Cómo el proceso del bucle OODA puede mejorar la toma de decisiones y la seguridad de la red

Cualquier organización que realice negocios en Internet corre el riesgo de sufrir un ciberataque. El aluvión constante de amenazas puede ser tan leve como los correos electrónicos de phishing o tan peligroso como una amenaza persistente avanzada (APT). Estas amenazas pueden hacer que trabajar en ciberseguridad se parezca mucho a luchar en un campo de batalla.

Por eso, el proceso del bucle OODA (concebido originalmente como una forma de que los pilotos de aviones de combate se enfrentaran a situaciones de combate de alto riesgo) ha ganado popularidad en el sector de la seguridad de la información.

¿Qué es el proceso de bucle OODA?

El proceso del bucle OODA consta de cuatro pasos: Observar, Orientar, Decidir y Actuar. Ayuda a las organizaciones a responder a situaciones de alto riesgo de forma más rápida e inteligente. Como cualquier buen plan de combate, el proceso del bucle OODA supera a los atacantes anticipándose a sus próximos movimientos y actuando con decisión para frustrarlos.

Observe

El primer paso del bucle OODA consiste en recopilar datos sobre el incidente amenazador. Necesitas comprender el problema, el entorno y otros factores relacionados. La clave es llevar a cabo esta observación lo más rápidamente posible filtrando la información irrelevante de la relevante para poder reaccionar antes de que se produzcan demasiados daños.

En un incidente de seguridad de red, la observación implica recopilar y clasificar los registros de su SIEM (Security Information and Event Management) o herramientas de monitorización. A menudo, estas herramientas generan muchos datos irrelevantes que deben filtrarse para identificar el problema. Por suerte, la IA y las herramientas de análisis de aprendizaje automático pueden eliminar esta información irrelevante mucho más rápido que los humanos. Aun así, es importante verificar que sus registros proporcionan la mayor cobertura posible y que su recopilación de registros funciona correctamente antes de que se produzca un incidente. Esto garantizará que disponga de información completa y precisa para orientarse durante un ataque.

Relacionado:  Siempre es DNS, pero no de la manera que crees

Oriéntese

En el segundo paso, debes analizar los datos recogidos durante la observación para dar sentido a lo que está ocurriendo. El objetivo es realizar este análisis con el menor sesgo posible para asegurarte de que tienes una visión objetiva de la amenaza y de tus opciones.

En la seguridad de la red, la orientación es mucho más fácil cuando se tiene una línea de base para la comparación. Deberías tener líneas de base para el comportamiento de la cuenta, el estado del sistema y el rendimiento de la aplicación para saber cuándo está ocurriendo algo inusual y entender qué causó el cambio.

Decida

A continuación, es el momento de tomar una decisión basada en un análisis rápido pero exhaustivo de tus observaciones. Tienes que diseñar un plan flexible para responder a una brecha que te permita adaptarte rápidamente a acciones imprevistas de los atacantes. Este plan también debe documentarse para utilizar lo aprendido para mejorar la toma de decisiones en el futuro.

Cuando respondas a un incidente de ciberseguridad, tu plan debe incluir todos los flujos de trabajo necesarios para repeler a los invasores, reparar el daño que han causado, parchear la vulnerabilidad que han explotado y documentar exhaustivamente el incidente. Este plan debe ser comprobable (por ejemplo, con pruebas A/B) para garantizar que sus acciones no causarán problemas adicionales. También debe permitir a los forenses digitales investigar el origen, la causa y los efectos del ataque, lo que significa solucionar el problema sin borrar todo rastro de lo ocurrido. Esto puede ser muy valioso para su futura estrategia de ciberseguridad e incluso podría ser legalmente obligatorio en algunos casos.

Relacionado:  Las mejores herramientas de infraestructura DevOps que aportan más valor

Actúe

El cuarto paso consiste en actuar de acuerdo con la decisión que has tomado. Su objetivo es llegar a este paso lo antes posible para limitar los daños causados por el ataque. De nuevo, es probable que en esta fase se produzcan una serie de acciones y flujos de trabajo. Documente minuciosamente cada uno de estos flujos de trabajo y sus resultados, ya que esto le ayudará a crear manuales de incidentes de ciberseguridad que podrá utilizar para responder a sucesos similares en el futuro.

Si tu plan neutraliza eficazmente el ataque, los resultados de este bucle OODA te ayudarán a hacer frente a futuros incidentes de ciberseguridad. Si tu plan propuesto falla, seguirás utilizando los resultados para formarte nuevas observaciones, hacer un análisis más informado, cambiar tus decisiones e implementar un nuevo plan.

Cómo el proceso del bucle OODA puede mejorar la toma de decisiones y la seguridad de la red

El proceso del bucle OODA puede ayudar a su organización a responder a las amenazas mucho más rápidamente. Capacita a los miembros de su equipo de seguridad para reaccionar a los indicadores de ataque de forma más rápida e inteligente.

También crea un proceso flexible de toma de decisiones que se adapta a la estrategia de un atacante a medida que se desarrolla. Este proceso le permite anticipar cómo se comportará un atacante, dándole la vuelta a la tortilla y obligándole a responder a sus acciones en sus propios términos, con un daño mínimo para su red.

Publicaciones Similares