Fatiga de alertas: el síndrome que pone en peligro la ciberseguridad
Tener un sistema de seguridad digital "siempre pendiente" a los eventuales peligros, a veces, deja de ser un beneficio. Las frecuentes notificaciones, la abundancia de "falsos positivos" e incluso las "alertas por las alertas" están produciendo un cansancio al interior de los equipos de seguridad de las empresas. ¿Cómo hacer frente a este problema? Aquí, especialistas dan consejos y estrategias.
Los sistemas de ciberseguridad son cada vez más necesarios e imprescindibles, y sus usuarios están también más atentos a posibles vulneraciones o ciberataques. Sin embargo, lo que podría ser un beneficio puede terminar siendo perjudicial: recibir una, dos, tres y hasta diez alarmas en simultáneo, aunque sean por distintos motivos, puede producir que las personas terminen bajando la guardia ante tanta advertencia.
Los especialistas la llaman “fatiga de alertas”, y está cada vez más presente al interior de las organizaciones. Un reciente estudio realizado por la firma de antivirus y seguridad Kaspersky señala que al menos un 70% de las compañías tienen dificultades para mantenerse al día respecto de la cantidad de alertas. Además, según datos de la misma investigación, un 83% del personal de ciberseguridad de las empresas encuestadas tiene secuelas que implican agotamiento debido al constante estado de alerta al que se someten.
Una cosa es mantener informadas a las organizaciones respecto de posibles flancos abiertos que signifiquen algún peligro para las entidades; otra es el frecuente alertar, como si de “Pedro y el lobo” se tratara.
“Es muy importante que a la hora de proteger nuestra empresa seamos eficientes, para así no generar un colapso en el sistema con falsos positivos y obstaculizar el actuar en caso de una alerta real”, dice Francisco Guzmán, director de Claro empresas. Esto se logra -plantea el ejecutivo- siendo capaces de detectar los puntos valiosos dentro de las empresas y de cada área en particular, para así ser certeros en el tipo de seguridad, dirección que se le da a esta y accionar de los colaboradores.
Guzmán cita un estudio de la empresa de seguridad Critical Start. De acuerdo con la investigación, casi la mitad de los encuestados señalan que el 50% de las alertas o más son falsos positivos. Para hacer frente a esta fatiga de alertas, el 57% de los encuestados dice que han ajustado características o umbrales de alerta específicos para reducir el volumen de alertas, mientras que otro 39% ignora ciertas categorías de alertas, lo que puede ser muy perjudicial si se ignora un peligro real.
Sumado a esto, como son las grandes empresas las que tienen sistemas de seguridad más elaborados —o al menos cuentan con más posibilidades para implementar uno—, suelen ser más las pequeñas y medianas empresas las que, en ocasiones, incrementan la tasa de fatiga de alertas. Pueden ser firmas de menor tamaño, que cuentan con un escaso personal capacitado o no tienen equipos para llegar a cubrir la totalidad de las alarmas reales.
Los principales peligros
En el día a día, los usuarios, colaboradores y cibernautas comunes y corrientes están desde ya bombardeados por un sinnúmero de plataformas. Redes sociales, canales internos de comunicación de las empresas, recordatorios de calendario, “breaking news” de medios a los que estén suscritos e incluso videojuegos en línea. A todo eso, con el estrés del minuto a minuto, se suman las alertas de seguridad en la organización.
“Es un constante riesgo, porque cuando existen peligros de seguridad reales pueden ser ignorados y, por ende, no atenderse a tiempo, pueden haber pérdidas mayores a las deseadas”, dice desde México Adriel Araujo, CEO y cofundador de la startup de ciberseguridad Hackmetrix. En el ámbito personal, precisa, es como confundir notificaciones de compra con publicidad de un banco, mientras que “en lo profesional confundir un mensaje de seguridad de Github con una notificación de Pull Request”.
¿Cuál es el medio más eficaz para alertar posibles vulneraciones o ataques? ¿Los sistemas debieran de informar a los usuarios o empresa de acuerdo a la posible gravedad o de acuerdo a cierta periodicidad? Las empresas, plantea Araujo, deben contar con una Matriz de Riesgos, Plan de Recuperación de Desastres y Continuidad del Negocio. “Allí es donde se debe detallar lo que se considera grave, cómo reaccionar ante ataques con distintos niveles de criticidad y por ende la velocidad de esa reacción, ya que no todos los casos son iguales”, acota.
Eso sí, advierte que no todo es alertable y la misma tecnología y sistemas de ciberseguridad son capaces de solucionar ciertas cosas. “La tecnología actual permite de forma automática correlacionar eventos que el ojo humano no vería tan rápido y alertar de la forma adecuada de inmediato cuando se requiere: con unos pocos pesos y otros tantos clicks hay herramientas en el mercado realmente efectivas”, afirma.
Un asunto de prioridades
Hay ocasiones en que los colaboradores o empresas se ven frente a un escenario: más veinte o más herramientas o soluciones de ciberseguridad. Todas ellas producen sus propias alarmas y mensajes de eventuales peligros o, incluso, de amenazas neutralizadas. Eso -dice Richard Bórquez, CEO de la empresa de seguridad digital E-Virtus- además de las diversas superficies y vectores de ataque. “Todo este ecosistema genera alertas que requieren de análisis y priorización y que, en definitiva, generan la fatiga de los equipos de trabajo”, asegura.
Como ejemplo, dice el ejecutivo, un equipo de analistas de ciberseguridad que reciba unas cien alertas de las diversas plataformas de ciberseguridad, podrá apenas revisarlas todas al final del día. No es solo hacer una revisión a nivel superficial, sino que analizar las secciones que pudieran haberse visto afectadas. “Si terminan siendo todas falsos positivos, al día siguiente reciben otras 12 y se mantienen en ese esfuerzo; puede que esto tenga diversas consecuencias”, asegura.
Entre las posibles secuelas negativas, ejemplifica la llamada “alerta 99″. Puede ser que, de las 100 alarmas revisadas a diario, precisamente la 99 sea crítica; sin embargo, dada la carga de análisis, puede que se revise tarde, cuando la información ya esté comprometida y no haya mucho que hacer. O que no se revise con la celeridad esperada.
Por otro lado, también hay un tema de prioridades. Un equipo de seguridad puede pensar que lo más importante es proteger el endpoint, por ejemplo. Pero una jefatura creerá que lo más relevante es resguardar las bases de datos, mientras que distintos informes o publicaciones proponen cuidarse del ransomware. Por lo tanto, Bórquez recomienda para cualquier empresa, independientemente de cuál sea su tamaño, realizar un “auto-assessment” de ciberseguridad en base a un framework, como CIS Controls. Estos análisis indicarán cuál es el nivel de adopción de framework y mostrarán por dónde partir. Destaca Strike One, una plataforma digital y gratuita que puede colaborar en ese proceso.
Muchas veces se cree que incorporar a más profesionales a los equipos de ciberseguridad es la solución, pero no es efectivo ni eficiente, asegura. La única forma en que los equipos de trabajo puedan evitar la fatiga de alertas es implementando tecnologías de apoyo, que cuenten con la inteligencia para filtrar los falsos positivos y, con eso, se pueda tener una única consola de gestión. “Eso permitirá enfocarse en atender las alertas que realmente puedan provocar una amenaza de un ciber incidente”, plantea.
Este evento, que reunió en el Teatro Municipal de esa ciudad a expositores de distintas soluciones tecnológicas -entre ellos, Kinesix VR, Zeus y Huawei, partners de Claro empresas- fue también el punto de partida para la nueva Corporación de Innovación y Desarrollo Sostenible de la Ciudad Jardín.
Comenta
Por favor, inicia sesión en La Tercera para acceder a los comentarios.