La saturación de alertas provoca que se ignore el 30% de los avisos de seguridad importantes

Las organizaciones de todo el mundo están bajo presión ante el actual panorama de amenazas. Los equipos están saturados con la cantidad de alertas de seguridad que reciben y esto hace quese ignoren el 30% de los avisos de seguridad importantes, según los datos que maneja Check Point.

Para la firma de seguridad, crear una cultura en la que “todo es urgente”, a través de la sobrecarga de alertas, no solo es un objetivo inalcanzable, sino que es perjudicial para la productividad de los trabajadores. La presión para estar al tanto de todo aumenta a medida que la industria de la seguridad y los ciberataques evolucionan. Del mismo modo, la creciente complejidad de sus operaciones y aplicaciones significa que la priorización de la seguridad cambiará.

En este contexto, su recomendación es definir claramente puntos como la propiedad, importancia y otros valores de las alertas de la siguiente manera:

- Priorizando lo importante: distinguir entre alertas y centrarse en la remediación estratégica resulta fundamental, solo deberían ocurrir si un equipo de seguridad necesita tomar medidas inmediatas. Cualquier aviso fuera de este parámetro se puede convertir en un ticket, automatizar o incluso eliminar.

- Filtrando las notificaciones: cada alerta debe validarse automáticamente y enriquecerse con el contexto adecuado para reducir el tiempo invertido al analizarla. Procesos simples como el uso de canales diferenciados, codificación y categorización, o filtros y etiquetas pueden ayudar a reconocer el nivel de prioridad, el plazo y la estrategia de remediación de cada alerta.

- Invirtiendo en capacitación y concienciación: decidir si investigar o no una alerta de seguridad es una decisión empresarial crítica que debe estar bien pensada. Los equipos de seguridad son quienes sienten la presión, por lo que puede ser un desafío obtener el apoyo y el reconocimiento de las partes interesadas que quizás no vean el impacto negativo directo de la sordera de estas.

- Definiendo procesos para la mitigación de riesgos: toda empresa debe tener unas estrategias claras para mitigar riesgos. Los equipos de seguridad pueden poner a prueba sus capacidades y comprensión con ejercicios y pruebas regulares.

- Implementando una estandarización: un libro de ejecución proporciona a los miembros del equipo una dirección clara sobre cómo y cuándo actuar, lo que ayuda a reducir las dependencias desde el punto de vista arquitectónico y organizativo.

- Realizando evaluaciones de maneara periódica: realizar análisis y revisiones periódicas de los KPI de las alertas que su equipo ha recibido durante un cierto período de tiempo es una buena manera de aumentar la conciencia de la fatiga en este campo entre la alta dirección.

- Invirtiendo en herramientas de seguridad adecuadas: los usuarios son una parte fundamental para la ciberseguridad, pero también es importante conocer cómo son los procesos de estos equipos de seguridad. La incorporación de herramientas de seguridad puede proporcionar una ayuda para estos departamentos, con la reducción de tiempos y esfuerzos al eliminar alertas innecesarias y falsos positivos.

Con esto en mente, las herramientas deben ser fiables y de confianza. La asignación de recursos inapropiados puede derivar en la generación de falsos positivos y otros escenarios que agraven más esta problemática. Por ello, señala la compañía que "es importante que las empresas elijan opciones precisas que proporcionen análisis contextual y una inteligencia accionable para apoyar las labores de los desarrolladores y responsables de seguridad. Todo lo demás se puede automatizar, lo que significa que las alertas solo deben saltar cuando sea necesario".

En este sentido, como explica Eusebio Nieva, director técnico de la compañía, aunque nunca se pueden eliminar por completo las alertas de seguridad, se pueden reducir en gran medida. "La automatización permite liberar a los equipos y evitar esta sordera, lo que permite que intervengan cuando realmente sea necesario”, sostiene.