Velocidad en lugar de calidad: el NCSC explica por qué la carrera por las métricas perjudica la ciberseguridad
Cómo el afán de agradar a los jefes crea un caldo de cultivo para hackers profesionales
El Centro Nacional de Ciberseguridad británico (NCSC) advirtió a empresas y organismos gubernamentales que la habitual carrera por cifras llamativas en los centros de monitoreo de seguridad puede no ayudar a la defensa, sino socavarla desde dentro. Cuando se evalúa el trabajo del SOC por la rapidez en cerrar incidentes o por el número de alertas procesadas, el equipo empieza a pensar no en los atacantes, sino en cómo vaciar la cola más rápido.
La agencia considera peligrosos cuatro indicadores populares: el número de incidentes procesados, el tiempo de cierre de un incidente, la cantidad de reglas de detección escritas y el volumen de registros recopilados. Según el NCSC, esas métricas a menudo empujan al personal a realizar comprobaciones superficiales de las señales, aunque entre el flujo de falsos positivos pueda esconderse un ataque real.
El director técnico de arquitectura del NCSC, Dave Chismon, explicó que el énfasis en los incidentes gradualmente acostumbra a los analistas a percibir las alertas como una molestia y no como un posible indicio de compromiso. Esa lógica es especialmente peligrosa para el SOC, donde cada día hay que analizar numerosos eventos similares.
La agencia criticó por separado la tendencia a recopilar la mayor cantidad posible de registros. Un gran volumen de datos por sí solo no hace que la defensa sea más fuerte. Según el NCSC, es más útil obtener menos registros pero enriquecidos y de calidad procedentes de sistemas que los atacantes realmente puedan utilizar. De lo contrario, los equipos empiezan a crear masivamente reglas de detección que generan nuevas falsas alarmas y sobrecargan aún más a los analistas.
El NCSC considera que las métricas deficientes son peores que la ausencia total de tales indicadores. En lugar de contar los incidentes cerrados, la agencia propone mirar el tiempo de detección de amenazas y el tiempo de respuesta. Esos indicadores reflejan mejor la capacidad del equipo para encontrar ataques y entender lo que ocurre sin prisas innecesarias.
El organismo británico también aconseja dar al SOC más libertad para la caza de amenazas basada en hipótesis. Los analistas deben estudiar los grupos activos, sus herramientas y técnicas, y no justificarse constantemente por las cifras en los informes. Según el NCSC, este enfoque ayuda a prepararse con antelación para escenarios reales de ataque y a proteger la red con mayor precisión.