A veces, lo único peor que no tener suficiente información es tener demasiada. Esto es especialmente cierto en el caso de la ciberseguridad: las organizaciones probablemente no deberían ignorar las amenazas potenciales, pero tampoco necesitan ser bombardeadas con datos en gran medida irrelevantes.
¿Deben las organizaciones ignorar alegremente cada revelación de vulnerabilidad, advertencia de antivirus o carta de un actor de amenazas que afirma que ya está dentro de los sistemas? La respuesta es no, aunque solo sea por cumplir la normativa. ¿Deberían ejecutar constantemente herramientas automatizadas que prometan descubrir todas las vulnerabilidades, errores de configuración y otros fallos de seguridad de sus redes? Probablemente tampoco.
A menudo es mejor operar en algún punto intermedio entre estos extremos. Una encuesta realizada por ESG en nombre de Synack descubrió que a muchas organizaciones les resulta difícil mantenerse al día de las vulnerabilidades abiertas, coordinar los procesos de gestión de vulnerabilidades a través de múltiples herramientas e interpretar los resultados de los escaneos automatizados, entre otras cosas. Estas organizaciones ya tienen acceso a la información que necesitan; sólo necesitan ayuda para utilizar ese conocimiento con eficacia.
Automatizar el descubrimiento de vulnerabilidades es sólo la mitad de la batalla
Las herramientas automatizadas no pueden tener en cuenta el aspecto humano de la ciberseguridad. Las advertencias generadas por un software antivirus, las herramientas de detección y respuesta de endpoints y otras soluciones no se gestionan por sí solas. En muchos casos, un centro de operaciones de seguridad (SOC) tendrá que decidir cómo responder a cada aviso, ya sea investigando más a fondo la actividad sospechosa, ignorando los falsos positivos o adoptando cualquier otro enfoque.
Muchos SOC carecen de personal suficiente. Un aluvión de notificaciones procedentes de sus herramientas de seguridad puede ser útil, pero también puede provocar fatiga por alertas, un fenómeno que se produce cuando los profesionales de la ciberseguridad se ven inundados por un volumen tan elevado de alertas de seguridad que disminuye su capacidad para reaccionar eficazmente e investigar las amenazas reales. Dicho de otro modo: hay demasiado ruido para que puedan captar la señal.
Por supuesto, cada organización tendrá distintos requisitos para sus informes de seguridad. Algunas querrán lo mínimo; otras querrán toda la información posible. Lo importante es encontrar la relación señal-ruido adecuada para cada organización.
El enfoque humano
Un enfoque humano de las pruebas de seguridad puede acercarse mucho más a esa relación de lo que podría hacerlo una solución totalmente automatizada.
Las plataformas de pruebas de penetración como servicio (PTaaS) más avanzadas se han diseñado para dar respuesta a esas preocupaciones. En estos casdos, un equipo de investigadores evalúa continuamente la postura de seguridad de una organización en función de sus necesidades específicas. A continuación, esos investigadores redactan un informe en el que detallan sus conclusiones, que se facilita a la organización en cuestión, pero sólo después de que lo haya revisado un miembro del equipo de operaciones de vulnerabilidad.
Este enfoque permite a las organizaciones recibir información actualizada sobre los fallos de seguridad que les preocupan -ya sea una función vulnerable en su aplicación móvil, una API mal configurada o algo totalmente distinto- sin tener que examinar un informe que contiene un montón de datos que no les interesan. Las herramientas automatizadas disponibles hoy en día no pueden hacer eso; todo lo que pueden hacer es operar bajo los parámetros establecidos cuando fueron programadas y desplegadas. De ahí, la importancia del factor humano en la ciberseguridad.
Sergio Rubio, Account Manager de Synack
