Blog de WatchGuard

Modelo de madurez de operaciones de seguridad I: midiendo el rendimiento del SOC

Las empresas deben medir la eficacia operativa de todas sus áreas para comprobar que les están siendo rentables y que están obteniendo los resultados deseados. Una de las mejores formas que tienen los responsables de seguridad para demostrar que su programa de operaciones de seguridad está alineado con los objetivos empresariales es proporcionar métricas que demuestren su eficiencia.

Para medir y comunicar el rendimiento de las operaciones de seguridad en relación a la capacidad de detectar y responder a las ciberamenazas que han sido capaces de pasar desapercibidos por los controles de seguridad existentes, existen dos principales métricas: el MTTD y el MTTR.

Descubramos que son estás métricas y como se calculan:

Tiempo medio de detección (MTTD): Qué es y cómo calcularlo

Mide el tiempo que llevó al equipo de operaciones de seguridad en detectar e identificar una amenaza acechante en la red de una organización. Con esta medida se demuestra la eficacia de las operaciones de seguridad y se mide la velocidad y las capacidades de los cazadores de amenazas (hunters) y de los analistas y equipo de respuesta del SOC, que deben supervisar, clasificar e investigar comportamientos anómalos en la red, además de responder al atacante en caso de estar realmente en un incidente de seguridad. El objetivo del equipo debe ser mantener esta métrica lo más baja posible, ya que eso supone una reducción del impacto en el caso de un posible compromiso de las redes de una organización.

Para calcular el MTTD de un único incidente se debe obtener la diferencia de fecha/hora entre la primera evidencia del ataque y la fecha en que se haya creado el caso de incidente, es decir, el momento en que dicha amenaza fue calificada para una investigación completa. Si se quiere determinar el MTTD para todos los incidentes en un período de tiempo específico, se deberá calcular la media del tiempo para detectar cada uno de ellos.

Tiempo medio de respuesta (MTTR): Definición y cálculo

Indica el tiempo que tarda el equipo en realizar la investigación y responder a las amenazas detectadas. Esta medida determina la eficacia de las operaciones de seguridad y refleja la capacidad de los analistas y equipo de respuesta del SOC. Estos perfiles se encargan de determinar y correlacionar las anomalías de comportamiento que representan un verdadera incidente, investigarlas en profundidad y dar respuesta, desde la contención hasta la eliminación del adversario de la red. Si este indicador es elevado, podría demostrar lentitud y debilidad en la tecnología de las áreas que apoyan la investigación y mitigación de amenazas del SOC, así como una falta de automatización. Esto, en el caso de un compromiso de las redes empresariales, podría conducir a una brecha de datos o daños extremadamente costosos. Para calcular el tiempo de respuesta de un único incidente se debe obtener la diferencia de fecha/hora entre la fecha de creación del caso, o el inicio de la investigación, y el momento en que el incidente se considera resuelto. Al igual que con el MTTD, para determinar el tiempo de respuesta de todos los incidentes dentro de un periodo de tiempo específico, se deberá hallar la media que toma al equipo para investigar y responder a cada uno de ellos.  

La velocidad en la detección y respuesta de las operaciones de seguridad puede marcar la diferencia entre un compromiso que puede ser contenido a tiempo y una filtración de datos o daños del incidente muy costosos, tanto operacionalmente como reputacionalemente. Por lo tanto, conocer las métricas básicas como el MTTD y el MTTR permite al equipo del SOC y las partes interesadas tener un conocimiento más profundo de funcionamiento de las operaciones para así tomar mejores decisiones de inversión y demostrar valor ante la dirección ejecutiva.

Elevar la madurez del SOC para reducir el MTTD y MTTR

Que los índices de MTTD y MTTR sean elevados no quiere decir necesariamente que la estrategia de seguridad que se está utilizando sea incorrecta, sino que el SOC debe aplicar algunas medidas adicionales que ayuden a reducir el tiempo de inactividad del entorno de infraestructura si se produce un ataque real.

A medida que la madurez de las operaciones de seguridad de una organización vaya aumentando, mejorará la eficacia de sus capacidades de detección y respuesta y se verá reflejado en un MTTD y MTTR menor. Estas métricas están diseñadas para proporcionar información sobre la eficacia, el rendimiento y la responsabilidad de las operaciones de seguridad. Al tenerlas presentes, el SOC también es capaz de determinar los cuellos de botella que existan dentro de su proceso, tecnologías aplicadas o expertos y podrán identificar aquellos recursos o procesos que necesiten una revisión.

Todos los procesos empresariales deben medirse para mejorar y las operaciones de seguridad no son diferentes en este sentido. En el ebook “Empowering de SOC” exponemos las capacidades clave necesarias para hacer frente a los retos actuales de los equipos de seguridad profundizamos en la comprensión sobre la mejor forma de crear un SOC exitoso.

Si quieres tener más información sobre los Centros de Operaciones de Seguridad no te pierdas nuestra serie de artículos: