Operaciones de seguridad:¿automatización tiene que significar automático?

La respuesta a incidentes se automatizará cada vez más, ya que el aprendizaje automático y la IA tienen un gran potencial para hacer todo el proceso sea más eficiente, pero la automatización debe hacerse con cautela y hasta cierto punto, sin renunciar al elemento humano y permitiendo que los CISO mantengan el control sobre todos los eventos de ciberseguridad, debido al conocimiento y la experiencia irremplazables que tienen y debido a las deficiencias obvias de estas tecnologías que aún no se han resuelto

Los avances en los campos del aprendizaje automático y la IA se han vuelto cada vez más notorios en la industria de la seguridad cibernética en los últimos años. Varias soluciones diseñadas para agilizar los esfuerzos de respuesta a incidentes y hacerlos más efectivos, emplean estas tecnologías hoy en día.

No hay duda de que la automatización de ciertas tareas dentro del proceso de respuesta a incidentes, en particular aquellas que involucran trabajo rutinario y mecánico, ayuda a que las organizaciones sean más resistentes a los ataques cibernéticos. Sin embargo, algunos profesionales de la seguridad cibernética tienden a equiparar la automatización de algunos aspectos del proceso con hacer que todo el proceso sea automático, que en realidad son dos conceptos diferentes.

Es importante tener en cuenta que, cuando se trata de respuesta a incidentes cibernéticos, la automatización y la automatización no deben considerarse sinónimos.

>Ver también: Automatización de la seguridad:impulsar la productividad de TI y la resiliencia de la red

En esencia, la automatización, cuando se combina con una solución de orquestación, ayuda a reducir los tiempos de reacción al reemplazar las tareas más repetitivas y rutinarias que suelen consumir una gran parte del tiempo que los profesionales de seguridad dedican a los eventos de ciberseguridad, al tiempo que les permite mantener el control sobre los eventos. todo el proceso y mantener la posibilidad de utilizar el juicio humano durante las etapas de toma de decisiones.

Automático, por su parte, básicamente significa dar un control completo de las incidencias a una máquina, lo que en algunos casos puede producir resultados incorrectos e incluso provocar daños severos a una organización.

Cómo navegan los CISO en el "nuevo mundo automatizado versus automático"

En este entorno recién creado, donde la idea de la respuesta automática está ganando cada vez más tracción, una de las principales preguntas que surgen dentro de la comunidad de profesionales de ciberseguridad es cómo los CISO lo están navegando y si están ansiosos por implementar la automatización completa o si están conscientes de los riesgos potenciales que implica y están decididos a seguir con un enfoque orquestado.

Se puede decir que hay muchos CISO que se sienten tentados a adoptar la respuesta automática a incidentes, pero lo que necesitan saber antes de hacerlo es que existen numerosos desafíos y obstáculos asociados con tal movimiento.

Por ejemplo, existen riesgos de cumplimiento específicos que pueden surgir de este tipo de escenario. El cumplimiento de las leyes de notificación de violaciones de datos es primordial en el ámbito de la respuesta a incidentes, ya que las organizaciones deben notificar a sus clientes sobre las violaciones y enviar informes sobre esas violaciones a las autoridades correspondientes dentro de un período de tiempo determinado.

>Ver también: La movilidad exige que la seguridad vaya de la mano con la automatización

Para poder lograr ese tipo de cumplimiento, las organizaciones simplemente no pueden confiar en un sistema automático de respuesta a incidentes, ya que involucra la participación humana durante el proceso de evaluación del alcance, la gravedad y el impacto de las infracciones, que debe completarse antes de que la organización pueda decidir si un incumplimiento específico está sujeto a las leyes de notificación.

El Reglamento General de Protección de Datos (GDPR) como ejemplo, que entrará en vigencia en mayo de 2018, es una de esas regulaciones estrictas que requieren que ciertas organizaciones que han experimentado una violación de datos dentro de las 72 horas posteriores a la toma de conocimiento de la violación, y notificar a las personas afectadas por ese incumplimiento si se determina que el incumplimiento tuvo un impacto adverso.

Para determinar estos hechos, y decidir si se debe reportar una brecha, las organizaciones necesitan profesionales de ciberseguridad que sean conscientes de la existencia de tales regulaciones y las conozcan en detalle, y reaccionen de acuerdo con esas regulaciones, algo que un sistema automático de respuesta a incidentes es no es capaz de hacer. Las sanciones por no cumplir con estas regulaciones pueden ser bastante severas, incluidas multas elevadas que pueden dañar seriamente los resultados de una organización.

¿La seguridad cibernética mantendrá el elemento humano en el futuro?

Otra pregunta importante que se plantea en la comunidad de seguridad cibernética es si todavía se necesita el elemento humano en la respuesta a incidentes. Los rápidos avances en el campo del aprendizaje automático y la inteligencia artificial han sacado a la luz esta pregunta, y los defensores de la automatización afirman que es el siguiente paso lógico e inevitable para la seguridad cibernética.

Si bien la idea de tener una respuesta automática a incidentes puede parecer atractiva, la opinión más razonable y fundamentada es que el elemento humano seguirá desempeñando un papel importante en la ciberseguridad, debido a varias razones importantes. En primer lugar, como se indicó anteriormente, está el hecho de que el juicio humano aún es necesario en muchos aspectos clave de la respuesta a incidentes, como garantizar el cumplimiento normativo.

>Ver también: Automatización:una necesidad de la red

Entonces, los profesionales de seguridad cibernética experimentados y altamente calificados son, y deben seguir siendo, un elemento inseparable en el proceso de orquestación de respuesta a incidentes. La orquestación es necesaria para que los equipos de seguridad puedan llevar a cabo con eficacia y eficiencia todo el proceso de respuesta a incidentes sin perder el control de algunos aspectos esenciales del mismo, como la recuperación y la erradicación, además de la preparación y el análisis posterior al incidente, que requieren participación humana.

Además, sin duda se espera que los CISO sigan formando parte de algunas de las actividades de mayor alcance relacionadas con la respuesta a incidentes, como aumentar la concienciación sobre ciberseguridad entre todos los empleados dentro de sus organizaciones y mejorar la resiliencia de su organización ante futuros ciberataques.

En pocas palabras, la respuesta a incidentes se automatizará cada vez más, ya que el aprendizaje automático y la IA tienen un gran potencial para hacer que todo el proceso sea más eficiente, pero la automatización debe realizarse con precaución y hasta cierto punto, sin dar aumentar el elemento humano y permitir que los CISO mantengan el control sobre todos los eventos de seguridad cibernética, debido al conocimiento y la experiencia insustituibles que tienen y debido a las deficiencias obvias de estas tecnologías que aún no se han resuelto.

Fuente de Dario Forte, fundador y director ejecutivo de DFLabs

La conferencia más grande del Reino Unido para el liderazgo tecnológico, Tech Leaders Summit, regresa el 14 de septiembre con más de 40 altos ejecutivos inscritos para hablar sobre los desafíos y oportunidades que rodean las innovaciones más disruptivas que enfrenta la empresa hoy en día. Asegure su lugar en esta prestigiosa cumbre registrándose aquí