Actualmente, las empresas se enfrentan a un amplio catálogo de amenazas de ciberseguridad. La acelerada y constante evolución de estas amenazas supone una problemática para los sistemas de seguridad de las empresas, así como para la implementación de controles eficaces.
Las empresas, tanto grandes como pequeñas, deben hacer frente a los desafíos que supone la tecnología con el fin de proteger su activo más valioso: la información. La información suele ser el objetivo principal de los ciberataques que tienen lugar en las empresas debido a la gran cantidad de datos confidenciales y estratégicos que manejan.
A pesar de las medidas de seguridad que puedan tomar a nivel interno las organizaciones, los ataques son cada vez más complejos y sofisticados, por lo que la ciberseguridad se ha convertido en una prioridad y un reto para las empresas.
Aprende más sobre ciberseguridad
En este contexto nacen los Centros de Operaciones de Seguridad (SOC, por sus siglas en inglés).
¿Qué es un SOC?
Los Centros de Operaciones de Seguridad se encargan de realizar un seguimiento y analizar la actividad en redes, servidores, puntos finales, bases de datos, aplicaciones, sitios web y otros sistemas, buscando actividades anómalas que puedan ser indicativas de un incidente o compromiso de seguridad.
Un SOC es responsable de garantizar que los posibles incidentes de seguridad se identifiquen, analicen, defiendan, investiguen e informen correctamente.
La finalidad de un SOC es prestar servicios horizontales en el ámbito de la ciberseguridad.
Sus objetivos son:
- Incrementar la capacidad de vigilancia y detección de amenazas en las actividades diarias de los sistemas de información y comunicaciones de una empresa.
- Analizar los ataques o posibles amenazas.
- Recuperar información perdida o dañada que una empresa haya podido tener por consecuencia de dichos ataques.
- Mejorar la capacidad de respuesta ante cualquier ataque.
¿Cómo se organiza el SOC?
Para la consecución de estos objetivos, un SOC se divide por niveles en función del grado de especialización de los analistas que lo conforman:
- En el nivel 1, se encuentran los analistas de alertas, que monitorizan continuamente las alertas que recibe el SOC. Los analistas evalúan estas alertas de seguridad y, si alcanzan el umbral predefinido según la política del SOC, se escalan al nivel 2.
- Los analistas de nivel 2 determinan si los datos o el sistema se han visto afectados y, de ser así, recomendarán una respuesta.
- Por último, el nivel 3 está compuesto por profesionales altamente capacitados, que se encargan de resolver los incidentes, pero también de buscar posibles incidentes con el fin de prevenirlos.
A diferencia de un departamento de TI tradicional, el personal de un SOC incluye principalmente un equipo de analistas y técnicos de ciberseguridad altamente experimentados y especializados.
La especialización de estos analistas, aunque han de compartir una base técnica común, varía mucho.
Ello beneficia al SOC y, por consiguiente, a la organización, ya que es de gran utilidad que los analistas tengan perfiles provenientes de diferentes disciplinas.
Por ejemplo: matemáticas, ingenieros informáticos, ingenieros de telecomunicaciones, etc.
Aprende más sobre ciberseguridad
¿Qué actividades realiza el SOC?
A través de su vigilancia y análisis activos, los SOC utilizan metodologías y procesos estratégicos para construir y mantener las defensas de seguridad cibernética de la empresa.
Estos procedimientos se desglosan en las siguientes tareas identificables:
Establecimiento conciencia de los activos
Desde un primer momento los SOC cuentan con un amplio conocimiento y experiencia de las herramientas y tecnología a su disposición.
Monitorización continua y proactiva
Los SOC toman medidas intencionales para detectar actividades maliciosas antes de que puedan causar un daño, en lugar de enfocarse en medidas reactivas una vez que tiene lugar una amenaza.
Clasificación de alertas
Una de las principales tareas de un SOC es clasificar las alertas conforme las van recibiendo.
Ajuste de las defensas
La gestión de vulnerabilidades y el aumento de la concienciación sobre las amenazas son partes esenciales de la prevención de violaciones de seguridad.
Eso incluye la vigilancia constante del perímetro y las operaciones internas, ya que ocasionalmente pueden producirse brechas dentro de la organización.
Comprobación del cumplimiento
Algo esencial para la continuidad de un SOC es cumplir con los reglamentos de cumplimiento esenciales.
Los SOC trabajan diariamente para mantenerse el día con las medidas de protección obligatorias, dando siempre un paso más para evitar daños a la empresa.
Además, también podemos encontrar Centros de Operaciones de Seguridad que cuenta con equipos especializados en la prestación de servicios tales como:
- Monitorización de seguridad.
- Gestión de incidentes de seguridad.
- Análisis forense digital y de seguridad.
- Inteligencia de amenazas.
- Gestión de vulnerabilidades.
- Gestión de Logs.
La tendencia futura es que las amenazas sigan creciendo, no solo en cantidad, sino también en sofisticación.
Por ello, la incógnita de estos centros ya no recae sobre si se implementan o no, o sobre la forma de implementarlos, sino en la optimización y eficiencia de éstos.
Irene Rodríguez Ortega y Andrés Cartes, analistas de concienciación en ciberseguridad de Deloitte.
Formación Relacionada
