¿Cuál es su integración de arquitectura de ciberseguridad …



Para aprovechar al máximo los productos de ciberseguridad de su empresa, deben trabajar juntos. Pero hacer que esos productos hablen entre sí no es fácil.

La mayoría de las organizaciones tienen docenas de productos y herramientas de ciberseguridad diferentes porque se necesita innovación continua para mantenerse al ritmo de los adversarios, y los proveedores conocidos rara vez son los más innovadores. Las empresas recurren a nuevos proveedores y nuevos tipos de productos en busca de algo que les falta.

Desafortunadamente, esa estrategia puede conducir a una arquitectura de seguridad aislada y en constante crecimiento, que presenta numerosos productos de ciberseguridad con sus propios conjuntos de comandos, políticas únicas y sistemas de gestión especialmente diseñados, y que a menudo requieren individual dedicado para supervisarlos. Peor aún, con todo este costo y complejidad, las organizaciones no logran obtener el máximo valor de sus arquitecturas de productos de ciberseguridad. La razón es que los productos no funcionan juntos.

Otro component es que muchos líderes de seguridad subestiman el valor de una arquitectura integrada de productos de seguridad cibernética. Las autopsias sobre ataques devastadores como NotPetya ilustran que los peores escenarios a menudo podrían haberse evitado si un producto que detectó el ataque hubiera compartido sus hallazgos con otros productos que podrían haber tomado medidas correctivas y preventivas.

Pero incluso los escenarios de integración simples pueden parecer demasiado desalentadores para lograr. El método de integración más común, las conexiones basadas en API, requieren una configuración de prueba y error que requiere mucho tiempo sin garantías. Los programas de secuencias de comandos y otros procesos de integración manual generalmente no son iniciadores.

Alternativamente, muchos de los llamados vendedores de plataformas promocionan los beneficios de los ecosistemas preintegrados de los llamados productos de la mejor clase, pero la realidad nunca justifica la exageración. Los productos rara vez son los mejores de su clase y en realidad no fueron diseñados para trabajar juntos, y los costos de habilitación aumentan rápidamente más allá de las proyecciones.

Es hora de un nuevo enfoque para la integración de la arquitectura de ciberseguridad. La forma en que los líderes de ciberseguridad pueden comenzar es con un strategy de negocios de integración de arquitectura de ciberseguridad.

Creación del program de negocios de integración de arquitectura de ciberseguridad
Omdia cree que todas las organizaciones que utilizan más de un puñado de productos de ciberseguridad empresarial deberían tener una estrategia tecnológica y un enfoque táctico para integrar sus arquitecturas de productos.

Ese esfuerzo debe comenzar con un system de negocios. Al igual que cualquier nueva iniciativa comercial, esto debería servir como fundamento escrito de cuáles son sus objetivos de integración, por qué desea alcanzarlos, cómo se ve el resultado ultimate deseado y cómo justificar el costo.

Este es un gran ejercicio para un arquitecto de ciberseguridad, la persona típicamente encargada de planificar, implementar y administrar la tecnología de ciberseguridad de una empresa. Ese rol no solo es típicamente entre los que ejecutan proyectos de integración, sino que también es una oportunidad para desarrollar habilidades de gestión a nivel CISO y demostrar liderazgo.

Comience con una lista o, idealmente, una visualización de la seguridad y los productos relacionados con la seguridad en su organización, e identifique las integraciones existentes. ¿Qué tan bien funcionan? ¿Son consistentes? ¿Cuán profundos son? ¿Permiten un simple intercambio de datos o permiten acciones complejas y orquestadas? ¿Requieren configuración continua y / o solución de problemas? ¿Cuántas integraciones dependen de procesos manuales que son difíciles de sostener?

Luego, conceptualice cómo sería una arquitectura totalmente integrada. ¿Qué procesos comerciales mejorarían y cómo se cuantificaría el ROI en términos de tiempo invertido, amenazas evitadas u otros costos reducidos? ¿Qué productos necesitarían trabajar juntos y cómo? ¿Qué controles de seguridad se mejorarían y, en última instancia, cómo se reduciría el riesgo para la organización? ¿Cuál sería el costo de crear y mantener la integración o el conjunto de integraciones necesarias para fomentar los cambios deseados en el proceso comercial?

A partir de ahí, organice cada iniciativa en grupos o fases, priorizando las «ganancias rápidas» que pueden brindar beneficios significativos con un mínimo esfuerzo y costo. Debido a que la integración de la arquitectura de ciberseguridad generalmente se considera un esfuerzo de baja prioridad, los éxitos tempranos que logran la aceptación de las partes interesadas a menudo son críticos para avanzar hacia proyectos de integración más costosos y complejos.

Tenga en cuenta que los costos asociados con algunos proyectos de integración superarán los beneficios. Esto puede ser frustrante, pero el ejercicio de descubrimiento puede ser beneficioso puede ayudar a resaltar productos obsoletos o de bajo rendimiento, proveedores que no cooperan, procesos interrumpidos o incluso individual y otros déficits de asignación de recursos. Asegúrese de que este conocimiento se comunique a aquellos que pueden usar los comentarios para ayudar a mejorar otros aspectos del programa de seguridad normal.

Habilitación de la integración con los marcos de integración de la plataforma de seguridad
Al desarrollar este program de negocios, muchas organizaciones sin duda descubrirán que un mosaico de integraciones de productos de ciberseguridad uno a uno es difícil de manejar, poco confiable y, en última instancia, ineficaz. Para las grandes empresas con una cantidad significant de productos de seguridad, Omdia recomienda considerar un Marco de integración de la plataforma de seguridad (se requiere registro), o SPIF.

Omdia define un SPIF como una arquitectura de interconexión y mensajería única y centralizada que permite la seguridad cibernética y productos relacionados de una variedad de proveedores externos para distribuir datos y recibir datos de otros productos y servicios. En otras palabras, un SPIF es un centro de integración para productos de seguridad cibernética que estandariza y simplifica la integración entre una amplia variedad de soluciones de terceros. Al integrarse al SPIF, cada producto gana la capacidad de intercambiar datos con cualquier número de otros productos también integrados con el SPIF.

En un escenario rápido de contención de amenazas que involucra un SPIF, por ejemplo, un producto de protección de punto last integrado informa al SPIF cada vez que se encuentra un punto ultimate infectado. A su vez, cualquier número de otros productos conectados al SPIF puede recibir y actuar sobre esos datos casi en tiempo true. Un producto de management de acceso a la pink puede aislar rápidamente el punto final infectado, un SIEM puede determinar si el malware se ha descubierto previamente, y una herramienta de administración de punto final puede comenzar la remediación.

Debido a que SPIF facilita la comunicación entre los productos, se hace más fácil fomentar más integraciones entre una masa crítica de productos. Esto permite una economía de escala de integración de ciberseguridad, ya que el costo y el esfuerzo necesarios para integrar múltiples productos se reducen considerablemente.

Sin embargo, los SPIF son algo incipientes, generalmente están vinculados a otros productos comerciales de seguridad cibernética y requieren un compromiso a largo plazo para obtener los beneficios. Son los mejores para grandes organizaciones de ciberseguridad con arquitectos de ciberseguridad capacitados y experimentados.

Cuando se emplea con éxito, un SPIF puede servir como el centro neurálgico de una arquitectura de ciberseguridad, haciendo que las acciones de respuesta complejas y basadas en políticas no solo sean posibles, sino también repetibles y confiables. Un SPIF representa la oportunidad para que las organizaciones utilicen sus soluciones existentes para dar un salto significativo tanto en la eficacia del programa de seguridad como en el ROI.

Contenido relacionado:

Eric Parizo apoya el Acelerador de seguridad cibernética de Ovum, su práctica de investigación que respalda a proveedores, proveedores de servicios y clientes empresariales en el área de seguridad cibernética empresarial. Eric cubre las tendencias mundiales de ciberseguridad y los proveedores de primer nivel en América del Norte. Él ha sido … Ver biografía completa

Más ideas





Enlace a la noticia original