Leyendo ahora
¿Qué es y cómo funciona un SOC frente a los ciberataques?
Qué es un SOC

Muchas compañías cuentan ya con un Centro de Operaciones de Seguridad (SOC), que monitoriza sus sistemas para detectar posibles amenazas y dar respuesta inmediata en caso de sufrir un ciberataque. ¿Cómo funcionan estos centros especializados?

Los datos se han convertido en uno de los activos más valiosos para todo tipo empresas e instituciones. Y un objetivo jugoso también para los ciberdelincuentes. Los expertos en ciberseguridad afirman que cualquier organización no debe preguntarse si se verá expuesta a un ataque cibernético, sino cuándo.

Si hemos de asumir que los cibercriminales están al acecho y van a atacar, hay que estar preparados. Para ello, cada vez más compañías cuentan con un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés).

El SOC se encarga de monitorizar las infraestructuras de la compañía y los sistemas para detectar posibles amenazas, anomalías o intentos de intrusión o ataque. Su objetivo es dar una respuesta inmediata y minimizar las posibles consecuencias. Y, puesto que los ciberdelincuentes no descansan, suelen ofrecer estos servicios las 24 horas del día y todos los días del año.

Propio, externo o híbrido

Cada vez hay más empresas que disponen de un SOC, ya sea propio, externo o híbrido. De hecho, están en pleno crecimiento. Según el informe ‘Global Security Operations Center Market – Drivers, Restraints, Opportunities, Trends and Forecast up to 2025’ (2019), elaborado por Infoholic Research, los ingresos de los SOC rozarán los 61.200 millones de dólares en 2025, casi el doble que en 2019, que cerró con una facturación cercana a 31.800 millones para el sector. Entre las compañías que prestan servicios externos de SOC destacan Capgemini, Cisco, Symantec, IBM o Secureworks.

La principal ventaja de un SOC externo es su especialización. La demanda de profesionales de alta cualificación en el sector de la ciberseguridad supera a la oferta. Este déficit hace que sean trabajadores difíciles de contratar y, por tanto, muy caros. Y no sólo les cuesta a las empresas encontrar esos perfiles, sino que también resulta complicado retener ese talento.

Otra ventaja del SOC externo, según los expertos, es que sus servicios se pueden incorporar rápidamente y con menores costes de implantación, tanto en recursos humanos como en medios técnicos.

Desde el punto de vista operativo, los proveedores externos tienen la ventaja de lidiar con los problemas de seguridad que sufren corporaciones de todos los sectores y en cualquier parte del mundo. Esta experiencia les sirve para manejar situaciones similares que vayan surgiendo en las empresas a las que dan servicio, aplicando soluciones parecidas a las empleadas para resolver incidentes previos.

No obstante, el SOC externo también tiene inconvenientes. Por ejemplo, debe comprender bien el negocio de la empresa a la que da servicio, coordinarse con su departamento de tecnología y tener acceso a información crítica y sensible de su cliente. Esto no siempre es fácil.

Por ello, una posible solución puede ser un SOC híbrido, un departamento interno que mantenga el control del proceso y la estrategia de ciberseguridad, pero delegando la ejecución de algunas funciones, actividades o proyectos concretos a compañías especializadas.

SOC local o global

De igual modo, los SOC, ya sean internos o externos, pueden ser locales o globales. Un SOC global tiene la ventaja de observar ataques parecidos en distintos puntos del planeta, pudiendo actuar en otros países de forma preventiva si detecta incidentes en compañías de cierto sector o que respondan a un perfil determinado.

El principal factor a favor de un SOC local es su cercanía, ya que le permite conocer mejor las circunstancias concretas del país y del sector en el que operan sus clientes. Esta proximidad también puede ser un detalle crucial si se produce un incidente que exija el desplazamiento de técnicos especializados para solucionar el problema o para atenuar sus consecuencias de forma inmediata.

Ver también

En cualquier caso, las combinaciones pueden ser múltiples. Por ejemplo, hay multinacionales que cuentan con un SOC propio global y se apoyan en SOC externos locales en cada uno de los mercados o regiones en las que operan. Otras, en cambio, optan por un SOC externo global que coordine, mientras que sus filiales en cada país disponen de un SOC interno local.

Distintos niveles de actuación

Los SOC cuentan con tres niveles de actuación. El primer nivel se encarga de monitorizar y analizar de forma constante las alertas y amenazas que pueden afectar a la compañía. A partir de los datos recopilados se realiza un triaje, determinando si alguna de estas alarmas es capaz de desembocar en un incidente de ciberseguridad.

Si los analistas estiman que la amenaza lo exige, se pasa al nivel dos. Los especialistas de este segundo nivel analizan dónde y cómo se ha producido la intrusión, tratando de identificar al atacante y sus motivaciones. También valoran el alcance del incidente, especificando los datos que pueden haberse visto comprometidos y si afecta a sistemas críticos. Atendiendo a todos estos factores, realizan recomendaciones acerca de las posibles soluciones o contramedidas.

En algunas ocasiones, la situación puede llegar al tercer nivel, donde operan los hunters’, especialistas muy cualificados. Se trata de expertos en la resolución o mitigación de incidentes. También son capaces de ‘ir a la caza’ de posibles incidentes. De igual modo, realizan auditorías técnicas y diseñan planes de acción de mejora de la seguridad.

Los SOC también suelen contar con un manager, encargado de la gestión del equipo, del servicio y del presupuesto. Este profesional se ocupa también de la comunicación entre los distintos niveles y con la dirección de la empresa cuando se produce un incidente.

Por ejemplo, según el informe ‘Intelligent security operations: A staffing guide’ (año), elaborado por Hewlett Packard Enterprise, se puede establecer un SOC que opere de lunes a viernes y durante ocho horas al día con tres personas: manager, analista de nivel 1 y analista de nivel 2. No obstante, se requiere de algún tipo de ayuda externa, sobre todo para la monitorización fuera del horario laboral. Y para poner en marcha un SOC 24/7 se necesitan al menos 10 personas: un manager, seis analistas de nivel 1, dos analistas de nivel 2 y un ingeniero.

Un proyecto de:

© 2022 CECA.
Todos los derechos reservados.

Ir arriba