É«¿Ø´«Ã½

El tiempo medio de detecci¨®n, o MTTD, es el tiempo medio que un equipo de DevOps tarda en detectar un problema, como un error de software o un fallo de hardware, en una organizaci¨®n.

El MTTD es uno de los indicadores de rendimiento clave de la gesti¨®n de incidentes. Como es l¨®gico, cuanto antes descubra una organizaci¨®n un problema, mejor. Los incidentes con frecuencia provocan la inactividad del sistema, lo que de media puede costar , seg¨²n Gartner.

Aunque el MTTD no es la ¨²nica m¨¦trica que los equipos de DevOps tienen a su disposici¨®n, es la m¨¢s f¨¢cil de supervisar y medir y es un indicador esencial para cualquier organizaci¨®n que quiera evitar problemas como la interrupci¨®n del sistema.

C¨®mo calcular el MTTD: paso a paso

Para calcular el MTTD:

1. Haga un seguimiento de todos los incidentes, utilizando herramientas como los registros, un servicio de asistencia y/o un sistema de detecci¨®n de intrusiones (m¨¢s abajo, veremos estas herramientas con m¨¢s detalle).
2. Determine el objetivo de su c¨¢lculo de MTTD y para qu¨¦ quiere calcularlo. El MTTD suele calcularse para una instalaci¨®n o un sistema concretos y para un periodo de tiempo espec¨ªfico, como la noche, una semana, un mes o un a?o. Tambi¨¦n puede calcularse para un t¨¦cnico o un equipo espec¨ªficos.
3. Utilice las herramientas que hemos mencionado anteriormente para calcular la hora de inicio y la hora de detecci¨®n de cada incidente dentro del marco temporal que haya elegido.
4. Divida el tiempo total de detecci¨®n de los incidentes entre el n¨²mero de incidentes.

Por ejemplo, supongamos que un equipo de apoyo a las operaciones de un gran fabricante de componentes de automoci¨®n trabaja las 24 horas del d¨ªa y los siete d¨ªas de la semana y supervisa semanalmente el MTTD de toda la instalaci¨®n. Durante la semana del 7 al 11 de febrero de 2022, se han producido cuatro incidentes. Usando los registros de los sistemas, el equipo ha determinado la hora de inicio y la de detecci¨®n de cada incidente y las ha anotado en una tabla de la manera siguiente:

El tiempo medio de detecci¨®n se calcula as¨ª:

(118 + 53 + 148 + 85)/4

MTTD = 101 minutos

Luego, el fabricante de componentes de automoci¨®n podr¨ªa usar esta cifra para comparar el MTTD de esa semana concreta con el de otras semanas o con el de la misma semana del a?o anterior. Si hubiera calculado el MTTD de un equipo espec¨ªfico, podr¨ªa usar ese resultado para evaluar el rendimiento del equipo a lo largo del tiempo. Algunas empresas deciden eliminar los casos at¨ªpicos de la tabla y muchas tambi¨¦n clasifican los incidentes seg¨²n la gravedad, para ver si el MTTD var¨ªa en funci¨®n de la importancia del problema.

?Qu¨¦ herramientas necesita para supervisar el MTTD?

Para supervisar el MTTD fundamentalmente hay que hacer un seguimiento de cualquier cosa que pueda calificarse de evento o de problema, unos conceptos que var¨ªan mucho de una organizaci¨®n a otra.

Las herramientas principales que necesita para supervisar el MTTD incluyen:

Logs: los registros se generan autom¨¢ticamente y son una documentaci¨®n que lleva la marca de la hora de los eventos relevantes para un sistema inform¨¢tico o una aplicaci¨®n de software concretos. Por ejemplo, el registro de acceso a un servidor web enumera todos los archivos individuales que las personas solicitan desde un sitio web, incluidos los archivos HTML y los otros archivos asociados que se transmiten. Otro ejemplo es un registro de una base de datos, que registra toda la actividad de la base de datos, incluidos todos los cambios en los registros.

Los servicios de asistencia o Help Desk: los servicios de asistencia son centros de ayuda centralizados destinados a los usuarios de un producto que necesitan ayuda con cualquier cuesti¨®n relacionada con el producto, especialmente problemas inform¨¢ticos. Pueden ser centros de atenci¨®n telef¨®nica f¨ªsicos u online o sistemas de vales de soporte que funcionan a trav¨¦s de aplicaciones SaaS. Los servicios de asistencia tienen una base de conocimientos que lleva un registro de los problemas de los clientes, donde se detalla la naturaleza del problema, cu¨¢ndo se identific¨® y c¨®mo se resolvi¨®.

Los sistemas de detecci¨®n de intrusiones: un sistema de detecci¨®n de intrusiones (IDS por sus siglas en ingl¨¦s) es un sistema que supervisa el tr¨¢fico de red en busca de actividades sospechosas y que genera alertas cuando se descubre este tipo de actividad. Las funciones principales de un IDS son la generaci¨®n de informes y la detecci¨®n de anomal¨ªas, pero algunos sistemas de detecci¨®n de intrusiones tambi¨¦n pueden actuar cuando detectan una actividad maliciosa, por ejemplo, bloqueando el tr¨¢fico enviado desde las direcciones IP sospechosas.

?Qu¨¦ es un buen MTTD?

El concepto de qu¨¦ es un ¡°buen¡± MTTD variar¨¢ mucho en funci¨®n de la empresa, su producto, el sector y la amenaza o la intrusi¨®n concretas que la empresa quiera evitar o interceptar. L¨®gicamente, el mejor MTTD posible es de cero, lo que significa que se coge al actor de la amenaza antes incluso de que haya tenido tiempo de causar un da?o.

Sin embargo, un MTTD de cero es, por supuesto, muy dif¨ªcil de lograr. Seg¨²n el , que proporciona el ¨ªndice de referencia est¨¢ndar del sector para el MTTD, el tiempo medio para identificar y contener una vulneraci¨®n de datos fue de 280 d¨ªas en 2020 y de 279 d¨ªas en 2019.

Para calcular qu¨¦ es un buen MTTD para su empresa en concreto, no solo debe fijarse en la media de todas las empresas, sino que tambi¨¦n tiene que tratar de obtener informaci¨®n sobre qu¨¦ MTTD tienen las otras empresas de su sector. Adem¨¢s, tendr¨¢ que calcular cu¨¢l es el coste medio de las vulneraciones de datos para su empresa y cu¨¢nto puede permitirse esta perder por cada infracci¨®n sin que ello le cause una dificultad financiera grave.

Se pueden tomar varias medidas para reducir el MTTD:

• Invertir en el mejor talento y las mejores soluciones de seguridad posibles.
• Asegurarse de que todos los equipos internos est¨¢n coordinados y comunican las posibles ciberamenazas.
• Registrar los incidentes de manera precisa y sistem¨¢tica y mantener un registro de eventos fiable y minucioso.
• Para cada incidente, examinar siempre qu¨¦ lo ha causado y c¨®mo prevenirlo o detectar m¨¢s r¨¢pidamente su avance.

Otras cosas que pueden ayudar a las organizaciones a reducir su MTTD son las tecnolog¨ªas de orquestaci¨®n, automatizaci¨®n y respuesta de seguridad (SOAR) y los planes de respuesta a los incidentes.

?Qui¨¦n deber¨ªa usar el MTTD y cu¨¢ndo?

Cualquier empresa con sistemas o redes que necesiten estar listos y en funcionamiento y seguros puede beneficiarse de una medici¨®n regular del MTTD.

El MTTD siempre debe medirse en los momentos en que el acaecimiento del incidente puede causar un da?o. Por ejemplo, en una planta de fabricaci¨®n que solo funciona de noche, solo habr¨ªa que comprobar los incidentes que se producen durante la noche. No tendr¨ªa sentido incluir los datos diurnos.

?Cu¨¢l es la m¨¦trica siguiente despu¨¦s de la detecci¨®n?

El MTTD muestra el lapso de tiempo que su equipo tarda en descubrir un posible incidente de seguridad. Pero, el siguiente paso, tras la detecci¨®n, es la respuesta.

El tiempo medio de respuesta, o MTTR, es el tiempo que se tarda en controlar, resolver y/o eliminar una amenaza, una vez que ha sido descubierta.

M¨¢s informaci¨®n sobre el MTTR.