El ciclo de inteligencia sobre amenazas es un marco fundamental para todos los programas de fraude, seguridad física y ciberseguridad, ya sean maduros y sofisticados en sus operaciones, o simplemente aspirantes.
A grandes rasgos, el ciclo de inteligencia sobre amenazas describe los pasos principales para aplicar y mantener altos estándares de higiene de datos necesarios para llegar a conclusiones confiables y tomar medidas basadas en dichos datos. Esta metodología iterativa y adaptable contiene cinco fases que finalmente convierten los datos en inteligencia finalizada (ver Figura 1).
Fase 1: Planificación y dirección
La fase uno del ciclo de inteligencia sobre amenazas es posiblemente la etapa más importante no porque sea la primera, sino porque establece el propósito y alcance de todas las actividades de inteligencia subsiguientes. Como primer paso, se deben establecer los objetivos principales y las tareas para el programa de inteligencia sobre amenazas, que a menudo se denominan requisitos de inteligencia (IR, por sus siglas en inglés). Para las organizaciones del sector público, también se les conoce comúnmente como elementos esenciales de información (EEI).
Los IR deben reflejar los objetivos principales del equipo y el valor que la inteligencia finalizada entregará en última instancia (por ejemplo, mejoras en la eficiencia operativa, mitigación de riesgos y detección y respuesta más rápidas).
En muchos casos, el liderazgo superior, como el Oficial Principal de Seguridad de la Información (CISO, por sus siglas en inglés), guiará la planificación y dirección en esta etapa y establecerá los objetivos principales del programa y los desafíos, junto con todas las amenazas externas potenciales.
Fase 2: Recopilación y procesamiento
La cantidad y calidad de los datos son aspectos cruciales tanto en la etapa de recopilación de inteligencia sobre amenazas. Si se desvía en cualquiera de estos aspectos, su organización podría verse inundada de falsos positivos o podría perder eventos de amenazas graves.
La recopilación de inteligencia establece el alcance de sus fuentes, tanto en términos de volumen de datos como de tipo. Esto incluye una amplia gama de tipos de amenazas como phishing, credenciales comprometidas, registros de red, vulnerabilidades comunes y exploits (CVE), variantes de malware filtradas y muchas más actividades maliciosas generadas por actores de amenazas.
La etapa de procesamiento de la fase dos busca normalizar, estructurar y eliminar duplicados de todos los datos recopilados. Los procedimientos de procesamiento específicos a menudo incluyen la reducción del volumen de datos en bruto, la traducción de conversaciones obtenidas de mercados en la web oscura en idiomas extranjeros y foros ilícitos, y la extracción de metadatos de muestras de malware.
Fase 3: Análisis
La fase de análisis es un proceso en gran medida cualitativo y orientado al ser humano que tiene como objetivo contextualizar la inteligencia sobre amenazas procesada a través del enriquecimiento y la aplicación de datos estructurales conocidos o la correlación avanzada y el modelado de datos.
A medida que la inteligencia artificial y el aprendizaje automático continúan madurando, algunas tareas orientadas al ser humano, como decisiones mundanas y de bajo riesgo, se automatizarán cada vez más. Esto liberará recursos operativos y personal para priorizar tareas e investigaciones más estratégicas.
Fase 4: Producción
Una vez que se completa el análisis de inteligencia sobre amenazas, la fase cuatro se centra en los esfuerzos de desarrollo que se enfocan en organizar la inteligencia finalizada en gráficos, paneles e informes fáciles de entender. Durante la producción, es esencial identificar la información más relevante y derivar conclusiones lógicas a partir de los datos y análisis completados en la fase anterior.
Las recomendaciones que describen cursos de acción apropiados a menudo incluirán árboles de decisiones preparados y procedimientos para iniciar la respuesta a incidentes y ransomware, la mitigación de amenazas y la gestión de parches, entre muchos otros.
En función de la inteligencia finalizada, los responsables de la producción finalizan los informes y preparan las comunicaciones para los miembros del equipo final y los tomadores de decisiones clave. Esta audiencia final de la inteligencia sobre amenazas evaluará el análisis y decidirá si tomar o no medidas.
Fase 5: Diseminación y retroalimentación
Para obtener resultados y abordar los riesgos, los equipos de fraude y seguridad deben distribuir sus informes de inteligencia finalizados a las partes interesadas correspondientes. Estos equipos pueden ser muy diversos: equipos de fraude dedicados; equipos de inteligencia sobre amenazas cibernéticas (CTI); equipos de operaciones de seguridad (SecOps); equipos de gestión de vulnerabilidades; equipos de riesgo de terceros; y los equipos de liderazgo superior responsables de la asignación de recursos y la planificación estratégica.
Al recibir la inteligencia finalizada, las partes interesadas evalúan los hallazgos, toman decisiones clave y proporcionan retroalimentación para mejorar continuamente las operaciones de inteligencia. Las mejoras en este ámbito operativo tienden a centrarse en la velocidad y eficiencia de las actividades de inteligencia y el tiempo necesario para realizar la entrega final.
El ciclo de inteligencia sobre amenazas y sus fases son fundamentales para garantizar que los programas de fraude, seguridad física y ciberseguridad operen de manera efectiva. Cada fase del ciclo desempeña un papel importante en la conversión de datos en inteligencia finalizada, desde la planificación y dirección hasta la diseminación y retroalimentación.
Al comprender y aplicar adecuadamente cada fase del ciclo de inteligencia sobre amenazas, las organizaciones pueden mejorar su capacidad para detectar, responder y mitigar las amenazas de manera proactiva y efectiva. Esto, a su vez, les permite proteger sus activos, mantener la seguridad de sus operaciones y salvaguardar la información confidencial.
El ciclo de inteligencia sobre amenazas es un proceso continuo y adaptable que permite a las organizaciones mantenerse un paso adelante de los actores de amenazas y protegerse de las crecientes y cambiantes formas de ataques y fraudes.
Si quieres conocer otras notas parecidas a Ciclos de inteligencia: fases y aplicaciones puedes visitar la categoría Inteligencia.