Llegamos a un punto en la vida -y en nuestro negocio- en el que sentimos la necesidad de volver a centrarnos en nuestras principales capacidades y puntos fuertes y subcontratar o pedir asesoramiento experto en el resto. Esta decisión estratégica nos permite dar saltos aún más significativos en aquellos aspectos en los que somos los únicos capaces de resolver los problemas.
Si preguntáramos hoy cuántas de las capacidades de seguridad tecnológica se consumen como servicio y cuántas se están evaluando actualmente, la respuesta sería: la mayoría. Los proveedores de seguridad ya operan, mantienen y mejoran las capacidades de seguridad críticas para su tecnología, ya sea su IPS, URL, DNS, sandbox, AV, CASB, IoT, etc., proporcionando inteligencia de seguridad para mantenerlas en sintonía con las últimas amenazas. Los equipos de expertos en ciberseguridad ya ayudan a adelantarse a los ciberdelincuentes actuales. Lo mismo ocurre con los procesos automatizados. Muchos están en camino de crear una postura y política de seguridad, un SOC y unos flujos de procesos totalmente automatizados. Y en muchos casos, cliente y proveedor van de la mano.
Pero cuando hablamos de personal, hay menos procesos organizados, estrategias o prioridades, o incluso tiempo para mejorar las competencias. Y aún son menos los que evalúan qué tareas del equipo SOC sería mejor externalizar.
Los equipos SOC suelen dedicar una gran parte de su tiempo a escudriñar alertas, registros y tareas. Les resulta difícil encontrar tiempo para mantenerse al día en lo que respecta a la evolución del panorama de las amenazas de ataque y el estado general de su postura de seguridad de extremo a extremo.
Sin duda, la práctica hará que el equipo responda mejor y más rápido a los ataques por lo que se debe dedicar tiempo a la formación táctica y a una evaluación completa de las capacidades, creando y probando automatizaciones y guías eficaces y aprovechando herramientas como la orquestación de la seguridad, la automatización y la respuesta SOAR.
A esto se une la escasez de personal: según el Informe 2022 Cybersecurity Skills Gap de Fortinet, el 50% de los líderes globales citan las operaciones de seguridad como uno de los roles más difíciles de cubrir, y el 42% todavía necesita analistas de operaciones de seguridad. Además, el informe destaca que en todo el mundo, el 80% de las organizaciones sufrieron una o más brechas debido a la falta de habilidades y conocimientos sobre ciberseguridad.
La externalización y automatización de determinadas tareas ayudarán a eliminar el ruido y ayudar al equipo a centrarse en sus tareas más críticas y hacer avanzar el negocio. Una de las áreas que más externalizan las funciones de seguridad es la gestión de seguridad del SOC.
La externalización de la supervisión activa de la detección y respuesta a las amenazas se extiende desde el endpoint (MDR), pasando por la red, hasta las responsabilidades completas del SOC (SOC-as-a-Service). Y dada la velocidad de las amenazas actuales, la prevención se sirve y se gestiona mejor con un ciclo totalmente automatizado desde la detección hasta la respuesta. Sin embargo, en la mayoría de los casos, la adopción de una respuesta totalmente automatizada estará ligada al nivel de confianza que el equipo del SOC tenga en las recomendaciones y los datos del aprendizaje automático (ML) y no en las capacidades tecnológicas, que, como en todos los campos impulsados por la automatización, evolucionarán y se ampliarán con el tiempo, los datos y la experiencia.
Fortinet
Systems Engineer
