Si estás leyendo este artículo es que te has planteado implementar un sistema de monitorización de Ciberseguridad para tu infraestructura tecnológica, pero… ¿Para qué lo necesitas?

Aquí tenéis 5 razones por las que necesitas un sistema de monitorización de Ciberseguridad:

1.   Volumen de información inmanejable

A la hora de establecer contramedidas efectivas, una de las barreras que encuentran CISOs y CIOs, es el volumen de datos que deben manejar. Simplemente es demasiada información, demasiados equipos generando logs, demasiadas alertas, demasiados falsos positivos… Demasiado de todo.

Los sistemas de monitorización, basados en herramientas de correlación de eventos, nos ayudan a:

  • Ordenar toda esa información, todos esos logs.
  • Presentar la información en un formato más entendible, un formato más humano. Cuadros de mando, indicadores, etc.
  • Tener accesible la información relevante en caso de tener que realizar una investigación forense o un simple troubleshooting.

A modo de broma, pero con un poco de verdad entre líneas: Quien sabe, igual, entre los 1.743 emails que te ha mandado esta semana tu firewall, hay 1 que te alertaba de un ataque persistente dirigido a tu CEO.

2.   Es difícil poner puertas al campo

sistema de monitorizacion SOC ciberseguridadCuando pensamos en cómo proteger nuestros sistemas de información, lo primero que nos viene a la cabeza es desplegar alguna solución o herramienta, quizás un firewall de última de generación, un WAF, o cualquier otra tecnología.

Todo esto está muy bien, y seguro que son contramedidas que nos hacen falta, pero… ¿Es suficiente? Yo creo que no. La experiencia nos ha demostrado que por muchos sistemas de protección de los que dispongamos, siempre hay alguna variable que no hemos contemplado, un “check” que no está habilitado, o una actualización que no hemos instalado.

Proteger la información es algo parecido a poner puertas al campo, es difícil, el escenario sobre el que trabajamos es muy grande. Dicho esto, en el mundo de la protección física, ya dieron con una solución parecida a la monitorización de Ciberseguridad: la videovigilancia. Cuando no podemos levantar un muro impenetrable, lo mejor es conocer y alertar que alguien o algo se lo está saltando.

Planteado de otra manera, como no podemos proteger todos nuestros sistemas al 100%, lo mejor es monitorizarlos en busca posibles amenazas.

3.   Falta de personal cualificado

En el sector de la Ciberseguridad, especialmente en los últimos años, hemos detectado una gran dificultad a la hora de encontrar personal cualificado. ¿Cómo salvar esta dificultad?

Propongo 3 soluciones:

  • Formar a nuestro equipo.
  • Automatizar procesos con herramientas como, por ejemplo, un SIEM.
  • Contratar un Centro de Operaciones de Seguridad (SOC) 24×7.

Además, hay que tener en cuenta que un sistema de monitorización basado en una buena herramienta, simplifica la detección y gestión de incidentes. Esto quiere decir que no dependeremos (tanto) de la formación y experiencia de nuestro equipo técnico.

4.   Necesitamos medir

Para mejorar, necesitamos medir. ¿Cómo podemos medir la eficiencia y eficacia de nuestros sistemas de protección? Monitorizando.

Una vez tengamos en marcha nuestro servicio de monitorización, y hayamos configurado unos cuadros de mando seremos capaces de medir muchas cosas:

  • Número de ataques recibidos
  • Intentos de autenticación fallidos
  • Vulnerabilidades descubiertas
  • Malware en la red, equipos y servidores
  • Usuarios con comportamiento anómalo

Todos estos indicadores podremos presentarlos en un cuadro de mando, y presentarlo a todos los niveles de la organización: técnico, responsable o ejecutivo.

¿Y si nos preguntan en que estamos gastando el presupuesto de Ciberseguridad? Si tenemos un sistema de monitorización bien configurado, seremos capaces de generar informes entendibles y fáciles de leer, que demuestren la efectividad de las soluciones implementadas mediante indicadores de rendimiento. A todos nos gustan los gráficos bonitos.

5.   Cumplimiento normativo

Si hablamos de medir, no podemos obviar el cumplimiento normativo. Muchos de los controles que definen las normas (ISO 27001, GDPR, PCI DSS,…) nos instan a medir, y sobe todo a que nuestros procesos críticos participen en el ciclo de mejora continua.

Debemos ser capaces de responder preguntas como: ¿Cuántos incidentes has tenido el último mes?, ¿cuál ha sido tu tiempo de respuesta?, ¿tienes más o menos ataques que el mes pasado?

Por supuesto, todas estas preguntas pueden ser respondidas en minutos si tenemos un sistema de monitorización. Son muchas las herramientas (AlienVault, Splunk, LogRhythm, etc) que integran cuadros de mando específicos para el cumplimiento normativo.

Conclusión

Hoy por hoy los sistemas de monitorización son una pieza muy importante del puzzle de la Ciberseguridad, sobre todo si están integrados en un SOC.

Sin ellos nos resultará muy difícil:

  • Manejar el volumen de información que generan nuestros sistemas de protección.
  • Identificar amenazas antes de que se materialicen.
  • Ayudar a nuestro equipo técnico a ser más eficiente, y sobre todo, más efectivo.
  • Medir para mejorar
  • Dar soporte al cumplimiento normativo