¿Mis controles de seguridad funcionan?

Las empresas invierten miles o millones en controles de ciberseguridad, pero constantemente terminan preguntándose ¿realmente funcionan los controles implementados? ¿valió la pena la inversión?, llevándolos a la incertidumbre de no conocer el valor de la ciberseguridad.

 

¿Conoces el porcentaje de ataques bloqueados con éxito en tu empresa? 
¿Sabes cómo han cambiado estos eventos con el tiempo? 
¿Qué porcentaje de alertas generadas son falsas? ¿Diez por ciento? ¿Veinte? 
¿Cómo puedes estar seguro?

 

Probablemente cada año se incremente la inversión en ciberseguridad, pero, ¿Cómo seguir invirtiendo con tanta incertidumbre?

 

Esto es resultado del cambio constante y rápido de las amenazas. Día a día, los ciberdelincuentes traman y crean nuevas formas de robar datos y causar daños cada vez con mayor velocidad. 

 

Normalmente las empresas actúan para cubrir las vulnerabilidades que detectan, implementando soluciones que a menudo se encuentran a medias cuando los tiempos que ocupan para realizarlo son largos, principalmente cuando algún control llega a requerir, por ejemplo, detener la operación, lo cual implica perder dinero. Con esto podemos también decir que los ciberdelincuentes avanzan más rápido.

 

Existen tres puntos básicos que las organizaciones deberían de conocer, pero por lo regular no tienen la información o se encuentra inconclusa.

 

• ¿Los ataques son detenidos o no?
• ¿La empresa obtiene todo el valor del gasto en seguridad?
• ¿Cómo proporcionar una imagen clara del estado de la seguridad a los líderes de la empresa?

 

Si no se pueden responder las preguntas anteriores, probablemente exista una falta de visibilidad en la organización.

 

Para poder obtener la información y visibilidad que se requiere deberá de concentrar la información y analizarla, en caso de que sean muchos datos un SIEM es de gran apoyo en esta actividad y reducirá el costo de personal y de tiempo que necesita dedicarse para analizar los eventos de cada control/herramienta de seguridad de la organización.

 

Si cuenta con un par de consolas de seguridad, podrá realizar un monitoreo activo que pueda detectar cualquier actividad sospechosa de forma rápida, además de realizar pruebas periódicamente para asegurarse de que los controles estén realizando el trabajo para el cuál fueron implementados, reduciendo la probabilidad de que un incidente ocurra y el impacto que podría ocasionar a la organización.

 

Es importante que todo esto se defina conforme a los objetivos del negocio, ya que en algunas empresas, probablemente no sea viable adquirir un SIEM, pero sí una o dos personas que se encarguen del monitoreo de nuestras consolas y/o servicios, analizando los eventos y obteniendo información relevante. 

 

La mayoría de las empresas de ciberseguridad ofrecen servicios donde se encargan de todas las actividades de monitoreo y de alertar a la organización en caso de detectar actividad anómala o indicios de algún incidente.

 

Por todo lo anterior, el contar con una estrategia de seguridad bien definida y alineada al negocio, es importante y necesario.