Un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) es una central de seguridad que previene, monitorea y controla la seguridad en las redes y en Internet. Su función es la de supervisar, detectar, investigar y responder ante las amenazas cibernéticas durante las 24 horas del día.
¿Cómo es un equipo de SOC?
El equipo de un SOC se encarga de implementar la estrategia de ciberseguridad general de la empresa. El personal de los equipos de un SOC puede variar según el tamaño de la empresa y la industria.
Normalmente, los equipos están formados por analistas, ingenieros de seguridad y gerentes que supervisan las operaciones de seguridad.
Fases del SOC
En cuanto a las fases, nos encontramos con las siguientes:
- Prevenir y detectar: en temas de ciberseguridad, prevenir un incidente siempre es más eficaz que reaccionar ante él. Por eso, el SOC, en vez de responder ante las amenazas cuando suceden, da un paso más y supervisa la red las 24 horas del día, para poder detectar los problemas y solucionarlos antes de que causen un mal mayor.
- Investigar: cuando se detecta algo sospechoso en el SOC, se recopila la información necesaria para investigarlo. En esta fase, se analiza la actividad sospechosa para establecer el grado de penetración en la infraestructura. Asimismo, se observa la red y las operaciones de la empresa desde la perspectiva de un atacante para encontrar áreas de exposición antes de ser vulneradas.
- Responder: después de investigar, el SOC busca una respuesta para corregir el problema o incidente. Cuando se confirma que existe un incidente, se actúa para corregirlo. Tras el mismo, se trabaja para restaurar los sistemas y recuperar los datos perdidos o vulnerados.
Niveles de SOC
En el SOC existen varios niveles. En el nivel 1 (N1) se encuentran los operadores, que son las personas que observan las alertas que llegan al sistema de monitorización y determinan la importancia de las mismas. De esta forma, muchas alertas se ignoran y otras se resuelven sin mayor complejidad.
Cuando uno de los incidentes que detectan los operadores del N1 es demasiado complejo o supera sus capacidades, éste escala al nivel 2 (N2).
Por último, si el problema o incidente es de gravedad o se necesitan mayores capacidades, escala al nivel 3 (N3).
Importancia del SOC para las empresas
Actualmente, cada vez son más las empresas que cuentan con un servicio de SOC, ya que éstos son un recurso muy valioso para detectar los incidentes de seguridad. Una ventaja fundamental de tener este servicio en la empresa es la mejora de la detección de incidentes de seguridad.
Se va a ir viendo como instituciones y empresas medianas empiezan a implantar el SOC dentro de su estructura o lo subcontratan a empresas externas como Tecnek Cybersecurity.
