Tabla de contenidos
- ¿Qué es la fatiga de alertas de ciberseguridad?
- ¿Qué causa la fatiga de alertas?
- Consecuencias y riesgos de la fatiga de alertas
- Fatiga de alertas en ciberseguridad: Un problema en aumento
- Cómo mitigar la fatiga de alertas y aumentar la eficacia de la ciberseguridad
- Reduzca la fatiga de alertas y refuerce sus sistemas de ciberseguridad
La fatiga de alertas (alert fatigue en inglés), también conocida como fatiga de notificaciones o fatiga de alarmas, es un problema común en muchos campos, incluyendo los servicios médicos, la construcción y la minería, las tecnologías de la información y la ciberseguridad. Si bien azota a estos diversos sectores de manera similar, la fatiga de alertas de ciberseguridad puede ser la más complicada y problemática.
¿Qué es la fatiga de alertas de ciberseguridad?
La fatiga de alertas es un fenómeno que ocurre cuando los profesionales de la ciberseguridad quedan inundados con un volumen tan alto de alertas de seguridad informática que esto disminuye su capacidad de reaccionar eficazmente e investigar amenazas.
La fatiga de alertas típicamente se manifiesta en una filtración o priorización inadecuada de problemas que generan alertas, así como notificaciones entrantes mal gestionadas. En muchos casos, es una combinación de estas razones.
Las alertas de ciberseguridad tienen múltiples manifestaciones y existen diversas actividades y eventos sospechosos que las disparan. Algunas de las actividades o amenazas potenciales que pueden disparar una notificación de alerta son:
- Actividades sospechosas de red, como filtraciones de datos, intrusiones de red y otras actividades malintencionadas.
- Una serie de inicios de sesión fallidos que pueden indicar un intento de acceso no autorizado.
- Detección de malware, ransomware, virus informáticos y otros códigos malintencionados.
Estas alertas dirigidas están diseñadas para notificar a los profesionales de la ciberseguridad de tales incidencias, tomar acciones oportunas y evitar que se agraven. Las alertas las disparan sofisticadas herramientas de seguridad, como sistemas de detección de intrusiones, cortafuegos y sistemas de gestión de eventos y seguridad de la información (SIEM, del inglés “security information and event management”), que funcionan en conjunto para monitorizar continuamente la actividad de red y alertar a los profesionales de la ciberseguridad cuando se detectan amenazas.
Cuando un sistema tiene protocolos de monitorización de seguridad y alertas que son demasiado sensibles o están definidos de manera deficiente, esto puede producir fatiga ante las alertas progresivamente. A su vez, esto puede disminuir la eficacia de tales protocolos de ciberseguridad, porque la cantidad de alertas puede hacer que los profesionales de la ciberseguridad queden sobrepasados por la frecuencia de las notificaciones, al punto que las amenazas serias terminan pasándose por alto.
¿Qué causa la fatiga de alertas?
La causa subyacente es el inmenso volumen de notificaciones que genera un sistema de seguridad informática. Esto puede ser causado por una variedad de factores, incluyendo:
- Falsos positivos: Cuando los sistemas de ciberseguridad producen alarmas continuas para eventos no amenazadores (falsos positivos), esto hace que los profesionales se vayan desensibilizando ante las notificaciones.
- Sistemas de ciberseguridad complejos: Cuando hay múltiples sistemas operando a la vez, como en instalaciones gubernamentales, instituciones financieras y organizaciones de gran tamaño, puede resultar complejo correlacionar y consolidar las alertas, lo que lleva a un alto volumen de alertas con diversos niveles de complejidad.
- Falta de contexto: Si las notificaciones de alerta no tienen asignado el contexto adecuado, a los profesionales de la seguridad puede resultarles confuso y difícil determinar la seriedad de una alerta, lo que puede llevar a ambigüedades y a respuestas retrasadas.
- Procedimientos de gestión mal definidos: Un conjunto bien definido de procedimientos de respuesta ante incidencias puede permitir a los equipos procesar las alertas eficazmente. Sin embargo, unos procedimientos mal definidos pueden ser problemáticos porque intensifican este problema.
- Falta de recursos: Una cantidad limitada de profesionales de la seguridad para gestionar un alto volumen de notificaciones de alertas puede complicar el mantener el ritmo a las alertas y responderlas de manera oportuna.
- Personalización limitada: Las alertas de ciberseguridad que no están adecuadamente personalizadas y filtradas pueden llevar a notificaciones no amenazadoras o irrelevantes, exacerbando así el efecto de la fatiga de alertas.
En muchas organizaciones, una combinación de estas causas contribuye a crear problemas de fatiga de alertas. Esto es particularmente cierto en entornos con múltiples herramientas de seguridad implementadas, con lo que cada una genera su propio conjunto de alertas y esto lleva a una “inundación” y eventual fatiga de notificaciones.
Consecuencias y riesgos de la fatiga de alertas
Cuando la fatiga de alertas se sale de control en entornos de ciberseguridad, las repercusiones pueden implicar diversos riesgos y consecuencias, incluyendo:
- Una falsa sensación de seguridad: Cuando los profesionales de la seguridad se ven cada vez más inundados y desensibilizados a las notificaciones, pueden asumir que son falsos positivos y comenzar a ignorarlas, lo que puede llevar a crear una falsa sensación de seguridad.
- Retrasos en la respuesta: Los profesionales de la seguridad que se ven sobrepasados y fatigados por notificaciones constantes pueden reaccionar más lentamente a amenazas críticas, lo que lleva a un retraso en la respuesta para la mitigación de riesgos reales.
- Aumento en la carga de trabajo: Cuando el personal responsable de la monitorización de alertas queda sobrecargado de notificaciones, pueden experimentar un aumento en el estrés laboral, lo que puede generar a su vez agotamiento, rotación excesiva de personal y disminuciones en la productividad.
- Problemas de cumplimiento legal y regulatorio: Las filtraciones de seguridad pueden llevar a un cumplimiento inadecuado y a problemas regulatorios, lo que puede llevar a costosas multas y sanciones.
- Mayores costes: Cuando los sistemas de ciberseguridad no logran filtrar y priorizar las alertas reales, pueden asignar recursos adicionales al personal para gestionar el alto volumen de estas, lo que lleva a unos mayores costes para la organización.
- Daños a la reputación: Una filtración de ciberseguridad puede resultar inmensamente dañina para la operación de una organización, y en consecuencia a su reputación, lo que llevaría a una pérdida de clientes e ingresos.
- Deterioro de la moral: Puede tener consecuencias costosas para la moral del equipo de seguridad de una organización, porque podrían desmotivarse, dejar de sentirse involucrados y volverse poco productivos en su trabajo.
Fatiga de alertas en ciberseguridad: Un problema en aumento
Está claro que la fatiga de alertas se está convirtiendo en un problema de ciberseguridad cada vez más grave. Un libro blanco de IDC (International Data Corporation) reportó que los equipos de ciberseguridad tienen problemas con la fatiga de alertas en organizaciones de todos los tamaños, y casi un 30 % de las alertas no son investigadas o simplemente se ignoran.
Según IBM y el informe del Instituto Ponemon acerca de los costes de las filtraciones de datos, el coste medio de una filtración de datos en 2022 llegó a la cifra récord de 3,86 millones de USD, y el tiempo medio para identificar y contener una filtración fue de 277 días. El tiempo de detección es el factor que más contribuye con los costes generales asociados a las filtraciones de datos. Mientras más tiempo pasa sin detectarse una filtración, habrá mayor posibilidad de extracción de datos delicados.
El informe del Instituto Ponemon, titulado el coste de la contención del malware, concluye que, como media, las organizaciones reciben alrededor de 17.000 alertas de malware en una semana típica, pero solamente el 19 % de esas alertas se consideran confiables. Esto indica que la gran mayoría de las alertas son falsos positivos, que contribuyen directamente a este problema.
Promon, un importante proveedor de seguridad para aplicaciones, determinó que dos tercios de los profesionales de la seguridad encuestados en la expo Black Hat Europe afirmaron haber sufrido de agotamiento en 2022. Más del 50 % de los encuestados afirmaron que su carga laboral fue la mayor fuente de estrés en sus respectivos cargos.
Entonces, ¿qué pueden hacer las organizaciones y equipos de ciberseguridad para minimizar la fatiga de alarmas y optimizar la eficacia de los protocolos de monitorización de notificaciones? Exploremos algunas de las potenciales soluciones a la fatiga de alertas.
Cómo mitigar la fatiga de alertas y aumentar la eficacia de la ciberseguridad
Para minimizar la fatiga de alertas y mejorar la eficacia general de sus estrategias de ciberseguridad, las organizaciones y equipos pueden usar las siguientes soluciones:
Establecer umbrales para priorizar las alertas basándose en su gravedad
El establecimiento de umbrales es una de las maneras más eficaces y sistemáticas de hacer mejoras importantes para la mitigación de la fatiga de alertas. La premisa tras esta solución es establecer un sistema que asigna un nivel de prioridad a ciertos tipos de alertas.
Por ejemplo, un equipo de ciberseguridad puede asignar diversos niveles basándose en la severidad de la alerta. Por ejemplo, nivel 1 para las críticas que exigen atención inmediata, nivel 2 para las prioritarias que precisen de acción dentro de un marco de tiempo predeterminado, y nivel 3 para las de baja prioridad que deben ser atendidas durante el horario normal.
Las soluciones para respuesta ante amenazas de Proofpoint, aborda este desafío brindando un valioso contexto acerca de las amenazas y la automatización de acciones de respuesta, como las actividades de cuarentena y contención a través de la infraestructura de un sistema de seguridad.
Utilización del triaje y correlación automatizados
La “correlación automatizada” identifica y agrupa las alertas relacionadas para minimizar las redundancias y permitir a los profesionales de ciberseguridad enfocarse en las alertas más críticas. Por ejemplo, si la misma dirección IP genera múltiples notificaciones, la correlación automatizada puede agruparlas, lo que hace que la investigación sea mucho más sencilla.
De manera similar al establecimiento de umbrales de prioridad, el “triaje automatizado” intensifica el nivel de las alarmas basándose en su nivel de severidad. Al asignar un nivel de prioridad a cada alerta, los equipos rápidamente identifican y responden a las más críticas, como las filtraciones de datos graves. Esta medida se basa en el concepto de inteligencia de amenazas emergentes, la solución de Proofpoint para ayudar a los equipos de ciberseguridad a comprender mejor el contexto histórico de dónde se originan las amenazas de seguridad, quién está tras ellas, qué métodos usaron al iniciar el ataque y qué información buscan.
La correlación automatizada y las herramientas de triaje que se pueden integrar con sistemas de ciberseguridad, como sistemas de detección y prevención de intrusiones, sistemas de SIEM y plataformas de inteligencia de amenazas.
Implementar un plan de respuesta a incidencias
Un plan de respuesta ante incidencias es un conjunto de procedimientos y guías que un equipo de ciberseguridad puede seguir para reaccionar a una incidencia de seguridad. Este plan pretende garantizar que las notificaciones de alta prioridad se respondan rápida y eficientemente, reduciendo así la cantidad de tiempo empleado en investigar y resolver la incidencia. Algunos elementos clave en un plan de respuesta ante incidencias son:
- Identificar sistemas y activos claves que sean los más importantes para la organización y que producirían los peores daños si quedaran comprometidos.
- Asignar un equipo de respuesta a incidencias o un grupo de individuos (por ejemplo, TI, ciberseguridad, profesionales legales, etc.) responsables de la respuesta y gestión de amenazas de ciberseguridad.
- Determinar los procedimientos de respuesta a incidencias que sigue un equipo cuando gestionan una amenaza a la seguridad, como los de detección, contención, erradicación y recuperación.
- Definición de protocolos de comunicaciones que un equipo de ciberseguridad debe seguir al transmitir la información y actualizaciones a los interesados internos y externos (por ejemplo, gerencia, empleados, clientes y medios de comunicaciones) al enfrentar una amenaza de seguridad.
- Mejoramiento y actualización continuos al plan de respuesta a incidencias, que garantiza que los procedimientos y procesos sean relevantes y efectivos. Esto también incluye el probar los planes mediante ejercicios y simulacros, y hacer los ajustes necesarios.
Otros aspectos influyen en la mitigación de la fatiga de alertas, como la revisión frecuente y el ajuste de los sistemas de ciberseguridad para ayudar a minimizar la frecuencia o falsos positivos y garantizar que solo se disparen las alertas relevantes.
Otro método de seguridad muy utilizado es tener sistemas para mantener bien capacitados a los empleados acerca de las mejores prácticas de concienciación de seguridad, reduciendo así la posibilidad de errores humanos, como caer en estafas de phishing o pasar por alto notificaciones de alarmas serias.
Reduzca la fatiga de alertas y refuerce sus sistemas de ciberseguridad
Para descubrir más acerca de cómo Proofpoint puede ayudarle a reducir y evitar que la fatiga de notificaciones afecte negativamente a sus protocolos de ciberseguridad, explore nuestras soluciones de respuesta ante amenazas para rastrear cualquier alerta de cualquier fuente y organizarlas de manera fluida en incidencias que puedan optimizar el flujo de trabajo de su equipo.