El tiempo medio de detección se calcula de la siguiente manera:
(118 + 53 + 148 + 85)/4
MTTD = 101 minutos
El fabricante de autopartes podría usar este número para comparar la MTTD de esta semana en particular con otras semanas o con la misma semana del año anterior. Si hubieran calculado la MTTD para un determinado equipo, podrían usar este resultado para medir el rendimiento del equipo a lo largo del tiempo. Algunas empresas eligen eliminar los valores atípicos de la tabla, y muchas también nivelarán los incidentes por gravedad para ver si la MTTD varía según la gravedad del problema.
¿Qué herramientas necesita para monitorear la MTTD?
El monitoreo de la MTTD implica principalmente llevar un registro de cualquier cosa que califique como evento o problema, que puede variar en gran medida de una organización a otra.
Las herramientas principales que necesita para monitorear la MTTD incluyen:
Registros: Los registros se producen automáticamente y se registran los eventos relevantes para un sistema informático o una aplicación de software en particular. Por ejemplo, el registro de acceso de un servidor web enumera todos los archivos individuales que las personas solicitan de un sitio web, incluidos los archivos HTML y cualquier otro archivo asociado que se transmite. Otro ejemplo es un registro de base de datos, que registra toda la actividad en la base de datos, incluidos todos los cambios en los registros.
Mesas de ayuda: Los escritorios compartidos son centros de ayuda centralizados para usuarios de productos que necesitan ayuda con cualquier cosa relacionada con el producto, especialmente problemas de TI. Pueden ser centros de llamadas físicos o en línea, o sistemas de tickets que funcionan a través de aplicaciones SaaS. Las mesas de ayuda tienen una base de conocimientos que lleva registros de los problemas de los clientes, incluido cuál fue el problema, cuándo se identificó y cómo se resolvió.
Sistemas de detección de intrusos: Un sistema de detección de intrusos (IDS) es un sistema que monitorea el tráfico de red para detectar actividad sospechosa y produce alertas cuando se descubre dicha actividad. Las funciones principales de un IDS son la generación de informes y la detección de anomalías, pero algunos sistemas de detección de intrusos pueden tomar medidas cuando detectan actividad maliciosa, incluido el bloqueo del tráfico enviado desde direcciones IP sospechosas.
¿Qué es una MTTD buena?
Lo que constituye una MTTD “buena” variará en gran medida dependiendo de la empresa, su producto, la industria y la amenaza o intrusión particular que la empresa desea prevenir o interceptar. Obviamente, la mejor MTTD posible es cero, lo que significa que detecta al perpetrador antes de que incluso tenga la oportunidad de causar daños.
Una MTTD cero es, por supuesto, muy difícil de lograr. Según Ponemon Institute, que proporciona el punto de referencia estándar de la industria para MTTD, el tiempo promedio para identificar y contener una filtración de datos fue de 280 días en 2020 y 279 días en 2019.
Para averiguar qué es una MTTD buena para su empresa en particular, debe analizar no solo el promedio general de todas las empresas, sino también intentar obtener información sobre cómo otras empresas de su sector se desempeñan con la MTTD. Además, debe calcular cuál es el costo de la filtración de datos promedio para su empresa y cuánto puede permitirse perder por filtración sin causar dificultades financieras graves a la empresa.
Hay varios pasos que puede seguir para reducir la MTTD:
- Invierta en los mejores talentos y soluciones posibles de ciberseguridad.
- Asegúrese de que todos los equipos internos estén alineados y se comuniquen en torno a posibles amenazas cibernéticas.
- Registre los incidentes de manera precisa y consistente, y mantenga un registro de eventos confiable y exhaustivo.
- Para cada incidente, siempre examine qué lo causó y cómo prevenirlo o detectarlo más rápido en el futuro.
Otras cosas que pueden ayudar a las organizaciones a reducir su MTTD incluyen tecnologías de organización, automatización y respuesta (SOAR) de seguridad y planes de respuesta a incidentes.
¿Quién debe usar MTTD y cuándo?
Cualquier empresa con sistemas o redes que necesiten mantenerse en funcionamiento y seguros puede beneficiarse de medir regularmente la MTTD.
La MTTD siempre debe medirse en los momentos en que la ocurrencia del incidente causaría daños. Por ejemplo, para una planta de fabricación que solo funciona por la noche, solo debería verificar si hay incidentes por la noche. No tendría sentido incluir datos diurnos.
¿Cuál es la siguiente métrica después de la detección?
MTTD refleja la cantidad de tiempo que le lleva a su equipo descubrir un posible incidente de seguridad. Pero el siguiente paso después de la detección es la respuesta.
El tiempo medio para responder, o MTTR, es el tiempo que lleva controlar, remediar o erradicar una amenaza una vez que se ha descubierto.
Obtenga más información sobre MTTR .