No hay duda de que vivimos en una era de eficiencia. Han quedado atrás los días de tener 450 canales de televisión. Ahora, lo que se busca es una experiencia más personalizada con una suscripción a Netflix. La estrategia de “menos es más” puede haber comenzado como un concepto de diseño arquitectónico, pero ahora está tomando el control en todos los aspectos del panorama cultural actual. En medicina, la industria de la atención médica ha sido criticada por gastos innecesarios y pruebas que pueden llevar a falsos positivos, por lo que el enfoque se ha centrado en la atención centrada en el paciente. ¿Por qué no debería ser lo mismo para la seguridad empresarial? Es fácil creer que un director de seguridad de la información (CISO, por sus siglas en inglés) debería conocer todas las actividades en su red, pero esto solo crea distracciones peligrosas y trabajo ocupado que no siempre es significativo. La industria necesita un enfoque diferente para proteger los datos sensibles de una empresa.

El problema

La ciberseguridad nunca ha sido tan prominente en las noticias como lo fue en 2017. Según el informe reciente de Cisco, el 55% de los encuestados afirmaron que sus organizaciones tuvieron que enfrentar la atención pública debido a una violación de seguridad en el último año. Grandes violaciones de seguridad hicieron titulares en todo el mundo. Esto se puede atribuir en gran medida a un cambio tectónico en la naturaleza de los adversarios. A medida que las herramientas de piratería se han vuelto más accesibles y la actividad maliciosa ahora se puede monetizar más fácilmente, no se trata de si ocurrirá una violación de datos, sino de cuándo ocurrirá. Para gestionar esta creciente avalancha de ataques, muchas empresas de ciberseguridad han comenzado a implementar inteligencia artificial (IA) y aprendizaje automático (ML). El problema es que estas empresas utilizan la cantidad de modelos algorítmicos empleados o la cantidad de anomalías detectadas como métrica de éxito. La detección de anomalías crea ruido, lo cual no solo abruma a los analistas, sino que también puede ocultar las amenazas graves. Durante años, las tácticas de miedo utilizadas por las empresas de ciberseguridad para convencer a los CISOs de que “más es mejor” dejaron a los equipos de seguridad deseando la mayor cantidad de alertas posible. Al igual que los consumidores solían querer la mayor cantidad de canales de cable posible, hemos aprendido que la cantidad no siempre significa calidad.

Ayudando a los equipos

Las redes son muy ruidosas y la mayoría de las herramientas no pueden distinguir entre lo simplemente anómalo y lo verdaderamente sospechoso. El resultado de esta mezcla de alertas excesivas ha dejado a los equipos de seguridad ahogados en falsos positivos y anomalías de red sin contexto. Según el Informe de Cisco de 2018, casi el 50% de las organizaciones utilizan entre seis y 20 proveedores de seguridad. El desafío de gestionar miles de alertas solo aumenta con el número de proveedores. El 74% de los profesionales de la seguridad afirmaron que gestionar las alertas de múltiples proveedores es un desafío o un desafío muy grande, lo que deja a los analistas sintiéndose sobrecargados y mal preparados cuando se enfrentan a una gran violación de datos.

En resumen, la eficiencia es clave en la seguridad empresarial. No se trata de tener la mayor cantidad de alertas o proveedores de seguridad, sino de tener un enfoque centrado en la calidad y la relevancia de las amenazas. La implementación de inteligencia artificial y aprendizaje automático puede ayudar a filtrar el ruido y permitir que los equipos de seguridad se enfoquen en las amenazas más importantes. Es hora de dejar atrás la mentalidad de “más es mejor” y adoptar una mentalidad de “menos pero mejor”.