El tiempo medio de detecci¨®n se calcula de la siguiente manera:
(118 + 53 + 148 + 85)/4
MTTD = 101 minutos
El fabricante de autopartes podr¨ªa usar este n¨²mero para comparar la MTTD de esta semana en particular con otras semanas o con la misma semana del a?o anterior. Si hubieran calculado la MTTD para un determinado equipo, podr¨ªan usar este resultado para medir el rendimiento del equipo a lo largo del tiempo. Algunas empresas eligen eliminar los valores at¨ªpicos de la tabla, y muchas tambi¨¦n nivelar¨¢n los incidentes por gravedad para ver si la MTTD var¨ªa seg¨²n la gravedad del problema.
?Qu¨¦ herramientas necesita para monitorear la MTTD?
El monitoreo de la MTTD implica principalmente llevar un registro de cualquier cosa que califique como evento o problema, que puede variar en gran medida de una organizaci¨®n a otra.
Las herramientas principales que necesita para monitorear la MTTD incluyen:
Registros: Los registros se producen autom¨¢ticamente y se registran los eventos relevantes para un sistema inform¨¢tico o una aplicaci¨®n de software en particular. Por ejemplo, el registro de acceso de un servidor web enumera todos los archivos individuales que las personas solicitan de un sitio web, incluidos los archivos HTML y cualquier otro archivo asociado que se transmite. Otro ejemplo es un registro de base de datos, que registra toda la actividad en la base de datos, incluidos todos los cambios en los registros.
Mesas de ayuda: Los escritorios compartidos son centros de ayuda centralizados para usuarios de productos que necesitan ayuda con cualquier cosa relacionada con el producto, especialmente problemas de TI. Pueden ser centros de llamadas f¨ªsicos o en l¨ªnea, o sistemas de tickets que funcionan a trav¨¦s de aplicaciones SaaS. Las mesas de ayuda tienen una base de conocimientos que lleva registros de los problemas de los clientes, incluido cu¨¢l fue el problema, cu¨¢ndo se identific¨® y c¨®mo se resolvi¨®.
Sistemas de detecci¨®n de intrusos: Un sistema de detecci¨®n de intrusos (IDS) es un sistema que monitorea el tr¨¢fico de red para detectar actividad sospechosa y produce alertas cuando se descubre dicha actividad. Las funciones principales de un IDS son la generaci¨®n de informes y la detecci¨®n de anomal¨ªas, pero algunos sistemas de detecci¨®n de intrusos pueden tomar medidas cuando detectan actividad maliciosa, incluido el bloqueo del tr¨¢fico enviado desde direcciones IP sospechosas.
?Qu¨¦ es una MTTD buena?
Lo que constituye una MTTD ¡°buena¡± variar¨¢ en gran medida dependiendo de la empresa, su producto, la industria y la amenaza o intrusi¨®n particular que la empresa desea prevenir o interceptar. Obviamente, la mejor MTTD posible es cero, lo que significa que detecta al perpetrador antes de que incluso tenga la oportunidad de causar da?os.
Una MTTD cero es, por supuesto, muy dif¨ªcil de lograr. Seg¨²n , que proporciona el punto de referencia est¨¢ndar de la industria para MTTD, el tiempo promedio para identificar y contener una filtraci¨®n de datos fue de 280 d¨ªas en 2020 y 279 d¨ªas en 2019.
Para averiguar qu¨¦ es una MTTD buena para su empresa en particular, debe analizar no solo el promedio general de todas las empresas, sino tambi¨¦n intentar obtener informaci¨®n sobre c¨®mo otras empresas de su sector se desempe?an con la MTTD. Adem¨¢s, debe calcular cu¨¢l es el costo de la filtraci¨®n de datos promedio para su empresa y cu¨¢nto puede permitirse perder por filtraci¨®n sin causar dificultades financieras graves a la empresa.
Hay varios pasos que puede seguir para reducir la MTTD:
- Invierta en los mejores talentos y soluciones posibles de ciberseguridad.
- Aseg¨²rese de que todos los equipos internos est¨¦n alineados y se comuniquen en torno a posibles amenazas cibern¨¦ticas.
- Registre los incidentes de manera precisa y consistente, y mantenga un registro de eventos confiable y exhaustivo.
- Para cada incidente, siempre examine qu¨¦ lo caus¨® y c¨®mo prevenirlo o detectarlo m¨¢s r¨¢pido en el futuro.
Otras cosas que pueden ayudar a las organizaciones a reducir su MTTD incluyen tecnolog¨ªas de organizaci¨®n, automatizaci¨®n y respuesta (SOAR) de seguridad y planes de respuesta a incidentes.
?Qui¨¦n debe usar MTTD y cu¨¢ndo?
Cualquier empresa con sistemas o redes que necesiten mantenerse en funcionamiento y seguros puede beneficiarse de medir regularmente la MTTD.
La MTTD siempre debe medirse en los momentos en que la ocurrencia del incidente causar¨ªa da?os. Por ejemplo, para una planta de fabricaci¨®n que solo funciona por la noche, solo deber¨ªa verificar si hay incidentes por la noche. No tendr¨ªa sentido incluir datos diurnos.
?Cu¨¢l es la siguiente m¨¦trica despu¨¦s de la detecci¨®n?
MTTD refleja la cantidad de tiempo que le lleva a su equipo descubrir un posible incidente de seguridad. Pero el siguiente paso despu¨¦s de la detecci¨®n es la respuesta.
El tiempo medio para responder, o MTTR, es el tiempo que lleva controlar, remediar o erradicar una amenaza una vez que se ha descubierto.
Obtenga m¨¢s informaci¨®n sobre MTTR .
![Icono de rayos de tormenta](/content/dam/purestorage/online-assets/icons/lightning.svg.imgo.svg"/){kind=icon}
![](/content/dam/purestorage/knowledge/what-is-mttd-hero.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/visionary-voices-resources.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/cyber-resilience-resource-3a.jpg.imgo.jpg")
![](/content/dam/purestorage/homepage23/resources-events/future-of-storage-ebook.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/gartner-card.svg.imgo.svg")