La escasez de talento en ciberseguridad persiste. Una investigación mostró una brecha en el mercado de ciberseguridad de 85 trabajadores por cada 100 puestos vacantes: el 15% de los puestos vacantes no se cubren. No hay suficientes profesionales para cubrir las necesidades básicas de las organizaciones, lo que genera un mayor riesgo para las empresas y más oportunidades para los cibercriminales.
Para Tanium, si bien este problema se está filtrando en todas las áreas de la ciberseguridad, ha sido especialmente problemático en el área de respuesta a incidentes (IR), donde el impacto no es tan claro y la solución es, en cierto modo, esquiva. La IR requiere una amplia capacitación, creatividad y experiencia en el trabajo, pero los equipos de ciberseguridad están tan saturados de amenazas y vulnerabilidades que la mayoría no prioriza el tiempo o los recursos para desarrollar personas que respondan a incidentes. Eso es un problema.
Como resultado, las empresas están empeorando a la hora de responder adecuadamente a los incidentes y el problema ha pasado desapercibido durante demasiado tiempo. Las organizaciones necesitan este tipo de profesionales para proteger sus operaciones, datos y clientes, pero sin la formación y las herramientas adecuadas, no tienen la capacidad de crear equipos de respuesta a incidentes sólidos.
Aunque la respuesta a incidentes consiste en contar con un plan para responder a los ataques, en realidad es una forma crucial para que las organizaciones se defiendan de las amenazas potenciales y que debe priorizarse. En 2023, Mandiant informó que el 15% de las infracciones que investigaron procedían de ataques en los que el vector de acceso inicial era un ataque previo. Estos ataques podrían haberse evitado con el equipo y los procesos adecuados, llevando a cabo una respuesta a incidentes integral para detectar y erradicar adecuadamente al atacante del entorno.
Las soluciones a corto plazo no son soluciones reales
Tanium señala que en la actualidad, demasiadas organizaciones siguen un enfoque de “ataque y preparación” para la recuperación de riesgos, optando simplemente por reinstalar las computadoras porque no tienen el personal para extraer adecuadamente la información de un incidente. A corto plazo, esto es más rápido y más barato, pero tiene un impacto perjudicial en la protección contra amenazas futuras.
Por el contrario, las organizaciones pueden recurrir a la subcontratación. Los expertos en servicios de seguridad gestionados y de recuperación de riesgos se han dado cuenta de que la consultoría les proporciona un alcance y un impacto más amplios sobre el problema, pero ninguna de estas son soluciones a largo plazo.
Las empresas necesitan algo a largo plazo para reforzar sus programas de seguridad. La mejor manera de hacerlo es con herramientas modernas y refactorizando la respuesta ante incidentes como una función central de las empresas para ayudarlas a adquirir conocimiento de las malas experiencias. Equipar a las organizaciones y a sus expertos en ciberseguridad con la capacitación y las soluciones adecuadas es la única forma infalible de introducir mejores programas de respuesta ante incidentes.
La capacitación y las herramientas crean una mejor respuesta ante incidentes
El intercambio de conocimientos es la mejor manera de abordar este problema. Compartir los aprendizajes clave de ataques anteriores es la manera en que estos equipos pueden crecer y prevenir desastres futuros. El problema es que, si bien muchos ingenieros coinciden en que aprenden más cuando algo “falla” y que los incidentes son un tesoro de conocimientos para los equipos de seguridad, estas conversaciones a menudo se limitan a los canales de información necesaria. La franqueza sobre los incidentes es la única manera de enseñar realmente a los equipos cómo abordarlos.
Los equipos también necesitan las herramientas adecuadas para hacer el trabajo. Las organizaciones tienen acceso a una variedad de ellas; por ejemplo, las herramientas de detección y respuesta de endpoints pueden monitorear y recopilar datos de actividad para identificar amenazas y permitir una respuesta rápida. La gestión de eventos e información de seguridad puede realizar un análisis integral del tiempo de las alertas de seguridad, mientras que el análisis del tráfico de red puede encontrar anomalías que apunten hacia amenazas. De manera similar, el análisis del comportamiento de usuarios y entidades puede encontrar amenazas internas.
Soluciones como estas dan a los equipos de IR un respiro en caso de un ataque, ya que hacen que las respuestas sean más rápidas y sencillas. Alivian parte de la presión y reducen la necesidad de gastar dinero en subcontratar IR o rehacer imágenes de dispositivos. Lo más importante es que permiten aprender y comprender mejor lo que ayuda con la prevención futura.
Las herramientas y la capacitación serán cada vez más importantes a medida que cambie el panorama de amenazas y la evolución de la tecnología haga que sea más difícil mantenerse al día con los atacantes. Además de la escasez de talento, las organizaciones deben invertir en el desarrollo de sus equipos existentes para protegerse contra nuevas amenazas. De lo contrario, corren el riesgo de exponerse a infracciones y ataques aún mayores.
“Si las organizaciones no priorizan la respuesta a incidentes para protegerse contra un panorama de amenazas en aumento, dejan abiertas las oportunidades para que los ciberatacantes aprovechen sus mismas debilidades en sus defensas. Cada infracción debe ser una oportunidad de aprendizaje para que los equipos puedan extraer información que refuerce los programas de seguridad contra amenazas futuras”, señaló Stephanie Aceves, directora senior de Gestión de Productos de Tanium.
