Cómo aumentar la eficiencia operativa en su SOC con una mejor visibilidad

Como encargados de las operaciones de seguridad, tenemos una gran responsabilidad. La expectativa es que podamos responder a las alertas lo antes posible y ser capaces de investigar inmediatamente. Parece sencillo, pero en el panorama actual de ciberamenazas nos enfrentamos a vectores de amenaza cada vez mayores y a un gran aumento del volumen de alertas o notificaciones en general. No responder con la suficiente rapidez o no investigar las áreas correctas podría tener un gran impacto en las organizaciones de las que somos responsables. IDG informó de que la mayoría de los CIOs harán foco en la seguridad este año y aumentarán la financiación en esta área, pero ¿qué significa esto para las operaciones de seguridad? ¿Comprar más herramientas? ¿Obtener más alertas? ¿Crear más trabajo para nuestros sobrecargados analistas e ingenieros?

Tenemos que tener un plan para encaminarnos hacia la eficiencia operativa dentro del centro de operaciones de seguridad (SOC). Más presupuesto siempre es bienvenido, pero gastarlo para mostrar el valor es lo que nos plantea problemas. Entonces, ¿por dónde empezamos? Creo que esto depende de la comprensión del riesgo por parte de la organización y de la situación actual de aceptación del riesgo. No sabremos dónde están todos nuestros riesgos, pero podemos tener una mejor comprensión a través de una mejor visibilidad. El reto aquí es que una mejor visibilidad conlleva una mayor identificación del riesgo y un mayor volumen de alertas en el SOC.

Si tiene la posibilidad de contratar personal ilimitado, esto podría no ser un problema. Por desgracia, eso casi nunca es una opción. Así que tenemos que ser más eficientes con los limitados recursos que tenemos. Nunca queremos cerrar los ojos y fingir que no hemos visto el riesgo. El hecho de no haberlo visto no significa que no haya ocurrido. Así que, a medida que continuamos acumulando más datos y una mejor comprensión de dónde se encuentran nuestros activos de datos, tenemos que buscar automatizaciones para reducir el costoso tiempo humano.

Sin embargo, esto supone otra limitación para muchas organizaciones. Las automatizaciones son difíciles pero cada vez mejores. Ya podemos crear reglas en conjuntos de herramientas individuales, pero ¿qué pasa con los distintos proveedores? Eso también se puede hacer, pero ahora hay que empezar a pensar fuera de lo que una típica herramienta de orquestación, automatización y respuesta de seguridad (SOAR) puede ofrecer. Porque dentro de cada una de sus herramientas, como EDR, SEG, SWG, CASB, etc., hay sus propias automatizaciones y características de AI/ML o UEBA. Intentemos aprovechar todas estas valiosas capacidades de los mejores proveedores y unirlas para tomar decisiones en tiempo real.  

Imagínese que toma la puntuación del comportamiento del usuario de su proveedor de seguridad de correo electrónico y la vincula a sus hábitos de riesgo de navegación web con las actividades de DLP y va un paso más allá para entender la postura de seguridad de su punto final. Reunir estos datos es muy potente. Como persona encargada de las operaciones de seguridad, puede tomar una decisión mejor combinada porque tiene una visión completa del usuario, su dispositivo y su comportamiento en todas las plataformas. No se conforme con quedarse abrumado por la fatiga ocasionada por las alertas. No afronte todo esto cerrando los ojos. Acepte la visibilidad y encuentre una manera de unirla para tomar decisiones en tiempo real.

En Netskope, tengo que manejar nuestros productos y funciones como cliente cero. Por suerte, tenemos una plataforma de integración llamada Cloud Exchange, un potente conjunto de módulos de integración de Netskope y de socios tecnológicos estratégicos como Mimecast que hacen que la infraestructura de seguridad existente de los clientes sea mucho más eficiente a la hora de detener las amenazas de seguridad en la nube. Cloud Exchange es gratuito para que los clientes de Netskope puedan compartir con éxito los datos y la inteligencia basados en la nube entre los departamentos de seguridad y de operaciones de TI, ayudando a esos equipos a actuar con mayor rapidez y eficacia. Cloud Exchange se compone actualmente de cuatro módulos: Cloud Log Shipper, Cloud Ticket Orchestrator, Cloud Threat Exchange y Cloud Risk Exchange. No dude en ponerse en contacto conmigo para saber cómo está funcionando esto para mi departamento de operaciones de seguridad o consulte la página de Netskope Cloud Exchange para obtener más información. Los clientes existentes pueden comenzar aquí.