¿Qué es un Blue Team y cómo trabaja?

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Los Blue Team son equipos multidisciplinares de expertos en ciberseguridad especializados en analizar el comportamiento de los sistemas de una empresa y estudiar cómo se comportan sus usuarios y equipos para poner al descubierto de forma rápida cualquier incidente que pueda haber pasado inadvertido para el resto de sistemas de seguridad.

Durante el pasado Digital Enterprise Show (DES), Minsait, la unidad de transformación digital de Indra, nos habló de cómo trabaja su Blue Team, que protege a algunas de las compañías más importantes del sector financiero, de las utilities y de retail.

Para ello, observan el tráfico de datos, el comportamiento de sus sistemas, el origen y destino de las conexiones y las acciones que los usuarios llevan a cabo de forma habitual.

En este sentido, el gerente de ciberseguridad de Minsait, José Manuel Pardo, explicó que este equipo se encarga de identificar cuál es la conducta normal de una compañía y se mantienen alerta para descubrir de forma inmediata cualquier posible comportamiento malicioso. Para lleva a cabo esta tarea, disponen de una “potente capacidad de procesamiento que les permite manejar enormes volúmenes de información apoyándose en avanzadas herramientas de inteligencia artificial con las que van afinando sus algoritmos hasta dotarlos de una sensibilidad extraordinaria. Introducen  para ello reglas fijas de análisis y complejos modelos estadísticos y se apoyan en toda una serie de tecnologías complementarias de nueva generación”, dijo.

De este modo son capaces de detectar los incidentes con la suficiente rapidez para impedir el robo o pérdida de datos sensibles –la exfiltración– que podrían provocar graves pérdidas económicas para la compañía, afectar a su prestigio y credibilidad frente a sus clientes, socios o proveedores o acarrear demandas y multas millonarias.

De forma paralela, el equipo también estudia el comportamiento de los atacantes. Cualquier organismo, empresa o departamento debe entender perfectamente quiénes son sus enemigos naturales, aquellos que pueden tener interés en sus datos o beneficiarse si consiguen dificultar su actividad.

Mediante el uso de señuelos, el equipo de ciberseguridad no solo consigue detectar su presencia, sino que además estudian cómo se comportan, qué tácticas emplean e incluso recogen evidencias sobre la posible procedencia del atacante. De esta forma la empresa se convierte con el paso del tiempo en mucho más robusta frente a este tipo de actuaciones malintencionadas y su protección resulta más sencilla.

Estos equipos trabajan a día de hoy con la certeza de que todas las organizaciones sufrirán  tarde o temprano un ciberataque y que la única estrategia para protegerse de forma efectiva es la de estar preparado para reaccionar, minimizar los daños y sobreponerse sin que el servicio se vea afectado.