Centro de Operaciones de Seguridad SOC (Security Operation Center)

El desarrollo tecnológico nos ha permitido evolucionar en nuestra calidad de vida y productividad.

Resulta difícil de imaginar un hogar o una empresa donde no exista al menos un computador o un teléfono móvil conectado a internet, y justamente esta utilidad la que ha generado nuevos riesgos: Al conectar un dispositivo a internet estamos ingresando a un mundo que no conoce fronteras ni horarios.

Nuestro tema a tratar es SOC, ¿alguna vez has escuchado sobre este tema?

SOC

Hace unos años era suficiente instalar un antivirus e implementar un firewall para mantener la seguridad con riesgo aceptable. Sin embargo, hoy en día las amenazas se han hecho cada vez más sofisticadas: Cada día aparecen nuevos vectores de ataques, cada vez más complejos, sigilosos, y con mayor capacidad de generar un impacto significativo en sectores empresariales. Entonces, ¿Cómo podemos hacer frente a las nuevas amenazas?, ¿Cómo podemos asegurar un monitoreo continuo sobre nuestra infraestructura? Una de las respuestas es a través de un SOC, pero:

¿Qué es un SOC?

Un Centro de Operaciones de Seguridad SOC (Security Operation Center), se define como a un equipo especializado que a través de un proceso de monitoreo 24/7/365, se encargará de mantener los pilares de la seguridad de información (confidencialidad, integridad, y disponibilidad) de una organización.

¿En qué consiste un SOC?

Un SOC se define como un triángulo perfecto entre proceso, tecnología y personas.

Algunos de los componentes del triángulo de SOC:

Tecnología: SIEM, Firewalls, Web Application Firewall, EDR, SOAR, entre otros.

Procesos: Gestión de eventos e incidentes, Business Impact Análisis, play books.

Personas: Contar con el personal con la disponibilidad, capacidad de análisis y respuesta para operar las tecnologías bajo procesos determinados.

Cada vértice del triángulo tiene un peso igual de igual importancia. Si contamos con el personal calificado y con una tecnología importante, pero no hay procesos bien definidos, el SOC estará condenado al fracaso. Lo mismo ocurre si falla el personal adecuado para operar un SOC, o una tecnología deficiente.

¿SOC por cumplimiento o análisis real de riesgos?

Hay en día hay muchas organizaciones que se ven obligadas a contar con Centro de Operaciones de Seguridad por regulación y cumplimiento a normativas comerciales y/o gubernamentales, como lo son PCI DSS para pasarelas de pagos que hacen uso de tarjetas de crédito, la circular EXTERNA 007 DE 2018 SUPERINTENDENCIA FINANCIERA DE COLOMBIA, GPG53 CESG, SOX, entre otras.

Lamentablemente, en muchas organizaciones que optan por la cultura de solo cumplir con las regulaciones, quedando en unaposición doblemente vulnerable: Por un lado, hay un gasto recurrente en mantener el servicio de SOC, pero sin un análisis de riesgo adecuado y sin una preparación correcta, seguirán siendo víctimas potenciales de ataques informáticos como ransomware.

Por otro lado, hay un sector que han tomado con mayor seriedad el riesgo asociado a los activos de la información, pero, ¿Están realmente preparados para enfrentar una situación de crisis ante un ataque informático? ¿Debemos esperar a que ocurra un incidente para saber si estamos preparados? En muchas ocasiones resulta muy tarde, y a veces se ven enfrentados al dilema de pagar o no pagar por la información secuestrada, ¿Cómo podemos hacer frente a esta situación?

La seguridadinformáticamás que un estado, es un proceso de mejora continua, y debetener la capacidad de identificar y responder ante losnuevosriesgos que presentaunaorganización.

Mantener los pilares de la información es justamente este punto clave el que diferencia un SOC de un NOC (Network Operation Center), y es este punto que suma una complejidad adicional: El equipo debe estar prepara para responder ante incidentes de seguridad, y en algunas ocasiones pueden implicar cooperación de equipos interdisciplinarios ajenos al SOC, como administradores de servidores, administradores de red, área de TI de la organización, alta Gerencia para la toma de decisiones, entre otras. Esto supone un reto grande: ¿Cómo saber qué rol juega cada equipo de trabajo ante una crisis?

Muchas organizaciones invierten un presupuesto considerable en controles de seguridad, pero dejan a un lado la capacidad de respuesta ante incidentes, es decir, ¿Cómo sabes si los controles están ajustados? Si los controles fallan ¿Cómo podemos garantizar una repuesta efectiva ante incidentes? Esto hace parte del proceso de madurez:

Entonces, ¿Cómo hacer que un SOC madure en el tiempo?

William Thomson Kelvin (Lord Kelvin), (1824 – 1907) acuñó la frase: "Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre"

De esta manera hemos identificado una serie de pasos ayudan al proceso de mejora continua de la seguridad de una organización.

1. Identificación de la superficie de ataque. ¿Cuáles son los elementos expuestos? ¿Qué nivel de exposición tienen? ¿Tenemos visibilidad (correlación) de los elementos más expuestos?, ¿Cómo se encuentra el personal no técnico entrenado para identificar amenazas informáticas?

2. Ataques controlados a los diferentes puntos de la superficie de ataque.

3.¿Hay visibilidad de estos ataques? ¿Qué impacto tienen?

4. ¿Podemos contar con indicadores KPI para medir la evolución en los tiempos de detección y respuesta de los ataques controlados?

Es fundamental contar con un proceso medible a través de indicadores KPI que permitan demostrar la evolución de la respuesta ante incidentes. De igual manera, solo el entrenamiento continuo ante incidentes nos hará tener una respuesta natural en caso de un ataque real.

Hoy en día la pregunta no es si seremos víctimas de un ataque, la pregunta real es cuando. Debemos de estar preparados, o asumir el riesgo de no contar con un plan de respuesta.

¿Cómo podemos ayudar?

Contamos con una amplia experiencia en proceso de SOC, desde la definición de proceso, implementación de indicadores KPI para medir evolución de procesos, ajustes de controles de seguridad, ejecución de ataques controlados, análisis de riesgo de seguridad.

Contactamos para medir y evolucionar el SOC.