Hace un tiempo escribí sobre la observabilidad como el nuevo proceso de la seguridad. En esta ocasión, me adentro en algunos detalles que van a ayudar a entenderlo mejor, con la idea de poder incorporarlo como un factor optimizador en la gestión de riesgos de seguridad.
La observabilidad es un proceso que se relaciona con el desarrollo de habilidades en una organización o sistema, con el propósito de identificar y responder rápidamente a los incidentes que ocurren en su entorno. Es un concepto clave en la gestión de riesgos de seguridad, ya que permite comprender el estado de la realidad inmediata y tomar medidas para remediar los problemas antes de que escalen a dimensiones disruptivas o generen perdidas mayores.
La observabilidad se compone de tres elementos:
- Monitoreo: Se refiere al proceso de recopilar datos sobre el estado de un sistema. Estos datos pueden provenir de una variedad de fuentes, como informantes, redes sociales, registros, bases de datos, aplicaciones y otras tantas posibilidades.
- Análisis: Es el proceso de interpretar los datos recopilados por el monitoreo. Esto permite a los administradores identificar patrones y tendencias en los datos, que pueden usarse para detectar problemas potenciales. Las herramientas de análisis son una combinación de tecnología y recursos humanos experimentados. En la actualidad, la Inteligencia Artificial gana espacio rápidamente como poderosa herramienta de análisis y su gran capacidad de identificar relaciones o vínculos ocultos entre múltiples fuerzas en movimiento.
- Respuesta: Son las medidas y acciones que se toman con sentido estratégico, con el fin de remediar los problemas identificados.
La observabilidad es una herramienta muy utilizada en las plataformas tecnológicas de ciberseguridad, pero el proceso aplica en un espectro más amplio de la gestión de riesgos. Al recopilar datos, analizarlos y responder rápidamente a los problemas ya sean potenciales o reales, se evitan interrupciones, lo que incrementa sensiblemente la confiabilidad y maximiza el rendimiento.
Existen otros factores más blandos que impactan la observabilidad y que deben ser tomados en cuenta al momento de desarrollar procesos orientados a la optimización de la seguridad. Se trata básicamente de la calidad de los datos recopilados, las herramientas empleadas en el análisis, así como la habilidad del analista para interpretar los datos e identificar los posibles problemas. Por otro lado, la instrumentación de los procesos de respuesta es un elemento esencial de la observabilidad.
Debemos tener presente que lograremos muy poco en el proceso de observabilidad, si no respondemos con asertividad y rapidez a las amenazas identificadas. La observabilidad, por tanto, no se queda en las acciones de identificación de potenciales problemas o amenazas, sino que actúa para cambiar la situación, a fin de evitarlas o neutralizarlas tempranamente.
La observabilidad es un concepto complejo y en ocasiones de difícil implementación, pero esencial cuando se trata de la optimización de la gestión de riesgos en seguridad. Si bien dentro del modelo MAPS no aparece definida la observabilidad, muy bien podría enmarcarse en las fronteras que dividen tanto los procesos de prevención y protección, como entre la protección y planificación. En ambos existe una línea divisoria en torno a la cual pueden insertarse elementos para hacerlas observables, y desde allí desarrollar la capacidad de identificación rápida de amenazas o potenciales disrupciones a la organización.
Voy a seguir explorando este tema y espero poder compartirles en algún momento, una guía para implementar un proceso de observabilidad en las organizaciones.
Pingback: Seguridad en la era de las heterarquías - Alberto Ray