Los equipos SOC, al límite
El 70% de los equipos SOC se sienten abrumados emocionalmente por el elevado volumen de alertas de seguridad, según Trend Micro.
En los últimos meses estamos viendo que una de las consecuencias de la pandemia está siendo el enorme crecimiento del número y la frecuencia de los ciberataques. Esta situación está generando una tensión insoportable para los responsables de ciberseguridad.
Según el estudio ‘Security operations on the backfoot: How por tooling is taking its toll on security analysts’ de Trend Micro, los equipos de seguridad de los Centros de Operaciones de Seguridad (SOC) y de TI sufren altos niveles de estrés fuera de la jornada laboral, siendo la sobrecarga de alertas uno de los principales factores causantes.
El 70% de los encuestados (66% en España) admite que su vida privada se ve afectada emocionalmente por su trabajo de gestión de las alertas de amenazas de TI, siendo incapaces de desconectar ni relajarse fuera de su horario laboral, arruinando su tiempo de inactividad y mostrándose irritables con sus amigos y familiares.
Más de la mitad de ellos (51% en la muestra global y 42% en nuestro país) opina que su equipo se siente abrumado por el volumen de alertas. Asimismo, el 55% (48% en España) reconoce que no confía completamente en su capacidad para priorizarlas y responder a ellas. De hecho, estos equipos dedican hasta un 27% de su tiempo (25% en nuestro país) a lidiar con falsos positivos.
Esta presión hace que las personas esperen a que otro miembro del equipo SOC intervenga (50% lo hace ocasionalmente o con frecuencia, 47% en España), asuman que una alerta es un falso positivo más de una vez (49% y 59% en España), se alejen de su ordenador (43% y 45% en España), desactiven las alertas (43% y 39% en España) o las ignoren por completo (40% y 34% en España).
Esto tiene graves consecuencias. Tres de cada cuatro de los encuestados (74% y 77% en España) afirma que ya están lidiando con una infracción o que esperan una dentro del año. Y la repercusión de las mismas no es nada despreciable, ya que Trend Micro especifica que el coste medio estimado por infracción se sitúa en 235.000 dólares (275.000 dólares en el caso de España).
Trend Micro remarca que los datos de su investigación corroboran los que refleja el estudio ‘Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR’, elaborado por Forrester, en el que se explica que “los equipos de seguridad están muy faltos de personal cuando se trata de responder a incidentes, incluso cuando se enfrentan a más ataques”. Además, el informe especifica que “los SOC necesitan un método más eficaz de detección y respuesta”.