En IT, un Centro de Operaciones de Seguridad o SOC (del inglés Security Operations Center) o Centro de Operaciones de Seguridad Informática (ISOC) es una ubicación centralizada en la que el equipo de seguridad de una organización monitoriza, analiza, detecta y resuelve cualquier incidente de seguridad que pudiera surgir. Un SOC se suele establecer para proteger datos sensibles y cumplir con las regulaciones de organismos gubernamentales o de un sector empresarial específico. Lo cual implica abordar la ciberseguridad de forma muy proactiva y también una gran inversión.
Una ubicación centralizada para las operaciones de seguridad
Esta unidad centralizada de seguridad aborda los problemas de seguridad tanto desde el punto de vista técnico como organizativo. Así que, las instalaciones de un SOC suelen estar muy protegidas por medidas de seguridad física, electrónica e informática. En un ISOC, los sistemas informáticos de la empresa —centros de datos, servidores, redes, aplicaciones, sitios web, bases de datos, etc.— se monitorizan, analizan y protegen frente a cualquier problema o amenaza de ciberseguridad. Lo mismo ocurre con el Centro de Operaciones de Red o NOC (del inglés Network Operations Center), el cual hoy en día a menudo comparte espacio con el SOC.
Al tratarse de una ubicación centralizada para las operaciones de seguridad, los Centro de Operaciones de Seguridad de las empresas están operativos 24/7. El personal, los procesos y la tecnología se organizan dentro del SOC para gestionar y mejorar la postura de seguridad de la empresa. Para ello se conciencia del estado de la seguridad mediante la monitorización, detección, contención y resolución de ciberamenazas.
Centro de Operaciones de Seguridad: tecnología y organización
Establecer y operar un Centro de Operaciones de Seguridad siempre ha sido más habitual en grandes organizaciones y gobiernos, debido a su complejidad y alto coste. Sin embargo, el número de empresas que disponen de un SOC va en aumento, ya que cada vez hay más soluciones asequibles disponibles en el mercado. Algo que es especialmente importante ahora que el número de ciberataques se está disparando en todo el mundo.
Para establecer un SOC es necesario: definir una estrategia e implementar la infraestructura y tecnología necesarias para apoyar dicha estrategia. Los SOCs suelen disponer de un sistema de Información de seguridad y gestión de eventos o SIEM (del inglés Security Information and Event Management) para agregar los datos de las diferentes fuentes, por ejemplo:
- Software GRC (del inglés Governance Risk Management and Compliance)
- Soluciones de análisis de vulnerabilidades
- Herramientas EDR (del inglés Endpoint Detection and Remediation)
- Sistemas de prevención de intrusiones o IPS (del inglés Intrusion Prevention Systems)
- Soluciones de análisis de comportamiento de usuarios y entidades o UEBA (del inglés User and Entity Behavior Analytics)
Asimismo, contar con los profesionales adecuados es tan importante como definir una estrategia adecuada e implementar la tecnología e infraestructura necesaria. Los miembros del equipo de un SOC suelen tener diferentes formaciones, como: ingeniería informática, ingeniería de redes, ciencias de la computación y criptografía. El equipo de seguridad que conforma un SOC incluye: SOC managers (expertos en IT y redes), ingenieros de seguridad y analistas SOC, entre otros. Los SOC managers suelen reportar directamente al CISO.
¿De qué se encarga el SOC?
Estas son algunas de las tareas de las que se encarga el Centro de Operaciones de Seguridad:
- Mantener el control y la visibilidad sobre todos los recursos disponibles, desde los dispositivos, aplicaciones y procesos que hay que proteger, hasta los sistemas y herramientas que se usan para monitorizarlos, detectarlos y protegerlos.
- Garantizar la monitorización continua y proactiva para la detección temprana o incluso anticipada de amenazas, a fin de mitigar y prevenir daños.
- Implementar medidas preventivas manteniéndose al día de las últimas innovaciones de seguridad, diseñando un plan de Disaster Recovery y una roadmap de seguridad, y actualizando, parcheando y manteniendo los sistemas de forma periódica. La mejora continua es esencial para anticiparse a los cibercriminales.
- Analizar y gestionar las alertas para clasificarlas según su criticidad y prioridad.
- Gestionar y analizar el log de toda la actividad de red para detectar amenazas de forma proactiva y evitar problemas de seguridad. Los sistemas SIEM se suelen usar para agregar todos los datos de los terminales, apps, sistemas operativos y firewalls.
- Responder y llevar a cabo las acciones necesarias para asegurar que el impacto en la continuidad del negocio sea mínimo, cuando se confirma un incidente de seguridad. Así como restaurar los sistemas y recuperar los datos que pueden haberse visto comprometidos o perdidos.
- Analizar e informar del origen y causa de los incidentes de seguridad para ayudar a evitar problemas similares en el futuro.
- Garantizar el cumplimiento de la regulación.
Beneficios de disponer de un SOC
En nuestra economía digital, donde la gobernanza y la protección de datos cada vez son más importantes tanto para los ciudadanos como para las empresas, disponer de un Centro de Operaciones de Seguridad tiene muchos beneficios. Por ejemplo:
- Detección de incidentes de seguridad mejorada
- Reducción de los tiempos de respuesta ante incidentes
- Defensa proactiva ante incidentes e intrusiones
- Ahorro de costes al enfrentarse a incidentes de seguridad
- Protección de datos y mejora de la confianza de los consumidores
- Mayor transparencia y control sobre las operaciones de seguridad
En Stackscale, como parte de nuestro enfoque proactivo de seguridad y disponibilidad, monitorizamos todos nuestros servicios cloud, infraestructura y sistemas a través de nuestra Plataforma de Monitorización y Automatización de Stackscale (SAMP), integrando diferentes tecnologías de software y hardware. Nuestro servicio de monitorización incluye, pero no se limita a, la red core, el acceso de red, el almacenamiento en red, los nodos de computación, los backups y el propio SAMP.
