Internacional. En 2019, Ponemon Institute encontró que el ciclo de vida promedio de una brecha de seguridad es de 279 días, y las compañías tardaron 206 días en identificarla y luego 73 días adicionales para contenerla.
El CSIRT o Computer Security Incident Response Team, por sus siglas en inglés, es un equipo conformado por expertos en seguridad informática que tiene la responsabilidad de realizar un monitoreo continuo de los equipos de una organización para minimizar y controlar los daños ante un ciberataque.
En un CSIRT existen varias categorías de servicios: reactivos y proactivos. Los reactivos se realizan debido a un evento de seguridad indeseado o inesperado detectado a través de equipos especializados, que predicen incidentes de seguridad internos o externos, o por solicitud de algún miembro de la organización que haya identificado alguna anomalía en la infraestructura tecnológica. Por su parte, los servicios proactivos contribuyen a la protección de la infraestructura tecnológica y se realiza un análisis avanzado de ciberamenazas personalizado según las necesidades, servicios y productos que ofrece la compañía.
“Los ataques cibernéticos pueden afectar la confidencialidad, integridad y disponibilidad de la información y servicios con que cuenta la organización, es por esto, que es fundamental contar con un equipo capacitado y competente para la gestión proactiva de eventos e incidentes de seguridad”, afirma Juan David Valderrama, Director de Ciberseguridad y Riesgos de Gamma Ingenieros.
Cuando existe un ataque cibernético dentro de una organización, se deben seguir las siguientes fases: identificación, análisis, categorización del evento, priorización (en caso de que exista más de un incidente a la vez), previa gestión de los riesgos en los activos de información de la compañía, la cual me permite clasificar y medir la criticidad de los mismos; contención; investigación en apoyo con informática forense para conocer el vector de ataque inicial para poder llegar a la erradicación del incidente, y por último, se lleva esta experiencia a una clínica de incidentes o lecciones aprendidas para evitar que vuelva a ocurrir sobre otro activo de información.
Para realizar este proceso proactivo, es importante utilizar Inteligencia Artificial y machine learning con el fin de identificar y detectar de manera autónoma eventos anómalos, desviaciones de comportamiento y brechas a nivel de seguridad, que no logran ser detectados con equipos tradicionales de seguridad.
Así mismo, el aprovechamiento de herramientas tipo SOAR (Security Orchestration, Automation and Response, por sus siglas en inglés) permiten realizar automatización de tareas, clasificación básica de seguridad y responder de manera autónoma o supervisada a eventos de seguridad, permitiendo ahorros en costos operativos para que los expertos de seguridad tengan más tiempo para buscar amenazas en lugar de responder a ellas.
Algunos sectores empresariales se han visto beneficiados con el uso de estas herramientas. A continuación, nombramos algunos de ellos.
- Gobierno: detectan patrones anómalos de personas, entidades o máquinas para generar fraudes.
- Telecomunicaciones: a través del CSIRT se ha identificado información de conexiones anómalas en puertos y así mismo, detectan los usuarios que han saltado restricciones de los sistemas, generando fraudes logrando una navegación gratuita, entre otras desviaciones.
- Financiero: debido a la alta actividad bancaria las anomalías en transacciones son frecuentes. Estas herramientas ayudan a detectar el fraude bancario.
- Educación: en las universidades es común la detección de comportamientos anómalos de estudiantes, relacionado con fraude, como el cambio de notas en el sistema de calificaciones.
Tener un equipo de seguridad capacitado en las organizaciones permite actuar de forma proactiva a través del monitoreo continuo de información privilegiada de la compañía, con el fin de evitar pérdidas monetarias e información valiosa. Así mismo, el uso de la inteligencia artificial ha permitido mayor proactividad, ahorros en tiempos de procesos y facilidad de detección de ataques cibernéticos en distintos sectores empresariales.
