Por Claudio Martinelli, Director General para América Latina de Kaspersky.
En los últimos años, las operaciones de seguridad se han vuelto más difíciles para la mayoría de las organizaciones por factores como la evolución del panorama de amenazas, el volumen y la complejidad de las alertas de seguridad, así como la proliferación de la nube pública. Un claro ejemplo es que, a nivel mundial, según datos de Kaspersky, el 64% de las organizaciones, ya sean públicas o privadas, han sido víctimas de ransomware, uno de los riesgos más destacados para las empresas e instituciones gubernamentales.
La situación es especialmente compleja en América Latina, pues de acuerdo a cifras de Kapersky, en los primeros ocho meses del año se han registrado un promedio de 4,000 ataques de ransomware al día. En la región se han detectado familias locales de ransomware con un solo objetivo: atacar instituciones latinoamericanas, ya sean del sector público o privado. En esencia, el panorama de amenazas cada vez más peligroso, así como la creciente superficie de ataque, situaciones que complican la gestión de la seguridad en todas las organizaciones.
De hecho, según el reciente informe de Análisis de Respuesta a Incidentes de Kaspersky, el 51.9% de las organizaciones detectó ransomware en sus redes el año pasado, un aumento significativo en comparación con 2020, cuando la cifra fue del 34%. El informe también reveló que más de la mitad (53.6%) de los incidentes cibernéticos en 2021 fueron facilitados por la explotación de vulnerabilidades y exploits conocidos. Lamentablemente, las organizaciones afectadas no solo sufrieron el ataque, sino también el daño a su reputación –sobre todo las que llegaron a los titulares de noticias–, la pérdida de confianza de sus socios y clientes, además de enfrentarse a sanciones de los reguladores y a demandas judiciales.
Entonces, ¿cómo enfrentan las empresas este creciente panorama de amenazas? Un reciente informe de Kaspersky revela que el entorno de operaciones de seguridad se ha vuelto más difícil de gestionar en los últimos dos años para más de la mitad (52%) de ellas, mientras que el 70% tiene dificultades para hacer frente al número de alertas de seguridad generadas por las herramientas de análisis de ciberseguridad. Los equipos especializados de un tercio de las empresas se ven desbordados por estas notificaciones, así como por la demanda de resolución de emergencias, poniendo en riesgo la gestión eficaz de las tareas esenciales por parte del Centro de Operaciones de Seguridad (SOC).
Adicionalmente, el elevado volumen de alertas que reciben estos equipos no sólo afecta a su productividad y funcionamiento, sino también a su bienestar. En lugar de centrarse en tareas estratégicas, los analistas se dedican a actividades rutinarias que provocan estrés y agotamiento mental y que bien podrían automatizarse, como el registro de problemas de seguridad en línea o el análisis de informes para solucionar vulnerabilidades.
Esto representa un riesgo permanente para las organizaciones. Volviendo al ejemplo del ransomware, alrededor del 90% de las empresas que han sido víctimas de esta amenaza pagaría un rescate si fueran atacadas de nuevo. Este tipo de decisiones podría atribuirse a un conocimiento deficiente sobre cómo responder a este tipo de amenazas, pero también a que los equipos no tienen suficiente tiempo para ocuparse de una estrategia de seguridad y mejorar el proceso, lo que aumenta las posibilidades de que su empresa se convierta en el próximo titular de noticias sobre una violación de datos.
La buena noticia es que esta situación se puede prevenir. Según nuestra experiencia, la mayoría de las alertas se refieren a situaciones de seguridad para las que ya existen soluciones, por lo que todo el proceso puede automatizarse con una solución EDR fiable. Esto permitirá a los profesionales del centro de operaciones centrarse en la búsqueda proactiva de amenazas complejas que se esconden en la red. Además de aumentar la eficacia operativa de este equipo, la empresa en su conjunto estará más protegida al informarse de las nuevas estafas en línea con detalles sobre cómo reconocerlas y bloquearlas. Esta información puede integrarse con las soluciones de protección SOC, garantizando que el proceso esté 100% automatizado.
Para ayudar a los equipos encargados de gestionar las alertas a responder de forma más eficiente y evitar la saturación, es importante que las empresas implementen acciones que consideren tanto el enfoque humano como el de negocio. Es decir, priorizar a los empleados, evitar la sobrecarga de trabajo, distribuir las tareas clave y considerar la rotación interna de los equipos, mientras que se utilizan servicios de inteligencia de amenazas que pueden ayudar a los controles de seguridad existentes, con el fin de automatizar los procesos, como la clasificación de las alertas que genere suficiente contexto para decidir si éstas deben investigarse inmediatamente.
Las empresas suelen tener dificultades para encontrar los conocimientos y el personal necesarios para rastrear las amenazas y poder dar una respuesta adecuada. Los equipos de seguridad suelen estar desbordados al tener que gestionar sistemas y herramientas, lo que les deja poco tiempo para investigar y analizar a fondo. La solución a este problema es más accesible de lo que se piensa. De hecho, no se necesita pagar un millón de dólares a una de las Cuatro Grandes empresas de consultoría de gestión, ni un rescate multimillonario a los ciberdelincuentes si sufre un ciberataque. La solución radica en trabajar con un socio especializado en ciberseguridad que proteja sus operaciones las 24 horas del día y lo mantenga alejado de todos los daños colaterales.
En un mundo cada vez más digitalizado, en el que la supervivencia de las organizaciones depende de cómo se enfrenten a los incidentes de ciberseguridad, es esencial que los profesionales calificados se enfoquen en la búsqueda proactiva de amenazas complejas. Sólo con la implementación de herramientas fiables de inteligencia de amenazas y automatización, una organización puede reducir drásticamente los riesgos de seguridad sin sobrecargar a los especialistas, protegiéndola así eficazmente para que no se convierta en el próximo titular de noticias sobre ciberseguridad.