Rawpixel.com - stock.adobe.com
Siete hábitos de los operadores de ciberseguridad altamente eficientes
Lumu Technologies ofrece consejos que los operadores de ciberseguridad pueden adoptar en sus rutinas diarias para potenciar el impacto de sus labores.
Para mejorar y potenciar la efectividad en la forma en que los directores de ciberseguridad y sus equipos ejecutan sus estrategias de ciberseguridad, Lumu Technologies, compañía creadora del modelo Continuous Compromise Assessment, presentó una serie de hábitos para ayudar a estos equipos empresariales frente al manejo de amenazas cibernéticas.
«El 90 % de nuestro comportamiento diario se resume a nuestras rutinas; mediante la repetición, la dedicación y el impulso constante por aprender y mejorar es posible transformar la vida personal y profesional. Como operadores de ciberseguridad, no hay nada más productivo que adoptar buenas costumbres. Si algo hemos aprendido en el último año y medio, es que a los atacantes nada los detiene. Al mismo tiempo, los expertos de ciberseguridad tienen la gran oportunidad de impactar inmensamente las operaciones de seguridad de sus empresas», dice Ricardo Villadiego, fundador y CEO de Lumu Technologies.
El ejecutivo recomienda, a continuación, siete hábitos para los operadores de ciberseguridad altamente eficientes:
1. Operacionalizar esquemas existentes que añaden contexto. Las empresas necesitan implementar en sus procesos la matriz MITRE ATT&CK, que permite a los equipos de inteligencia en ciberamenazas entender cómo responder ante los adversarios. «Los operadores de ciberseguridad tardaron algún tiempo en usarla de forma habitual, pero ahora es un lenguaje indispensable, que permite contar con todo el contexto relacionado con un ataque, incluyendo tácticas, técnicas y procedimientos que los atacantes usan. Todo este contexto nos permite emplear un plan de mitigación preciso y a tiempo, disminuyendo el impacto que un compromiso puede tener dentro de las organizaciones», explica.
2. Utilizar herramientas que empoderen al equipo. Hace 15 años únicamente existían los antivirus, seguridad del correo electrónico y firewalls para adoptar una estrategia en ciberseguridad. Luego llegó la gestión de información y eventos de seguridad (SIEM) y, ante la amplia variedad de soluciones de ciberseguridad, se hizo difícil identificar cuál es la que más le conviene adoptar a una organización. Hoy en día, muchas empresas valoran más a la herramienta que a las personas que la operan. «Las herramientas no se pueden implementar por sí solas, sino que se requiere una visión integral del entorno para que tengan el efecto deseado. Debemos evaluar realmente qué porcentaje de las herramientas se utilizan y evaluar nuevas herramientas que sean fáciles de desplegar y que nos puedan agregar valor en el corto plazo», analiza el representante de Lumu.
3. Utilizar primero las señales de seguridad internas. La mayoría de las organizaciones cuentan con una gran cantidad de fuentes de inteligencia, lo que representa tener demasiada información sin la posibilidad de consumirla y extraer valor. Mientras tanto, ignoramos los datos internos que ya tenemos en nuestras empresas, las cuales presentan grandes beneficios: no tienen costos, son más confiables, están disponibles y nos ofrecen información concreta de lo que pasa dentro de nuestro negocio. Ignorar estas señales internas es un error. «Las señales internas son indispensables. Todas las empresas ya tienen lo que necesitan para saber si están comprometidas o no. El buzón de spam es un gran ejemplo, el cual contiene inteligencia sobre quién está atacando a tu empresa, cómo lo están haciendo y lo exitosos que son en su misión», comenta Villadiego.
4. Poner la inteligencia de amenazas. Muchos operadores de seguridad entienden el valor que nos puede aportar tener fuentes sólidas de inteligencia de amenazas, y muchas empresas realizan grandes inversiones para obtenerlas. Sin embargo, el solo hecho de contar con estas fuentes no ayuda a la operación de seguridad. Estos recursos hay que ponerlos a trabajar de una forma sistemática y continua para que agreguen valor. «Generalmente, las empresas obtienen costosas fuentes de inteligencia de amenazas y las consultan cuando tienen tiempo, lo cual no sucede frecuentemente. Un buen hábito es ponerlas a trabajar para poder extraer el valor», recomienda el ejecutivo.
5. Desarrollar habilidades para cazar amenazas. «Los equipos de ciberseguridad más efectivos saben que no pueden esperar hasta que sean atacados, por lo que deben dedicar parte de su tiempo a buscar de manera proactiva amenazas nuevas y en evolución antes de que suene la alerta. Para esto, es necesario asignar diariamente un tiempo determinado para cazar amenazas, ya que practicar esta actividad de forma continua lo convertirá realmente en un hábito eficaz», indica.
6. Mitigación y remediación, no obviar ninguno. Durante años, nos hemos inclinado a perfeccionar nuestra práctica de mitigación sin tener en cuenta que solo mitigar tiene sus desventajas. La mitigación y la remediación son dos actividades distintas, y comprender su diferencia puede ser el sello distintivo de un profesional de ciberseguridad de alto rendimiento. La mitigación es únicamente el primer paso y debe usarse como una forma para ganar tiempo; pero no como un fin en sí mismo. La remediación tiene un rol importantísimo y es aquí donde debemos eliminar todos los componentes del incidente e identificar y bloquear puntos de entrada de ese compromiso para evitar que la misma situación se repita en el futuro.
7. Considerar cada día como una oportunidad para aprender. Que los equipos adquieran nuevos conocimientos de ciberseguridad es una acción fundamental. Para esto es conveniente que revisen de manera permanente contenido actualizado. Villadiego recomienda podcasts como el de Security-architecture.org y el de SANS, participar activamente de conversaciones que se realizan en lugares como LinkedIn y unirse a debates que suceden en plataformas nuevas como Clubhouse. «Existe una gran realidad: cuanto más se aprende; más se da cuenta uno, que no sabe», concluye el fundador de Lumu Technologies.