- Un SOC (centro de operaciones de seguridad) es un centro de operaciones de seguridad de TI que monitorea, analiza y protege a una organización contra las ciberamenazas. Puede ser interno de la empresa o gestionado por un proveedor externo (MSSP).
- Un SOC está compuesto por personas, tecnologías y procesos. Las personas incluyen analistas de seguridad que monitorean los sistemas y responden a los incidentes, gerentes de SOC que administran las operaciones del SOC y ejecutivos de negocios que definen la estrategia de ciberseguridad.
- El SOC implementa medidas de seguridad para proteger a la organización de los ciberataques, como firewalls, sistemas de detección de intrusos y software antivirus.
Índice de temas
¿Qué es un SOC?
Un SOC (Centro de Operaciones de Seguridad) es una estructura donde se centraliza toda la información sobre el estado Seguridad informática de una o varias empresas (si el SOC pertenece a un proveedor de servicios de seguridad gestionados, MSSP).
Crear un SOC, aprovechar las oportunidades que ofrecen los servicios que ofrece y mantener un SOC funcionando de la mejor manera son objetivos que requieren el apoyo de los niveles más altos de una empresa.
¿Para qué sirve un SOC o centro de operaciones de seguridad?
Un Centro de Operaciones de Seguridad (SOC) se compone de personal, tecnología y procesos. Su tamaño varía según las necesidades de gestión de seguridad TI de la empresa. Las grandes corporaciones pueden optar por establecer su propio SOC. En cambio, para las pequeñas y medianas empresas, aprovechar los SOC ofrecidos por proveedores de servicios de seguridad gestionados puede ser la opción más adecuada.
Todas las empresas necesitan a alguien que supervise constantemente lo que ocurre en el tráfico de datos que involucra a sus usuarios, sus procesos y sus tecnologías.
Lo que no se puede cuestionar es que, hoy en día, la seguridad perimetral por sí sola, basada en la instalación de firewalls detrás del router con el que una empresa interactúa con Internet y, por lo tanto, con el mundo exterior, ya no es suficiente. Los incidentes que pueden causar graves daños económicos, legales y de imagen a una organización pueden ser el resultado de ataques dirigidos a sus recursos de TI y a su personal de las formas más inesperadas, ya sea en la empresa, en la sucursal, en movimiento o trabajando de forma inteligente.
Todas las empresas necesitan a alguien que supervise constantemente lo que ocurre en el tráfico de datos que involucra a sus usuarios, sus procesos y sus tecnologías.
Los servicios que ofrece el SOC
Ahora veamos cuáles son los posibles servicios que ofrece un SOC.
Detección y monitorización de incidentes de seguridad
Un SOC, para ser precisos, su nivel 1 (SOC nivel 1), primero debe ser capaz de detectar las anomalías que se puedan producir en los flujos de datos entre el exterior y el interior de la empresa, teniendo en cuenta la labilidad que tiene hoy en día el concepto de perímetro empresarial.
La recopilación y el primer análisis de la información sobre el tráfico de datos y los eventos provenientes de los servidores, puntos finales, sistemas de seguridad y equipos de red del ecosistema de TI corporativo se lleva a cabo mediante soluciones denominadas SIEM (Security Information and Event Management).
Posteriormente, las alertas de seguridad emitidas por el SIEM se cotejan con información “contextual” del entorno externo (nuevos malwares, campañas de ataques activas globalmente, vulnerabilidades de software recientemente identificadas, etc.), suministrada por los servicios de inteligencia de ciberamenazas.
Cada vez más, los sistemas automatizados configurados por los empleados del SOC realizan esta comparación con el objetivo de prevenir, además de detectar y monitorear. Al examinar los informes filtrados mediante estas tecnologías, los trabajadores del Centro de Operaciones de Seguridad pueden efectuar una primera “clasificación” de los incidentes y determinar si son capaces de solucionarlos directamente (a través de la gestión de dispositivos de seguridad) o si prefieren presentar una denuncia al equipo de respuesta a incidentes para elaborar informes detallados.
Respuesta a los incidentes
La respuesta a incidentes (IR) es un servicio prestado por analistas que trabajan en lo que se denomina SOC de nivel 2 o en estructuras independientes definidas como CERT (equipo de respuesta a emergencias informáticas) o CSIRT (equipo de respuesta a incidentes de seguridad informática). Los expertos en IR analizan los informes del SOC 1 y los integran con otra información de Thread Intelligence que posean y con los datos relacionados con los activos de TI involucrados en el incidente (configuraciones, procesos gestionados, etc.). Luego, definen y coordinan las actividades de remediación que involucran tanto a quienes se ocupan de la gestión de los sistemas de TI (capaces de resolver problemas específicos de gestión de fallas y administración de la configuración de los sistemas que se les confían) como a los analistas del SOC 1, a quienes sugieren cambios para realizar en los sistemas de seguridad y monitoreo.
Mitigación de DDoS
En la gestión de la ciberseguridad, una actividad muy importante es la mitigación de los ataques DDoS. Los ataques de denegación de servicio distribuidos se encuentran siempre entre los más temibles y difíciles de contrarrestar. Llegan de forma repentina e inesperada, con un fuego cruzado procedente de diferentes partes del planeta y utilizando técnicas de distinto tipo. Para combatirlos, se necesitan equipos de expertos con habilidades complementarias.
Evaluación de la vulnerabilidad
La evaluación de vulnerabilidades también destaca entre los servicios de un Centro de Operaciones de Seguridad (SOC). Estas actividades se atribuyen a un nivel 3 del SOC, más especializado en el análisis proactivo. El objetivo es verificar la seguridad de las aplicaciones, bases de datos, redes, computadoras y puntos finales de forma preventiva, mediante el uso principalmente de pruebas de penetración.
¿Cómo hacer un SOC en casa
Un centro de operaciones de seguridad suele estar ubicado en un edificio que puede coincidir con la sede o el campus de una empresa o instalación lejana (una elección que toman algunas organizaciones para evitar tener un único punto débil que pueda ser atacado).
El tamaño de un SOC debe tener en cuenta la cantidad de personas que trabajan allí en la actualidad y que lo harán a corto o mediano plazo. El diseño típico incluye unas pocas filas de escritorios, cada uno de los cuales está reservado para un empleado para cada turno de trabajo (un SOC debe estar operativo las 24 horas del día durante siete días) y que utiliza un ordenador con un par de monitores, un teléfono VoIP, un teléfono inteligente y, a menudo, una tableta. La capacidad de utilizar múltiples herramientas de comunicación y colaboración es fundamental en un SOC.
Los escritorios dan a una única pared de gran tamaño sobre la que se disponen pantallas de gran tamaño que muestran mapas geográficos con los flujos de ataques actuales, tablas con los detalles de los principales incidentes detectados en la red de la empresa, etc. En un área del salón, también hay pantallas más pequeñas conectadas a la televisión, a todos los canales de noticias y meteorológicos: esto se debe a que es importante que los analistas del SOC estén siempre informados sobre eventos y situaciones que puedan representar contextos de incidentes informáticos.
Solo se debe poder acceder a las salas tras el reconocimiento (tarjeta, PIN o reconocimiento biométrico). Otros aspectos a tener en cuenta son la iluminación, el aislamiento acústico, el aire acondicionado, así como las redundancias en términos de suministro de energía y conectividad.
Las diferencias entre los SOC para uso interno o externo, las sinergias entre estos centros y los CERT
Para los SOC internos o externos, se aplican en gran medida los mismos requisitos en términos de tecnología, personal y procesos.
El proveedor de servicios de seguridad gestionados también debe prever el uso de soluciones, metodologías y procesos que permitan definir, ofrecer y demostrar el cumplimiento del acuerdo de servicio de seguridad. Además, al planificar y presupuestar la creación de SOC, deben tener en cuenta el crecimiento actual de la demanda de servicios de centros de operaciones de seguridad y CERT, tanto por parte de empresas medianas y grandes que deciden no crear estas estructuras «internas», como de empresas que no renuncian a tener su propio SOC pero desean integrarlo con el servicio de seguridad gestionado, adoptando el emergente modelo de SOC híbrido.
En cuanto a las actividades de un CERT, es importante recordar que pueden existir sinergias interesantes con las de los SOC (muchas empresas, especialmente las más grandes, están equipadas con estos centros o se benefician de los servicios de CERT externos privados o institucionales).
El objetivo final es acompañar a las empresas en la consolidación de las estrategias destinadas a crear una verdadera «preparación» en relación con la lucha contra las ciberamenazas.
En concreto, los CERT pueden proporcionar servicios preventivos (por ejemplo, alertas sobre ataques en curso), boletines de seguridad reales, formación y gestión de los servicios de seguridad.
¿Quién trabaja en un SOC
Un centro de operaciones de seguridad debe tener un gerente de SOC que interactúe con el CISO (director de seguridad de la información) y otras partes interesadas de la empresa.
Cada vez más, esta figura tendrá que dialogar con las entidades que se dedican a la ciberseguridad a nivel nacional, tal como exige la directiva europea NIS. Pronto, finalmente entrará en funcionamiento una especie de SOC nacional, el CSIRT Italia, que integrará las funciones que actualmente desempeñan el CERT Nacional italiano (que opera en el Ministerio de Desarrollo Económico) y el CERT-PA (Agencia para la Italia Digital) y que dependerán de la Presidencia del Consejo de Ministros.
Las relaciones entre el SOC y los CERT nacionales serán cada vez más cruciales en el futuro.
La tarea principal de un gerente de SOC es analizar las necesidades del personal en términos cuantitativos y cualitativos, buscar y contratar recursos, motivarlos, garantizar su formación y guiarlos, haciendo que todos sientan una misión común.
El personal empleado en un SOC debe tener habilidades diversificadas. Por lo general, tiene un título especializado en Ciencias de la Computación o Ingeniería Informática, con un título adicional (máster de primer nivel, máster, máster de segundo nivel, doctorado en investigación) en ciberseguridad.
Quienes trabajan en el SOC de nivel 1 suelen tener más habilidades de sistema (integración entre herramientas de monitoreo de seguridad, equipos de red, computadoras, puntos finales, etc.); quienes trabajan en respuesta a incidentes y gestión de vulnerabilidades, por otro lado, tienen mayores conocimientos de programación, aplicaciones y seguridad en general (atacantes, motivaciones, técnicas, web oscura, etc.).
Cuánto gastar en un SOC: inversiones y ROI
La construcción de un centro de operaciones de seguridad requiere inversiones en instalaciones, tecnologías avanzadas, personal suficiente para cubrir todos los turnos de manera integral y altamente calificado. Implica actualizaciones tecnológicas frecuentes y la adquisición de nuevas certificaciones por parte de los empleados. Quizás no sea exagerado prever una serie de inversiones anuales que van desde un millón de euros hasta unas pocas decenas de millones.
Por lo tanto, es esencial analizar el ROI de las diferentes opciones de SOC y CERT utilizadas de forma local, híbrida o completamente utilizada a través del MSSP para cada caso específico.
SoCaaS, esto es lo que es el SOC como servicio y por qué elegirlo
El significado de adoptar el modelo SoCaaS – SOC como servicio radica en el hecho de que puede utilizar los servicios en la nube para defender y prevenir los ciberataques en su organización.
El SOC como servicio se utiliza cuando la empresa (en las figuras del CISO y/o el CIO) considera que es demasiado caro adquirir todo lo necesario, incluidas obviamente las habilidades, para crear un SOC interno.
Además, gracias al paradigma como servicio, es posible tener acceso a tecnologías avanzadas que de otro modo serían inaccesibles. Pensemos, por poner solo un ejemplo, en la inteligencia sobre amenazas…
No solo eso. Al tener acceso a un sistema centralizado, es posible aprovechar el conocimiento de varias empresas. Inevitablemente, de hecho, lo que sucede en una realidad, se junta.
Obviamente, en este caso es muy importante (también) firmar acuerdos de nivel de servicio precisos para regular el servicio que se puede utilizar en la nube. De hecho, usar SoCaaS significa pasar información de seguridad delicada a través de diferentes canales y luego integrarla con los que gestiona la empresa.
Una vez que se han protegido los niveles de servicio, el propio SoCaaS, mediante herramientas de automatización, puede resolver los problemas de integración.