Hitachi Vantara potencia el almacenamiento híbrido en Azure
Luis Castro, de Sophos, explica por qué el dilema crítico en automatización de respuestas no es tecnológico sino estratégico: definir qué procesos delegar a las máquinas y cuáles requieren criterio humano.
La pregunta no es si automatizar respuestas ante incidentes, sino qué automatizar. Esa distinción marca la diferencia entre una estrategia SOAR (Security Orchestration, Automation and Response) efectiva y un desastre operativo.
“El paradigma más importante del SOAR es definir qué sí voy a automatizar y qué no. No todo se puede delegar a una regla o tecnología. Siempre debe haber un factor humano alrededor”, advierte Luis Castro, Senior Systems Engineer de Sophos México.
El primer paso: documentar lo que ya existe
Muchas organizaciones creen carecer de procesos de respuesta ante incidentes. Castro desmiente ese mito: “Cuando algo pasa, de forma empírica o con experiencia, sabes cómo resolverlo. Ese conocimiento en las cabezas del equipo ya es un proceso. Solo falta documentarlo y medirlo”.
El punto de partida obligatorio es un análisis de riesgos que identifique activos críticos. “Necesitas saber qué tanto estás dispuesto a perder, qué tanto te cuesta mitigar ese riesgo y si prefieres tercerizarlo”, explica. Solo con ese mapa de criticidad puedes establecer qué procesos ameritan automatización.
Castro recomienda el NIST Cybersecurity Framework como metodología accesible para estructurar la mejora continua y medir niveles de madurez. “No puedes saltar del nivel uno al cinco. Establece objetivos a corto, mediano y largo plazo para demostrar avances progresivos al negocio”.
Luis Castro, Senior Systems Engineer de Sophos México, lideró la tercera sesión de nuestras Jornadas Digitales sobre Ciberresiliencia: Estrategias de Recuperación y Continuidad. Accede al contenido completo de todas las sesiones aquí.
Tres criterios para automatizar correctamente
La automatización debe focalizarse en tres tipos de tareas: repetitivas (análisis masivo de logs que humanamente es imposible procesar), de bajo riesgo (validar indicadores de compromiso contra fuentes de inteligencia), y críticas en tiempo (aislar automáticamente dispositivos comprometidos).
“Si el analista tarda 3 horas en revisar eventos y decidir aislar un equipo, pero la tecnología lo hace en 8 minutos, la diferencia es abismal”, señala Castro. Esos 3 horas ganadas permiten al analista enfocarse en investigación forense y remediación estratégica.
El factor cultural y las métricas correctas
La resistencia cultural al SOAR surge del miedo a la sustitución laboral. “Demuestra que automatizar empodera al equipo, no lo reemplaza. Es como la inteligencia artificial: no sustituye tu trabajo, potencializa tu eficiencia”, explica Castro.
Las métricas esenciales son tres: volumen y frecuencia de tareas repetitivas, reducción en tiempos críticos de respuesta, y liberación de carga operativa para el analista. Sophos redujo alertas de 100% a 20% con automatización, acelerando detección de amenazas de 45 minutos a 3 minutos.
IA: el asistente, no el decisor
La analogía favorita de Castro es Jarvis, la IA de Iron Man: analiza datos masivos, genera conocimiento nuevo sobre amenazas, recomienda acciones. Pero Tony Stark siempre toma la decisión final.
“Aprovecha la IA para análisis masivo, generación de conocimiento sobre nuevas campañas de phishing o malware, y para que te explique eventos con lenguaje natural. Pero la decisión final, considerando el contexto de negocio, debe ser humana”, enfatiza.
El mindset fundamental: “Sé consciente de que en cualquier momento serás víctima de un ciberataque. La pregunta es: ¿detectarás en fases tempranas y responderás efectivamente?” Si te cifran 5 equipos no críticos en lugar de toda la infraestructura, hiciste bien tu trabajo.
