Endpoint Safety 301: cuando los productos, las políticas y las personas rompen las líneas de comunicación


La arquitectura de seguridad es como el océano: nadie la posee y el cambio la afecta constantemente. Se introducen nuevas tecnologías, se producen cambios en el individual y, como resultado, la comunicación sufre. A menudo veo entornos en los que la propiedad se coloca en silos entre los equipos de la empresa, lo que significa que los administradores de TI que evitan las amenazas pueden no obtener la información descubierta por los equipos de operaciones de seguridad. Por otro lado, SecOps puede no recibir detalles sobre por qué se produjo un cambio de política o configuración. Además, en entornos sin integración efectiva entre las herramientas de seguridad, esta falta de comunicación significa que los conocimientos y las visibilidades que podrían beneficiar a otros interesados ​​rara vez viajan o salen a la superficie fuera del equipo de seguridad inmediato.

Agregue a la mezcla un conjunto de herramientas de seguridad que no pueden coexistir, o que lo hacen mal de una manera que causa conflictos con el otro, y la situación se complica aún más. Claramente, implementar una estrategia de punto final efectiva y completa es un desafío, pero mantener esa estrategia es generalmente donde comienza la verdadera batalla.

Una parte critical de ganar esta batalla es garantizar que los administradores de seguridad de TI y SecOps trabajen juntos de manera efectiva. Examinemos cómo pueden hacerlo estos dos para garantizar que todas las bases y puntos finales estén cubiertos.

Una falta de alineación exacerba la brecha de habilidades

Un recordatorio rápido: los equipos de seguridad de TI son responsables de la salud de la purple y la infraestructura de TI, y requieren que se centren en los controles de acceso, la protección de los puntos finales y la gestión de vulnerabilidades. Mientras tanto, los equipos de SecOps establecen las reglas que su organización debe seguir para proteger su entorno.

Lógicamente, estos equipos deberían trabajar de la mano, pero en la mayoría de las empresas, están aislados debido a límites funcionales o técnicos. Cada uno tiene poca visibilidad de lo que está haciendo el otro lado en el día a día, además de una falta total de conocimiento sobre las iniciativas de seguridad estratégica a más largo plazo. Esto puede conducir a un colapso en las reglas, configuraciones y escalamientos que tiene un impacto perjudicial en la infraestructura de las empresas.

La falta de comunicación también puede dificultar que los administradores de seguridad de TI sepan cómo escalar y priorizar problemas, así como también evita que SecOps aumente la calificación. Por ejemplo, los analistas junior solo pueden abordar alrededor del 30% de las alertas hoy. El resto de las alertas requieren un conjunto de habilidades superior para remediar, un problema que solo se agrava por la falta de talento calificado en ciberseguridad. De hecho, algunas estimaciones espera que el número de trabajos de seguridad cibernética no cubiertos aumente a 3.5 millones para 2021, y debido a que muchas herramientas SecOps hoy requieren una experiencia significativa para operar, la comunicación y la educación solo se volverán más críticas.

Establecer visibilidad compartida entre equipos

Ahora que conocemos los problemas que pueden surgir cuando SecOps y los administradores de TI no se comunican, abordemos algunas de las soluciones y resultados. Todo comienza con una mejor visibilidad compartida. Cuando cada equipo tiene una concept de en qué está trabajando el otro, los equipos ya no están aislados y se gasta menos tiempo en alertas y falsos positivos que la TI de primera línea puede manejar en lugar de SecOps. Esto significa que si ocurre un posible hack o incumplimiento, se puede gastar más tiempo y esfuerzo en la reparación de amenazas para fortalecer el entorno de punto ultimate de una empresa.

La visibilidad compartida se extiende también a la creación de políticas conjuntas. Cuando se forman políticas, si los administradores de TI y SecOps proporcionan sus respectivas aportaciones, hay menos posibilidades de que se produzca una falta de comunicación o una configuración incorrecta. Los cambios en las políticas pueden entenderse desde el principio formando un enfoque holístico, con la experiencia y los conocimientos necesarios de ambos equipos que se unen para crear una estrategia global de seguridad de punto ultimate que sea más segura.

SecOps y TI también deben encontrar una manera de extender esa visibilidad a los nuevos miembros del equipo. En mi experiencia, resolver problemas de arquitectura de seguridad requiere un enfoque doble. Primero, la industria de la seguridad debería asumir una mayor responsabilidad en el diseño de productos que puedan utilizar tanto los profesionales de seguridad más avanzados como el personal operativo y analistas. Pero en segundo lugar, las organizaciones deben garantizar que se mantenga una falta de continuidad en los sitios de los clientes debido a las rotaciones del own a través de políticas documentadas para respaldar las configuraciones de los productos. En otras palabras, las organizaciones deben garantizar que existan los procesos adecuados para admitir las herramientas de seguridad que implementan. Este conocimiento histórico es importante porque, anecdóticamente, encuentro que un número significativo de escalamientos son direccionables simplemente al revertir el entorno del cliente a la configuración predeterminada. Los nuevos empleados desconocen esta solución rápida y, por lo tanto, pierden un tiempo y recursos valiosos en esfuerzos innecesarios.

Colaborando para Accurate Endpoint Safety

Con estos desafíos en mente, recomendamos los siguientes pasos.

  • Cree políticas visibles y documentadas para todos los productos y escenarios. Esto ayuda a superar la falta de comunicación, la rotación del own y la incapacidad de los productos para integrarse.
  • Por el contrario, busque la integración y la automatización. Y, de hecho, las organizaciones lo están haciendo, con más del 70% buscando una mayor automatización en la seguridad de los puntos finales, incluida la detección y respuesta automatizadas.
  • Establezca una colaboración interfuncional de otras maneras. Por ejemplo, solicite a los administradores de TI que marquen las amenazas a SecOps.
  • Revise su libro de políticas y pautas trimestralmente para que la última tecnología y procesos puedan integrarse efectivamente en las pautas.

Los administradores de seguridad de TI y los equipos de SecOps no tienen que, y no deberían, hacer su trabajo solos. Para cubrir todas las bases, pueden aprovechar una multitud de soluciones de seguridad de punto closing con tecnología proactiva, colaborativa e integrada incorporada. Estas soluciones permiten a los administradores de seguridad de TI y a los equipos de SecOps centrar sus esfuerzos en otros lugares, como proyectos estratégicos, políticas e información .

McAfee MVISION Endpoint y MVISION Cell, por ejemplo, crean algoritmos de aprendizaje automático (ML) y análisis en su arquitectura para ayudar a monitorear e identificar comportamientos maliciosos. Además, McAfee Endpoint Detection & Reaction combina monitoreo de punto closing en tiempo actual y recopilación de datos con capacidades de análisis y respuesta automatizadas basadas en reglas para que tanto la seguridad de TI como SecOps puedan participar en el proceso de fomentar la seguridad efectiva de los puntos finales empresariales de una manera que haga que ambos de sus trabajos más fácil.

Con la visibilidad adecuada entre los equipos de seguridad de TI y SecOps, las soluciones de seguridad avanzadas no solo traen un círculo completo de estrategia de seguridad de punto closing, sino que también permiten dedicar más tiempo a la colaboración y al trabajo en equipo. Una estrategia de seguridad de punto closing es tan fuerte como su eslabón más débil: humano, solución u otro. Las empresas deben asegurarse de que su eslabón más débil no sea un eslabón perdido susceptible entre los administradores de TI y SecOps.

Para obtener más información sobre una estrategia de seguridad de punto closing efectiva, asegúrese de seguirnos @McAfee y @McAfee_Small business.





Enlace a la noticia primary