La constante amenaza de los ciberataques sigue planteando grandes desafíos para las empresas. Mucha gente ahora confía en proveedores externos cuando se trata de SecOps. Pero incluso entonces, la seguridad de TI no es un éxito seguro; requiere ciertos requisitos previos. Ontinue, experto en respuesta y detección extendida administrada (MXDR), define cinco principios básicos fundamentales para el éxito de SecOps.
Los expertos en seguridad de TI resumen todas las actividades operativas en su área de especialización bajo el término SecOps, es decir, operaciones de seguridad. Dado que la cartera de tareas es muy amplia, las empresas necesitan un Centro de Operaciones de Seguridad (SOC) para proteger su infraestructura de TI de forma integral: un único empleado que gestiona las alertas de las herramientas EDR (Endpoint Detección y Respuesta) y SIEM (Security Information and Event Management). no son en modo alguno suficientes.
Principios básicos para SecOps eficaces y eficientes
Dado que muy pocas empresas tienen los recursos financieros para crear un SOC y la falta de trabajadores cualificados lo impide incluso en condiciones perfectas, muchas recurren a la subcontratación. Pero la cooperación con un proveedor de servicios también debe ser extremadamente eficiente en vista del aumento de los ciberataques y de una situación de amenazas en constante cambio. Ontinue enumera los cinco principios básicos para SecOps exitosas, efectivas y eficientes.
Automatización: La automatización es un aspecto clave para que los equipos de SecOps eviten perderse en la avalancha de alertas. Por lo tanto, los expertos en seguridad necesitan utilizar herramientas SOAR (Orquestación, Automatización y Respuesta de Seguridad) para definir acciones de respuesta significativas, es decir, reacciones automatizadas a incidentes recurrentes. Por ejemplo, en caso de una alerta que indique un ataque de ransomware, el software podría aislar automáticamente el host afectado.
Colaboración: La colaboración perfecta entre las empresas y el SOC externo de un proveedor de MXDR es el principio y el fin de una protección eficiente. Incluso en tiempos de herramientas de colaboración sofisticadas, muchos todavía utilizan sistemas de tickets lentos y engorrosos. Sin embargo, tiene más sentido utilizar plataformas como Microsoft Teams o Slack, que permiten una comunicación más directa e informal para todos los involucrados. Esto permite acortar el tiempo medio de respuesta (MTTR).
Localización: Para garantizar el más alto nivel de seguridad, los proveedores de servicios externos, como los proveedores de MXDR, necesitan un conocimiento profundo de la infraestructura de TI de las empresas para las que trabajan. Para ello, por un lado es necesario conocer bien a los clientes, puntos finales y servidores, pero por otro lado también es necesario tener una visión general de las propiedades individuales y de los derechos de acceso basados en roles. También es importante que sepan exactamente cuáles son las aplicaciones comerciales existentes y cuáles de ellas son esenciales para la empresa y las operaciones diarias. Algunos proveedores de MXDR, con el permiso de la empresa, implementan robots de inteligencia artificial que monitorean automáticamente la infraestructura de TI y alertan a los SOC externos cuando aparece hardware o software desconocido.
Especialización: Cuando se trata de arquitecturas de seguridad, menos es más. Muchos proveedores de servicios dependen de una cartera de productos de seguridad demasiado grande. La desventaja: sus expertos tienen que trabajar con diferentes tecnologías. Por lo tanto, tiene más sentido concentrarse en el ecosistema holístico de un fabricante, para integrar las operaciones de seguridad de forma fácil y completa y así ofrecer la más alta calidad en este ámbito. A los expertos internos en TI también les resulta más fácil colaborar con colegas externos si la cartera de productos utilizada es lo más uniforme posible.
la prevención: La mejor alerta es la que ni siquiera aparece. Las empresas y los proveedores de servicios deberían trabajar juntos para abordar las amenazas no sólo de forma reactiva sino también proactiva. En términos sencillos, esto significa que ambas partes trabajan con previsión. Por parte de la empresa, esto significa informar oportunamente al socio de seguridad sobre los cambios en la infraestructura de TI o incluso involucrarlo en la evaluación de nuevo hardware o software. Por parte del proveedor de servicios, esto significa, entre otras cosas, invertir mucho tiempo en la llamada inteligencia de amenazas, es decir, en detectar posibles brechas y amenazas de seguridad futuras.
"Poner en práctica SecOps eficientes no es una tarea fácil, ni para los proveedores de MXDR ni para las empresas", enfatiza Jochen Koehler, vicepresidente de ventas para EMEA de Ontinue. “Por lo tanto, es importante que todas las partes interesadas se unan y que la colaboración funcione sin problemas. Esto sólo funciona si ambas partes trabajan para lograr una comunicación fluida y hacen todo lo posible individualmente en sus respectivas áreas de responsabilidad para tomar las máximas precauciones de seguridad. Sólo así pueden hacerles la vida realmente difícil a los hackers”.
Más en Ontinue.com
Acerca de la Ontinue
Ontinue, el experto en respuesta y detección extendida administrada (MXDR) impulsado por IA, es un socio de seguridad XNUMX horas al día, XNUMX días a la semana con sede en Zúrich. Para proteger continuamente los entornos de TI de sus clientes, evaluar su estado de seguridad y mejorarlos continuamente, combinados Ontinue Automatización impulsada por IA y experiencia humana con la cartera de productos de seguridad de Microsoft. La plataforma inteligente Nonstop SecOps basada en la nube es suficiente Ontinues Protección contra ciberataques mucho más allá de los servicios básicos de detección y respuesta.