SOC: crear o contratar, ¿qué es mejor para mi empresa?

El SOC (Security Operations Center) o Centro de Operaciones de Seguridad se trata de un centro de operaciones especializado donde el equipo de seguridad de una empresa u organización acompaña, estudia, identifica y atiende cualquier requerimiento relacionado con la ciberseguridad que pueda generarse.

Teniendo en cuenta el contexto actual donde las operaciones se ejecutan cada vez más a través de procesos remotos y distribuidos, la nube se ha convertido en una necesidad implícita en la mayoría de las actividades empresariales, pero incrementa el nivel de riesgo si no existe una gestión operativa de seguridad correcta de los recursos.

Los Centros de Operaciones de Seguridad, en este sentido, consisten en un conjunto de elementos que permiten a las empresas responder de manera adecuada ante diversas formas de amenazas como son posibles ataques de programa malicioso, ransomware, phishing, entre otras iniciativas maliciosas.

Gracias a este recurso, las organizaciones pueden tener a su disposición un grupo de control de seguridad congruentes que protegen los diferentes entornos del negocio y, por supuesto, la infraestructura digital y tecnológica que posen en las compañías con la intención de anticipar, prevenir, detectar y tomar acciones que mitiguen las amenazas y resguarden la información.

Ahora bien, ¿qué es un SOC en definitiva? ¡Continúa leyendo!

¿Qué es un SOC?

El Centro de Operaciones de Seguridad o SOC, hace referencia a todo el equipo —recursos humanos, dispositivos, herramientas, técnicas, procedimientos y procesos— responsable de hacer frente a las posibles riesgos y amenazas sobre los activos de una organización de manera efectiva.

En síntesis, un SOC se trata de una plataforma que facilita el acompañamiento y gestión de la ciberseguridad de los sistemas de información apoyándose en el uso de herramientas de recopilación, correlación de eventos, análisis de información e iniciativas de administración remota con procesos automatizados.

En esta centro de operaciones de ciberseguridad, se ejecutan todas las acciones correspondientes para solventar los problemas de seguridad, desde una perspectiva técnica como aplicación de las mejores prácticas.

Lo que sugiere que un SOC necesita de instalaciones con un alto grado de protección, a través de medidas de acceso físicas, informáticas y electrónicas.

En él están siendo gestionados los sistemas informáticos principales de las organizaciones, como sus centros de datos, centros de redes, aplicaciones, páginas web, bases de datos, entre otros; en donde cada uno es monitorizado, analizado y protegido ante cualquier eventualidad que los pueda comprometer.

¿Qué es un SIEM?

El componente SIEM (Security Information Event Management) o el gestor de correlación de eventos de información de seguridad en español, es el elemento principal y herramienta clave en los SOC, dado que facilita la administración de los eventos dentro de los sistemas de información.

Las funciones del SIEM se resumen en:

  • Visibilidad: permitiendo ver las amenazas que vulnerabilizan la red de la organización para identificarlas y bloquear su acceso.
  • Monitorización: gestionando las actividades de la red, procesamiento y aplicativa a través de los dispositivos de la empresa para detectar comportamientos dañinos.
  • Análisis: generando informes detallados a partir de los datos para facilitar la toma de decisiones de los encargados de la seguridad.

Esta herramienta le permite al SOC detectar rápidamente los problemas de seguridad y las amenazas, localizándolas rápidamente en los registros, y así detener un posible ataque antes de que se ejecute.

Objetivo de un SOC

El objetivo de un SOC se basa en la detección, análisis, atención y corrección de incidentes relacionados con la ciberseguridad a través de soluciones digitales y tecnológicas a través de enfoques individuales.

Los responsables de esta tarea estarán a cargo de supervisar y analizar todas las iniciativas que se ejecuten en redes, en los servidores de la empresa, terminales, bases de datos, sitios web, entre otros; con la intención de identificar anomalías, debilidades o comportamientos maliciosos que atenten contra los intereses de la empresa.

El SOC tiene la tarea de garantizar que los incidentes de seguridad potenciales sean identificados con anticipación, y se ejecuten las acciones de análisis, defensa e investigación correspondientes para garantizar la protección de la información.

Tradicionalmente, se componen de un grupo de analistas, ingenieros de seguridad y especialistas en ciberseguridad, así como gerentes y líderes que se encargan de supervisar todas las acciones realizadas.

Sin embargo, algunas empresas pueden adicionar a sus SOC actividades como el análisis avanzado, ciberinteligencia, ciberpatrullaje o la ejecución de ingeniería inversa de malware para adelantarse ante posibles amenazas.

Funciones de un SOC en cuanto a la ciberseguridad

Como se ha dicho ya en este contenido, un SOC tiene como propósito el brindar un marco de seguridad informática a las empresas que se divide en 10 objetivos.

1. Qué se debe proteger y cómo

En primer lugar, un SOC necesita identificar claramente qué es lo que se debe proteger y, por lo tanto, es necesario contar con el control de los dispositivos involucrados en el proceso, así como los recursos en los ambientes de nube.

Aquí se realizan un reconocimiento de la organización; pasando desde los puntos finales hasta las soluciones que usa y los servicios subcontratados en los que está apoyado el proceso, con el objetivo de determinar los alcances y visibilidad con la que pueden contar los analistas del SOC.

De la misma forma, es crucial que los colaboradores parte del SOC sepan a profundidad todos estos datos para implementar acciones de forma inmediata y congruente.

2. Prevención y mantenimiento

Contar con un esquema de preparación y mantenimiento forma parte fundamental de todo el marco de respuesta ante incidentes de un SOC.

En ese sentido, los miembros de este centro de seguridad deben estar al tanto de las principales tendencias en el área de seguridad de TI, así como de los métodos más populares de cibercrimen.

Gracias a esto, junto a los procesos de análisis e identificación de necesidades de la organización, se pueden crear rutas críticas para la acción dentro del SOC. Asimismo, el mantenimiento continuo permite mantener todas las soluciones actualizadas y preparadas para detectar amenazas de cualquier tipo.

3. Monitoreo constante

Las herramientas de un SOC tienen el propósito de monitorear una infraestructura tecnológica en todo momento a fin de identificar anomalías o comportamientos maliciosos de forma inmediata.

Se trata de una función crucial, pues, sin importar el momento del día, los integrantes del SOC deben poder prevenir o responder efectivamente ante cualquier amenaza que surja, lo que tiene relación estrecha con la implementación del componente de monitoreo de ciberseguridad y las reglas de análisis necesarias.

4. Clasificación y establecimiento de alertas

Una de las funcionalidades más importantes de todas las herramientas desplegadas a través del SOC es la posibilidad de establecer alertas en tiempo real de lo que sucede en la infraestructura tecnológica del cliente.

Los miembros del SOC tienen la responsabilidad de visualizar las alertas, descartar falsos positivos y de determinar la gravedad de la amenaza.

5. Respuestas oportunas

Cuando un especialista piensa en un SOC, regularmente, se imagina una plataforma capaz de responder ante amenazas, sin embargo, es solo una de las tantas posibilidades que ofrece el Centro.

En el momento que se confirma una amenaza de ciberseguridad, los integrantes del SOC son los primeros en responder y, basados en la ruta crítica y la estrategia de acción ante incidentes, se eligen los pasos a dar para generar el menor impacto posible a la empresa.

6. Contención y Recuperación

Dentro de los objetivos principales del SOC está en recuperar la información y el sistema luego del ataque o evento desfavorable. Para que esto pueda volver a su estado regularse deben ejecutar acciones de restauración, reconfiguración de sistemas o implementar las copias de seguridad para recuperarse de ataques como ransomware, malware, phishing, entre otros.

7. Gestión de logs

El SOC es quien se encarga de recopilar, mantener y analizar los registros de toda las actividades y comunicaciones que se ejecutan dentro de la infraestructura tecnológica de la organización.

Esto permite definir los fundamentos de la actividad, lo que facilita identificar comportamientos anómalos que pueden ser causados por un malware o un intento de intrusión. Además de ejecutar revisiones de los registros para realizar actividades forenses digitales para obtener la cronología de las acciones luego de un incidente.

8. Investigación

El SOC es quien determina lo que sucedió, cómo y la razón; igualmente toda aquella información disponible sobre el incidente con el objetivo de encontrar la causa y evitar que reincida en un futuro.

9. Optimización

La ciberseguridad se basa en la aplicación de un conjunto de servicios y herramientas para protegerse de cibercriminales, lo que lleva al equipo responsable a adoptar mejoras continuas y estar un paso adelante de ellos.

Las mejoras dentro de la organización puede referirse a pruebas de penetración, que evidencian el estado de la seguridad con el objetivo de tomar medidas de optimización.

10. Gestión y cumplimiento

Todos los procesos del SOC deben estar orientados con base en recomendaciones de buenas prácticas; sin embargo, en muchas organizaciones se establecen según acuerdos de conformidad y regulaciones.

Cuando se realiza una auditoría de los sistemas de la empresa el SOC debe asegurarse que cada departamento se base en ellos, ya sea por medio de la misma organización, por su giro o entidades gubernamentales.

Apegarse a ellos garantiza la reputación de la compañía, el bienestar empresarial y la protección de activos de información delicada.

Dicho esto, descubre cómo funciona un SOC.

¿Cómo funciona un SOC?

El funcionamiento de un SOC se basa en tres niveles de actuación:

Primer nivel

En el primer nivel se ejecutan todas las tareas relacionadas con la monitorización y análisis constante de alertas y amenazas que pueden impactar a la gente.

A partir de este proceso se recogen todos las informaciones y se ejecuta un triaje —o método de selección y categorización para definir prioridades según su importancia— para determinar si alguna de estas amenazas tiene el potencial de causar estragos u ocasionar eventos negativos de ciberseguridad.

En esta etapa llega a manos de los analistas que disciernen si esta amenaza en particular necesita la atención especializada; si es así, se pasa a la etapa dos.

Segundo nivel

En esta etapa, los especialistas encargados del segundo nivel estudian y analizan cómo y dónde se ha producido la amenaza o intrusión.

De esta forma, se pueden mensurar el alcance que ha tenido, se trata de identificar al atacante y se teoriza sobre el objetivo en el que se ha basado. Asimismo, aplican una valoración del impacto con el fin de detectar los datos que han sido comprometidos y los sistemas que pueden estar en riesgo.

Una vez que se atienden todos los factores a considerar, se procede a elaborar recomendaciones necesarias para solucionar el evento o ejecutar contramedidas. En algunas ocasiones, este evento puede escalar al tercer nivel donde se encuentran los ‘Hunter’.

Tercer nivel

Los ‘Hunter’ o’cazadores’ son especialistas altamente cualificados para resolver y mitigar ataques complejos de ciberseguridad. Estos expertos están calificados para “cazar” los elementos que se relacionan con la intrusión, dando respuestas a través de auditorías técnicas y diseñando planes de acciones para optimizar los procesos de seguridad.

Es común ver que los SOC poseen líderes que se encargan de la supervisión de todo el equipo en los tres niveles, así como el servicio que se brinda acorde a los alcances antes descritos. Este rol tiene el objetivo de lograr una comunicación entre los diferentes niveles y con la alta dirección dentro de una organización cuando se produce un evento de ciberseguridad.

Ahora bien, seguramente te estarás preguntando si un SOC constituye una necesidad en el contexto actual.

¡Ya te respondemos!

¿Por qué es necesario tener un SOC?

En este punto es normal dudar sobre si un SOC es un factor esencial para las empresas de la actualidad, sobre todo por todos los elementos que son necesarios para llevarlo a cabo con efectividad —algo que abordaremos más adelante y que les permite a todas las empresas adoptar uno—; por ello, a continuación te mostraremos cuáles son las ventajas de adoptarlo.

  • Detección de incidentes de seguridad mejorada: permitiendo ver en tiempo real y a detalle cuáles son las particularidades de la amenaza, incluso reconociendo al atacante.
  • Minimizar el tiempo de respuesta ante incidentes: reduciendo el periodo de tiempo que pasa desde el ataque hasta las contramedidas, proporcionándole una ventaja a la empresa de responder rápidamente para proteger sus activos de información.
  • Contramedidas ante incidentes e intrusiones: dándole la oportunidad a la organización de generar medidas de contención de seguridad ante intrusiones y ataques que cambian con respecto al tipo de amenaza.
  • Reducción de costes: minimizando el impacto financiero que producen los ataques e intrusiones de seguridad en las empresas.
  • Aseguramiento de información y reputación: demostrando la responsabilidad corporativa en el tratamiento de datos y la creación de medidas de ciberseguridad para transmitir confianza a los consumidores.
  • Transparencia y control: proyectando claridad a la hora de generar protocolos de ejecución y medidas de protección de activos de información.

Si has llegado hasta aquí es muy posible que reconozcas el valor que tiene un SOC para proteger y garantizar la continuidad de las operaciones en el caso de ocurrir un incidente.

Por ello, si ya estás decidido por adoptar esta plataforma de seguridad en tu organización, te explicaremos las ventajas y desventajas que existe entre el modelo de creación y subcontratación.

¿Crear o contratar un SOC?

Cada vez es más recurrente encontrar empresas que cuenta en sus operaciones con un SOC, ya sea de forma interna o externa, incluso en un modelo híbrido. El informe ‘Global Security Operations Center Market – Drivers, Restraints, Opportunities, Trends and Forecast up to 2025, de Infoholic Research, indica que para 2025 los SOC serán un mercado de más de US$ 60 mil millones.

Pero en este punto llega la pregunta: ¿debe crearlo, contratarlo o tener una combinación de ambos? Aquí te mostramos los beneficios y desventajas para que puedas valorarlo por tu cuenta.

Crear un SOC

Los SOC internos o locales tiene la ventaja de proporcionar una vista detallada de las circunstancias del país o región y atender las necesidades puntuales de los clientes de la empresa.

Asimismo, permite ejecutar tareas de desplazamiento de equipo cualificado para proteger activos que se encuentren alojados dentro de los centros de datos de la organización.

Sin embargo, uno de los puntos desfavorables de este tipo de SOC es el costo que requiere para implementarse, dado que necesita incorporar hardware, software y personal especializado para proteger los activos.

Contratar un SOC

Por otro lado, la principal ventaja de un SOC contratado es la especialización. La alta demanda de especialistas de alta capacidad que existe en el sector de la ciberseguridad es mucho mayor que la oferta, lo que produce que estos profesionales sean difíciles de contratar.

Esto permite la subcontratación de un SOC es acceder a servicios profesionales de alto desempeño desde cualquier lugar y por un precio sustancialmente reducido en comparación al primer tipo.

Además, no es necesario adoptar infraestructura física para empezar a proteger los activos de la compañía dado que todo se ejecuta a través de servicios de nube del propio proveedor, con soporte 24/7 y obtener asesoría especializada que, de otra forma, sería muy costoso.

No obstante, el SOC contrato mantiene retos importantes; donde se destaca la necesidad que tienen los proveedores de conocer bien el negocio de la empresa, establecer una comunicación clara con el departamento de TI y obtener acceso a la información crítica de la organización, para poder realizar esta colaboración exitosa.

El C-SOC Ikusi

El Centro de Operaciones de Ciberseguridad que se hospeda en Ikusi Once es un servicio amplio de funcionalidades y alcances especializado en servicios administrados, ciberinteligencia, respuesta a incidentes e identificación oportuna de riesgos.

A través del Ikusi Computer Security Incident Response Team o Ikusi CSIRT proporcionamos un equipo de respuesta ante incidentes relacionados con la ciberseguridad de las compañías, además de plataformas de comunicación y alertas en tiempo real.

Se trata de un servicio que permite reforzar la seguridad de la información y la identificación de riesgos de manera oportuna.

¿De qué se trata Ikusi CSIRT?

A través de la incorporación de Ikusi CSIRT, nuestra compañía puede brindar respuesta a las estrategias de maduración basadas en el C-SOC (Cyber-Security Operations Center), a través de diversas alianzas estratégicas con equipos de respuesta ante incidentes de forma internacional.

Estas colaboraciones han permitido que construir procesos especializados y detallados para alcanzar y mejorar las prácticas y obtener las certificaciones necesarias para brindar confianza y transparencia a nuestros clientes de nuestras prácticas y metodologías de ciberseguridad.

Ventajas del C-SOC Ikusi

Ikusi cuenta con un amplio cúmulo de servicios de ciberseguridad que se integran perfectamente a las funcionalidades que se acompañan, gestionan y aplican desde el Cybersecurity Operation Center, proporcionando una experiencia diferenciada de ciberseguridad a nuestros clientes.

Nuestros colaboradores en el sector de ingeniería cuentan con las certificaciones de mayor prestigio en el área de ciberseguridad, proporcionando soporte y atención personalizada las 24 horas del día, todos los días del año.

Esto garantiza que cada cliente de nuestra base obtendrá una respuesta inmediata ante cualquier evento o incidente y contará con la asesoría de Ikusi CSIRT, que se encuentra afiliado a FIRST.org.

Asimismo, el C-SOC Ikusi permite:

  • Automatizar actividades: ejecutando tareas de monitoreo, detección y contramedidas de forma automatizada para prevenir y defenderse de amenazas.
  • Respuesta a incidentes: estableciendo el plan de acción para diferentes eventos desfavorables, dándoles a nuestros clientes un guía para proteger sus activos de información.
  • Ciberinteligencia: poniendo en marcha actividades de análisis, prevención y ejecución de medidas de ciberinteligencia para definir con detalle las amenazas, elaborar protocolos de acción e identificar a ciberdelincuentes.

Ikusi cuenta con la experiencia y la especialización necesaria para proporcionar inteligencia a la gestión de la seguridad de una infraestructura, apoyándose en proyectos integrados y brindando una oferta atractiva de productos y servicios de ciberseguridad.

El propósito de la compañía es transformar el sistema de seguridad de cualquier organización en un real activo estratégico que pueda integrar todos los subsistemas de seguridad para convertirlos en potenciadores de negocios.

Un sistema inteligente que es capaz de aprender del comportamiento de los usuarios y del mercado e incorpora diferentes protocolos de prevención y procesos de ejecución automatizados, permite obtener niveles de resiliencia corporativa y optimiza todas las iniciativas de seguridad.

Colaboración con diferentes CSIRTs

La misión principal de estas colaboraciones se basan en coadyuvar en las iniciativas de respuesta ante incidentes, reduciendo sustancialmente sus impactos y los riesgos de las operaciones de nuestros clientes.

Toda esta plataforma se base en el apoyo de procesos especializados y personal capacitado, así como las herramientas digitales para ajustarse al marco y estándares de la industria, permitiendo compartir información de riesgos de manera temprana.

Conclusión

Contar con un SOC permite optimizar múltiples procesos de seguridad informática que facilite la detección de amenazas y la puesta en marcha de contramedidas que impidan la pérdida de información crítica o la intrusión de personas u organizaciones maliciosas.

Para profundizar en el universo de la ciberseguridad, te invitamos a seguir a nuestro artículo especializado y comprender todo sobre este tema.

Solicita información
×
Consentimiento
Consentimiento(Required)