Jordi Martínez, director técnico de Iman Seguridad.
Jordi Martínez Director técnico Iman Seguridad

Gestión de alarmas tempranas

Detección temprana de incidentes.

En la película Minority report (2002), Tom Cruise disponía de un SOC con prestaciones que solo son posible a través de la ficción. Podía mover imágenes holográficas con sus manos y tres precognitivos eran capaces de detectar delitos que estaban a punto de cometerse. El lema de ese SOC era “un delito va a ocurrir y debemos evitarlo”. El de un centro de operaciones de seguridad, a día de hoy, podría ser “un incidente está ocurriendo y debemos informar”, que traducido a las empresas de seguridad privada se trata de informar sobre los eventos de seguridad porque un cliente paga por ello.

Una vez que se produce la detección y la comunicación de la alarma, el daño se va a producir a continuación, y por tanto la premisa fundamental es poder actuar lo más rápido posible para detener o minimizar las consecuencias. Si pudiéramos recibir señales que predijeran un incidente, podríamos actuar antes, para mitigar a tiempo las consecuencias o incluso para prevenir que el daño ocurra.

Podríamos definir la gestión de una alarma  como un procedimiento por el cual un evento de seguridad se verifica, se comunica y se registra. La gestión de una alarma temprana se podría definir como el análisis, comunicación y registro. El análisis sería la recepción de un conjunto de señales que, una vez analizadas y ponderadas, establecen la potencialidad de que ocurra un incidente. La comunicación tendría el objetivo de que se actuara para mitigar o evitar el incidente. El registro serían los datos probatorios que se han comunicado tras valorar que la posibilidad que se produjera el incidente era alta.

Detección temprana

La detección temprana aplicada a las diferentes seguridades podría concretarse como:

  • Seguridad antiintrusión: detección perimetral en vallas o suelos, detectores de impacto o vibración en el perímetro de los edificios.
  • Seguridad analítica de vídeo: merodeo en las zonas próximas al perímetro, detección de objeto abandonado.
  • Seguridad contra incendio: detección de temperatura con sensores ópticos o con cámaras termográficas, datos meteorológicos.
  • Seguridad COVID-19: cámaras de detección de temperatura antes del acceso a las instalaciones.
  • Seguridad alimentaria: niveles químicos, niveles de temperatura, detección de gases.
  • Seguridad de las instalaciones: detección de temperatura, humedad, vibración, sísmica.
  • Seguridad de las personas: datos biomédicos, geolocalización, inactividad.
  • Ciberseguridad: indicios de ataques dirigidos, datos corporativos en la red, violencia en redes sociales, escaneo del perímetro.
  • Inteligencia: datos corporativos en objetivos terroristas o de espionaje.

Los tipos de señales válidas para la detección temprana son eventos de seguridad relacionados con sensores (movimiento, temperatura, presión, calidad en el aire, humedad, sonido, luminosidad, radiación, velocidad, dióxido de carbono…), ciberseguridad informática, ciberseguridad industrial, ciberinteligencia, salud, transporte y logística y, por último, control inteligente de edificios y viviendas.

SOC de ciberseguridad

Los SOC de ciberseguridad se basan principalmente en los sistemas SIEM, que son los encargados de la detección temprana de incidentes, utilizando hoy en día partes de la Inteligencia Artificial como el aprendizaje automático. Pero el objetivo no es que estos sistemas nos alerten constantemente de posibles incidentes de seguridad.

Así, para responder ante los incidentes de ciberseguridad hay que realizar una serie de trabajos anteriormente:

  • Planificación: realizar un plan sólido de respuesta que ayude a evitar las brechas de seguridad. Este plan debe detallar los elementos, personas y tecnologías dedicados a la remediación y detección temprana de incidentes.
  • Detección: una vez detectada la amenaza, lo primero es verificar que es correcta, seleccionar las mismas y determinar la causa del incidente para ver cómo contenerlo.
  • Análisis: en este análisis es importante que se haga un seguimiento del ataque, se clasifique y se priorice la respuesta en función de su gravedad, que se especifiquen las acciones a realizar para mitigar el incidente y se documente.
  • Mitigación: una vez realizado el análisis, desempeñar las acciones necesarias para contener el incidente y mitigarlo.
  • Lecciones aprendidas: una vez normalizada la situación, realizar los cambios necesarios en la estrategia de ciberseguridad para evitar que vuelva a ocurrir el incidente. También hay que actualizar el plan de respuesta a incidentes, los procedimientos y todo aquello que fuera necesario.

A nuestro entender, las claves para conseguir establecer servicios de detección temprana de incidentes son:

  • Aumento de los sistemas de captación de señales físicas y de ciberseguridad.
  • Incremento de los sistemas IoT (Internet de las Cosas, por sus siglas en inglés).
  • Uso de tecnologías Big Data y análisis predictivo.
  • Cumplimiento del Reglamento General de Protección de Datos y excepción de cumplimiento para casos de terrorismo.
  • Cambio cultural respecto a la seguridad.
  • Cambios normativos en seguridad privada.
  • Desarrollo de nuevos modelos de negocio y servicios.

Detección temprana

Posiblemente, los servicios de gestión de las alarmas se complementen en los próximos años con capacidades de detección temprana de incidentes. A día de hoy, en ciberinteligencia existen sistemas de threat intelligence que están orientados a este objetivo. Pero también disponemos de sistemas dedicados a la detección temprana en seguridad electrónica y en protección contra incendios, como la detección perimetral de intrusos, la detección de merodeo o la detección de temperatura, ya sea por detectores o por cámaras termográficas.

Así pues, es fundamental que el diseño de los sistemas de detección se centre en detectar lo antes posible las incidencias; y a su vez, que los SOC dispongan de la capacidad de recibir todas esas señales, ordenarlas y facilitar la información al operador para que verifique la potencialidad del riesgo; es decir, si es muy probable que la incidencia vaya a ocurrir, para entonces actuar antes de su desarrollo.

En esta situación puede suceder que se actúe, pero que no ocurra nada. Por ejemplo, en un centro de gestión de residuos, el sistema predictivo del SOC, una vez analizadas las señales de temperatura, las imágenes termográficas, la temperatura ambiente, la humedad, la velocidad del viento de la estación meteorológica y la base de datos donde se informó de la carga de fuego de justamente ese contenedor de residuos, puede establecer que es muy probable que un incendio ocurra y comunicarlo a los bomberos. Al llegar, el incendio puede no haberse producido por una repentina intensa lluvia, que no se había previsto según los datos provenientes del parte meteorológico. Ante estos tipos de situaciones, la gestión de detección temprana debe considerarse correcta, y el cliente debe de pagar el servicio prestado.

La empresa de seguridad, por su parte, debe demostrar que disponía de suficientes datos como para dar el aviso para que se actuara. De este modo, la detección temprana funcionará y evitará daños reales. De otra forma, si los clientes no están dispuestos a contratar servicios con estas premisas, el propio mercado detendrá el desarrollo de estos servicios. En lugar de contratar servicios que detecten y actúen cuando se inicia un incidente, si el objetivo es mitigar el daño, es más adecuado contratar servicios que prevengan posibles incidentes a través de alarmas tempranas, corriendo el riesgo de que el servicio sea más costoso, pero aumentando las garantías de seguridad.

Una vez verificado que el incidente puede llegar a producirse, habría que actuar, llamando a los bomberos, como en el ejemplo dado; pero en el caso de las Fuerzas y Cuerpos de Seguridad solo puede realizarse en los casos establecidos por normativa. Si la detección temprana no se les puede comunicar, se puede verificar esa sospecha de alarma por un vigilante de seguridad o por un operador de sistemas de ciberseguridad, que deberá tomar las contramedidas necesarias para que no se produzca la incidencia y cuando la normativa permita avisar a la Policía.

Tom Cruise disponía de los precognitivos, pero en la película llega un momento que pasa algo que no estaba previsto y el sistema deja de ser infalible. La seguridad requiere disponer de procedimientos y medidas que garanticen la continuidad de los servicios que se prestan. En la detección temprana de incidentes, la continuidad de los servicios es fundamental, ya que se trabaja con datos históricos que se correlacionan y se almacenan para llegar al momento en el que una información valiosa se extrae de ellos. Esperemos que en algún momento podamos ser Tom Cruise, pero sobre todo que ningún precógnitivo se escape de nuestro SOC.