¿Qué es un Centro de operaciones de seguridad SOC? - OSTEC

This post is also available in: Português Español

Ya está claro que una empresa no puede prescindir de un plan de seguridad digital, algo que implica a personas, procesos y tecnologías. Sin embargo, no siempre es factible crear un equipo interno de seguridad digital dedicado a supervisar la estructura, tanto por cuestiones presupuestarias como por las prioridades de la demanda. Una solución viable en este caso es buscar una alianza con un SOC, que significa Centro de Operaciones de Seguridad. En resumen, un SOC es un equipo, que puede ser subcontratado o no, totalmente dedicado a analizar el flujo de tráfico y a vigilar las amenazas y los ataques.

Como tal, es responsable de supervisar la postura de seguridad de la empresa y cualquier amenaza de ciberseguridad. El SOC ayuda a proteger todas las áreas de la infraestructura informática de la organización, incluidas las redes, el software y los datos almacenados.

Para ello, trabaja las 24 horas del día, los 7 días de la semana, haciendo un seguimiento de los eventos registrados en el sistema de la empresa, para luego decidir cómo se tratarán dichos sucesos. Suelen contar con el apoyo de un equipo de analistas, ingenieros y gestores de seguridad que trabajan para responder inmediatamente a las amenazas de seguridad.

El centro de operaciones de seguridad también busca continuamente formas de mejorar la postura de defensa de la organización, así como de prevenir futuros ciberataques.

Ventajas del SOC

La primera es el costo beneficio. Para muchas empresas, los salarios de los empleados son el mayor coste de su presupuesto. La contratación de un equipo completo de profesionales de la ciberseguridad requiere una enorme inversión inicial y continua. Al adoptar el modelo de SOC externo, los directivos pagan por un servicio con condiciones claras y responsabilidades bien definidas.

Esto conduce a un menor tiempo de inactividad. Cuando una estructura tecnológica crítica deja de estar disponible, suele suponer una pérdida de ingresos o un impacto negativo en la reputación de la empresa. El uso de un SOC puede minimizar estos efectos y disminuir el tiempo de resolución de incidentes.

Incluso las herramientas más fiables de supervisión del tiempo de actividad no son perfectas. Por lo tanto, tener un centro de operaciones de seguridad crea una capa adicional de seguridad. Y los equipos internos con tantas prioridades a su cargo verán como puede ser beneficioso tercerizar las actividades de ciberseguridad a un SOC.

En este contexto, existe la ventaja de mantener intacta la confianza que los clientes ya tienen en la empresa. Al fin y al cabo, una sola violación de datos puede hacer que un cliente se lo piense dos veces antes de continuar con una empresa. Con tan poco margen para errores, poner un centro de operaciones de seguridad a trabajar supervisando los sistemas las 24 horas del día proporciona una sensación de confianza a todos los que dependen de la red y los datos.

Responsabilidades

Un SOC funciona como un sector centralizado en una empresa, con personas que utilizan herramientas para supervisar continuamente la postura de seguridad. El objetivo es detectar y prevenir malwares e incidentes de seguridad cibernética. Si una vulnerabilidad es encontrada o se descubre un incidente, el SOC entrará en contacto con el equipo local para responder al problema e investigar la raíz.

Por lo tanto, hay un conjunto básico de funciones operativas que un SOC debe realizar para añadir valor a una organización. Los SOC individuales realizan varias tareas y funciones a nivel interno, independientemente del modelo bajo el que decidan operar.

La primera de ellas es la investigación de activos. Para que un SOC ayude a una empresa a mantenerse segura, debe tener un inventario completo de los activos que necesita proteger. De lo contrario, es posible que no puedan defender todo el alcance de la red.

Una revisión de activos debe identificar todos los servidores, routers, firewalls bajo el control de la empresa, así como cualquier otra herramienta de ciberseguridad en uso activo.

El SOC también debería centrarse en la recogida de registros. Los datos son el elemento más importante para que un SOC funcione correctamente, y los registros son la principal fuente de información sobre la actividad de la red. A continuación, debería establecer alimentaciones directas desde los sistemas corporativos para que los datos se recojan en tiempo real.

Por muy agudo que sea el ojo humano, no es posible manejar tal cantidad de información. Por eso, las herramientas de exploración de registros con algoritmos de inteligencia artificial son tan valiosas para los SOC..

Otro punto de atención para el SOC es el mantenimiento preventivo. En el mejor de los casos, el SOC puede evitar que se produzcan ciberataques siendo proactivo en sus procesos. Esto incluye la instalación de parches de seguridad y el ajuste de las políticas del cortafuegos con regularidad. Dado que algunos ciberataques comienzan como amenazas internas, un SOC también debe buscar los riesgos dentro de la empresa.

En ese contexto, para poder responder a un incidente de ciberseguridad, el SOC debe ser consciente de sus prácticas de supervisión. Unos pocos minutos pueden ser la diferencia entre bloquear un ataque y dejar que se caiga todo un sistema o un sitio web. Las herramientas del SOC realizan escaneos en toda la red de la empresa para identificar posibles amenazas y otras actividades sospechosas.

Ahí es donde entra la gestión de alertas. Los sistemas automatizados son excelentes para encontrar patrones y seguir scripts. Pero el elemento humano de un SOC demuestra su valor cuando se trata de analizar las alertas automatizadas y clasificarlas en función de su gravedad y prioridad. El equipo del SOC debe saber qué respuestas dar y cómo verificar si una alerta es legítima o no.

Así, una vez que se produce un incidente y se resuelve, el trabajo del SOC no ha hecho más que empezar. Los expertos en ciberseguridad analizarán la raíz del problema y diagnosticarán por qué se ha producido. Esto alimenta un proceso de mejora continua, con herramientas y reglas de seguridad que se actualizan para evitar que se produzcan en el futuro los mismos incidentes.

¿Quién es quién en el SOC?

Gerentes:

son los líderes de la empresa. Sus responsabilidades incluyen la contratación y el despido, la elaboración de presupuestos y el establecimiento de prioridades. Suelen depender directamente del nivel ejecutivo, especialmente del director de seguridad de la información, o del propietario de la empresa en caso de ser un tercerizado.

Auditor de cumplimiento:

desempeña un papel fundamental en la normalización de los procesos dentro de un SOC. Funcionan como el departamento de control de calidad, garantizando que los miembros del SOC sigan protocolos y se adhieran a la normativa gubernamental o industrial.

Asistentes de incidentes

: son las personas que reaccionarán a las alertas lo más rápidamente posible. Utilizan una amplia gama de servicios de supervisión para clasificar la gravedad de las alertas y, cuando una se considera un problema a gran escala, se comprometen con la empresa afectada para iniciar los esfuerzos de recuperación.

Analistas:

son responsables de revisar los incidentes pasados y determinar su raíz. Suelen tener muchos años de experiencia en ciberseguridad y son esenciales para entender los aspectos técnicos que hay detrás de las violaciones y cómo prevenirlas.

“Cazadores de amenazas”:

son miembros del equipo que realizan pruebas en una red para identificar áreas de debilidad. El objetivo es encontrar vulnerabilidades antes de que un ciberdelincuente pueda explotarlas con un ataque, lo que permite mejorar la seguridad general de los datos en su conjunto.

Modelos de SOC

SOC dedicado o interno:

en esta modalidad, la empresa crea su propio equipo de ciberseguridad. Los que decidan tener su propio SOC dedicado necesitarán personal y experiencia para desempeñar todas las funciones, desde gestor hasta analista. Es más común en las grandes empresas con una mayor cantidad de exigencias de seguridad.

SOC virtual:

el equipo de seguridad no dispone de instalaciones y suele trabajar en remoto. En un modelo de SOC virtual, el papel del gestor del SOC se vuelve aún más crítico en lo que respecta a la coordinación de los individuos en múltiples ubicaciones.

SOC global o de comando:

es un grupo de alto nivel que supervisa los SOC más pequeños de una gran región. Las multinacionales distribuidas globalmente suelen utilizar el modelo de SOC global porque les permite poner en marcha iniciativas estratégicas y estandarizar los procedimientos hasta los niveles de cazadores de amenazas y analistas.

SOC cogerenciado:

en este caso, la TI interna de la empresa está estrechamente vinculada con un proveedor externo para gestionar conjuntamente las necesidades de ciberseguridad. Es uno de los modelos más rentables, ya que no necesita emplear todas las funciones y puede trabajar con el auditor de cumplimiento de su proveedor para garantizar que se aplican los procedimientos adecuados.

This post is also available in: Português Español

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

Ventajas del SOC

Responsabilidades

¿Quién es quién en el SOC?

Modelos de SOC

6 maneras de reforzar la resiliencia cibernética

La importancia del Security Awareness

Cadastre-se em nossa newsletter