6 nuevas métricas para medir la respuesta a incidentes mediante la automatización
A medida que la automatización continúa transformando los procesos de respuesta a incidentes, será casi imposible demostrar cómo transforma el rendimiento de la respuesta a incidentes sin la habilitación de estas nuevas métricas
A medida que los equipos de seguridad redefinen las infraestructuras de seguridad de su organización para hacer frente al cambiante panorama de amenazas, a menudo necesitan demostrar cómo esos cambios tendrán un impacto positivo en el resultado final del negocio.
Sin embargo, en 2016, el SANS Institute descubrió que el 71 % de las organizaciones no tienen métricas o mediciones periódicas para el desempeño de la respuesta a incidentes (IR). Si bien este porcentaje ha disminuido en los últimos años (el 58 % declaró no tener métricas en 2017), muchos equipos de seguridad solo verán la necesidad de medir su desempeño luego de un incidente cibernético importante.
>Ver también: Operaciones de seguridad:¿automatización tiene que significar automático?
Al automatizar los procesos de respuesta a incidentes, puede ayudar a las empresas a desarrollar un enfoque completamente nuevo para las métricas de seguridad cibernética, reducir costos, aumentar la eficiencia y proporcionar objetivos prácticos para los gerentes, no solo fortaleciendo sus operaciones de seguridad, sino también asegurando que el enfoque de seguridad esté alineado con el negocio. Las seis nuevas métricas incluyen:
1. Costo por incidente (CPI)
La métrica de CPI se puede medir como la duración de un incidente multiplicada por la tarifa promedio por hora de un analista de nivel uno. Muchos equipos de seguridad ejecutarán esa fórmula a través del manual de IR para cada fase de un incidente, desde la detección hasta la respuesta y la reparación.
>Ver también: Automatización de la seguridad:impulsar la productividad de TI y la resiliencia de la red
El uso de la automatización no solo elimina pasos o flujos de trabajo completos, sino que ofrece aceleración, enormes ahorros de costos y mejora la eficiencia, ya que los equipos pueden enfocarse en validar y concluir incidentes, en lugar de perder el tiempo en una búsqueda inútil.
2. Detección automática frente a detección manual
Los equipos de seguridad pueden establecer una línea de base para determinar la proporción de detecciones que produce la pila de seguridad frente al número combinado de detecciones humanas recibidas.
Para averiguar las detecciones humanas, los equipos de seguridad deben determinar la cantidad de detecciones del personal, como un empleado que reconoce que su máquina no funciona correctamente o un administrador de TI que reconoce que un sistema funciona de manera inusual. Agregue a esto la cantidad de detecciones externas, como la cantidad de veces que el equipo de seguridad recibe una llamada del gobierno/administradores de TI, y la cantidad de detecciones que el personal de operaciones de seguridad creó manualmente al sintetizar datos de su pila de seguridad o SEIM, y esto le dará organizaciones un sentido de la eficiencia del sistema actual.
>Ver también: La movilidad exige que la seguridad vaya de la mano con la automatización
Al automatizar los procesos de respuesta a incidentes, las empresas pueden esperar que la proporción se incline sustancialmente hacia el lado de la automatización de la ecuación, lo que significa una mayor eficiencia en las operaciones de seguridad.
3. Porcentaje de investigación versus volumen
Las operaciones de seguridad ahora pueden determinar qué se está escapando. Al medir las investigaciones frente al volumen de alertas, las empresas pueden medir la brecha de riesgo en las operaciones de seguridad actuales. Con los procesos automatizados de respuesta a incidentes, el porcentaje de investigaciones por volumen aumentará drásticamente.
Por ejemplo, si una organización normalmente realiza tres investigaciones por cada 100 alertas (3/100 o 3 %) y luego implementa la automatización, lo que genera una tasa de alerta a conclusión del 10 % y dos investigaciones adicionales (5/10 o 50 %), que produce un aumento masivo del 1500 por ciento en la efectividad de las operaciones de seguridad.
4. Proporción de investigación a respuesta
A cualquier organización le interesa asegurarse de que el equipo de operaciones de seguridad pierda el menor tiempo posible, y la relación entre la investigación y la métrica de respuesta puede ayudar a determinar cuántos elementos que se investigaron conducen a un flujo de trabajo de respuesta que se está completando.
>Ver también: Predicciones de ciberseguridad para 2018
La automatización de los procesos de respuesta a incidentes conducirá a una convergencia de las investigaciones a la respuesta, ya que más investigaciones se basan en conclusiones validadas, en lugar de simples ataques sospechosos.
5. Tasa de decisión
Esta métrica mide el tiempo que se tarda en tomar una decisión tras la generación de una alerta. No es raro que la "parálisis de análisis" y la incertidumbre de las operaciones de seguridad aumenten los tiempos de permanencia y el riesgo de propagación de un ataque. También le quita tiempo a la investigación y respuesta a otros ataques que pueden estar ocurriendo al mismo tiempo.
Al medir la tasa de decisión antes y después de implementar la automatización, el equipo de operaciones de seguridad puede demostrar su agilidad y aumentar la capacidad de respuesta sin agregar los escasos recursos humanos.
6. Respuesta de remediación vs reimagen
Esta métrica mide la interrupción del negocio. Cuantas más respuestas remotas y quirúrgicas estén habilitadas por la automatización de procesos, menos correcciones de "gran martillo" para volver a crear una imagen del punto final de un usuario final tienen que ocurrir, lo que significa menos interrupciones comerciales e inconvenientes para los empleados. Es fácil ver cómo quitarle la computadora portátil a alguien por un día o deshabilitar un servidor de procesamiento de pagos puede interrumpir gravemente las operaciones de seguridad, incluso cuando las copias de seguridad activas y las conmutaciones por error en clúster son parte de la solución.
>Consulte también: Eldesafío de ciberseguridad para TI de sucursales minoristas
La automatización de los procesos de respuesta a incidentes evita tales interrupciones a través de la creación de reglas procesables que pueden iniciar automáticamente la remediación quirúrgica y el análisis profundo.
Métricas como habilitadores
A medida que la automatización continúa transformando los procesos de respuesta a incidentes, será casi imposible demostrar cómo transforma el rendimiento de la respuesta a incidentes sin la habilitación de estas nuevas métricas.
En pocas palabras, cada una de estas nuevas métricas puede demostrar cómo la automatización de los procesos de respuesta a incidentes no solo puede fortalecer su infraestructura de seguridad, sino también impactar en el resultado final.
Obtenido por Andrew Bushby, director del Reino Unido en Fidelis Cybersecurity
Sistema de control de automatización
- Automatización:nueva fuente y capacidades para robots colaborativos
- Automatización:Nuevas pinzas para Cobots
- Automatización:Nuevos accesorios para Cobots
- Moldeo por inyección:nuevo enfoque de automatización para puntas de pipetas médicas
- Automatización:nuevo hardware y software para robots de bajo costo
- Automatización:Nuevo Cobot resistente al agua y al polvo para aplicaciones sanitarias
- Proveedor de automatización de ensamblajes médicos adopta un nuevo nombre para la operación en EE. UU.
- Omron presenta nuevos equipos de panel de control para la automatización de fábricas
- ATI Industrial Automation lanza una nueva lijadora orbital para robots
- ABB proporciona planificación de automatización y electrificación para una nueva mina en Suecia
- Beneficios de usar la automatización de movimiento para la fabricación de piedra