Tú como oficial de seguridad conoces muy bien la importancia de la ciberseguridad en la empresa. Estás consciente que es un pilar fundamental en el funcionamiento óptimo de la compañía. Aunque también sabes que por lo general, los demás integrantes de ella no son absolutamente conscientes de lo relevante que es para los procesos tecnológicos.
Esto se debe al poco conocimiento sobre ciberseguridad que existe en casi todos los rubros, sin importar a qué se dedique la organización. Tú sabes que esto debería cambiar y que en un escenario ideal, todos los miembros de la empresa debieran conocer el rol que juegas tú como el responsable de la seguridad de la información y cómo ésta es fundamental para la obtención de buenos resultados.
Eres consciente que este poco conocimiento a veces es un dolor de cabeza, pero está lejos de ser tu principal desafío. Para el equipo de ciberseguridad y tú hay otros problemas que te preocupan mucho más.
Dentro de estos desafíos se encuentra el desconocimiento que tienes cuando en la empresa en la que estás trabajando no hay una visibilidad total de la infraestructura TI. Se podría hablar de un conocimiento limitado que no permite reconocer todos las vulnerabilidades que debes corregir.
Sumado al desconocimiento, la falta de horario es otro de tus dolores, que va aportando al estrés constante en el que realizas tu trabajo. La realidad es que podríamos escribir muchísimas páginas sobre la situación en la que se encuentran los oficiales de seguridad de las compañías.
Pero este no es el tema que hablaremos en esta oportunidad. De todas maneras, si te interesa esta temática y quieres profundizar, puedes leer el artículo “De inocente a condenado: Las complejidades del trabajo del CISO en la compañía”.
Actualmente en ciberseguridad se manejan distintos sistemas para mejorar los resultados, evitar ser víctimas de un ciberataque y obtener los mejores resultados. Muchas de estas tecnologías están en constante cambio o mejor dicho, perfeccionándose.
Uno de estos casos es la utilización de la plataforma SIEM, la que está presente en el funcionamiento de los equipos de seguridad desde hace más de quince años. Este correlacionador de datos es una herramienta que ayuda muchísimo a los oficiales de seguridad.
Pero en el último tiempo se ha profundizado en este tipo de soluciones y se está hablando mucho más sobre los beneficios de la plataforma SOAR, por su sigla en inglés que significa Security Orchestration, Automation and Response.
Cuando se habla de un SOAR, hay que tener en claro que éste puede contener un SIEM, por lo que no es una tecnología que deje atrás la otra plataforma, sino más bien tiene que ver con la mejora de las funciones de la solución que permiten optimizar el trabajo del oficial de seguridad.
En este artículo nos dedicaremos a entablar la problemática y el por qué la plataforma SOAR es una mejora significativa en la cibergestión.
Plataformas no excluyentes
Cuando hablamos de un SOAR o de un SIEM tienes que tener en claro que no estamos mencionando necesariamente soluciones distintas o excluyentes. Un SOAR puede tener un SIEM y eso es fundamental para entender la importancia y el aporte que realiza esta solución más reciente.
Cuando se utiliza un SIEM, se trata de un correlacionador de datos. Este inicia un proceso en el que busca patrones que pueden dar indicios de un ataque cibernético y luego los correlaciona con la información que está contenida en los distintos dispositivos. Es ahí cuando esta solución identifica incidentes, situaciones anormales o potencialmente peligrosas y finalmente emite las alertas correspondientes.
Mientras que cuando se trata de una solución SOAR, esta viene a dar una mejora y avanza en el proceso de optimizar la cibergestión. Esta plataforma combina e integra todas las herramientas en ciberseguridad que posee la empresa y permite al CISO automatizar los flujos de trabajo en respuesta a los incidentes que se presenten la infraestructura TI.
Lo que tienes que tener en claro que dentro de la solución SOAR, que es una herramienta de orquestación, está constituida en parte por una plataforma SIEM, ya que también se deben correlacionar los datos. Por lo que cuando se habla de los beneficios de un SOAR, no es excluyente a los aportes de un SIEM.
Un área en crecimiento
Las plataformas SOAR son una herramienta medianamente nueva, pero que cada vez toman más peso e importancia dentro del mercado tecnológico mundial. Por lo que es importante conocer bien qué significa esta nueva plataforma y cómo optimiza los resultados en torno a la cibergestión.
A raíz de una situación que es común dentro de quienes se dedican a la ciberseguridad, nos referimos al estrés constante en el que trabajan, como también los grandes volúmenes de información y la rapidez en la que tienen que actuar, es que se ha creado esta plataforma.
Mejorar la identificación y respuesta a las vulnerabilidades, incidentes y amenazas de la infraestructura es lo que busca esta herramienta. Está diseñada también para dar una ayuda al CISO y poder reaccionar de manera mucho más rápida y a la velocidad adecuada que demanda la realidad tecnológica actual.
Dentro de las soluciones SOAR está la recopilación de datos de cada plataforma que esté integrada en la infraestructura de la compañía, en la que se posicionan en una única ubicación, para poder realizar una investigación adicional, como también se puede hacer este estudio desde un solo caso.
La plataforma SOAR también permite que se obtengan resultados más rápidos al tener un sistema integrado en el que se pueden acomodar los flujos de trabajo en respuesta a los incidentes, los que pueden ser complejos y altamente automatizados.
En la búsqueda de obtener mejores resultados y optimizar el tiempo invertido es que la solución SOAR incluye pasos predeterminados para respuestas a amenazas específicas, en las que se puede automatizar cada paso y configurar la ejecución de estos en un solo click. Incluyendo la integración de otras plataformas que se manejan en torno a la ciberseguridad.
No basta con un SIEM
A pesar de que las soluciones SIEM son un aporte al trabajo del oficial de seguridad y su equipo, actualmente ya no son totalmente efectivas sin la compañía de una plataforma SOAR.
Entendiendo que no son plataformas excluyentes, que cuando se habla de un SOAR, este contiene un SIEM, también es preciso establecer que esta última solución por sí sola ya no entrega una respuesta adecuada a los desafíos de mantener la infraestructura TI de la empresa lo más segura posible.
Esto principalmente porque la solución SIEM necesita ajustes regularmente para poder diferenciar las actividades de la infraestructura, cuando éstas son normales y cuando se está enfrentando a una actividad anómala.
Característica que va justamente en el sentido opuesto a lo que se está buscando en ciberseguridad, que es la optimización de la gestión y manejar mucho mejor el tiempo invertido en este tipo de actividades.
Como también cuando se trabaja con una solución SIEM, ésta maneja una pequeña cantidad de fuentes para detectar las posibles amenazas para la infraestructura. Mientras que la solución SOAR recopila mayor volumen de datos. Lo que se traduce en mejorar la calidad del tiempo invertido.
Estas situaciones te deben sonar muy conocidas, el gran tiempo invertido en cuidar y proteger la infraestructura de la empresa, hace que a veces no puedas prestar toda la atención que necesita la corrección de vulnerabilidades, el manejo de datos, documentos e incidentes. Es por ello que actualmente ya no basta con un SIEM.
Resumen
Los desafíos que enfrenta el CISO y su equipo son muchos, diversos y complejos. Dentro de estos está el poco conocimiento que tienen en general los demás integrantes de la empresa en relación a la ciberseguridad.
Pero sus mayores desafíos son los que tienen que ver, en primer lugar con la cuota de desconocimiento que tiene de la infraestructura TI, esta poca visibilidad no le permite conocer todo lo que tiene que asegurar y resulta en un constante estrés.
En segundo lugar está todo el tiempo invertido en asegurar la infraestructura y como, casi por regla general, el oficial de seguridad no tiene un horario de trabajo e incluso en vacaciones y feriados está preocupado de lo que podría suceder.
Actualmente en las empresas se maneja la solución SIEM, en la que se correlacionan los datos y aunque, no hay que negar el aporte que realiza, en el mercado tecnológico irrumpió una plataforma que va un paso más allá.
La plataforma SOAR es una herramienta mucho más completa para la cibergestión. Este orquestador de datos es un aporte para mejorar la realidad y el tiempo invertido en el cuidado de las amenazas e incidentes.
Se debe tener en claro que un SOAR contiene un SIEM, lo que significa que no son plataformas excluyentes, si no que es la solución SOAR va un paso más allá y dentro de sus características está la integración de distintas plataformas y la respuesta en un solo lugar.