¿Qué es un SOC y por qué es importante para tu negocio?

La ciberseguridad se ha convertido en una prioridad para todo tipo de empresas. En los últimos meses hemos visto ataques a escala mundial, capaces de afectar a compañías a las que se presupone un elevado nivel de seguridad. En España hemos visto cómo estos ataques han afectado a diversas empresas de distintos sectores (Everis, Cadena Ser,..) e incluso a Ayuntamientos. Sin ir más lejos, esta misma semana la empresa Prosegur se vio afectada por un ataque ransomware.

Por eso, cada vez hay más empresas que deciden contar con un Centro de Operaciones de Seguridad (SOC, en sus siglas en inglés). Aprovechando que mañana, 30 de noviembre, se celebra el día Internacional de la Ciberseguridad vamos a tratar la importancia de contar en tu negocio con un Centro de Operaciones de Seguridad.

¿Qué es un SOC?

El SOC o Centro de Operaciones de Seguridad, surge ante la gran amenaza de los ciberataques ya que las organizaciones públicas y privadas han tenido que tomar medidas para proteger sus sistemas informáticos. Ya no es suficiente con tener antivirus y medidas básicas que bloqueen las entradas de ajenos al sistema, ya que a día de hoy muchos ciberdelincuentes saben cómo eludirlos.

Un Centro de Operaciones de Seguridad se encarga de realizar un seguimiento y analizar la actividad en redes, servidores, puntos finales, base de datos, aplicaciones, sitios web y otros sistemas, tanto de empresas públicas como privadas, buscando actividades anómalas que puedan ser indicativas de un incidente o compromiso de seguridad.

Vivimos en un entorno digital, en el que utilizamos sistemas de venta o captación de datos online. ¿Quién no ha comprado algo a través de Internet? ¿Quién no ha consultado sus datos o se ha inscrito a un servicio público online? Es muy importante para las empresas contar con un servicio de protección a nivel informático, tal como son los servicios SOC, ya que si se produce un ciberataque puede dar lugar a una catástrofe de robo de datos masiva.

El SOC está compuesto por un equipo de profesionales técnicos: desarrolladores, arquitectos, analistas, administradores u operadores informáticos, que están altamente cualificados y poseen herramientas y software necesarios para prevenir y dar respuesta ante cualquier ataque. Es muy importante que existan distintos perfiles y que el equipo esté en constante formación, ya que las amenazas están continuamente cambiando.

¿Cómo se organiza un SOC?

Un SOC se divide por niveles en función del grado de especialización de los analistas que lo conforman.

Nivel 1: Monitorización y análisis

Este primer nivel suele estar formado por uno o varios analistas, denominados analistas de alerta, que monitorizan continuamente las alertas y amenazas que recibe el SOC. Los analistas evalúan las alertas de seguridad para determinar si estas alertas y amenazas se pueden convertir en un incidente de seguridad o si son “falsos positivos”. Son los encargados del seguimiento de los eventos de seguridad, de su primer análisis y del registro y la clasificación de los incidentes. Si alcanzan el umbral predefinido según la política del SOC, se escalan al nivel 2.

Nivel 2: Análisis profundo y respuesta

Los analistas del nivel 2, llamados técnicos de seguridad, determinan si los datos o el sistema se han visto afectados y, de ser así, recomendarán una respuesta. Son los encargados de la gestión de los incidentes de seguridad, de la configuración y el mantenimiento de las herramientas y el análisis y la gestión de vulnerabilidades. A través de una metodología y unos procedimientos definidos se realiza un análisis del incidente, cotejando información de distintas fuentes, determinando si afecta a sistemas críticos y revisando qué conjunto de datos se han visto impactados. Se recomienda qué remedio se puede aplicar y proporciona soporte para realizar un análisis del incidente.

Nivel 3: expertos y “hunters”

Por último, el nivel 3 está compuesto por profesionales altamente capacitados que se encargan de resolver los incidentes, pero también de buscar posibles incidentes con el fin de prevenirlos. Son consultores técnicos muy especializados en las diferentes materias de seguridad encargados de realizar las auditorías técnicas, proponer los planes de acción para la mejora y realizar algunos servicios especialmente complejos, como el análisis forense. Tienen que poseer un conocimiento profundo de la red, de los sistemas endpoint, de inteligencia de amenazas, de forense e ingeniería inversa de malware y el funcionamiento de aplicaciones y de la infraestructura TI subyacente.

¿Qué ventajas aporta el SOC de Hard2bit?

En Hard2bit contamos con un Centro de Operaciones de Seguridad desde el que monitorizamos todos los eventos de ciberseguridad que puedan afectar a las infraestructuras de nuestros clientes. Un centro operativo los 365 días al año 24×7 adaptándonos a las necesidades y peticiones específicas de nuestros clientes.

Con el SOC de Hard2bit nuestros clientes obtienen:

  • Acceso a un SOC de tecnología avanzada sin tener que invertir en uno propio.
  • Evitar incurrir en gastos adicionales vinculados a amenazas o ataques de seguridad no detectados.
  • Compliance: Ayuda a la empresa a garantizar el cumplimiento de la norma (LOPD, ISO 27001, PCI-DSS…)
  • Tener acceso a un sistema de recolección, correlación y/o gestión de eventos, sin intervenir en un SIEM propio.
  • Servicios de análisis forense sobre los ataques: ¿qué ha ocurrido, y cómo ha sido posible?
  • Servicio de alertas tempranas: conozca las amenazas y protéjase contra ellas antes de que sea tarde.
  • Permite cuidar la imagen y reputación corporativa, al impedir que pueda mostrarse públicamente vulnerable ante posibles amenazas.
  • Protege la propiedad intelectual y garantiza la privacidad.

Conclusión

A día de hoy, no es suficiente con tener un departamento de informática que se ocupe de varias tareas, entre ellas la ciberseguridad. Es necesario tener un departamento o área en el que se encarguen exclusivamente de monitorizar y analizar toda actividad relacionada con la seguridad informática. Si es un SOC interno o externo dependerá de cada empresa y de sus necesidades.

Lo último que desearía el CEO de una empresa es recibir un ataque y no poder o no saber cómo responder ante él, de forma que fallaría tanto a la empresa, como a los empleados, como a los clientes. Se produciría una ola de desconfianza hacia su empresa.

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *