¿Cómo construir un SOC? La fortaleza de ciberseguridad para la empresa

7/Oct/2019Nuevas Tendencias

¿Cómo construir un SOC? La fortaleza de ciberseguridad para la empresa

7/Oct/2019Nuevas Tendencias

Casi todas las empresas de hoy en día cuentan al menos con pequeños elementos de ciberseguridad, como un firewall, filtrado de correo electrónico, antivirus, etc. No obstante, aunque estos elementos básicos son necesarios, no son suficientes para proteger una empresa de los ciberataques actuales (ni siquiera si es pequeña y poco conocida).

 

Una falsa sensación de seguridad

Existen muchas formas de realizar un ciberataque que no son detectadas por estas medidas de seguridad. Para ser objetivo de un ataque no es necesario que el ciberdelincuente se haya fijado en tu empresa directamente, simplemente puede que se trate de un ataque automatizado a todas las empresas detectadas con ciertas vulnerabilidades.

El aumento de la sofisticación de los ataques hace que muchos de ellos pasen desapercibidos. Tal y como indica Larry Ponemon (director del instituto Ponemon), en su informe anual sobre las tendencias internacionales en los riesgos de ciberseguridad, las empresas tardan un promedio de 279 días en descubrir que han tenido una intrusión, y un total de 314 días en corregir esa intrusión. Es por ello que las empresas necesitan un equipo de ciberseguridad dedicado a protegerlas constantemente, el cual, además, se mantenga en continua evolución. 

Las empresas tardan un promedio de 279 días en descubrir que han tenido una intrusión.

Larry Ponemon: Presidente y Fundador del Ponemon Institute

SOC, la fortaleza de ciberseguridad que necesita tu empresa

Foto: Atlantis SOC de Sofistic

La mejor solución para proteger de forma integral la ciberseguridad de la empresa es un SOC (Security Operations Center), un centro de seguridad dónde un conjunto de expertos detectan los incidentes de ciberseguridad, y responden para paliarlos.

La definición de SOC ofrecida por cada proveedor puede ser muy variada y puede abarcar desde los que ofrecen un monitoreo básico de red 24/7, hasta detección y mitigación de amenazas en toda regla. Cada proveedor puede tener un conjunto de servicios distintos dentro del SOC, así que es importante fijarse detenidamente en lo que se está contratando exactamente. 

Un SOC ha de ser capaz de identificar cualquier tipo de incidencia en el momento en el que aparece la amenaza y hacer las correcciones necesarias para neutralizarla.

¿Crear un SOC desde cero o contratar uno externo?

Si una empresa quiere disponer de un SOC tiene dos opciones: construirlo desde cero o contratar uno. Ante esta duda, no existe una solución para todas las empresas, por lo que se debe estudiar cada caso de forma individual. En general, aunque a priori pueda parecer más interesante tener un SOC interno para guardar los archivos de registro dentro de la misma empresa, suelen ser mayores las ventajas de externalizar este servicio. Los principales motivos por los que es recomendable contratar un SOC externo a una empresa especializada son:

1Encontrar a las personas adecuadas para este puesto puede ser una ardua tarea, sobretodo si la empresa no dispone de un departamento de ciberseguridad.

2Los analistas del SOC deberían tener una dedicación exclusiva a la ciberseguridad. Tenerlos en la empresa puede hacer que en cierto momento realicen otras tareas que se le soliciten, descuidando su cometido principal y pasando por alto brechas de seguridad.

3Los profesionales de ciberseguridad deberían estar constantemente actualizados y certificados. Este aspecto puede resultar complicado si la empresa no se dedica a la ciberseguridad, y si no se cumple, aunque se consiga contratar a los mejores profesionales, su eficacia disminuirá con el tiempo.

4 El aprendizaje sobre amenazas que pueden obtener los analistas trabajando únicamente con una empresa es limitado. Un SOC externo está monitorizando constantemente la actividad de distintos clientes y entornos, ese aprendizaje se aprovecha para abordar las incidencias de forma proactiva.

¿Qué ocurre con los ataques sofisticados?

Según el informe de Black Hat, el SOC tradicional que utiliza técnicas de bloqueo, monitorización y gestión de vulnerabilidades puede mitigar hasta el 90% de los ciberataques. El 10 % restante, clasificados como ataques sofisticados, constituye la principal preocupación para el 48 % de los profesionales de seguridad.

Por este motivo, aunque pueda parecer que todos los SOC ofrecen un servicio de ciberseguridad similar, es necesario averiguar cuales de estos ofrecen un servicio que permita defender a la empresa de los ataques sofisticados. Los mejores SOCs consiguen esto combinando el uso de herramientas avanzadas capaces de correlacionar eventos que a priori puedan parecer independientes y nada peligrosos y un equipo experimentado capaz de interpretar estos eventos en su magnitud real y mitigar este tipo de ataques.

 

6 claves a la hora de contratar un SOC

En general todos los SOCs suelen ser capaces de responder ante las alertas predefinidas en el SIEM, pero solo los mejores cumplirán con las siguientes características:

Alta disponibilidad ante catástrofes

Con la “alta disponibilidad” no nos referimos solamente al servicio 24/7 o tener medidas definidas ante cortes de luz. Este es un servicio crítico, por lo que debería poder mantener el servicio ante catástrofes naturales, factores socioeconómicos negativos, etc. Una forma de conseguir esto es con un SOC redundado en distintos continentes.

Detección antes de que produzca la amenaza

No solo se deben responder a los eventos en el momento en el que ya han ocurrido. Mediante Inteligencia Artificial se pueden detectar y correlacionar posibles futuros eventos de seguridad, incluso antes de que se produzca la amenaza real.

Hay que estar preparado ante lo que pueda venir

Una parte que no se debe descuidar en la ciberseguridad es la prevención. Tanto la empresa como el entorno están en continuo cambio, por lo que se deben tomar medidas de prevención proactivas con las que se proteja a la empresa contra posibles tipos de ataques que todavía no ha tenido.

Fuera de la empresa también ocurren cosas...

Phishing, venta de datos en la Dark Web, APPs falsas… Existen amenazas que pueden afectar a la empresa (o a sus usuarios y clientes) sin atacarla de una forma directa, por lo que el SOC también debe monitorizar ese tipo de amenazas y responder ante ellas.

¿Cambias tú o se adapta el SOC?

En ocasiones, al contratar un SOC, la empresa debe cambiar las herramientas que utiliza por otras compatibles con las del proveedor. Sin embargo, algunos SOCs son capaces de adaptarse a los sistemas utilizados por la empresa, evitando así inconvenientes en los procesos de la organización.

La respuesta a la velocidad de un fórmula 1

Todas las características anteriores son muy importantes, pero son insuficientes si la respuesta no se da de una forma ágil para minimizar daños. Es imprescindible que detrás del SOC haya un equipo con experiencia, capaz de responder de forma veloz y certera ante cualquier tipo de amenaza.

Hay muchos requisitos a tener en cuenta cuando lo que está en juego es la seguridad de la empresa, pero encontrar un SOC con estas características no es una misión imposible.

¿Necesitas asesoramiento sobre el SOC? Contacta con nosotros y nuestros expertos te ayudarán sin compromiso.

Artículos Relacionados

Módulo criptográfico de Amazon

Módulo criptográfico de Amazon

Para garantizar la seguridad de los datos sensibles que circulan a través de Internet, Amazon lanza un módulo criptográfico de código abierto. La seguridad en la red cada vez es más importante y los usuarios son más conscientes de la importancia de que su información...

0 Comentarios

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *