Si bien hay docenas de métricas disponibles para determinar el éxito, existen dos indicadores clave de desempeño en ciberseguridad que toda organización debe monitorear.
Para que cualquier organización se proteja de los ciberataques y las filtraciones de datos, es fundamental descubrir y responder a las ciberamenazas lo más rápido posible. Cerrar rápidamente la ventana de vulnerabilidades marca la diferencia entre un compromiso leve y una violación de datos catastrófica. Comprender su capacidad para hacerlo le brinda a su organización una manera poderosa de determinar los agujeros en sus defensas y las áreas donde su equipo necesita mejorar.
MTTD y MTTR explicados
Si bien hay docenas de métricas disponibles para determinar el éxito, aquí hay dos indicadores clave de desempeño en ciberseguridad que toda organización debería monitorear.
- Tiempo medio de detección (Mean Time to Detect - MTTD): el MTTD es el tiempo promedio que lleva descubrir una amenaza o incidente de seguridad. Es una medida del tiempo medio transcurrido entre el momento en que se produce un problema y el momento en que se detecta y notifica para su resolución.
- Tiempo medio de respuesta (Mean Time to Respond - MTTR): el MTTR mide el tiempo promedio que lleva controlar y remediar una amenaza.
El MTTD y MTTR dependen de una serie de factores, incluido el tamaño y la complejidad de la red, el tamaño y la experiencia del personal de TI, el tipo de industria y otros. Y diferentes empresas miden las cosas de diferentes maneras. No existen enfoques estándar en la industria para medir MTTD y MTTR, por lo que las comparaciones granulares entre organizaciones pueden ser problemas problemáticos de manzanas versus naranjas.
MTTD significa tiempo medio para detectar, aunque el tiempo medio para descubrir también funciona. MTTD es un indicador imprescindible en el mundo de la gestión de incidencias. Indica cuánto tiempo le toma a una organización descubrir o detectar problemas. Tanto el nombre como la definición de esta métrica dejan muy clara su importancia. Después de todo, todos queremos que los incidentes se descubran lo antes posible, para poder solucionarlos lo antes posible. Cuanto más tiempo pase desapercibido un problema, más tiempo tendrá para causar estragos dentro de un sistema.
Otros tipos de métricas incluyen:
- El tiempo medio de detección (MTTD) es el tiempo que lleva identificar un problema como que requiere atención;
- El tiempo medio de reconocimiento (MTTA) es el tiempo promedio requerido para que una alerta dé como resultado el inicio de una acción, generalmente la emisión de un ticket de servicio, por parte del equipo de operaciones de TI;
- El tiempo medio de respuesta (MTTR) es el tiempo promedio que se necesita para comenzar el trabajo asociado con un ticket de servicio;
- El tiempo medio de reparación (MTTR) es el tiempo que transcurre desde el punto de detección hasta que se repara el sistema;
- El tiempo medio de resolución (MTTR) es el tiempo necesario para pasar desde el punto de detección hasta que el sistema se repara y se prueba para garantizar que el sistema asociado esté funcionando correctamente; y
- El tiempo medio de recuperación (MTTR) es el tiempo necesario para pasar desde el punto de detección hasta que el sistema asociado esté en pleno funcionamiento.
Según la encuesta SANS 2019 Incident Response, el 52,6% de las organizaciones tenía un MTTD de menos de 24 horas, mientras que el 81,4% tenía un MTTD de 30 días o menos.
Una vez que se detecta un incidente, el 67% de las organizaciones reportan un MTTR de menos de 24 horas, y ese número aumenta al 95,8% cuando se mide un MTTR de menos de 30 días. Sin embargo, según el Informe de investigaciones de violaciones de datos de Verizon, el 56% de las violaciones tardaron meses o más en descubrirse. Es una cantidad de tiempo increíble para que los malos estén dentro de su perímetro mientras se preparan para extraer sus datos.
Cómo mejorar MTTD y MTTR
Medir y mejorar el MTTD y el MTTR es más fácil de decir que de hacer. El hecho es que muchas empresas trabajan con equipos de TI que están al límite y a menudo carecen de experiencia en ciberseguridad. Mientras tanto, enfrentan ataques cada vez más sofisticados provenientes de redes criminales bien financiadas o de actores maliciosos de estados-nación. Dicho esto, hay una serie de cosas que toda organización puede hacer para reducir su MTTD y MTTR.
- Comience con un plan: cree un plan de respuesta a incidentes antes de posibles ataques para identificar y definir las responsabilidades de las partes interesadas, de modo que todo el equipo sepa qué hacer cuando ocurre un ataque. Este plan puede definir sus procesos y servicios utilizados para detectar estas amenazas. A medida que tenga algunos incidentes en su haber, revise su plan para buscar áreas de mejora que puedan reducir el MTTD y el MTTR.
- Realice capacitaciones periódicas en ciberseguridad: la ciberseguridad no es simplemente una cuestión de TI: las personas suelen ser el eslabón más débil. Los empleados pueden facilitar un compromiso haciendo clic en correos electrónicos maliciosos o enlaces que instalan ransomware, virus y otro malware. Además, es posible que los líderes de empresas sin conocimientos técnicos no comprendan el riesgo de los ciberataques, lo que les impide proporcionar el presupuesto y los recursos suficientes que la TI necesita para ser eficaz. Cuanto más educada esté toda la empresa sobre la ciberseguridad, más preparada estará para prevenir y responder a los ataques. Para ser eficaz, la educación es un proceso continuo y no "un proceso único y hecho".
Subir de nivel para reducir MTTD y MTTR
Un centro de operaciones de seguridad (SOC) puede ampliar las capacidades del equipo de TI al proporcionar monitoreo en tiempo real las 24 horas, los 7 días de la semana, de los recursos locales y en la nube. Esto le ayudará a ver si se produce un ataque, cuándo y dónde, lo que reducirá enormemente el MTTD.
En el informe DBIR de Verizon, se ha observado históricamente que el tiempo promedio de detección de una violación de datos es significativamente alto. Por ejemplo, el informe de 2021 indicó que el 45% de las violaciones de datos no se detectaron durante meses, y el tiempo promedio para detectar una violación fue de 287 días (9 meses y medio). Esto sugiere que, en promedio, las organizaciones no se dieron cuenta de una violación de datos en curso hasta casi un año después de que ocurriera.
Fuente: ThreatPost