logo ORSYS Le mag

El medio de la formación y las competencias

Inicio > Tecnologías digitales > Ciberseguridad > Automatización de la ciberseguridad: ¿qué expectativas, qué límites?

Automatización de la ciberseguridad: ¿qué expectativas, qué límites?

Publicado el 8 de septiembre de 2023
Compartir esta página :

Mejorar la productividad de los ciberanalistas liberándoles de tareas repetitivas y lentas: ésta es la principal promesa de la automatización. Más allá de esta búsqueda de productividad, ¿es la automatización una posible respuesta a la escasez de talentos? ¿Cuáles son sus límites?

Automatización de ciberseguridad

La automatización se ha convertido en un arma de doble filo. Por un lado, los ciberdelincuentes la explotan para llevar a cabo ciberataques cada vez más frecuentes y sofisticados. Por otro, los equipos de seguridad operativa (SecOps) se ven obligados a utilizarla para contrarrestar estas amenazas. Al mismo tiempo, la automatización también parece ser una respuesta a la escasez de expertos en ciberseguridad. Sin embargo, más allá de sus ventajas aparentes, ¿cuáles son sus verdaderas restricciones y limitaciones?

Automatización en ciberseguridad: retos y promesas

¿Qué es la automatización en la seguridad operativa?

La automatización en ciberseguridad consiste en "industrializar" ciertas tareas realizadas por los ciberanalistas y los equipos de SecOps. El objetivo es optimizar la detección de amenazas y reaccionar con mayor rapidez. Forma parte, por tanto, de una estrategia a la vez preventiva y proactiva.

¿Por qué automatizar la ciberseguridad?

Los ciberanalistas se enfrentan a diario a retos constantes:

  • Analizar y procesar un volumen de información cada vez mayor.
  • Tomar decisiones sobre las medidas a adoptar.
  • Realizar estas operaciones en un plazo (muy) ajustado y reducir los tiempos de respuesta a los incidentes.

Frente a estas limitaciones, la automatización y la inteligencia artificial aportan una respuesta eficaz. Responden a las crecientes expectativas de las organizaciones en cuanto a reducción del tiempo de reacción y pertinencia de las alertas. En particular, se trata de reducir los falsos positivos.

A medida que se amplía el alcance de los activos que hay que proteger, el grupo de expertos disponibles para ocuparse de ellos sigue siendo tan escaso como siempre. Dicho de otro modo, la automatización mejora la productividad de los ciberanalistas al tiempo que reduce el riesgo de agotamiento o "fatiga cibernética".

¿Qué tareas pueden automatizarse?

Los principales casos de uso de la automatización en la seguridad operativa son :

  • detección y respuesta automatizadas a las amenazas. Se trata de identificar rápidamente las actividades sospechosas o maliciosas y responder a ellas de forma autónoma, a menudo en tiempo real.  
  • detección automática de anomalías en la circulación de datos. El análisis de los flujos de datos puede revelar comportamientos anómalos o patrones de tráfico inesperados. Una vez identificadas, estas anomalías pueden ser indicativas de actividad maliciosa o compromiso.
  • Automatización de la inteligencia sobre ciberamenazas (CTI)Se trata de un proceso automatizado de recogida y análisis de datos sobre ciberamenazas. La automatización de este proceso enriquece el perfil de las amenazas, ofrece una imagen más clara de las tácticas utilizadas por los ciberatacantes, permite adaptar las medidas de seguridad existentes (bloqueo de puertos, por ejemplo) y orienta las decisiones que deben tomarse.  

El auge de la automatización en las soluciones de detección y respuesta a incidentes

La evolución de las herramientas de detección y respuesta a incidentes ilustra claramente la creciente integración de la automatización en los procesos operativos de seguridad. Estas herramientas incluyen :

  • EPP (Plataforma de protección de terminales) para proteger los terminales. En general, se trata de una evolución del software antivirus tradicional, que ofrece una protección más completa.
  • UEBA (Análisis del comportamiento de usuarios y entidades) que identifica actividades sospechosas basándose en el comportamiento de usuarios y entidades dentro de una organización.
  • SIEM (Información de Seguridad y Gestión de Eventos). Esta solución centralizada recopila, almacena, analiza y muestra los registros y eventos de seguridad en tiempo real o históricamente, para proporcionar una visión general de las posibles amenazas e incidentes.
  • EDR (Endpoint Detection and Response). Esta plataforma identifica y responde a las amenazas potenciales para los terminales. Ofrece capacidades avanzadas de análisis e intervención.
  • XDR (detección y respuesta extendidas). Esta evolución de EDR amplía la detección y la respuesta más allá de los simples puntos finales para incluir otras fuentes de datos, como redes y servidores.
  • SOAR (Orquestación, Automatización y Respuesta de Seguridad). Esta solución combina la recopilación de datos, la respuesta automatizada y la orquestación para mejorar la eficacia de las operaciones de seguridad.

Los programas antivirus tradicionales instalados únicamente en los puestos de trabajo ya no pueden contrarrestar las amenazas actuales, como WormGPT o los ataques de evasión. Sobre todo porque algunos de estos ataques se basan en la inteligencia artificial. Esta realidad está obligando a los profesionales de la ciberseguridad a incorporar a su arsenal defensivo no sólo la automatización, sino también la IA. Estos nuevos tipos de ataque también les están obligando a someterse a una formación continua para garantizar la evolución de sus prácticas.

Gracias a su capacidad para procesar enormes volúmenes de datos, la IA puede analizar, priorizar y responder a las amenazas con una rapidez sin precedentes. También es un activo inestimable para establecer escenarios de respuesta automatizada, a menudo denominados libros de jugadas.

¿Hasta dónde han llegado las empresas en la automatización de su ciberseguridad?

Según un reciente estudio sobre la adopción de la automatización en ciberseguridad realizado por la empresa de ciberseguridad ThreatQuotient en 2022, la automatización está ganando impulso. De hecho, el nivel de confianza de las empresas en ella y el presupuesto que le destinan están aumentando significativamente. En 2022, 84 % de las empresas encuestadas confían en la automatización, frente a solo 59 % en 2021. De este panel, formado por 750 profesionales de la seguridad con sede en Reino Unido, Estados Unidos y Australia, 98 % indican que su presupuesto asignado a la automatización está aumentando. Los principales proyectos en curso se refieren a la automatización de la Inteligencia sobre amenazas cibernéticas y respuesta a incidentes.

El estudio también revela que la mayoría de las empresas se encuentran aún en las primeras fases de adopción de la automatización. Cuando se les preguntó por su nivel actual, 63 % afirmaron estar en el nivel 2 o 3, en una escala en la que 5 representa el nivel máximo de madurez. Esto demuestra que la automatización aún puede progresar. Además, durante este proceso, las empresas se enfrentan a algunas cuestiones muy concretas: ¿cómo puede implantarse la automatización en entornos heterogéneos? ¿Cómo puede integrarse con las herramientas existentes? ¿Cómo asegurarse de que sus soluciones de automatización se mantienen actualizadas frente a las amenazas en constante evolución? ¿Y qué se puede hacer para garantizar que la automatización no genere riesgos adicionales para la protección de datos o la privacidad?

¿Qué lugar queda para el ser humano frente a la automatización?

Automatización: ¿una palanca para el rendimiento, no un sustituto del talento?

Aunque la IA y la automatización están muy extendidas en la actualidad para mejorar la productividad de los equipos desbordados por un volumen creciente de eventos que analizar, no son propiamente una respuesta a la escasez de talentos en ciberseguridad. Más bien, su principal interés reside en su capacidad para "mejorar el entorno de trabajo de los analistas", como señala IBM en su informe de junio de 2022 "La IA y la automatización al servicio de la ciberseguridad".

Gracias a la automatización, los analistas ganan en precisión y concentran sus esfuerzos en las amenazas que requieren un análisis más profundo. Esto no solo mejora la fase de investigación de las amenazas más críticas y aumenta la productividad, sino que también les permite centrar sus conocimientos en tareas de mayor valor añadido.

Sin expertos no hay automatización que funcione

La aplicación de modelos o escenarios automatizados requiere la intervención de expertos para garantizar que la configuración se adapte a las amenazas y especificidades organizativas de cada empresa.

Ante el auge de la automatización, los profesionales de la ciberseguridad no sólo tienen que encontrar un nuevo papel, sino también invertir en formación continua. Ya se está perfilando una división del trabajo entre el hombre y la máquina. Mientras que las acciones de detección y respuesta a incidentes se beneficiarán de la automatización, algunos expertos creen que las acciones de remediación (diseñadas para limitar el impacto de un riesgo o incidente) deben seguir estando dirigidas por humanos. En última instancia, para ser realmente eficaz, la automatización debe estar estrechamente asociada a la experiencia humana.

¿Cuáles son los obstáculos y los límites de la automatización?

Aunque la automatización es una forma prometedora de aligerar la carga de los ciberanalistas y los equipos operativos, no hay nada sencillo en ello. En la práctica, varios retos pueden obstaculizar su integración, como la falta de conocimiento preciso del perímetro que hay que proteger, sobre todo si la empresa no dispone de un mapa actualizado de su sistema de información. Otro es la heterogeneidad y complejidad de los sistemas y equipos que hay que analizar. Los silos organizativos entre distintos equipos y líneas de negocio también pueden obstaculizar una aplicación eficaz.

Además, la eficacia de la automatización está estrechamente relacionada con el nivel de madurez de la organización en materia de ciberseguridad. La integración satisfactoria de la automatización requiere procesos operativos bien documentados por... expertos.

Desde el punto de vista técnico, la automatización se enfrenta a una serie de retos:

  • Integridad de los datos la falta de datos contextuales completos y actualizados, como demuestra el límite de MITRE ATT&ACK®,
  • Gestión de la complejidad La necesidad de gestionar acciones y etapas complejas que requieren validación humana.
  • Escalabilidad La extensión de la automatización a gran escala puede plantear retos.
  • Orquestación remota La complejidad de la orquestación remota de soluciones locales.

Al final del día

Aunque no es mágica ni omnipotente, la automatización está suscitando grandes expectativas en términos de productividad, y su adopción por parte de las empresas se está acelerando. Sin embargo, para ser plenamente eficaz, debe implantarse en organizaciones en las que los proyectos de ciberseguridad ya estén bien establecidos. Lejos de sustituir a los analistas de ciberseguridad, al contrario, les anima a desplegar sus conocimientos allí donde sean más útiles y a desarrollar constantemente nuevas competencias. ¿Qué futuro le espera a la automatización? La hiperautomatización ya está en el horizonte. El uso de algoritmos de aprendizaje automático, que pueden crear por sí mismos modelos de automatización y tomar decisiones, es una prueba de la rápida evolución hacia una ciberseguridad aún más automatizada.

También pueden interesarle estos artículos

herramientas sin código/bajo código Herramientas de bajo código/sin código: automatizar para aumentar la eficacia Ciberseguridad: el ransomware, la amenaza número 1 - Orsys Formación Ciberseguridad: las 10 medidas del Senado para proteger a las empresas Ilustración del artículo NIS 2NIS 2: ¿cómo prepararse para aplicar la nueva directiva de ciberseguridad?

ARTÍCULO ANTERIOR

3 consejos para obtener la certificación ISTQB

ARTÍCULO SIGUIENTE

¿Cuál certificación informática es más beneficiosa para su empresa?

Nuestro experto

Consejo editorial de ORSYS

Formado por periodistas especializados en informática, gestión y desarrollo personal, el equipo editorial de ORSYS Le mag [...].

ámbito de formación

Ciberseguridad

formación asociada

Ciberseguridad en redes/Internet, resumen

Computación en la nube, seguridad

Seguridad del sistema y de la red, nivel 2