Los equipos de seguridad se ahogan en los datos – cómo resolver el problema

Los equipos de seguridad de TI tienen más información a su disposición que nunca. Sin embargo, la gran cantidad de datos disponible no está ayudando a resolver los problemas, sino todo lo contrario.

¿Cómo evitar este problema y mantener a los equipos enfocados en las prioridades más importantes? Las respuestas se encuentran en una mejor consolidación y priorización de los datos y de los procesos.

Datos, datos por todas partes, ¿pero nos detenemos a pensar?

En primer lugar, es importante verificar las fuentes de información que están disponibles en la actualidad y que le proporcionan datos de TI, seguridad y cumplimiento.

Los equipos de TI que tienen procesos más establecidos dependen de sistemas de gestión de activos de TI (ITAM) o de bases de datos de gestión de configuraciones (CMDB), mientras que los enfoques menos formalizados verán los datos fragmentados en una combinación de hojas de cálculo y bases de datos.

Los datos de cumplimiento se almacenan principalmente en hojas de cálculo o documentos, a veces procedentes de empresas de auditoría o consultoría. Algunas organizaciones utilizan software especializado para realizar un seguimiento del cumplimiento y ejecutar los controles, pero esto a menudo se mantiene aislado cuando los equipos no se comunican entre sí.

Otras preguntas que debe considerar incluyen: ¿Hay demasiadas fuentes que se superponen entre sí? ¿Puede consolidar estos conjuntos de datos para hacerlos más fáciles, ya sea reduciendo el número de herramientas o reuniendo los datos en un solo lugar?

Si planea sincronizar varias fuentes de datos entre sí, es importante confirmar que esto se realiza de forma fiable y coherente. Si esto es difícil – o depende del trabajo manual para lograr resultados consistentes y oportunos – entonces puede ser más conveniente y preciso consolidar sus herramientas y productos. Esto puede simplificar los resultados y ayudarle a concentrarse.

Una vez que haya revisado estas fuentes de datos, es hora de ver cómo mejorar el uso que hace de ellos. En lugar de simplemente añadir más datos a la mezcla, se debe mirar el contexto y la precisión de sus datos. En este caso, el contexto implica proporcionarle los datos correctos, filtrados para cumplir con un objetivo o requisito específico; la precisión implica proporcionar información más actualizada que se basa en lo que está ocurriendo ahora, en lugar de lo que ocurría hace un día o una semana. Mejorar la precisión y el contexto puede ayudarle a enriquecer estos diversos conjuntos de datos.

Toda organización debe esforzarse por lograr la precisión por una sencilla razón: la falta de datos precisos conduce a demasiada información, que debe ser investigada antes de que pueda ser definida como inútil y eliminada.

Dada la escasez de personal cualificado en materia de seguridad, la mayor ventaja empresarial de disponer de datos precisos es la eficiencia operativa.  La exactitud de los datos reduce el número de eventos a investigar, asegura que su equipo sólo investigue los eventos que importan y libera a su personal capacitado para otras tareas.

Para lograr una mayor precisión y desbloquear una mayor eficiencia operativa, existen varias fuentes de datos que se pueden utilizar en tándem, desde información de inteligencia de amenazas cibernéticas para comprender su exposición y capacidad de explotación en tiempo real hasta datos de gestión de activos de TI que pueden decirle lo que está instalado y el estado de esos activos casi en tiempo real. Combinar estas dos fuentes puede ayudarle a obtener información sobre los nuevos problemas de seguridad que se aplican a su organización y la rapidez con la que esos problemas requieren reparación o si es necesaria otra forma de mitigación.

Pensar out of the box

Hasta ahora, estas consideraciones deberían ayudarle a adoptar un enfoque práctico para gestionar los activos que están conectados a la red de forma regular. Sin embargo, las TI de hoy en día consisten en muchos más dispositivos y servicios que no se unen a la red con frecuencia o son alojados y administrados por terceros. No importa si esos servicios están copatrocinados por organizaciones locales o por uno de los grandes proveedores de cloud pública, como Amazon o Microsoft, se trata de activos y aplicaciones que necesitan ser gestionados.

Para cada plataforma externa que su empresa opere o utilice, debe tener la misma granularidad de datos que tiene internamente. Del mismo modo, esta información debería estar centralizada junto con sus datos internos, para que pueda ver todo en contexto, independientemente de la plataforma que esté involucrada. Esto es esencial para lograr un nivel adecuado de conocimiento en todo el entorno de TI de su empresa.

A medida que nos adentramos en la nube, el volumen de datos seguirá creciendo, como tendrá que hacerlo el análisis continuo de las vulnerabilidades. Ser capaz de gestionar toda la información es un dolor de cabeza a la hora de detectar posibles problemas; sin embargo, es esencial determinar qué elementos son los más importantes para el negocio.

La gestión de esta cantidad de información implica examinar qué aplicaciones o elementos son críticos para la empresa y asegurarse de que reciben atención cuando se producen cambios o actualizaciones. También puede haber problemas de seguridad que son tan graves que requieren atención inmediata. Al clasificar estas actualizaciones, su equipo puede priorizar sus esfuerzos. Este conjunto de datos también debería proporcionar alertas sobre las condiciones que cumplen los criterios de riesgo para la seguridad y permitir la búsqueda de problemas particulares, de modo que cualquier activo de TI no parcheado pueda ser marcado automáticamente para que el equipo se ocupe de ello.

Análisis de la situación general en torno a los datos de activos de TI

La gestión de la seguridad depende cada vez más de los datos. Sin este conocimiento, cada vez es más difícil priorizar los problemas y garantizar la seguridad de todos los activos de TI.

Puede haber conjuntos de datos existentes en toda la empresa creados por equipos que buscan alcanzar sus propios objetivos, pero es más eficiente crear una única fuente que sea precisa y que pueda sustentar todos estos casos de uso.

Es esencial centralizar todos estos datos y obtener un punto de vista único sobre todos los activos de TI, independientemente de dónde se encuentren en un momento dado. La consolidación de estos datos también debería facilitar la gestión, el análisis y la búsqueda de información sobre los activos, el software y las actualizaciones instaladas. En lugar de un laberinto de datos, esto debería proporcionarle una imagen más detallada de todos los cambios de seguridad que importan y las prioridades basadas en su entorno real.

La entrada Los equipos de seguridad se ahogan en los datos – cómo resolver el problema aparece primero en Globb Security.