Un centro de operaciones de seguridad (SOC) es una capacidad de seguridad centralizada, establecida para monitorear, analizar, mitigar y prevenir problemas de ciberseguridad. Combinando la experiencia humana, los procesos escalables y la mejor tecnología de su clase, como las herramientas SIEM/SOAR, SOC se considera, con razón, como el pase óptimo para mejorar la postura de seguridad corporativa.
A continuación un perito en telecomunicaciones le brindamos algunos signos que deberían ayudarlo a determinar si SOC es el siguiente paso lógico para su programa de seguridad cibernética.
1. Determinar la preparación tecnológica para la formación de SOC
SOC actúa como un «guardia», observando e investigando intrusiones. La eficacia de cualquier guardia disminuye si las instalaciones no están completamente aseguradas. Piénselo de esta manera: no tiene sentido invertir en un sistema de detección de movimiento de última generación para su hogar cuando la puerta de su garaje está permanentemente abierta. Eso sería un desperdicio en todos los sentidos.
Asimismo, el establecimiento de SOC requiere un cierto grado de ciberseguridad y madurez de gestión de servicios ITIL. Como mínimo, debe tener implementados los siguientes procesos y prácticas de seguridad de la información:
- Sistemas de gestión de acceso e identidad
- Acceso remoto protegido
- Seguridad de la infraestructura de TI
- Seguridad de redes e inalámbricas
- Sistemas de protección del tráfico de Internet
Sin lo anterior, la adopción de SOC difícilmente generaría el impacto que podría. Su equipo tendría dificultades para obtener los niveles necesarios de visibilidad de su infraestructura, establecer un monitoreo integral y responder oportunamente a los incidentes de seguridad.
Por lo tanto, en primer lugar, debe racionalizar si tiene suficiente tecnología SOC, específicamente:
- Capacidades tradicionales de protección perimetral, como control de acceso, VPN, proxy web, firewall de próxima generación, filtrado de ingreso.
- Filtrado de tráfico y capacidades de filtrado de aplicaciones, como inspección de tráfico SSL/TLS, listas blancas de aplicaciones, prevención de intrusiones y/o sistemas de detección de intrusiones.
- Herramientas de gestión de eventos e información de seguridad (SIEM) para recopilar telemetría de seguridad de aplicaciones, redes y sistemas para su análisis. Las opciones populares son Azure Sentinel, Splunk o ELK Stack.
2. Establecer impulsores comerciales clave para la adopción
La capacidad SOC se presta a una mejor postura de seguridad y protección continua, entre otros beneficios. Sin embargo, estos dos factores pueden no ser siempre suficientes para justificar la inversión.
Según nuestra experiencia como SOC como proveedor de servicios, identificamos varios casos de uso en los que la adopción de SOC no es solo una moda pasajera, sino también una necesidad operativa. Éstas incluyen:
- Dependencia crítica para el negocio de la alta disponibilidad de la infraestructura de TI
- Transición a operaciones digitales y enfoque en el crecimiento habilitado digitalmente
- Optimización de gastos operativos
- Requisitos de conformidad
Detengámonos un poco más en el cumplimiento. A nivel mundial, los reguladores están imponiendo niveles más altos de protección de datos de clientes y sistemas comerciales en industrias reguladas como finanzas, telecomunicaciones y educación, entre otras.
En particular, se le puede recomendar que cumpla con algunos de los siguientes estándares relacionados con la seguridad:
- Marco de ciberseguridad del NIST
- ISO 27001 — Sistema de gestión de la seguridad de la información
- Políticas y procedimientos de seguridad PCI-DSS
- Certificación SOC 1 o 2 por el Instituto Americano de CPA
- RGPD (Reglamento General de Protección de Datos)
- HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)
- Regla Ómnibus HITECH
Ninguno de los anteriores exige directamente el establecimiento de un SOC como criterio de cumplimiento. Sin embargo, estas certificaciones y regulaciones requieren que las organizaciones fortalezcan su postura de seguridad en lo que respecta a la detección de amenazas, el manejo de incidentes de seguridad y la protección de datos confidenciales. SOC puede ofrecer eso.
Respectivamente, al considerar diferentes escenarios de adopción de SOC, debe tener en cuenta tanto los impulsores comerciales generales, relacionados con los riesgos operativos y las ganancias monetarias, como los requisitos de seguridad relacionados con la regulación.
3. Realice una evaluación de riesgos de ciberseguridad
Un equipo SOC es su centinela. Para ser efectiva, la unidad debe comprender el perímetro exacto que está a cargo de proteger. Para trazar esa línea, siempre tiene sentido realizar primero una evaluación de riesgos y seguridad.
Una evaluación de riesgos de ciberseguridad es un inventario paso a paso de sus prácticas actuales y medios técnicos para garantizar la protección de la infraestructura de TI crítica, la seguridad y la privacidad de los datos, así como la identificación y respuesta oportunas a los incidentes de seguridad.
Hay muchas evaluaciones de riesgos de seguridad cibernética propuestas tanto por proveedores como por organismos reguladores como el Instituto Nacional de Estándares y Tecnología (NIST), por ejemplo, el herramienta cochecito.
En general, puede realizar una evaluación de riesgos de seguridad en tres niveles: nivel de organización, nivel de misión/proceso comercial y nivel de sistema de información. Ese es el escenario más completo, que ayuda a definir los requisitos de seguridad y cumplimiento necesarios para los sistemas de información, los activos de datos, las aplicaciones y las soluciones críticas para el negocio.
