lunes, diciembre 1, 2025

Cambiando de monitorear alertas para medir el riesgo

TecnologíaCambiando de monitorear alertas para medir el riesgo
Cambiando de monitorear alertas para medir el riesgo
Por Actualidadaldía

Introducción: Seguridad en un punto de inflexión

Los centros de operaciones de seguridad (SOC) se construyeron para una era diferente, uno definido por el pensamiento basado en perímetro, amenazas conocidas y volúmenes de alerta manejables. Pero el panorama de amenazas de hoy no juega con esas reglas. El gran volumen de telemetría, herramientas superpuestas y alertas automatizadas ha llevado a los SOC tradicionales al límite. Los equipos de seguridad están abrumados, persiguiendo indicadores que a menudo no conducen a ninguna parte, mientras que los riesgos reales pasan desapercibidos en el ruido.

No estamos lidiando con un problema de visibilidad. Estamos lidiando con un problema de relevancia.

Ahí es donde entra la gestión continua de exposición a amenazas (CTEM). A diferencia de las operaciones centradas en la detección que reaccionan a lo que ya sucedió, CTEM cambia el enfoque de lo que podría pasar con «por qué importa». Es un alejamiento de reaccionar a las alertas y al manejo del riesgo con acciones específicas basadas en la evidencia.

El problema con la seguridad centrada en alerta

En esencia, el SOC es un motor de monitoreo. Digesta la entrada de firewalls, puntos finales, registros, sistemas de nubes y más, y luego genera alertas basadas en reglas y detecciones. Pero este modelo está desactualizado y defectuoso en un entorno moderno donde:

  • Los atacantes permanecen bajo el radar combinando pequeñas vulnerabilidades pasadas por alto para eventualmente obtener acceso no autorizado.
  • La superposición de la herramienta crea fatiga de alerta y señales conflictivas.
  • Los analistas de SOC se queman tratando de clasificar y evaluar posibles incidentes que carecen de contexto comercial.

Este modelo trata cada alerta como una emergencia potencial. Pero no todas las alertas merecen la misma atención, y muchos no merecen atención en absoluto. La consecuencia es que los SOC se sacan en demasiadas direcciones, sin priorización, resolviendo el volumen en lugar de valor.

CTEM: de monitoreo a significado

CTEM reinventa las operaciones de seguridad como un enfoque continuo e impulsado por la exposición. En lugar de comenzar con alertas y trabajar hacia atrás, CTEM comienza preguntando:

  • ¿Cuáles son los activos más críticos en nuestro entorno?
  • ¿Cuáles son los caminos reales que un atacante podría usar para alcanzarlos?
  • Qué exposiciones son explotables ¿ahora mismo?
  • ¿Qué tan efectivas son nuestras defensas contra el camino?

CTEM no es una herramienta. Es un marco y una disciplina que mapea continuamente las posibles rutas de ataque, valida la efectividad del control de seguridad y prioriza la acción basada en el impacto del mundo real en lugar de los modelos de amenazas teóricas.

No se trata de abandonar el SOC. Se trata de evolucionar su papel de monitorear el pasado para anticipar y prevenir lo que sigue.

Por qué este cambio importa

La rápida escalada de CTEM señala una transformación más profunda en cómo las empresas se están acercando a su estrategia de seguridad. CTEM cambia el enfoque de la gestión de exposición reactiva a la dinámica, reduciendo el riesgo no solo observando signos de compromiso, sino eliminando las condiciones que hacen posible el compromiso en primer lugar.

Los puntos a continuación ilustran por qué CTEM representa no solo un mejor modelo de seguridad, sino más inteligente y más sostenible.

1. Exposición y agotamiento

CTEM no intenta monitorear todo. Identifica lo que realmente está expuesto y si esa exposición puede provocar daños. Esto reduce drásticamente el ruido mientras aumenta la precisión de la alerta.

2. Contexto comercial sobre el desorden técnico

Los SOC a menudo operan en silos técnicos, separados de lo que importa para el negocio. CTEM inyecta el contexto de riesgo basado en datos en decisiones de seguridad y qué vulnerabilidades están ocultas en rutas de ataque real que conducen a datos confidenciales, sistemas o flujos de ingresos.

3. Prevención sobre la reacción

En un modelo CTEM, las exposiciones se mitigan antes de explotar. En lugar de competir para responder a las alertas después del hecho, los equipos de seguridad se centran en cerrar las rutas de ataque y validar la efectividad de los controles de seguridad.

Juntos, estos principios reflejan por qué CTEM se ha convertido en un cambio fundamental en la mentalidad. Al centrarse en lo que está realmente expuesto, la correlación de riesgos directamente con los resultados comerciales y priorizar la prevención, CTEM permite a los equipos de seguridad operar con más claridad, precisión y propósito para ayudar a impulsar el impacto medible.

Cómo se ve CTEM en la práctica

Es posible que una empresa que adopte CTEM no reduzca la cantidad de herramientas de seguridad que utiliza, pero las usará de manera diferente. Por ejemplo:

  • Exposure Insights guiará las prioridades de parcheo, no las puntuaciones de CVSS.
  • El mapeo y la validación de la ruta de ataque informarán la efectividad del control, no las actualizaciones de políticas genéricas.
  • El ejercicio de validación, como el equipo automático de pentesting o rojo autónomo, confirmará si un atacante real podría alcanzar datos o sistemas valiosos, no solo si el control está «encendido».

Este cambio estratégico básico permite a los equipos de seguridad cambiar de la evaluación de amenazas reactivas a la reducción de riesgos dirigida a datos, donde cada actividad de seguridad está conectada al impacto comercial potencial.

CTEM y el futuro del SOC

En muchas empresas, CTEM se sentará junto al SOC, alimentándolo con información de mayor calidad y enfocando a los analistas en lo que realmente importa. Pero en los equipos de avance, CTEM se convertirá en el nuevo SOC, no solo operacional sino filosóficamente. Una función ya no se construyó en torno a la observación, sino que interrumpe. Eso significa:

  • La detección de amenazas se convierte en anticipación de amenazas.
  • Las colas de alerta se priorizan el riesgo basado en el contexto.
  • El éxito ya no es «atrapamos la violación en el tiempo» sino que es «la violación nunca encontró un camino para empezar».

Conclusión: de volumen a valor

Los equipos de seguridad no necesitan más alertas; Necesitan mejores preguntas. Necesitan saber qué importa más, qué está realmente en riesgo y qué solucionar primero. CTEM responde esas preguntas. Y al hacerlo, redefine el propósito mismo de las operaciones de seguridad modernas de no responder más rápido, sino para eliminar la oportunidad del atacante por completo.

Es hora de pasar de monitorear todo a medir lo que importa. CTEM no es solo una mejora para el SOC. Es en lo que debería convertirse el SOC.

Artículos más populares

Sobre nosotras

Bienvenidos a actualidadaldía, tu fuente confiable de información actualizada y relevante. Nos dedicamos a mantenerte informado con las noticias más importantes y destacadas, ofreciendo contenido que refleja la realidad de nuestro mundo en constante cambio.

Temas

Últimas noticias

La IA china DeepSeek-R1 genera código inseguro cuando se le solicita...

Tecnología 0
Una nueva investigación de CrowdStrike ha revelado que el...

Un cabezazo de Danilo eleva al Flamengo a su cuarta corona...

Deporte 0
El ex defensa de la Juventus Danilo anotó un...

3 razones por las que XRP podría alcanzar un nuevo máximo...

Criptomonedas 0
El token XRP de Ripple enfrentó una caída masiva...

Noticias populares

¿España realmente envió albóndigas de cerdo en paquetes de ayuda a...

Mundo 0

Picks de expertos, mejores apuestas: cómo Alexander Volkanovski y Diego Lopes...

Deporte 0
Alexander Volkanovski es un ex campeón de peso pluma...

Malware de TamperedChef disfrazado de editores falsos de PDF roba credenciales...

Tecnología 0
Los investigadores de ciberseguridad han descubierto una campaña de...

© 2025 Todos los derechos reservados | Desarrollado por Actualidadaldía