Los datos son la moneda de la era digital, conforman las bases sobre las que se apoya la ciencia analítica. El valor de los datos radica en el contexto que proporcionan y la capacidad o grado de representación de la realidad en un periodo dado.
Soluciones como los User and Entity Behavior Analytics (UEBAS), Security Information and Event Management (SIEMS) y Data Loss/Lakage Prevention Software (DLPS) hacen un uso intensivo de estos enfoques.
Usando scoring de riesgo de manera efectiva, se puede mitigar la perdida gradual de datos en un sistema dado y mejorar notablemente la actividad de los equipos de seguridad.
En éste artículo vamos a profundizar en el funcionamiento, la relación con los factores de riesgo y cómo podemos mejorar sustancialmente la función con Kymatio.
Scoring de riesgo transaccional
El riesgo de una transacción dada, referido a la actividad de un usuario, a menudo se evalúa en ciberseguridad para intentar detectar e identificar una amenaza o prevenir un ataque. Los modelos predictivos utilizan conjuntos de técnicas analíticas, bien conocidas, aplicadas al dominio de la ciberseguridad para generar scoring de riesgo de transacciones basadas en eventos.
Estas evaluaciones transmiten una información de «riesgo» para dicho evento a nivel transaccional, pero no captura la intención del usuario. Para identificar y cuantificar el comportamiento del usuario, será absolutamente necesario agregar scorings de eventos combinados de diferentes modelos. Las puntuaciones de riesgo serán entonces el resumen de múltiples puntuaciones obtenidas de varios algoritmos de scoring individuales dentro de un sistema. Es en este apartado donde, la combinación con el scoring de Kymatio con el resto de las herramientas implantadas en la organización, puede ayudar a los equipos de seguridad en la determinación de las mejores aproximaciones al riesgo. Kymatio señala riesgos, pero también evalúa el impacto que pueda tener un incidente en cada área de la compañía. Esto puede suponer una diferencia fundamental a la hora de leer un potencial incidente y realizar el pertinente análisis de riesgo.
Scoring de riesgo multimodal
La combinación de evaluaciones de riesgo de diferentes modelos puede ser un proceso complejo y problemático. El riesgo evaluado de un componente no debe ni duplicar ni dominar el riesgo de otros modelos para un usuario o entidad dado. La evaluación del riesgo agregado debe ser significativa, proporcionando un contexto útil para asegurar la minimización de los falsos positivos. Además, es clave conocer que algunos componentes del comportamiento pueden tener grados de importancia muy diversos, y en consecuencia, como resultado deben sopesarse detalladamente dentro del contexto más amplio de la línea de base establecida, tanto en la evolución de un individuo como en el comportamiento ‘normal’ de un grupo de iguales (peers group´s).
Por todo lo anterior conviene que el scoring de riesgo incluya, en su enfoque multimodal, la consulta de los niveles de riesgo de seguridad de la información relacionada con cada usuario y los elementos de riesgo e impacto de los departamentos en los que desarrolla su actividad.
El factor de riesgo
La puntuación de riesgo de un usuario (o en su caso entidad) es, para los sistemas comentados UEBAS, SIEMS o DLPS, una cifra acumulativa que captura el riesgo general del usuario o entidad. Las soluciones que permiten establecer un umbral para la generación de alertas en función del scoring de riesgo del usuario o la entidad, brindan un alcance más amplio de capacidades dentro del análisis de seguridad predictivo. Estas capacidades se expanden con la capacidad de marcar grandes aumentos en la puntuación de riesgo, así como también de tener la capacidad de asignar un «factor de riesgo» al usuario y las entidades en función de variables, como puedan ser sus privilegios. El contexto más rico y actualizado es un subproducto de esta capacidad de análisis de comportamiento. Kymatio facilita a los equipos de seguridad toda la información necesaria para una ágil y adecuada priorización de alertas.
Scoring de riesgo.
Cuantos más datos, mejor…
El scoring de riesgo que incluye fuentes de datos de diversas plataformas o incluso interacciones entre aplicaciones, y no solo factores independientes aditivos, proporciona una representación altamente mejorada del riesgo general que no ofrecen todos los proveedores de seguridad analítica. Esta supervisión de la actividad del usuario o de la entidad en varias aplicaciones de una empresa es generalmente necesaria y, a menudo, supone un desafío para los equipos con los recursos disponibles. Con esta capacidad de análisis, la disminución de datos se mitiga aún más y se convierte en fundamental para el éxito de cualquier solución.
Kymatio permite a los equipos de seguridad ganar eficiencia en la ejecución de acciones y el uso de tecnologías de protección y detección, mientras facilita la comprensión sobre la exposición relativa al Ciberriesgo Interno asociado a las personas.
Contacta ahora con Kymatio para potenciar la postura de ciberseguridad.
Agradecimientos. Picture by pikisuperstar / Freepik
Actualización Covid-19
Frente a la gravedad de al situación que enfrentan las empresas recomendamos consulta de los siguientes artículos relativos a los retos de ciberseguridad frente a la pandemia producida por el Covid-19.
Ciberseguridad y Riesgo (Inteligencia de riesgo humano)
- Pandemia y Ciberriesgo, incidencia del COVID-19 en ciberseguridad
- Gestión de riesgos en ciberseguridad
- Teletrabajo y riesgo interno
- Los datos y el scoring de riesgo en ciberseguridad
- Mejores prácticas para prevención del ciberriesgo, el factor humano
- Riesgo interno en ciberseguridad, riesgo percibido vs riesgo real
Ciberpsicología (Comprensión y reducción del riesgo en empleados)
Contacta con Kymatio ahora para fortalecer la postura de ciberseguridad de la organización.
