¿Qué es el MTTD?

El tiempo medio de detección, o MTTD, es el tiempo medio que un equipo de DevOps tarda en detectar un problema, como un error de software o un fallo de hardware, en una organización.

El MTTD es uno de los indicadores de rendimiento clave de la gestión de incidentes. Como es lógico, cuanto antes descubra una organización un problema, mejor. Los incidentes con frecuencia provocan la inactividad del sistema, lo que de media puede costar 5600 $ por minuto, según Gartner.

Aunque el MTTD no es la única métrica que los equipos de DevOps tienen a su disposición, es la más fácil de supervisar y medir y es un indicador esencial para cualquier organización que quiera evitar problemas como la interrupción del sistema.

Cómo calcular el MTTD: paso a paso

Para calcular el MTTD:

1. Haga un seguimiento de todos los incidentes, utilizando herramientas como los registros, un servicio de asistencia y/o un sistema de detección de intrusiones (más abajo, veremos estas herramientas con más detalle).
2. Determine el objetivo de su cálculo de MTTD y para qué quiere calcularlo. El MTTD suele calcularse para una instalación o un sistema concretos y para un periodo de tiempo específico, como la noche, una semana, un mes o un año. También puede calcularse para un técnico o un equipo específicos.
3. Utilice las herramientas que hemos mencionado anteriormente para calcular la hora de inicio y la hora de detección de cada incidente dentro del marco temporal que haya elegido.
4. Divida el tiempo total de detección de los incidentes entre el número de incidentes.

Por ejemplo, supongamos que un equipo de apoyo a las operaciones de un gran fabricante de componentes de automoción trabaja las 24 horas del día y los siete días de la semana y supervisa semanalmente el MTTD de toda la instalación. Durante la semana del 7 al 11 de febrero de 2022, se han producido cuatro incidentes. Usando los registros de los sistemas, el equipo ha determinado la hora de inicio y la de detección de cada incidente y las ha anotado en una tabla de la manera siguiente:

El tiempo medio de detección se calcula así:

(118 + 53 + 148 + 85)/4

MTTD = 101 minutos

Luego, el fabricante de componentes de automoción podría usar esta cifra para comparar el MTTD de esa semana concreta con el de otras semanas o con el de la misma semana del año anterior. Si hubiera calculado el MTTD de un equipo específico, podría usar ese resultado para evaluar el rendimiento del equipo a lo largo del tiempo. Algunas empresas deciden eliminar los casos atípicos de la tabla y muchas también clasifican los incidentes según la gravedad, para ver si el MTTD varía en función de la importancia del problema.

¿Qué herramientas necesita para supervisar el MTTD?

Para supervisar el MTTD fundamentalmente hay que hacer un seguimiento de cualquier cosa que pueda calificarse de evento o de problema, unos conceptos que varían mucho de una organización a otra.

Las herramientas principales que necesita para supervisar el MTTD incluyen:

Logs: los registros se generan automáticamente y son una documentación que lleva la marca de la hora de los eventos relevantes para un sistema informático o una aplicación de software concretos. Por ejemplo, el registro de acceso a un servidor web enumera todos los archivos individuales que las personas solicitan desde un sitio web, incluidos los archivos HTML y los otros archivos asociados que se transmiten. Otro ejemplo es un registro de una base de datos, que registra toda la actividad de la base de datos, incluidos todos los cambios en los registros.

Los servicios de asistencia o Help Desk: los servicios de asistencia son centros de ayuda centralizados destinados a los usuarios de un producto que necesitan ayuda con cualquier cuestión relacionada con el producto, especialmente problemas informáticos. Pueden ser centros de atención telefónica físicos u online o sistemas de vales de soporte que funcionan a través de aplicaciones SaaS. Los servicios de asistencia tienen una base de conocimientos que lleva un registro de los problemas de los clientes, donde se detalla la naturaleza del problema, cuándo se identificó y cómo se resolvió.

Los sistemas de detección de intrusiones: un sistema de detección de intrusiones (IDS por sus siglas en inglés) es un sistema que supervisa el tráfico de red en busca de actividades sospechosas y que genera alertas cuando se descubre este tipo de actividad. Las funciones principales de un IDS son la generación de informes y la detección de anomalías, pero algunos sistemas de detección de intrusiones también pueden actuar cuando detectan una actividad maliciosa, por ejemplo, bloqueando el tráfico enviado desde las direcciones IP sospechosas.

¿Qué es un buen MTTD?

El concepto de qué es un “buen” MTTD variará mucho en función de la empresa, su producto, el sector y la amenaza o la intrusión concretas que la empresa quiera evitar o interceptar. Lógicamente, el mejor MTTD posible es de cero, lo que significa que se coge al actor de la amenaza antes incluso de que haya tenido tiempo de causar un daño.

Sin embargo, un MTTD de cero es, por supuesto, muy difícil de lograr. Según el Ponemon Institute, que proporciona el índice de referencia estándar del sector para el MTTD, el tiempo medio para identificar y contener una vulneración de datos fue de 280 días en 2020 y de 279 días en 2019.

Para calcular qué es un buen MTTD para su empresa en concreto, no solo debe fijarse en la media de todas las empresas, sino que también tiene que tratar de obtener información sobre qué MTTD tienen las otras empresas de su sector. Además, tendrá que calcular cuál es el coste medio de las vulneraciones de datos para su empresa y cuánto puede permitirse esta perder por cada infracción sin que ello le cause una dificultad financiera grave.

Se pueden tomar varias medidas para reducir el MTTD:

• Invertir en el mejor talento y las mejores soluciones de seguridad posibles.
• Asegurarse de que todos los equipos internos están coordinados y comunican las posibles ciberamenazas.
• Registrar los incidentes de manera precisa y sistemática y mantener un registro de eventos fiable y minucioso.
• Para cada incidente, examinar siempre qué lo ha causado y cómo prevenirlo o detectar más rápidamente su avance.

Otras cosas que pueden ayudar a las organizaciones a reducir su MTTD son las tecnologías de orquestación, automatización y respuesta de seguridad (SOAR) y los planes de respuesta a los incidentes.

¿Quién debería usar el MTTD y cuándo?

Cualquier empresa con sistemas o redes que necesiten estar listos y en funcionamiento y seguros puede beneficiarse de una medición regular del MTTD.

El MTTD siempre debe medirse en los momentos en que el acaecimiento del incidente puede causar un daño. Por ejemplo, en una planta de fabricación que solo funciona de noche, solo habría que comprobar los incidentes que se producen durante la noche. No tendría sentido incluir los datos diurnos.

¿Cuál es la métrica siguiente después de la detección?

El MTTD muestra el lapso de tiempo que su equipo tarda en descubrir un posible incidente de seguridad. Pero, el siguiente paso, tras la detección, es la respuesta.

El tiempo medio de respuesta, o MTTR, es el tiempo que se tarda en controlar, resolver y/o eliminar una amenaza, una vez que ha sido descubierta.

Más información sobre el MTTR.