesar el ROI de una nueva solución.
Contextos sectoriales
En términos de impulsores para la automatización de la ciberseguridad, el aumento de la eficiencia y la respuesta a la escasez de habilidades se clasifican como razones importantes en todos los ámbitos. Pero estos impulsores cambian según el sector en el que se encuentre. Por ejemplo, dentro del gobierno empresarial, la mayoría de las iniciativas de automatización de la seguridad están impulsadas por la regulación y el cumplimiento. Y las empresas de servicios financieros son las más propensas a considerar como importante la automatización de iniciativas de ciberseguridad (75 %). Esto tiene sentido ya que los servicios financieros enfrentan la mayoría de las amenazas, ya que contienen datos de pago muy valiosos e información de identificación personal.
Curiosamente, la importancia percibida de la automatización de la ciberseguridad ha disminuido significativamente en el sector minorista, del 82% en 2021 a solo el 50% este año. Estos cambios podrían reflejar cambios en las prioridades en medio de incertidumbres económicas. “Ahora el ambiente ha cambiado; los minoristas se enfrentan a la perspectiva de la recesión y ajuste del cinturón, por lo que hay menos espacio para nuevas inversiones en automatización”, postula el informe.
Pensamientos finales
Entonces, con toda esta información, ¿cómo deberían responder los CISO y los líderes senior de ciberseguridad? Y, ¿cómo pueden introducir la automatización del desarrollo de software sin que sea más un inconveniente que una ayuda?
ThreatQuotient sugirió algunas recomendaciones de alto nivel para que sean consideradas por los profesionales de ciberseguridad, que se resumen a continuación:
- Comience con casos de uso probados para mostrar valor.
- Alinear el contexto con eventos relevantes y de alta prioridad.
- Simplifique la complejidad con plataformas de automatización low-code/no-code.
- Adopte plataformas de seguridad que cubran un amplio espectro de automatización.
- Defina métricas y directivas claras para obtener la aceptación de la gerencia.
- Estandarice en plataformas con arquitecturas abiertas.
El “Estado de la adopción de la automatización de la ciberseguridad en 2022” consultó a 750 profesionales senior de ciberseguridad en el Reino Unido, EE. UU. y Australia de empresas que emplean a más de 2000 personas. En lo anteriormente mencionado, cubrimos algunos de los puntos clave del estudio. Para obtener información más detallada sobre perspectivas específicas del sector e instantáneas regionales y basadas en funciones, puede obtener la copia completa aquí.
Autor: Bill Doerrfeld
Artículo original aquí
