¿QUÉ ES UN SOC Y CÓMO IMPLEMENTARLO EFICIENTEMENTE?
¿QUÉ ES UN SOC? De sus siglas en inglés, Security Operations Center (SOC), es un Centro de Operaciones de Seguridad, se encarga del monitoreo de todos los eventos relacionados con ciberseguridad, esto con la finalidad de poder detectar y responder ante los eventos que supongan un potencial riesgo a las organizaciones, uno de los más comunes riesgos es el ransomware (secuestro de información), y en esta nueva normalidad con un perímetro extinto y mayor superficie de ataque, debemos contar con herramientas para poder tener visibilidad y control de los que pasa en nuestro entorno de ciberseguridad.
¿Cuáles Son Sus Componentes Clave?
Los componentes que puede tener un SOC son diversos y pueden variar con base en el nivel de madurez del mismo y del presupuesto destinado al propio SOC, la agenda de ciberseguridad vuelve a ser de notable importancia para las organizaciones, es por ello que se debería incluir al menos lo siguiente:
1. Determinar los recursos económicos reales destinados.
2. Personal capacitado y certificado, de preferencia.
3. Estructurar correctamente los equipos (Blue, Red and Purple Teams).
4. Integración con la mayor cantidad de fuentes para mejor visibilidad.
5. Comunicación a la Alta Dirección.
6. Mapeo real de Amenazas contra Vulnerabilidades.
7. Manejo adecuado de la Gestión de Incidentes.
8. Integrar en medida de lo posible un SIEM (Security Information and Event Management).
9. Inteligencia Artificial para eventos de seguridad.
10. Análisis forense.
¿El Presupuesto Es Un Impedimento?
Depende del nivel que se quiera implementar, pero uno de los errores comunes es gastar mucho en herramientas, creyendo que son la bala de plata o la solución mágica a los problemas de seguridad, olvidándose del recurso humano, de igual forma deben ser capacitados de forma constante y poder tener la capacidad de reaccionar de manera rápida ante un incidente de seguridad, el presupuesto debe ser utilizado de forma inteligente y de forma balanceada, de nada sirve tener herramientas de última generación sin el personal capacitado para explotarlas al 100%.
Errores Comunes A Evitar
1. Interrumpir o pausar el monitoreo de eventos de seguridad.
2. No darles un trato adecuado a los falsos positivos.
3. Monitorear eventos de seguridad con base en el volumen y no en los activos de información.
4. Invertir el 50% o más del presupuesto en una sola herramienta.
5. Analiza los datos generados por tu SOC, no sólo los almacenes.
