Internet de las Cosas (IoT), inteligencia artificial, big data, blockchain, migración a la nube… La integración de estas tecnologías en una empresa brinda valor a la compañía y a sus clientes. Sin embargo, la transformación digital incrementa las necesidades de proteger la infraestructura TI y deben plantearse si crear o contratar un centro de operaciones de seguridad (SOC) o modernizarlo si la empresa ya dispone de uno. Porque los ataques de ciberdelincuentes aumentan y se sofistican cada año y no solo en el ámbito empresarial, también en las administraciones públicas. Pero ¿qué es exactamente un SOC en ciberseguridad?
Los SOC en ciberseguridad son plataformas tecnológicas con equipos de personas altamente cualificadas en seguridad, cuyo trabajo consiste en monitorizar, detectar, analizar, defender e investigar continuamente los sistemas informáticos de la empresa para prevenir, responder y simular ataques cibernéticos. La protección se aborda de forma integral y coordinada con planes de respuesta, acciones de reparación y otras medidas, con el fin de salvaguardar toda la información que se genera en las redes, bases de datos, servidores, aplicaciones y dispositivos conectados de la compañía.
Para desempeñar esta función vigilante y defensiva, los SOC utilizan distintas herramientas de ciberseguridad, como cortafuegos, de evaluación y gestión de vulnerabilidades, soluciones SIEM y SOAR, listas de bloqueo o escaneo de las redes en tiempo real para monitorizar y analizar la red con una cobertura de 24 horas todos los días de la semana.
Cuando el SOC detecta una alerta se clasifica según su gravedad para poder priorizar y se gestiona con el fin de responder de forma inmediata a la amenaza e intentar que los ciberatacantes no causen daños o no accedan al entorno. Después de un incidente, el equipo correspondiente restaura los sistemas y recupera los datos comprometidos o eliminados. Asimismo, busca la causa y el origen de la amenaza para efectuar las modificaciones pertinentes en las herramientas y evitar así que el incidente se repita en el futuro.
Un SOC debe estar al día en las últimas tendencias de ataque de los ciberdelincuentes. Esto resulta vital para implementar mejoras de forma continua y estar prevenidos ante nuevas amenazas. De igual manera, también debe seguir unas normas de seguridad y requisitos reglamentarios, por lo que auditan los sistemas periódicamente para garantizar su cumplimiento.
Los SOC pueden ser internos (están ubicados físicamente en la empresa), subcontratados (se encarga a un proveedor externo todo el servicio o de forma parcial), híbridos (combina equipos de seguridad internos con los de soporte externos) y virtuales (alojado en la nube y administrado por empleados de la empresa o de un SOC subcontratado).
Equipos SOC: escalonados para garantizar la protección
Los equipos SOC de ciberseguridad están compuestos por expertos en ciberseguridad con distintos perfiles, unos defensivos y otros ofensivos. Entre ellos, los analistas SOC que se organizan en tres niveles:
- Analistas SOC de nivel 1: se encargan de monitorizar la red en busca de incidencias. Son los primeros en responder a un ataque determinando su nivel de gravedad. Cuando recopilan información y se necesita más investigación, se la pasan a los de nivel 2.
- Analistas SOC de nivel 2: examinan, investigan y responden a los incidentes de seguridad que el nivel 1 no sabe resolver. Determinan su causa, en qué medida ha penetrado en la infraestructura y crean e implementan una estrategia de contención y recuperación.
- Analistas SOC de nivel 3: aún con más experiencia que los anteriores, responde a incidentes críticos. Se conocen como cazadores de amenazas porque están continuamente buscando, de forma proactiva, nuevas brechas de seguridad y vulnerabilidades dentro de los sistemas. Para ello emplean herramientas de pruebas de penetración.
Por su parte, el SOC Manager o Administrador SOC es el responsable del equipo y dirige las operaciones de seguridad, mientras que ingenieros y arquitectos SOC analizan los requisitos de seguridad y desarrollan e implementan herramientas de seguridad para controlar y defender los activos de la empresa.
Beneficios del SOC en ciberseguridad
Las empresas grandes suelen contar con sus propios SOC de ciberseguridad internos, pero las pymes que no disponen de recursos recurren a uno externo para disponer de un servicio de seguridad de forma personalizada con las ventajas que esto conlleva:
- Respuesta más rápida (y experta) a incidentes: la monitorización continua de la red en busca de incidentes de seguridad facilita detectar y abordar el incidente rápidamente y anticiparse. Los distintos equipos de seguridad responden y actúan según los protocolos, abordando la incidencia de forma integral.
- Disminuye el impacto de los ataques: la anticipación posibilita contener los ataques e incluso que no lleguen a afectar a los sistemas. El soporte proactivo reduce los riesgos.
- Minimiza el tiempo de inactividad de la empresa: esa respuesta rápida y un equipo de expertos que abarca todos los aspectos de la seguridad permite restaurar los sistemas, normalizar la situación cuanto antes y favorece que la web o servicio no estén caídos tanto tiempo y se reanuden lo más pronto posible.
- Tomar mejores decisiones: con los datos recopilados en el SOC se elaboran informes a diario y esta información permite desarrollar estrategias más precisas basadas en ella.
- Reduce los costes: si una empresa subcontrata un SOC se ahorra el sueldo de los empleados, entre otros costes (directo o indirectos) relacionados con la gestión de los incidentes de ciberseguridad.
Algunos desafíos de los SOC en ciberseguridad
Los centros de operaciones de seguridad son una apuesta eficaz y sólida para proteger a las organizaciones, pero se enfrentan a un problema (generalizado en todo el mundo) que es la escasez de talento en perfiles cualificados, al igual que sucede con otros puestos tecnológicos. El último informe (ISC) Cybersecurity Workforce Study cifra esta falta de profesionales cualificados en ciberseguridad en 3,4 millones a nivel global (y la brecha aumentó un 26% en un año).
La sofisticación y complejidad de las técnicas empleadas por los ciberdelincuentes supone otro gran desafío para los SOC que deben estar continuamente integrando herramientas que descubran nuevas amenazas. Además, con la ingente cantidad de datos generados el volumen de tráfico se multiplica y esto dificulta a los SOC el análisis en tiempo real de la red, al tiempo que dispara las falsas alarmas. Esto se traduce en que deben implementar herramientas de automatización y otras soluciones que filtren lo relevante para no saturarse. Pero no se trata de introducir muchas herramientas, sino pocas y realmente efectivas.