Trabajar como responsable de seguridad informática en una compañía no es sencillo. No solo se trata del encargado de proteger la ciberseguridad empresarial en términos generales, sino también de ser resiliente, estar atento a nuevas formas de ataque, formar un equipo de defensa preventiva, armar los protocolos de actuación en caso de vulnerabilidad y hacer que todos los empleados esté alineados con estos objetivos dentro de la compañía.
Sin embargo, acaparar demasiadas tareas a veces puede diluir la intención de las mismas y conseguir el efecto contrario: que las verdaderas amenazas dejen de ser atendidas de manera efectiva.
Alertas ignoradas por fatiga
Así al menos lo evidencia una reciente encuesta realizada por Imperva. Según este informe, muchas veces el análisis de alertas de seguridad acaba acaparando un porcentaje de trabajo demasiado elevado, y eso, en ocasiones, puede acabar siendo contraproducente para la propia empresa.
Tal y como cuenta Imperva, la mayoría de los responsables de ciberseguridad encuestados aseguran que esta carga de trabajo les produce fatigas a menudo, poniendo en riesgo la seguridad de la propia compañía. De hecho, el 66% admite haber ignorado una alerta debido a que, de manera previa, estas alertas habían desembocado en un falso positivo.
Pero la cosa no acaba ahí, ya que el 63% de los responsables afirma que tiene serias dificultades a la hora de analizar y decidir qué incidentes de ciberseguridad informática son críticos y cuáles tienen un riesgo visiblemente menor y, por tanto, podrían requerir una atención menos elevada, con lo que sus empresas acaban no siendo eficientes en su propia gestión de riesgos.
¿Cómo detectar incidentes críticos?
Hay varias formas de detectar la existencia de un incidente de seguridad crítica. Con estas medidas, además, se puede evaluar también el alcance del mismo y su relevancia:
1.- Anomalías de tráfico. Los servidores y conexiones especialmente confidenciales suelen tener un volumen de tráfico medianamente estable. Si una empresa encuentra un inusual aumento de dicho tráfico, deberá ponerse en alerta.
2.- Accesos de cuentas sin permisos. Las cuentas de los empleados y directivos suelen estar jerarquizadas en función de la información a la que pueden acceder. Como los empleados suelen ser la mejor puerta de entrada para el cibercrimen, si la cuenta de uno de ellos aumenta repentinamente sus privilegios de conexión puede haber una alarma de ciberseguridad empresarial.
3.- Consumo excesivo y archivos sospechosos. Si la empresa detecta un aumento en el rendimiento de su memoria o sus discos duros, puede que se esté produciendo un acceso ilícito o una fuga de información. Esta situación también puede darse en caso de encontrar un archivo de tamaño sospechoso que intente permanecer oculto.
¿Cómo evitar nuevos incidentes?
No solo se trata de detectar los incidentes, sino también de prevenirlos y evitarlos. Para ello se pueden tomar varias medidas:
1.- Contextualizar el peligro. Como mostraba la encuesta de Imperva, muchos responsables de ciberseguridad no lo tienen fácil a la hora de jerarquizar el nivel de alarma de las posibles alertas que encuentren. Por tanto, es necesario que la compañía cuente con una estructura sólida de jerarquías para mejorar su gestión de riesgos.
2.- Evitar falsos positivos. Los falsos positivos son muchas veces la causa de que los responsables de ciberseguridad empresarial bajen el nivel de alarma ante nuevas alertas. Así pues, las empresas deben contar con las herramientas adecuadas para evitar el aumento de falsos positivos.
3.- Soluciones tecnológicas. Los responsables de ciberseguridad no tienen por qué dedicar gran parte de su tiempo a detectar posibles alertas de manera manual, sino que deben apoyarse en soluciones tecnológicas que hagan ese trabajo. En este sentido, Panda Adaptive Defense no solo monitoriza la actividad informática de la compañía en tiempo real, sino que además, gracias a la inteligencia contextual, es capaz de jerarquizar las alertas, minimizar el peligro para las empresas y, por tanto, ayudarlas en su gestión de riesgos.
En la actualidad, disponer de un antivirus tradicional ya no es suficiente. Las amenazas son cada vez más avanzadas y las soluciones de seguridad de las empresas también deben serlo. Solo así podrán hacer frente al boom del malware sin fichero o a los nuevos tipos de APT cada vez más sofisticados, como ha demostrado LoJax, capaz incluso de sobrevivir a la reinstalación del sistema operativo.
4.- Ciber-resiliencia. La fatiga o el aumento de alertas nunca pueden ser una excusa para una empresa. Cualquier compañía debe ser ciber-resiliente y estar actualizada respecto al surgimiento de nuevas formas de ataque por parte de los cibercriminales.
Fuente : https://www.pandasecurity.com/spain/mediacenter/