El volumen y variedad de las alertas agotan a los equipos de seguridad

Recomendados:  Claves de seguridad para las nuevas aplicaciones web y API. Ebook Protegiendo los datos corporativos en aplicaciones basadas en cloud. Leer

Según el último estudio de ESG, ‘Modernización SOC y el Rol de XDR’, comisionado por Kaspersky, el 70% de las empresas participantes confirma tener dificultades a la hora luchan por mantenerse al día con el volumen de alertas generadas por las herramientas de análisis de seguridad. Esto desemboca en una falta de recursos en importantes tareas estratégicas y dirige a la empresa hacia un proceso de automatización y externalización de procesos.

El 83% del personal de ciberseguridad sufre de agotamiento debido al estado de alerta continuado, de acuerdo con los datos de otro estudio de Dimensional Research. Sumado al volumen de alertas, su amplia variedad es otro problema para el 67% de las organizaciones, según el estudio dirigido por ESG. Esto dificulta el trabajo del analista SOC a la hora de focalizarse en las tareas más importantes y complejas. En una de cada tres empresas (34%), los equipos de ciberseguridad están sobrecargados de alertas y problemas de seguridad urgentes y no tienen tiempo suficiente para poder emplearlo en implementar la estrategia y los procesos.

Este informe también concluye que las empresas no relacionan el problema con una falta de empleados, ya que un 83% cree que su SOC tiene suficiente personal para proteger una empresa de su tamaño, sino que se debe a la necesidad de automatizar los procesos y utilizar servicios externos. La razón principal para utilizar servicios subcontratados es permitir al personal más tiempo para centrarse en iniciativas más estratégicas, en lugar de emplear el tiempo en tareas de operaciones de seguridad (55%).

Como comenta Yuliya Andreeva, Senior Product Manager en Kaspersky, “los analistas del SOC se dedican a 'apagar fuegos' en lugar de a buscar proactivamente amenazas complejas y evasivas en la infraestructura. Reducir el número de alertas, automatizando su consolidación y correlación con las cadenas de incidencia y acortar su tiempo de respuesta deberían convertirse en las tareas prioritarias para mejorar la efectividad del SOC en las organizaciones. Para conseguirlo, pueden contar con soluciones de automatización y servicios expertos externos”,

Consejos del especialista

-- Organizar los turnos de trabajo en el SOC para evitar la sobrecarga de trabajo de la plantilla y asegurar que todas las tareas clave están distribuidas de forma equitativa en el equipo

-- Descargar a la plantilla de tareas rutinarias con prácticas como las rotaciones y transferencias internas.

-- Utilizar servicios de inteligencia de aquellas amenazas que permita la integración de inteligencia legible por máquina en sus controles de seguridad existentes, como un sistema SIEM, para automatizar el proceso inicial de triaje y generar suficiente contexto para decidir si la alerta debería ser investigada de forma inmediata.

-- Utilizar servicios de detección programada y un servicio de respuesta, como puede ser el que ofrece este proveedor.