7 hábitos de los operadores de ciberseguridad altamente eficientes

Lumu Technologies, compañía creadora del modelo Continuous Compromise Assessment™, presentó una serie de hábitos que ayudan a los equipos de seguridad de las empresas a ser más efectivos frente al manejo de amenazas cibernéticas.

Ricardo Villadiego, fundador y CEO de Lumu Technologies, reseña los 7 hábitos de los operadores de ciberseguridad altamente eficientes:

1. Operacionalizar esquemas existentes que añaden contexto: Las empresas necesitan implementar en sus procesos la matriz Mitre ATT&CK, que permite a los equipos de inteligencia en ciberamenazas entender cómo responder ante los adversarios. 

Los operadores de ciberseguridad tardaron algún tiempo en usarla de forma habitual, pero ahora es un lenguaje indispensable, que permite contar con todo el contexto relacionado con un ataque, incluyendo tácticas, técnicas y procedimientos que los atacantes usan. Todo este contexto nos permite emplear un plan de mitigación preciso y a tiempo, disminuyendo el impacto que un compromiso puede tener dentro de las organizaciones.

2. Utilizar herramientas que empoderen al equipo: Hace 15 años únicamente existían los antivirus, seguridad del correo electrónico y firewalls para adoptar una estrategia en ciberseguridad. Luego llegó la Gestión de Información y Eventos de Seguridad (SIEM), y ante la amplia variedad de soluciones de ciberseguridad, se hizo difícil identificar cuál es la que más le conviene adoptar a una organización. Hoy en día, muchas empresas valoran más a la herramienta que a las personas que la operan.

Las herramientas no se pueden implementar por sí solas; sino que se requiere una visión integral del entorno para que tengan el efecto deseado. Debemos evaluar realmente qué porcentaje de las herramientas se utilizan y evaluar nuevas herramientas que sean fáciles de desplegar y que nos puedan agregar valor en el corto plazo.

3. Utilizar primero las señales de seguridad internas:  La mayoría de las organizaciones cuentan con una gran cantidad de fuentes de inteligencia, lo que representa tener demasiada información sin la posibilidad de consumirla y extraer valor. Mientras tanto, ignoramos la data interna que ya tenemos en nuestras empresas, las cuales presentan grandes beneficios: no tienen costos, son más confiables, están disponibles y nos ofrecen información concreta de lo que pasa dentro de nuestro negocio. Ignorar estas señales internas es un error. Creemos que las señales internas son indispensables. Todas las empresas ya tienen lo que necesitan para saber si están comprometidas o no. El buzón de spam es un gran ejemplo, el cual contiene inteligencia sobre quién está atacando a tu empresa, como lo están haciendo y lo exitosos que son en su misión.

4. Poner la inteligencia de amenazas: Muchos operadores de seguridad entienden el valor que nos puede aportar tener fuentes sólidas de “Threat Intelligence” y muchas empresas realizan grandes inversiones para obtenerlas. Sin embargo, el solo hecho de contar con estas fuentes no ayuda a la operación de seguridad. Estos recursos hay que ponerlos a trabajar de una forma sistemática y continua para que agreguen valor. 

Generalmente las empresas obtienen costosas fuentes de inteligencia de amenazas y las consultan cuando tienen tiempo, lo cual no sucede frecuentemente. Un buen hábito es ponerlas a trabajar para poder extraer el valor.

5. Desarrollar habilidades para cazar amenazas: Los equipos de ciberseguridad más efectivos saben que no pueden esperar hasta que sean atacados, por lo que deben dedicar parte de su tiempo a buscar de manera proactiva amenazas nuevas y en evolución antes de que suene la alerta. Para esto, es necesario asignar diariamente un tiempo determinado para cazar amenazas, ya que practicar esta actividad de forma continua lo convertirá realmente en un hábito eficaz.
6. Mitigación y remediación, no obviar ninguno: Durante años, nos hemos inclinado a perfeccionar nuestra práctica de mitigación sin tener en cuenta que solo mitigar tiene sus desventajas. La mitigación y la remediación son dos actividades distintas y comprender su diferencia puede ser el sello distintivo de un profesional de ciberseguridad de alto rendimiento. La mitigación es únicamente el primer paso y debe usarse como una forma para ganar tiempo; pero no como un fin en sí mismo. La remediación tiene un rol importantísimo y es aquí donde debemos eliminar todos los componentes del incidente e identificar y bloquear puntos de entrada de ese compromiso para evitar que la misma situación se repita en el futuro.  

7. Considerar cada día como una oportunidad para aprender: Que los equipos adquieran nuevos conocimientos de ciberseguridad es una acción fundamental. Para esto es conveniente que revisen de manera permanente podcasts, participar activamente de conversaciones que se realizan en lugares como LinkedIn y unirse a debates que suceden en plataformas nuevas como Clubhouse.