¿Qué es SOC en el área de la ciberseguridad?
Con la constante evolución de la tecnología, es crucial que las empresas empleen un sistema de defensa integral y proactivo. El big data, la migración a un servidor en la nube, blockchain, la inteligencia artificial, etc., son parte de la integración que la tecnología ofrece a las empresas y clientes.
Pero, esta revolución digital también significa que hay que protegerse de nuevas formas de ataques. Por lo tanto, hay que disponer de un centro de operaciones de seguridad (SOC) o actualizarlo en el caso de contar con uno. Pues, los ciberdelincuentes modifican sus métodos cada año para lograr acceder no solamente a las empresas, sino a la administración pública.
A continuación, se muestra qué es un SOC dentro del área de la ciberseguridad y los desafíos que enfrenta en la actualidad.
¿Qué es SOC en ciberseguridad?
La SOC ciberseguridad es una plataforma digital que cuenta con personas altamente capacitadas en materia de seguridad informática. Su principal función es detectar, monitorear, analizar, investigar y defender constantemente a los equipos informáticos dentro de la empresa para proteger, responder o simular un ataque cibernético.
La defensa es llevada a cabo mediante la integración perfectamente coordinada de un plan de acción, respuesta y otras medidas que resguarden la información generada en bases de datos, apps, dispositivos interconectados y redes de una determinada empresa.
Para llevar a cabo las funciones del SOC se emplean diferentes herramientas desde el punto de vista de la ciberseguridad. Estas pueden ser la gestión y evaluación de riesgos, cortafuegos, soluciones SOAR y SIEM, escaneo de redes y lista de bloqueo en directo para estudiar y vigilar la red los 365 días del año.
Si un SOC encuentra una alerta, la clasifica de acuerdo al daño potencial que puede causar, lo prioriza y gestiona con la finalidad de atender de manera inmediata el ataque y evitar que los ciberdelincuentes generen daños al entorno. Después, los integrantes del SOC reanudan las operaciones del sistema y obtienen datos que hayan sido vulnerados durante el ataque.
Igualmente, investigan el punto de origen y la causa para mitigar el riesgo y hacer el sistema informático de la empresa más resistente a otro posible ataque en el futuro.
El SOC y la actualidad
El SOC tiene que estar actualizado con las últimas tendencias en ataques por parte de los ciberdelincuentes. De lo contrario, no podrán estar listos para detectar una amenaza e impedir que generen daños en las empresas. Esto es elemental para poder encontrar mejoras al sistema y prevenir cualquier amenaza.
Igualmente, tienen que cumplir con las normas de seguridad y reglas, por lo que hacen una auditoría periódica para garantizar que todo esté en orden.
Un SOC se puede encontrar dentro de una organización (interno), responsabilizarse como proveedor externo de manera parcial o total de la empresa (subcontratado) o combinar ambos métodos para brindar soporte (híbrido). Aunque también trabaja en un servidor en la nube y es gestionado por los trabajadores del SOC subcontratado o de la misma empresa (virtual).
Desafíos para las SOC
Los ataques cibernéticos se actualizan de manera constante para encontrar nuevas formas de superar a los SOC en las empresas. Desde este punto de vista, hay que lidiar con los presupuestos cada vez más ajustados y la escasez de recursos en materia de ciberseguridad.
Por este motivo, las empresas tienen distintos enfoques de estructuración y monitoreo de alertas desde el centro de operaciones de seguridad.
Aunque existen varios tipos de SOC por presupuesto, madurez y los potenciales riesgos en materia de ciberseguridad para una empresa, hay desafíos que influyen en la manera en que se estructuran, como automatizan los procesos y la falta de personal cualificado. Por lo tanto, aumenta la demanda de profesionales que puedan atender ciertos tipos de amenazas.
Como resultado, es importante que los integrantes de las SOC reciban capacitación de manera constante, así como los trabajadores de las empresas para poder hacer frente a nuevas amenazas.
Estructuración de las SOC en la actualidad
El enfoque clásico para la estructuración de un SOC consiste en varias líneas, la primera se encarga de gestionar y clasificar las alertas que se puedan atender. Aunque, si sucede un problema que supera la capacidad de la primera línea, viene una segunda integrada por personal con mayor capacitación y experiencia.
También existe una tercera línea de defensa que realiza tareas más complejas, por eso la necesidad de una primera línea que pueda atender problemas pequeños, dejando a los expertos con mayor tiempo para trabajar en alertas más graves.
Hay otro enfoque de estructuración de un SOC en que los analistas reciben asignaciones por tipo de amenaza, tales como servidores, red, apps web, amenazas DDoS e internas.
Este modelo trabaja de la mano con el anterior, ya que emplea una primera línea con tareas generales que pasan a una segunda y tercera según el nivel de capacitación exigido por la alerta.
En este modelo los usuarios pueden trabajar con mayor profundidad en el campo de la ciberseguridad en el que están mejor capacitados, lo que hace que la eficiencia en la respuesta sea mayor. Pero, conseguir un reemplazado para este tipo de personas resulta más complicado debido a la escasez de mano de obra calificada.
Por último, hay una tercera estructuración que asigna la misma alerta a todos los integrantes del SOC. Aunque solamente emplea una línea o división, las personas que la integran tienen una experiencia y capacitación similar, además las alertas más complejas son manejadas por profesionales cualificados.
En particular, en este enfoque un experto en ciberseguridad ejerce su función como primera línea, filtra los falsos positivos y presta atención a las características más importantes de cada alerta.
Después, una segunda línea que evalúa cada incidente según la prioridad que tengan, aquellos que son complejos escalan hasta una línea virtual que cuenta con profesionales y expertos disponibles al momento.
Esta manera de operar permite a los analistas de los SOC trabajar y mejorar sus habilidades, aumentando la eficiencia general. Pero, es necesario contar con mano de obra calificada para armar un equipo exigente.
Las empresas necesitan hacer una inversión más alta para establecer un sistema de evaluación de inteligencia de alertas, algo que no siempre es posible.
