La (cruda) realidad en un SOC en América Latina [I]

Para algunas organizaciones, un evento crítico no necesariamente equivale a interrupciones, accidentes o ataques importantes. En cambio, para otras, como las tiendas o las empresas de servicios financieros, un sitio web que funcione algunos milisegundos más lento, se traduce en un incidente con millones en pérdidas.

Uno de los mayores problemas que enfrenta cualquier empresa es desconocer cuándo ocurre un incidente o se difunde una amenaza y luego no poder investigar fehacientemente lo que sucedió.

En la mayoría de los casos, se trata de lidiar con los incidentes utilizando procesos manuales y sistemas inconexos. Entonces, cada organización debería definir los eventos críticos de manera diferente, con el objetivo de minimizar el riesgo y mitigar el impacto.

En una organización hay demasiados datos para recolectar, comprender, correlacionar y orquestar. Como resultado, no se pueden administrar los eventos de manera eficiente y efectiva, y la resolución termina siendo lenta, poco clara y reactiva, lo que en realidad aumenta los riesgos.

Dado que cada negocio enfrenta distintos tipos de amenazas y con diferente impacto, se deben categorizar adecuadamente los eventos críticos por tipo, previsibilidad, causa y alcance, al tiempo que se debe diferenciar entre eventos de rutina o incidentes de emergencia con impactos reales.

Distinguir ambos escenarios (eventos de rutina vs emergencias) puede ser muy desafiante:

• La "rutina" se refiere a la previsibilidad y preparación del negocio; se ha documentado y se conoce la forma de responder con éxito. Ya se han creado los planes de tratamiento adecuados, se ha realizado la capacitación y el entrenamiento pertinentes y se han completado los ejercicios de respuesta.
• En cambio, la "emergencia" tiene elementos novedosos importantes, lo que hace que el problema sea mucho más difícil de diagnosticar y tratar. Se refiere a eventos o amenazas que “no aparecen en los libros”, no se han detectado antes o se han desarrollado a una velocidad sin precedentes y, por lo tanto, aun no existen planes para gestionarlos.

A medida que se evalúan los eventos, generalmente se recolecta una variedad de datos de fuentes diversas, que pueden carecer de detalles o incluso parecer contradictorios. El objetivo es confirmar la amenaza y asegurar que el equipo apropiado centralice todas las entradas y fuentes de datos necesarios para tomar las decisiones correctas, para detectar los posibles incidentes y actuar de forma proactiva.

Las emergencias e incidentes de seguridad afectan diferentes áreas del negocio y, por eso, las empresas están cambiando su estructura organizacional para permitir un enfoque consolidado hacia el manejo de incidentes. Este cambio puede comenzar con una persona o un equipo interno o con la incorporación de un tercero especializado que brinda sus recursos, capacidades y experiencia para detectar, prevenir, aprehender y responder a eventos críticos, independientemente del alcance.

La función de un equipo de operaciones de seguridad y, con frecuencia, de un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés), es monitorear, detectar, investigar y responder a las ciberamenazas las 24 horas del día.

La organización y el SOC deben contar con planes de gestión de crisis que sean operativos en función de la previsibilidad de cada evento. Por ejemplo, en el contexto actual, tener acceso a la operación del SOC o a ciertas alertas a través de aplicaciones móviles y bots es muy deseable porque permite responder a eventos críticos mientras se está fuera de la oficina.

La combinación de un SOC con la experiencia, los conocimientos y la inteligencia de toda la organización permite comprender más rápidamente la causa raíz de un evento para poder responder y actuar rápidamente y garantizar la continuidad del negocio.

Los equipos de operaciones de seguridad actúan como el punto central de colaboración en los esfuerzos coordinados para monitorear, evaluar y defenderse de los ciberataques.

En las situaciones descriptas, América Latina representa un caso particular, porque suma el inconveniente de las organizaciones con personal escaso, poco capacitado y multitarea, que responde a diversos puestos porque “todos son de tecnología y están relacionados”.

En una próxima entrega evaluaremos las funciones y herramientas del SOC así como las funciones deseables en organizaciones con recursos limitados.

Fuente: HumanApis - Artículo escrito en colaboración con Cristian Borghello

Suscríbete a nuestro Boletín