Escasez de competencias y automatización, entre los retos del SOC del futuro

Recomendados:  El papel de la ciberinteligencia en la seguridad empresarial Webinar Microsegmentación, clave para seguridad empresarial Leer La hoja de ruta de DevOps en materia de seguridad Leer

Durante los últimos 18 meses, el Centro de Operaciones de Seguridad (SOC) ha estado en primera línea frente al aumento de las ciberamenazas inducidas por la pandemia. De hecho, según un estudio de Forrester, en 2020 el equipo medio de operaciones de seguridad recibía más de 11.000 alertas al día., una cifra que es muy probable que haya aumentado debido al cambio de los trabajadores que antes se encontraban en la oficina y, actualmente, trabajan en remoto. ThreatQuotient ha hecho balance de los retos del SOC durante el año pasado y ha concretado cuales son los retos para mejorarlos en 2022:

--Evitar la escasez de competencias en ciberseguridad. Las organizaciones desean dedicar más recursos humanos a las actividades de los SOC, así como la adquisición de habilidades adicionales por parte del personal existente. ThreatQuotient señala que la principal "habilidad que falta" en los equipos es la experiencia en la búsqueda de amenazas, algo que puede ser costoso de obtener fuera del ámbito de la empresa. También se observó que la caza de amenazas y la supervisión de la inteligencia son las actividades más comúnmente subcontratadas por el SOC, dos áreas en las que el conocimiento íntimo de los sistemas y la infraestructura internos mejora considerablemente la eficacia. Si se da a los analistas la oportunidad de adquirir estas habilidades y se les apoya con herramientas, esto supondrá un doble beneficio para la empresa, al retener al personal clave y construir una capacidad interna más fuerte en las áreas que más se beneficiarían.

--Establecer cargas de trabajo equilibradas. En la actualidad, las organizaciones carecen de un método adecuado para calcular la carga de trabajo de los analistas. La mayoría de los encuestados afirman que su SOC no la calcula o utilizan un método básico de tiempo por entrada. Dado que el 83% de los SOC operan 24 horas al día, 7 días a la semana, y la mayoría ofrecen esta capacidad a través de recursos internos, la gestión de la carga de trabajo es importante para mantener el bienestar del equipo.

--Apostar por la automatización. Cuando se carece de personal y habilidades, es fundamental que las tareas repetitivas y de bajo valor se automaticen en la medida de lo posible, liberando a los analistas para que se centren en actividades de mayor importancia que reduzcan el tiempo de detección y respuesta, y sean más satisfactorias a nivel individual. Varios encuestados citaron la falta de contexto relacionado con los datos que analizan como una barrera importante para operar en un SOC eficiente. El SOC del futuro se basará cada vez más en los datos, ingiriendo información de múltiples fuentes dentro y fuera de la empresa, pero los datos sin contexto o relevancia simplemente abrumarán a los analistas.

“Para aportar todas estas ventajas al SOC del futuro, ThreatQuotient ha incorporado el motor DataLinq para conectar sistemas y fuentes dispares con el fin de permitir la XDR, junto con Smart Collections para impulsar la automatización y ThreatQ Data Exchange mejorado la compartición bidireccional datos, contexto e inteligencia sobre amenazas. Esto permite a los equipos ser más minuciosos en sus investigaciones, la colaboración, respuesta e informes, algo particularmente crítico en un entorno de trabajo remoto que da lugar a operaciones más eficientes”, afirma Eutimio Fernández, Regional Sales Manager de ThreatQuotient España.