Últimamente la ciberseguridad se ha vuelto un tema mucho más importante para la sociedad y la opinión pública. Dentro de las muchas complejidades que se han presentado a raíz de la crisis sanitaria por el Covid 19, la seguridad de la información se ha transformado en un tema esencial y de preocupación.
Aunque la digitalización de los procesos se experimenta hace años, la crisis llegó a acelerar la implementación de ésta. Una de las principales razones es el confinamiento, que produjo un aumento del teletrabajo. Como bien sabrás, las empresas y las personas han puesto todos sus esfuerzos en lograr realizar sus actividades de forma remota.
Los riesgos que trae esta nueva normalidad afectan a todos, en relación a la ingeniería social, los ciberataques han tenido un aumento significativo debido al poco conocimiento que tiene la población en general de lo que significa la ciberseguridad y los ciberataques. Las empresas no se quedan atrás en este fenómeno, ellas se han visto más expuestas, pero tienen otras herramientas para hacerle frente.
Para poder mejorar la situación de la ciberseguridad en cualquier empresa es necesario hacer una revisión de las tecnologías y software que poseen, para poder actualizar y dar una mejor respuesta.
Una de las soluciones más comunes en ciberseguridad es el SIEM, este software examina todos los datos que se presentan en la infraestructura TI y que puedan dar indicios de un posible ciberataque. Esta información luego la correlaciona con los eventos entre dispositivos en la que puede identificar actividad anómala, para finalmente emitir alertas.
Este software se popularizó en el año 2005 y se transformó en una solución indispendable para los responsables de la ciberseguridad en las distintas empresas. Actualmente todos o casi todos los equipos de seguridad de la información cuentan con un SIEM en su sistema.
Pero los tiempos cambian y actualmente los SIEM a pesar de que si prestan una ayuda importante, dejaron de dar la respuesta adecuada a los ataques que cada vez son más evolucionados y aumentan a gran velocidad. Tú como oficial de seguridad lo debes tener más que claro, conoces bien los cambios que ha experimentado la ciberseguridad en la última década.
En este sentido y mejorando lo que significaba el aporte de un SIEM es que ingresaron al mercado la solución SOAR, por su sigla en inglés que significa Security Orchestration Automation and Response. Lo primero que se debe tener en claro es que tener un SOAR no significa desprenderse de un SIEM, porque no son plataformas excluyentes.
Esto se debe a que la solución SOAR no está pensada en hacer una especie de competencia a lo que significa un SIEM, sino más bien tiene relación a la mejora del servicio que entregaba éste. Es la respuesta lógica a la profundización y modernización de los desafíos que se han presentado en los últimos años.
Una plataforma en evolución
Entendiendo que un SOAR puede contener un SIEM, podemos decir también que estamos hablando de una solución que evolucionó y que se perfeccionó para tener una mejor respuesta a lo que significan los problemas de ciberseguridad actuales.
Una solución SOAR al igual que un SIEM, está diseñada para ser una ayuda al oficial de seguridad o CISO a responder a las alarmas que se presentan a una velocidad de máquina.
Un SOAR combina la recopilación de datos, la gestión de casos, la estandarización, el flujo de trabajo y el análisis para que las empresas puedan tener una mejor forma de defensa contra los peligros y amenazas externas.
Es así cómo una solución SOAR recopila los datos de las alarmas de todas las plataformas que tenga la infraestructura TI de forma integrada y además los posiciona en una única ubicación.
En lo que tiene que ver con la gestión de casos, un SOAR facilita a los usuarios a poder investigar, evaluar la información y además poder hacer estudios aparte dentro del mismo caso. Lo que facilita la futura interpretación de los problemas que tiene la infraestructura TI.
Como también facilita la rapidez en la respuesta a incidentes complejos y automatizados, para esto utiliza la integración como medio para posicionar los flujos de trabajo. Incluso se manejan pasos a seguir que están previamente programados que dan respuesta a ciertas amenazas que son muy específicas.
Aportes innovadores
Los principales beneficios que tiene una solución SOAR para los Centros de Operaciones de Seguridad o SOC, principalmente tiene que ver con la automatización que permite aumentar la productividad, como también se manejan de manera integral las alertas que se generan, poniendo énfasis en las que son más importantes y que no se pueden dejar pasar.
Esto principalmente ayuda a la carga laboral que tiene el CISO y los responsables de la seguridad, que realizan un trabajo que consta de un gran volumen y muchas veces sobrepasa las capacidades de la mano de obra humana.
Un SOAR clasifica las tareas más importantes y genera alertas sobre ella, por lo que también genera que no se trabaje en tareas que son repetitivas, porque automatiza este proceso, como por ejemplo la búsqueda de amenazas, de vulnerabilidades, incidentes, etc.
Un ejemplo de la automatización es bloquear una dirección IP en un firewall, como también suspender las cuentas de usuarios, o separar los puntos finales de una red si está infectada.
La palabra clave que acompaña los beneficios de un SOAR es el tiempo invertido, ya que se automatiza y organiza las tareas que se realizaban de forma manual, al igual que ayuda a que un SOC se ocupe de llevar problemas mucho más importantes, lo que permite que los integrantes del equipo puedan demostrar y profundizar sus habilidades
Resumen
Al igual que la solución SIEM hace 15 años, un SOAR se está volviendo indispensable para un SOC. Una plataforma SIEM ya no basta para dar las respuestas rápidas y de gran volumen que se necesitan dar ahora.
Es por esto que se aconseja invertir en un software SOAR para poder tener las mejores respuestas a los incidentes, alertas y corregir todas las vulnerabilidades de la infraestructura TI.
Ya que el principal beneficio de un SOAR es la mejora del tiempo invertido, ya que esto permite que los responsables de la seguridad se ocupen de las tareas realmente importantes y no de las que son repetitivas, las que se pueden automatizar.