Buscar
Empleado utilizando la ciberseguridad en el ordenador

Por qué las operaciones de seguridad necesitan modernizarse con IA

Cómo pueden las empresas reducir su dependencia de los procesos manuales en las operaciones de seguridad y mejorar la detección de amenazas con IA

08-may.-2024Dheeraj Rawal

El trasfondo

En este blog aprenderás cómo las operaciones de seguridad (SecOps) han evolucionado de reactivas a proactivas. Descubre más sobre los retos para los procesos manuales y por qué se necesitan expertos en seguridad. ¿Cómo puede la inteligencia artificial (IA) eliminar estos retos? ¿Están adoptando las empresas la inteligencia artificial? ¿Qué ventajas promete y aporta la inteligencia artificial a las SecOps?

Historia de las operaciones de seguridad

Durante mucho tiempo, el centro de operaciones de seguridad (SOC) fue una enorme sala con grandes pantallas que mostraban constantemente mensajes de alerta. Los equipos de seguridad se sentaban frente a estas pantallas, vigilando y analizando continuamente las alertas. Los SOC se diseñaron originalmente para organizaciones gubernamentales y de defensa, y se ocupaban sobre todo de las alertas de red. Después se añadieron los sistemas de detección de intrusiones (IDS), cortafuegos, protección antivirus, etc. Las operaciones de seguridad no cesan de evolucionar para seguir el ritmo de las crecientes amenazas. Por ejemplo, en 2005 se introdujo la gestión de información y eventos de seguridad (SIEM) para optimizar la detección y respuesta ante amenazas (detección y respuesta ante incidentes).

No solo las amenazas, sino también las herramientas se han ido volviendo cada vez más sofisticadas...

A medida que los ciberriesgos han ido evolucionado, en particular las amenazas persistentes avanzadas (APT), también han ido mejorando las herramientas para combatirlos. A partir de 2016, el mercado experimentó el auge de los servicios de detección y respuesta gestionadas (MDR) con modernas funciones de detección de amenazas. Hoy en día, las operaciones de seguridad ya no funcionan de forma reactiva, sino proactiva.  A principios de 2024, tecnologías como la automatización y la inteligencia artificial estarán plenamente integradas en las SecOps. Tecnologías como la inteligencia artificial ayudan a las empresas a mantener una visión de conjunto, procesar mejor los datos y eliminar eficazmente las amenazas.

Aumento de las expectativas relativas a las operaciones de seguridad

Infografía sobre los retos para la seguridad operativa de la información

He aquí algunos retos para las operaciones de seguridad tradicionales.1

De un Centro de Operaciones de Seguridad (SOC) moderno no solo se espera que garantice la seguridad, sino también que cumpla los requisitos de cumplimiento, información y formación. Con sistemas de seguridad obsoletos, los analistas de seguridad se enfrentan a demasiados retos operativos, como por ejemplo, una avalancha constante de alertas.

Cuando se trata de ciberseguridad, el contexto es siempre crucial. Las operaciones de seguridad se basan fundamentalmente en el uso de inteligencia sobre amenazas que pueda prevenir los riesgos. Sin embargo, la avalancha de información, las falsas alarmas y la falta de contexto contrarrestan el propósito de minimizar los riesgos. 
Los analistas reciben miles de alertas cada día; aquí algunos resultados de un estudio2:

  • Número de alertas recibidas diariamente: 4484
  • Horas dedicadas a la categorización manual de las alertas: 3
  • Porcentaje de alertas procesadas diariamente: 33 %
  • Porcentaje de falsas alarmas: 83 %
  • Porcentaje de tiempo para los mensajes de alerta que no representan una amenaza: 32 %

Miedo a perderse una advertencia importante

Inevitablemente, semejante avalancha de advertencias pone en aprietos a los analistas de seguridad. Por ejemplo, el 97 % de ellos teme perderse una advertencia importante cuando la situación es crítica. Esto ocurrió en Target Corporation, una enorme empresa minorista de Estados Unidos. En 2013, Target fue víctima de una de las mayores filtraciones de datos de la historia, en la que se robaron los datos de las tarjetas de crédito y débito de unos 41 millones de clientes. Esta filtración de datos costó a la empresa 18,5 millones de dólares en demandas judiciales, la pérdida de su buena reputación y un desplome de la cotización de sus acciones.

No obstante, lo que realmente da que pensar es el hecho de que, aunque el software de supervisión de Target (FireEye) emitió mensajes de advertencia, los expertos en seguridad no respondieron a ellos. Probablemente consideraron los avisos como falsas alarmas o alarmas de poca importancia y los ignoraron, ya que recibían cientos de estos mensajes cada día.3

Demasiada carga sobre los hombros de los empleados de SecOps

Infografía Por qué es tan compleja la seguridad operativa de la información

Por qué es tan compleja la seguridad operativa de la información

Demasiadas alertas y tan solo unos pocos analistas de seguridad que puedan ocuparse de ellas constituyen un reto importante. La raíz de este problema radica en la dependencia de los procesos manuales. Un estudio realizado en 2023 mostró que el 81 % de los profesionales de las operaciones de seguridad creen que las investigaciones manuales les ralentizan. Deben introducir medidas correctivas manualmente.4 El mismo estudio también descubrió que el tiempo medio para detectar y responder ha aumentado en los últimos dos años. Los analistas dedican aproximadamente un tercio de su tiempo de trabajo diario a investigar amenazas que no son reales.

Aumento de la dependencia de los procesos manuales, pero ninguna solución a la escasez de mano de obra cualificada

El núcleo del problema es la falta de expertos en seguridad capaces de gestionar grandes sistemas. El uso de tecnologías digitales y cloud ha aumentado considerablemente, lo que incrementa la superficie de ataque. Sin embargo, el número de especialistas cualificados en el sector de la seguridad no ha aumentado en las dos últimas décadas. Forbes informa de que tan solo en 2023 había 3,5 millones de puestos de trabajo vacantes en ciberseguridad. En el sector de la seguridad se tarda una media de 150 días en cubrir una vacante.5 Los expertos en seguridad tienen la impresión de que su trabajo es más difícil que hace dos años. Esto se debe a la creciente complejidad, el incesante aumento de la superficie de ataque, la necesidad constante de formación y actualizaciones, la presión presupuestaria y el estrés que supone cumplir la normativa legal.6

La urgente necesidad de abandonar los procesos manuales y lentos

Al haber menos personal disponible, el tiempo que cada individuo necesita para reconocer, analizar y responder es mayor. Además, también existen otros retos, como el escalado de las operaciones, los errores humanos en la interpretación de los datos, la vigilancia permanente, la adaptabilidad a los cambios rápidos, etc. Y por supuesto, sigue habiendo escasez de mano de obra cualificada. Pero si se reduce la dependencia del ser humano, puede resolverse la mayoría de los problemas asociados a las operaciones de seguridad. La automatización de los procesos y el uso de la IA pueden aliviar la presión que soportan los equipos.

La IA y la automatización como salvavidas

Ante la complejidad del entorno, las numerosas alertas y la rapidez de los ataques, las empresas ya no pueden confiar únicamente en las medidas de seguridad convencionales. Las operaciones de seguridad modernas deben ser capaces de reconocer patrones, reaccionar en tiempo real, inferir el contexto adecuado y garantizar el cumplimiento de la normativa. Alrededor del 63 % de los empleados de los SOC creen que tecnologías como la IA y la automatización (o simplemente «automatización inteligente») pueden reducir significativamente los tiempos de respuesta.7

Cómo la IA refuerza la inteligencia sobre amenazas

Empleados utilizando la ciberseguridad en el ordenador

La detección tradicional basada en firmas ya no es suficiente debido a que es incapaz de reconocer los nuevos ataques de día cero y seguir el ritmo de los grandes volúmenes de malware. La inteligencia artificial puede ayudar al equipo de operaciones de seguridad a identificar tanto los ciberriesgos conocidos como los desconocidos, incluso aunque no tengan firma alguna. La inteligencia artificial utiliza algoritmos de aprendizaje automático (ML) para analizar grandes cantidades de datos y detectar anomalías y patrones. La detección de phishing basada en reglas también está obsoleta, debido a que ya no es capaz de reconocer los correos electrónicos de phishing más recientes y desconocidos. En cambio, la IA analiza la estructura del correo electrónico, el contenido y la interacción del usuario para detectar un posible intento de phishing.

Lo mismo sucede con el análisis de protocolos: en comparación con los sistemas basados en reglas, los análisis de protocolos de seguridad basados en IA pueden procesar enormes volúmenes en tiempo real. La IA puede detectar amenazas no solo externas sino también internas, como accesos no autorizados o transferencias de datos sospechosas.

Detección de amenazas mejorada con IA

La IA también proporciona una seguridad de red muy eficaz, ya que sus algoritmos pueden vigilar las redes, detectar patrones de tráfico inusuales, identificar dispositivos no autorizados o sospechosos en la red, etc. Las empresas pueden utilizar la IA para evitar eficazmente las violaciones de datos y los incidentes de seguridad. Una característica clave de la IA es que aprende y mejora con el tiempo. A medida que surgen nuevas ciberamenazas, los modelos de IA pueden aprender de los nuevos datos para crear una defensa aún más sólida. En las organizaciones que utilizan servicios de MDR con protección de puntos finales basada en IA, los equipos de seguridad responden más rápida y eficazmente. En resumen, podemos afirmar que el uso de la IA en las operaciones de seguridad aumenta la eficiencia, mejora la detección en tiempo real, aumenta la escalabilidad y mejora la toma de decisiones, entre otros. 

Cómo pueden las operaciones de seguridad beneficiarse de la IA

Ahorro de tiempo

La IA libera a los equipos de seguridad de tareas tediosas. Esto les permite concentrarse en tareas más críticas y complejas. Con la automatización inteligente se pueden optimizar tareas importantes como la exploración de vulnerabilidades, la gestión de parches, la detección de amenazas y la respuesta a incidentes. La IA también recomienda medidas y apoya a los equipos de seguridad en la defensa frente a las amenazas. Las empresas que utilizan la IA se benefician del rápido procesamiento de datos procedentes de diversas fuentes, el reconocimiento de patrones y el etiquetado de ciberamenazas en tiempo real. Estas organizaciones han ahorrado unos 108 días de tiempo de respuesta a las violaciones de la protección de datos en comparación con las empresas que no han invertido en IA.8

Ahorro de costes

La optimización de las tareas repetitivas permite reducir considerablemente la necesidad de intervenciones manuales frecuentes. Así se reduce o incluso se elimina por completo la necesidad de personal «adicional» para tareas rutinarias. Además, gracias a la información precisa sobre amenazas, los analistas de seguridad no tienen que perder demasiado tiempo investigando falsas alarmas. Al mejorar los índices de detección, los recursos pueden destinarse a tareas más importantes.

La IA para las operaciones de seguridad significa mayores ingresos y ROI

Reduciendo el tiempo de respuesta a los incidentes se logran evitar, entre otros, ataques y violaciones de la protección de datos o ransomware mayores, que de otro modo podrían provocar pérdidas financieras, multas, demandas judiciales, daños a la reputación, etc.

  • Las empresas que invirtieron en IA y automatización ahorraron aproximadamente 1,76 millones de dólares en costes de violación de la protección de datos en comparación con las empresas que no lo hicieron. 
  • Cuando estas tecnologías están plenamente desarrolladas en las empresas, las inversiones en seguridad pueden ser hasta un 40 % más rentables. 
  • Un 43 % más de crecimiento de los ingresos en cinco años para las empresas con capacidades de seguridad maduras.9

Para comprender el éxito de la implantación de la operaciones de seguridad basadas en IA, las organizaciones deben vigilar las siguientes métricas:

  • Tiempo medio de detección (MTTD): cómo la IA ha reducido el tiempo necesario para detectar una amenaza una vez que ha entrado en la red.
  • Tiempo medio de reacción (MTTR): cómo la automatización de la respuesta a incidentes ha reducido el tiempo necesario para responder a una amenaza.
  • Tasa de falsas alarmas: reducción del número de falsas alarmas gracias a la IA.
  • Cobertura de amenazas: número de amenazas conocidas y desconocidas detectadas por la IA.
  • Productividad del Centro de Operaciones de Seguridad (SOC): número de horas ahorradas gracias a la optimización de las tareas y procesos del SOC.
  • Ahorro de costes: ahorro de dinero gracias a la automatización inteligente.

Minimiza los riesgos empresariales con la MDR para empresas asistida por IA de T-Systems

Infografía sobre las funciones de XSIAM de Palo Alto Networks

Funciones de XSIAM de Palo Alto Networks

Con nuestros servicios integrales de MDR, ayudamos a las empresas a mejorar las operaciones de seguridad, reducir los riesgos de seguridad y aumentar su sin comprometer su transformación digital. Nuestros servicios de utilizan tecnologías modernas basadas en IA, como Cortex XSIAM de Palo Alto Networks. Con la ayuda de las funciones de IA, podemos recopilar datos de más fuentes, correlacionar mejor las distintas alertas y reducir el número de alertas de alta prioridad. Esto, a su vez, reduce el tiempo de resolución de días a minutos. Se elimina el tiempo innecesario dedicado a investigar alertas de baja prioridad o falsas alarmas.

Funciones de XSIAM de Palo Alto Networks:

  • Ya no es necesario cambiar entre distintas consolas, ahora todos los datos están disponibles en una única consola que integra datos de distintas fuentes.
  • Añadir una nueva fuente de datos también es sencillo en comparación con la SIEM convencional: los datos se analizan de inmediato.
  • Conecta diferentes productos del mercado de Cortex según sea necesario.
  • XSIAM acelera el tiempo de investigación asignando múltiples alertas a un único incidente. Esto ahorra mucho tiempo a los analistas, que pueden concentrarse en las alertas de alto riesgo.
  • Con la gestión de la superficie de ataque (ASM), las nuevas vulnerabilidades se reconocen rápidamente y se cierran de inmediato.
  • XSIAM sugiere a los analistas medidas de reacción, lo cual ahorra tiempo.
  • Y para garantizar la cobertura en toda la empresa, la detección y supervisión de amenazas también se ampliará a los nuevos sistemas cloud que se añadan más adelante.

T-Systems y Networks pueden optimizar tus operaciones de seguridad existentes sin que tengas que realizar grandes inversiones en herramientas de seguridad ni rediseñar todo tu SOC. Mejora la seguridad de tu empresa y aumenta la ciberresiliencia frente a los ataques modernos.

Con nuestros servicios de MDR basados en IA:

  • Reduces las actividades manuales;
  • Escalas para evitar riesgos;
  • Reduces las falsas alarmas;
  • Aumentas el porcentaje de advertencias importantes;
  • Acortas el tiempo de investigación;
  • Aceleras la respuesta a los incidentes;
  • Mejoras el cumplimiento y la presentación de informes; y
  • Generas transparencia en tiempo real. 

Ponte ya en contacto con nosotros si deseas optimizar tus operaciones de seguridad (SecOps) o utilizar nuestros servicios de MDR para mejorar la seguridad de tu empresa.

Conoce en detalle nuestras ofertas de MDR

Esto también podría interesarte

Información sobre el autor
Dheeraj Rawal

Dheeraj Rawal

Marketing de contenidos, T-Systems International GmbH

Todos los artículos y perfil del autor

Mejora de la seguridad operativa de la información con IA y MDR

Con IA y automatización podemos ayudarte a reducir tu dependencia de los procesos manuales, ampliar tu seguridad y mejorar la detección de amenazas.

1 SANS 2023 SOC Survey, 2023, Medium
2 Security Alert Article, Help Net, 2023, Security
3 Target Data Breach Case Study, 2023, Card Connect
4 Global SOC Study Results, 2023, IBM
5 Cybersecurity Skills Gap, 2023, Forbes
6 The Life and Times of Cybersecurity Professionals, 2023, Enterprise Strategy Group
7 Global SOC Study Results, 2023, IBM
8, 9 Costs of Data Breach Report, 2023, IBM

Do you visit t-systems.com outside of Spain? Visit the local website for more information and offers for your country.