Todas las organizaciones necesitan de un Security Operations Center (SOC) para garantizar su continuidad operativa. Conoce cómo puedes impulsar su eficiencia.

Según el informe “Uso de inteligencia artificial y big data en las empresas 2023” del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información, el 93.9% de las grandes empresas españolas han digitalizado parte de sus tareas. Mientras que, en Latinoamérica, según el informe “Sociedad Digital en América Latina 2023” de la Fundación Telefónica, el 77.3% de las grandes empresas tienen parte de sus tareas digitalizadas.

Estas cifras muestran que todas las empresas necesitan optimizar su gestión respecto a la seguridad informática, lo cual es posible gracias a un Security Operations Center (SOC). En este artículo, abordaremos su importancia, cómo puedes estructurar el flujo de trabajo para que sea eficiente y qué equipo humano y tecnológico vas a necesitar.

Qué es un Security Operations Center (SOC) y por qué es crucial en la defensa cibernética

Un Security Operations Center (SOC) es un equipo interno o subcontratado de expertos en ciberseguridad que supervisa de forma constante toda la infraestructura IT de una organización.

Su función es detectar incidentes de seguridad informática en tiempo real y abordarlos de la forma más rápida y eficaz posible. Son responsables de supervisar y proteger la tecnología, la red, servidores, aplicaciones y hardware.

Como veremos más adelante, la clave de su eficiencia está en unir tecnologías especializadas en seguridad informática con la pericia humana. De esta forma, es posible:

Garantizar que los incidentes de seguridad se identifiquen, analicen, investiguen y se informen adecuadamente.
Monitorizar, detectar y realizar un análisis avanzado de alertas para localizar de manera temprana posibles amenazas. Así, al correlacionar información y descubrir patrones ocultos logran determinar si una actividad es benigna o sospechosa.
Responder de forma rápida a los incidentes, mediante planes de contingencia predefinidos y técnicas de análisis forense.
Recuperarse de forma rápida ante los incidentes de seguridad, investigando, determinando su alcance y tomando medidas para contenerlo.
Minimizar riesgos sobre el correcto funcionamiento de todos los sistemas que conforman la infraestructura de seguridad, recogiendo los eventos generados en los dispositivos, procesándolos y aplicando reglas de filtrado, etc.
Identificar mejoras en la situación de seguridad de una organización.

En otras palabras, el gran beneficio de tener o de subcontratar un SOC es que resulta en una mejora de las medidas preventivas y de las políticas de seguridad. A la vez que hace posible una detección más rápida de amenazas y una respuesta más efectiva y más rentable a las amenazas de seguridad. Asimismo, es una pieza clave para fortalecer la confianza de los clientes y asegurar el cumplimiento de normativas relacionadas con el resguardo de la información.

3 etapas de un flujo de trabajo eficiente en un SOC

La estructura básica de trabajo de un Security Operations Center es comparable con el sistema médico. Donde existe una primera línea de defensa, un equipo de respuesta a emergencias, equipos especializados en diferentes ramas de la seguridad y un conjunto de políticas y herramientas que hacen que todos los componentes encajen a la perfección.

A continuación te contamos cuáles son las 3 etapas de un flujo de trabajo eficiente para un Security Operations Center.

1) Detección

Una organización está compuesta por activos, como servidores, dispositivos móviles, cuentas de usuario, entre otros, que generan gran cantidad de eventos relacionados con su funcionamiento (errores, conexiones, procesos, etc.).

Por eso, un SOC emplea un conjunto de herramientas que correlacionan los eventos de seguridad más relevantes y generan alertas de forma continua. Para su análisis se basa en indicadores de compromiso (IOC) e indicadores de ataque (IOA).

En esta primera instancia, las alertas son analizadas por el equipo de expertos en ciberseguridad del nivel 1, conformado por analistas que monitorizan, analizan y priorizan las alertas de forma constante. Ellos hacen un triaje basándose en la información recopilada para determinar si estas alertas y amenazas se pueden convertir en un incidente de seguridad o si son ‘falsos positivos’.

2) Investigación

Cuando se detecta una amenaza, los analistas de Nivel 1 investigan para comprender el alcance y la gravedad del incidente. Una vez realizado el triaje inicial y si este equipo no ha logrado resolverlo, el evento es derivado al Nivel 2.

Se encarga de responder a las alertas tras el triaje inicial realizado por el nivel 1, mediante una metodología y procesos definidos previamente. Coteja información de distintas fuentes, determinando si afecta a sistemas críticos y revisando qué conjunto de datos fueron impactados. En este análisis en profundidad, se usan herramientas de seguridad para la detección de ataques, y se determina si se trata de un incidente real o de un falso positivo.

Dentro de esta instancia, también actúan los expertos en búsqueda de amenazas (threat hunters), que efectúan búsquedas proactivas de indicios de ciberataques en toda la infraestructura.

3) Respuesta

Cuando el incidente de seguridad se confirma, el equipo de respuesta entra en juego, y se encargará de evaluar la situación y de tomar las medidas necesarias para la contención y mitigación. Esto puede incluir la actualización de reglas de seguridad, el bloqueo de direcciones IP maliciosas o la recuperación de datos.

Una vez resuelto el incidente, se generan reportes y documentación con las conclusiones obtenidas, a la vez, que se corrigen las vulnerabilidades detectadas.

Tecnología + Equipo humano, la fórmula para un Security Operations Center eficiente

Como mencionamos, un Security Operations Center (SOC) es mucho más que una sala llena de monitores y pantallas parpadeantes. Es un equipo multidisciplinario de expertos en seguridad cibernética que trabaja en conjunto para identificar, mitigar y responder a amenazas, sumado a herramientas tecnológicas específicas.

Un SOC es el equipo de “salud” informática de una organización, por eso requiere de una amplia gama de habilidades y conocimientos. Como pueden ser:

Analistas de Seguridad,
Ingenieros de Sistemas,
Expertos en Análisis de Datos,
Especialistas en respuesta a incidentes,
Investigadores forenses para la recuperación de datos (pistas o pruebas),
SOC manager, entre otros.

Más allá de sus habilidades y conocimientos, el equipo del Security Operations Center se enfrenta al reto de estar un paso adelante de los ciberdelincuentes, para ello requieren de la capacitación y el desarrollo continuo.

Una plataforma tecnológica robusta para hacer frente a las amenazas digitales

Además de su capital humano, el Security Operations Center se apalanca en una plataforma tecnológica robusta para hacer frente a las amenazas digitales. En este sentido, las principales herramientas de esta infraestructura son:

Sistemas de Detección de Intrusiones (IDS) para monitorear el tráfico de la red y los eventos del sistema en busca de actividades sospechosas.
Intrusion Prevention Systems (IPS) que al detectar una actividad sospechosa, puede tomar medidas para detener el ataque, como bloquear el tráfico o eliminar el malware.
Herramientas de Análisis de Registros que permite a los analistas descubrir indicios y pistas ocultas.
Automatización de las tareas repetitivas, permitiendo a los expertos centrarse en las amenazas más sofisticadas.
Plataformas de Gestión de Eventos e Información de Seguridad (SIEM) que recopilan y correlacionan datos de diversas fuentes para identificar patrones y tendencias, siendo un recurso invaluable para la toma de decisiones. Dentro de estas plataformas en la nube podemos encontrar a Microsoft Azure Sentinel, una solución altamente escalable, que permite adaptarse a las necesidades cambiantes de la organización. Además, los analistas pueden aprovechar su potente capacidad de análisis de datos y su integración con otras herramientas de seguridad para reforzar la detección y respuesta a amenazas.

En conclusión,

Para prevenir, responder y mitigar amenazas con agilidad y eficiencia es preciso contar con expertos en seguridad informática, ya sea de forma interna como externa. A la vez, utilizar tecnologías específicas que recopilen información y automaticen partes repetitivas del proceso.

Desde Wezen, hemos creado el E-book “Security Operations Center (SOC): cómo enfrentar los desafíos actuales y futuros de la ciberseguridad”. Allí profundizamos en los distintos roles que debe contemplar el equipo humano y las herramientas tecnológicas adecuadas. Asimismo, compartimos las tendencias en tecnología que ya están ayudando a miles de empresas a ser eficaces y prevenir amenazas a la ciberseguridad.

También, para ayudarte, hemos creado una checklist con los 5 pasos que deberías seguir para realizar mejoras en el Security Operations Center de tu empresa. Descárgalo y pon a tu organización un paso adelante de las amenazas a la seguridad informática.