Recopilación, análisis e interpretación de la información a través de técnicas rigurosas para identificar, mitigar o prevenir posibles ciberataques. El resultado de dicho análisis, a posteriori, permite tomar decisiones con mejor criterio y planificar un plan de medidas de acción.
La aplicación de la ciberinteligencia permite a las organizaciones desarrollar una postura proactiva de ciberseguridad y reforzar las políticas generales de gestión de riesgos, impulsa el camino hacia una postura de ciberseguridad que es predictiva, no sólo reactiva y, por lo tanto, permite una detección mejorada de amenazas en un entorno tan cambiante e informa para mejorar la toma de decisiones durante y después de la detección de una amenaza.
Existen tres categorías distintas:
- Estratégica: es la más básica. Tiene en cuenta las tendencias actuales de ciberdelincuencia y analiza sus patrones. Con esto, ya se puede formar una imagen de las posibles amenazas a corto, medio y largo plazo. Esta información es usada luego para plantear la mejor estrategia de seguridad. Así, evitamos y anulamos posibles peligros.
- Táctica: se centra en el futuro inmediato. Se ofrece soporte diario en las actividades de la empresa u organización en tiempo real. Se usan indicadores de compromiso (informes sobre incidentes de ciberseguridad que ocurrieron en el pasado), para determinar si los programas de seguridad tendrán éxito y serán capaces de mitigar los riesgos. Dirige sus esfuerzos a detectar y responder ante las amenazas que ya han penetrado en las redes de la organización.
- Operativa o técnica: a caballo entre la inteligencia estratégica (menos técnica) y la táctica (más técnica). Este tipo de inteligencia protege a la empresa previniendo contra peligros concretos, es decir, antes de que puedan acceder a su red. Aunque puede parecer similar a lo que hace la ciberinteligencia estratégica, esta analiza el riesgo a una escala mucho mayor (amenazas a nivel mundial). Por el contrario, la operativa se concentra en el entorno inmediato de la organización.
Para que una información sobre ciberamenazas sea considerada ciberinteligencia suele tenerse en cuenta que disponga de utilidad, es decir, que pueda servir para obtener un impacto positivo en la organización, detección o resultado de un incidente de seguridad. También que se base en evidencias que respalden que la amenaza sea válida (como el análisis de un malware). Además, no debe ser usable solo como información sino que debe impulsar acciones de control de seguridad.
Las tecnologías digitales se encuentran en el corazón de casi todas las industrias en la actualidad, aumentando su automatización y conectividad, lo que ha provocado una auténtica revolución en las instituciones económicas y culturales del mundo. Eso obliga a pensar en la ciberinteligencia como una necesidad para anticipar posibles amenazas futuras y planificar medidas para lograr un entorno seguro. Actualmente el grado de dependencia es tan alto y las amenazas tan persistentes que los datos recibidos y que necesitan análisis son cada vez mayores. Por eso requieren de herramientas, técnicas y metodologías que ayuden a su transformación en medidas y acciones útiles para el usuario, la entidad o empresa que las necesite.
