La arquitectura de seguridad es como el océano: nadie la posee y el cambio la afecta constantemente. Se introducen nuevas tecnologías, se producen cambios en el personal y, como resultado, la comunicación sufre. A menudo veo entornos en los que la propiedad se coloca en silos entre los equipos de la empresa, lo que significa que los administradores de TI que evitan las amenazas pueden no obtener la información descubierta por los equipos de operaciones de seguridad. Por otra parte, SecOps es posible que no reciba detalles sobre por qué se produjo un cambio de política o configuración Además, en entornos sin integración efectiva entre las herramientas de seguridad, esta falta de comunicación significa que los conocimientos y las visibilidades que podrían beneficiar a otras partes interesadas rara vez viajan o salen a la superficie fuera del equipo de seguridad inmediato.
Agregue a la mezcla un conjunto de herramientas de seguridad que no pueden coexistir, o que lo hacen mal de una manera que causa conflictos con el otro, y la situación se complica aún más. Claramente, implementar una estrategia de punto final efectiva y completa es un desafío, pero mantener esa estrategia generalmente es donde comienza la verdadera batalla.
Una parte vital de ganar esta batalla es garantizar que los administradores de seguridad de TI y SecOps trabajen juntos de manera efectiva. Examinemos cómo pueden hacerlo estos dos para garantizar que todas las bases y puntos finales estén cubiertos.
Una falta de alineación exacerba la brecha de habilidades
Un recordatorio rápido: los equipos de seguridad de TI son responsables de la salud de la pink y la infraestructura de TI, y requieren que se centren en los controles de acceso, la protección de los puntos finales y la gestión de vulnerabilidades. Mientras tanto, los equipos de SecOps establecen las reglas que su organización debe seguir para proteger su entorno.
Lógicamente, estos equipos deberían trabajar de la mano, pero en la mayoría de las empresas, están aislados debido a límites funcionales o técnicos. Cada uno tiene poca visibilidad de lo que está haciendo el otro lado en el día a día, además de una falta complete de conocimiento sobre las iniciativas de seguridad estratégica a más largo plazo. Esto puede conducir a un colapso en las reglas, configuraciones y escalamientos que tiene un impacto perjudicial en la infraestructura de las empresas.
La falta de comunicación también puede dificultar que los administradores de seguridad de TI sepan cómo escalar y priorizar los problemas, además de evitar que SecOps aumente la calificación. Por ejemplo, los analistas junior solo pueden abordar 30% de alertas hoy. El resto de las alertas requieren un conjunto de habilidades más alto para remediar, un problema que solo se agrava por la falta de talento calificado en seguridad cibernética. De hecho, algunas estimaciones espera que el número de trabajos de seguridad cibernética no cubiertos aumente a 3.5 millones para 2021, y debido a que muchas herramientas de SecOps hoy requieren una experiencia significativa para operar, la comunicación y la educación solo se volverán más críticas.
Establecer visibilidad compartida entre equipos
Ahora que conocemos los problemas que pueden surgir cuando SecOps y los administradores de TI no se comunican, abordemos algunas de las soluciones y resultados. Todo comienza con una mejor visibilidad compartida. Cuando cada equipo tiene una strategy de en qué está trabajando el otro, los equipos ya no están aislados y se gasta menos tiempo en alertas y falsos positivos que la TI de primera línea puede manejar en lugar de SecOps. Esto significa que si se deliver un posible hack o incumplimiento, se puede dedicar más tiempo y esfuerzo a la reparación de amenazas para fortalecer el entorno de punto last de una empresa.
La visibilidad compartida se extiende también a la creación de políticas conjuntas. Cuando se forman políticas, si los administradores de TI y SecOps proporcionan sus respectivas aportaciones, hay menos posibilidades de que se produzca una falta de comunicación o una configuración incorrecta. Los cambios en las políticas pueden entenderse desde el principio formando un enfoque holístico, con la experiencia y los conocimientos necesarios de ambos equipos que se unen para crear una estrategia world-wide de seguridad de punto last que sea más segura.
SecOps y TI también deben encontrar una manera de extender esa visibilidad a los nuevos miembros del equipo. En mi experiencia, resolver problemas de arquitectura de seguridad requiere un enfoque doble. Primero, la industria de la seguridad debería asumir una mayor responsabilidad en el diseño de productos que puedan utilizar tanto los profesionales de seguridad más avanzados como el personalized operativo y analistas. Pero en segundo lugar, las organizaciones deben garantizar que se mantenga una falta de continuidad en los sitios de los clientes debido a las rotaciones del own a través de políticas documentadas para respaldar las configuraciones de los productos. En otras palabras, las organizaciones deben garantizar que existan los procesos adecuados para admitir las herramientas de seguridad que implementan. Este conocimiento histórico es importante porque, anecdóticamente, encuentro que un número significativo de escalamientos son direccionables simplemente al revertir el entorno del cliente a la configuración predeterminada. Los nuevos empleados desconocen esta solución rápida y, por lo tanto, pierden un tiempo y recursos valiosos en esfuerzos innecesarios.
Colaborando para Correct Endpoint Protection
Con estos desafíos en mente, recomendamos los siguientes pasos.
- Cree políticas visibles y documentadas para todos los productos y escenarios. Esto ayuda a superar la falta de comunicación, la rotación del own y la incapacidad de los productos para integrarse.
- Por el contrario, busque la integración y la automatización. Y de hecho, las organizaciones lo están haciendo, con más de 70% persiguiendo una mayor automatización en la seguridad del punto remaining, incluida la detección y respuesta automatizadas.
- Establezca una colaboración interfuncional de otras maneras. Por ejemplo, solicite a los administradores de TI que marquen las amenazas a SecOps.
- Revise su libro de políticas y pautas trimestralmente para que la última tecnología y procesos puedan integrarse efectivamente en las pautas.
Los administradores de seguridad de TI y los equipos de SecOps no tienen que, y no deberían, hacer su trabajo solos. Para cubrir todas las bases, pueden aprovechar una multitud de soluciones de seguridad de punto final con tecnología proactiva, colaborativa e integrada incorporada. Estas soluciones permiten a los administradores de seguridad de TI y a los equipos de SecOps centrar sus esfuerzos en otros lugares, como proyectos estratégicos, políticas e información .
McAfee MVISION Endpoint y MVISION Cell, Por ejemplo, cree algoritmos de aprendizaje automático (ML) y análisis en su arquitectura para ayudar a monitorear e identificar comportamientos maliciosos. Adicionalmente, McAfee Endpoint Detection & Reaction combina la supervisión de puntos finales en tiempo serious y la recopilación de datos con capacidades de análisis y respuesta automatizadas basadas en reglas para que tanto la seguridad de TI como SecOps puedan participar en el proceso de fomentar la seguridad efectiva de los puntos finales empresariales de una manera que facilite sus dos trabajos.
Con la visibilidad adecuada entre los equipos de seguridad de TI y SecOps, las soluciones de seguridad avanzadas no solo traen un círculo completo de estrategia de seguridad de punto ultimate, sino que también permiten dedicar más tiempo a la colaboración y al trabajo en equipo. Una estrategia de seguridad de punto last es tan fuerte como su eslabón más débil: humano, solución u otro. Las empresas deben asegurarse de que su eslabón más débil no sea un eslabón perdido susceptible entre los administradores de TI y SecOps.
Para obtener más información sobre una estrategia de seguridad de punto remaining efectiva, asegúrese de seguirnos @McAfee y @McAfee_Company.
