4 beneficios de los Centros de Operaciones de Seguridad o SOC

He hablado en distintas ocasiones sobre los Centros de Operaciones de Seguridad (SOC por sus siglas en inglés) pero en esta ocasión me enfocaré en su definición y los beneficios que puede traer a una organización. 

Cabe mencionar que la implementación de un SOC no es cosa sencilla y no es para cualquier empresa, por lo que siempre existirá la posibilidad de contratar los servicios de forma externa (SOC as a Service).

¿Qué es un SOC y para qué sirve?

De acuerdo con el SANS Institute, un SOC  "es una combinación de personas, procesos y tecnología que protege los sistemas de información de una organización a través de: diseño y configuración proactivos, monitoreo continuo del estado del sistema, detección de acciones no deseadas o estados no deseados y minimización de daños por efectos no deseados"

De forma más sencilla, un SOC es el lugar desde donde se administra y monitoriza la seguridad de una organización, en este centro podemos encontrar herramientas como IPS (sistema de prevención de intrusiones), IDS (sistema de detección de intrusiones), SIEM (sistema de gestión de eventos e información de seguridad), entre otras, que ayudan en la detección de eventos e incidentes de seguridad. Se encarga de proveer y garantizar la seguridad de las empresas, a través de procesos específicos de monitoreo, análisis, atención y seguimiento a incidentes, entre otras actividades.

¿Qué funciones tiene el SOC?

Dentro de un SOC podemos encontrar profesionales con especialidades diferentes que se dividen generalmente en distintos niveles, normalmente inicia con el personal encargado del monitoreo de vulnerabilidades, clasificación de eventos o incidentes y escalación al siguiente nivel, quienes son los encargados de investigar y responder ante incidentes, ejecutando los procesos definidos para disminuir el impacto de los incidentes. 

Existen otros niveles como el que es responsable de la infraestructura de seguridad de TI de acuerdo con el manejo de inteligencia de amenazas, el gerente y los arquitectos de seguridad.

Un SOC, por lo tanto, deberá de realizar, principalmente las siguientes funciones:

• Identificar. Ayuda a la empresa a comprender y administrar los riesgos de seguridad que se plantean en los sistemas, personas, activos, datos y capacidades.
• Proteger. Se implementan controles de seguridad para garantizar el correcto funcionamiento de la infraestructura crítica de la empresa.
• Detectar. Deben de realizarse las acciones adecuadas para cuando se detectan eventos o incidentes de seguridad.
• Responder. Aquí aplican los procesos que se deben seguir después de haber detectado un incidente en la empresa.
• Recuperar. Implementar las medidas necesarias para restaurar las capacidades o los servicios afectados por un incidente de seguridad.

Los puntos anteriores están basados en el Cybersecurity Framework(CSF) del NIST y generalmente son los que se encuentran establecidos en los SOC, no quiere decir que sea lo único, simplemente es lo más utilizado.

Los beneficios que puede ofrecer un SOC a las organizaciones son diversos y destacamos 4 en especial: 

1. Protección continua. Los SOC funcionan las 24 horas , los 7 días de la semana. Este monitoreo constante es fundamental para detectar los primeros indicios de actividad anómala.
2. Respuesta rápida ante incidentes. Reducen el tiempo que transcurre entre la detección de un incidente y la aplicación de las medidas necesarias para remediarlo.
3. Prevención de amenazas. Ya que sus especialistas no solo se encargan de hacer frente a incidentes, si no también a realizar un análisis y búsqueda de amenazas que podrían ocasionar que ocurra un incidente o un ciberataque.
4. Reducción de costos por infracciones. Al minimizar el tiempo de inactividad e interrupción del negocio que podría ocasionar un ataque, así como los costos potenciales y daños a la reputación que implicaría, por ejemplo, un incidente de fuga de datos.