¿Cómo preparar un plan eficaz de inteligencia de amenazas?

Autor/a: David Carmiel, CEO de KELA

Compartir en    

En el panorama actual, todas las organizaciones, ya sean públicas o privadas, pequeñas o grandes, están en riesgo de sufrir un ciberataque, debido a que el nivel de ciberdelincuencia no deja de crecer. Los atacantes buscan continuamente nuevas oportunidades para conseguir un objetivo muy sencillo: monetizar los datos que obtienen a través de medios ilícitos.

En este sentido, las organizaciones tienen una necesidad constante de defenderse y derrotar a estos actores maliciosos, pero se enfrentan al reto de no saber qué ni dónde buscar, o no tienen suficiente personal con las habilidades necesarias para averiguarlo y, aunque así fuera, las políticas de muchas compañías prohíben a sus empleados realizar búsquedas en la Dark Web. El resultado es una falta de conocimiento de las verdaderas amenazas a las que se pueden enfrentar las organizaciones y, cuando se enteran, ya es demasiado tarde para actuar.  

Sin embargo, esto no tiene por qué ser así. Estos son los cinco pasos para preparar un plan de inteligencia que puede ayudar a las organizaciones a defender mejor sus activos digitales más valiosos:

1. Ser proactivo, no reactivo: el ataque es la mejor defensa. No hay que esperar a que se produzca un ataque; es importante trabajar proactivamente para derrotar las ciberamenazas antes de que causen cualquier daño. El primer paso es informarse sobre la necesidad de un plan de inteligencia de amenazas e identificar cómo es posible estar al tanto de las conversaciones de los ciberdelincuentes sobre una organización.
2. Establecer un método de operaciones: en este punto, es necesario decidir si se prefiere contratar a un equipo externo para gestionar la estrategia de inteligencia de amenazas o crear un equipo interno de analistas. Si se opta por la segunda opción, es imprescindible que los analistas tengan la suficiente experiencia para saber qué tipo de amenazas buscar y cómo evaluarlas cuando las encuentren. Además, es importante que la recopilación de inteligencia se realice de forma automática, y no manual, ya que la automatización de las operaciones puede mejorar la eficiencia y garantizar que nada pase por alto.
3. Identificar los activos clave: el siguiente paso es realizar un mapa de todos los posibles puntos de entrada que los ciberdelincuentes podrían aprovechar para acceder a una organización. Para ello, hay que considerar todas las posibles vías: activos físicos como los ejecutivos y miembros de su familia; activos digitales como dominios o direcciones IP; e incluso la cadena de suministro y los proveedores en la nube que pueden proporcionar acceso a los sistemas.
4. Definir KPIs: al crear el plan, hay que pensar en establecer unos objetivos. Los KPIs pueden ayudar a calcular el rendimiento de la inversión en inteligencia. Estos pueden ser: puntuaciones o niveles de exposición a alcanzar, actores específicos que rastrear, aplicación de parches, así como otros objetivos tangibles basados en el mapeo de activos clave.
5. Evaluar continuamente el plan: los protocolos de seguridad deben adaptarse a un ecosistema cambiante por parte de los ciberdelincuentes. Siempre aparecen nuevos foros, mercados o canales de Telegram que hay que rastrear constantemente.

Establecer un buen plan y disponer del equipo adecuado contribuirán en gran medida a mantener la seguridad de las organizaciones. En este sentido, KELA es un fabricante dedicado a la monitorización de la Darknet que, gracias a su gran conocimiento sobre este entorno, es capaz de emular el pensamiento de los ciberdelincuentes antes de realizar un ciberataque. Su equipo de investigación se encarga de recopilar, detectar y analizar diariamente la inteligencia de un conjunto de fuentes de la Darknet, lo que permite que todas las amenazas potenciales dirigidas a sus clientes sean monitorizadas. El objetivo es evitar cualquier amenaza antes de que se pueda producir un ataque.

KELA se distribuye en España, Italia y Portugal a través de Ingecom, Value Added Distributor (VAD) especializado en soluciones de ciberseguridad y ciberinteligencia.