Hoy en día, las organizaciones manejan flujos de información mucho más grandes que en otras épocas y estrategias como la analítica de datos se han convertido en una herramienta empleada ya no exclusivamente por ciertos sectores, como por ejemplo el bancario.
Adicionalmente, estudios han demostrado que el ciclo de vida promedio de una brecha de seguridad es de 279 días y las compañías tardan alrededor de 206 días en identificarla, además de 73 días adicionales para contenerla.
Frente a este panorama, el equipo de respuesta a incidentes de seguridad informática o CSIRT, por sus siglas en inglés, tiene la responsabilidad de realizar un monitoreo continuo de los equipos de una organización. Para este grupo de expertos en seguridad informática existen varias categorías de servicios: reactivos y proactivos.
Los reactivos se desarrollan debido a un evento de seguridad indeseado o inesperado detectado a través de equipos especializados, que predicen incidentes de seguridad internos o externos, o por solicitud de algún miembro de la organización que haya identificado alguna anomalía en la infraestructura tecnológica.
Por su parte, los servicios proactivos contribuyen a la protección de la infraestructura tecnológica y se realiza un análisis avanzado de ciberamenazas personalizado según las necesidades, servicios y productos que ofrece la compañía.
“Los ataques cibernéticos pueden afectar la confidencialidad, integridad y disponibilidad de la información y servicios con que cuenta la organización, es por esto, que es fundamental contar con un equipo capacitado y competente para la gestión proactiva de eventos e incidentes de seguridad”, afirma Juan David Valderrama, Director de Ciberseguridad y Riesgos de Gamma Ingenieros.
Cuando existe un ataque cibernético dentro de una organización, se deben seguir las siguientes fases:
- Identificación: Se realiza un análisis para categorizar el evento y priorizar (en caso de que exista más de un incidente a la vez), previa gestión de los riesgos en los activos de información de la compañía que se establece con el fin de clasificar y medir la criticidad de los mismos.
- Contención: Investigación en apoyo con informática forense para conocer el vector de ataque inicial para poder llegar a la erradicación del incidente,
- Por último, se lleva esta experiencia a una clínica de incidentes o lecciones aprendidas para evitar que vuelva a ocurrir sobre otro activo de información.
Para ejecutar este proceso proactivo, es importante utilizar Inteligencia Artificial y machine learning con el fin de identificar y detectar de manera autónoma eventos anómalos, desviaciones de comportamiento y brechas a nivel de seguridad, que no logran ser detectados con equipos tradicionales de seguridad.
Así mismo, el aprovechamiento de herramientas tipo SOAR (Security Orchestration, Automation and Response, por sus siglas en inglés) permiten realizar automatización de tareas, clasificación básica de seguridad y responder de manera autónoma o supervisada a eventos de seguridad, permitiendo ahorros en costos operativos para que los expertos de seguridad tengan más tiempo para buscar amenazas en lugar de responder a ellas.
Algunos sectores empresariales se han visto beneficiados con el uso de estas herramientas por parte de equipos de seguridad informática. Así, por ejemplo:
Gobierno: Se han detectado patrones anómalos de personas, entidades o máquinas para generar fraudes.
Telecomunicaciones: A través del CSIRT se ha identificado información de conexiones anómalas en puertos y así mismo, se han detectado los usuarios que han saltado restricciones de los sistemas, generando fraudes logrando una navegación gratuita, entre otras desviaciones.
Financiero: Debido a la alta actividad bancaria, las anomalías en transacciones son frecuentes. Estas herramientas han ayudado a detectar el fraude bancario.
Educación: En las universidades, comportamientos anómalos de estudiantes, como los relacionados con fraude o el cambio de notas en el sistema de calificaciones, han sido identificados con mayor efectividad.
De esta manera, se evidencia que tener un equipo de seguridad capacitado en las organizaciones permite actuar de forma proactiva a través del monitoreo continuo de información privilegiada de la compañía, con el fin de evitar pérdidas monetarias e información valiosa. Así mismo, el uso de la inteligencia artificial ha permitido mayor proactividad, ahorros en tiempos de procesos y facilidad de detección de ataques cibernéticos en diferentes sectores empresariales.