Muchas veces adquirimos e implementamos herramientas de seguridad en nuestra infraestructura y creemos que ya nos encontramos bien y que la empresa esta blindada contra cualquier ataque.
Si bien es cierto que el riesgo es menor, aún tenemos la probabilidad de que sucedan, muchas veces incluso vienen desde dentro de la organización, ¿Por qué?
Debemos recordar que dentro de la organización tenemos personas y si no son capacitadas adecuadamente pueden abrirle la puerta a cualquier atacante, no importa si tenemos los mejores productos de última generación, si alguien abre la puerta, no habrá marcha atrás.
Con esto, quiero hablarte sobre la importancia de el monitoreo o monitorización de toda la infraestructura, ya que a través de esta actividad podremos detectar cuando algún ataque está sucediendo, si un usuario realizó alguna actividad indebida que ponga en riesgo a la organización o si un atacante ha traspasado nuestras barreras.
El monitoreo nos servirá para prevenir, detectar y poder reaccionar ante un incidente de seguridad.
¿Qué es el monitoreo en seguridad?
El monitoreo es un complemento para nuestras herramientas que nos ayuda a detectar amenazas, por lo que su implementación en una empresa es importante.
Dentro de todas las alertas que podemos observar en nuestras consolas de seguridad, pueden existir muchos falsos positivos, que nos hagan trabajar de más o generar un análisis innecesario, por lo que aplicar una correcta configuración de alertas o notificaciones enfocados en las necesidades y estrategias del negocio, será la mejor forma de mantener una vigilancia constante enfocada en lo que realmente se necesita.
Pero, ¿Qué significa todo lo anterior?
El monitoreo enfocado en la empresa, debe de vigilar principalmente los eventos de seguridad que se presentan en un activo crítico para la organización, ya que si sufriera algún daño, podría ocasionar pérdidas económicas, de reputación, etc.
Por ejemplo, si tienes un servidor que provee los servicios de ventas y es la principal fuente de ingresos de la compañía, deberías estar alerta de todo lo que sucede en él, analizando logs, eventos, y validando que no sean maliciosos, a esto me refiero cuando digo que sean críticos.
Todo lo que conlleva el monitoreo debe de estar alineado con la estrategia de Ciberseguridad de una empresa, así no tendrás que trabajar de más y tu personal a cargo se enfocará en lo que realmente se requiere aunque no significa que no se debe analizar los otros componentes de la infraestructura, pero para eso, podemos hacer uso de las tecnologías como un SIEM, que al final de cuentas puede ayudar a detectar algo, pero siempre deberá ser corroborado por un especialista.
Para poder generar casos de uso específicos que digan lo que se debe monitorear, se tiene que pasar por un tiempo de aprendizaje de la infraestructura y forma de trabajo de la organización, donde se puedan generar umbrales que nos digan que todo esta normal, pero cuando algo exceda o cambie éste, será el momento de actuar.
El monitoreo es una forma de estar siempre alerta de los cambios de actividad que puedan surgir en la organización, para saber si nos encontramos bajo ataque o no, un especialista tendrá siempre la última palabra.
Comienza a realizar tus monitoreos para definir umbrales de comportamiento y que cuando algo suceda, puedas reaccionar antes de que el impacto a la empresa sea mayor.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.