¿Qué es un centro de operaciones de seguridad?

Un centro de operaciones de seguridad, también conocido como «SOC», es un eje desde donde se centraliza la seguridad dentro de una organización. Se encarga de supervisar continuamente el entorno de seguridad de una organización, como la infraestructura, la red, las aplicaciones, los dispositivos corporativos y cualquier otra tecnología o servicio de seguridad que interactúe con la organización.

Además de la supervisión continua, el análisis de amenazas y la corrección de amenazas a la seguridad, sobre el centro de operaciones de seguridad también recae la tarea de mejorar las iniciativas de seguridad existentes para garantizar que la situación de seguridad de la organización sea lo más eficaz posible y esté reforzada al máximo.

Para cumplir con estas iniciativas, el centro de operaciones de seguridad recibe y registra continuamente datos de una serie de fuentes que abarcan toda la organización. Esta composición proporciona datos de seguridad en tiempo real que el equipo de operaciones de seguridad puede utilizar para realizar análisis de seguridad en tiempo real. Con esos análisis, el equipo del SOC observará, examinará y corregirá las posibles amenazas a la seguridad en todo momento y transmitirá a los directivos información esencial sobre estas.

Uno de los componentes esenciales de un centro de operaciones de seguridad con éxito es el uso de un sistema de gestión de eventos e información de seguridad, también conocido como «SIEM». Los sistemas de gestión de eventos e información de seguridad están diseñados para recibir datos en tiempo real desde servicios que obtienen los datos de seguridad esenciales mediante una serie de dispositivos situados dentro de la red de una organización.

Los datos recopilados de un SIEM se pueden utilizar de varias maneras. Por ejemplo, los datos sospechosos recopilados por el SIEM se pueden utilizar para generar alertas de eventos sospechosos o anómalos.

Los sistemas de gestión de eventos e información de seguridad (SIEM) se utilizan para canalizar los datos relacionados con la seguridad hacia soluciones de evaluación de vulnerabilidades, como un sistema de prevención de intrusiones (IPS), un sistema de detección de intrusiones (IDS), bases de datos específicas de seguridad, almacenes de datos y plataformas de inteligencia para la detección de amenazas (TIP). Estas soluciones sirven para llevar a cabo aún más operaciones de seguridad en los datos.

Una de las principales ventajas de tener un SOC es la mejora en la situación de seguridad que obtiene una organización con esta iniciativa de seguridad.

Las organizaciones que invierten en un centro de operaciones de seguridad se benefician de la supervisión continua de toda su organización, con la que se recopilan datos en tiempo real referentes a la red, los dispositivos y las aplicaciones de forma ininterrumpida. De este modo se reduce drásticamente el tiempo que tarda una organización desde que se produce un incidente hasta que se da una respuesta, lo que mitiga considerablemente el daño potencial de un ataque.

Una organización que emplea un modelo de SOC eficaz tiene muchas más probabilidades de detectar un ataque malintencionado en las fases iniciales y reducir el daño de un posible ataque de ciberseguridad.

Los centros de operaciones de seguridad se enfrentan a dos obstáculos principales: la escasez de personal y la carencia de conocimientos.

Escasez de personal:

En el dinámico mercado laboral actual, las organizaciones tienen dificultades para contratar y retener a los mejores profesionales. Esta circunstancia se cumple especialmente en el terreno de la seguridad. Con casi 500 000 puestos de trabajo de seguridad por cubrir a principios de este año, y sin suficientes candidatos cualificados para ocuparlos, los equipos de seguridad siguen sin tener el personal necesario y están sobreutilizados.

Carencia de conocimientos:

El sector de la seguridad también se ve muy afectado por la carencia de conocimientos. Cuando el personal disponible es limitado, las organizaciones tienen acceso a candidatos menos cualificados. En consecuencia, las empresas deben formar a sus empleados internamente o deben confiar en el personal existente (a veces procedente de un departamento periférico) y asignarles responsabilidades laborales adicionales.

Un centro de operaciones de seguridad actúa como una estrategia de identificación y contención de amenazas en las organizaciones modernas que dependen de la tecnología. La contención de amenazas depende de una serie de aplicaciones, servicios y herramientas de seguridad para mitigar el riesgo de un ciberataque.

Cada centro de operaciones de seguridad es único en cuanto a las herramientas de seguridad que elige emplear para reforzar su entorno de seguridad. Sin embargo, hay un pequeño conjunto de aplicaciones, servicios y herramientas de seguridad que comparten la mayoría de centros de operaciones de seguridad.

Sistema de supervisión del comportamiento
La supervisión del comportamiento, una práctica estándar de cualquier centro de operaciones de seguridad moderno, es el proceso de supervisar diversas propiedades de la organización con la intención de detectar anomalías que podrían indicar una amenaza a la seguridad.

Estas son las propiedades que las herramientas de supervisión del comportamiento suelen analizar:

• Actividad en la red
• Descargas sospechosas
• Reinicios de los terminales
• Infracciones de políticas
• Evaluación de la ubicación geográfica del tráfico entrante y saliente
• Mensajes de error

Sistema de supervisión de los terminales
Hoy en día, los terminales de usuario son uno de los objetivos más vulnerables ante ataques de ciberseguridad. Desafortunadamente, los usuarios son propensos a abrir correos electrónicos maliciosos o a ser víctimas de ataques de ingeniería social. La supervisión activa de los terminales es una de las prioridades de los centros de operaciones de seguridad actuales.

Gestión de eventos e información de seguridad (SIEM)
Los sistemas de gestión de eventos e información de seguridad (SIEM) se encargan de recopilar datos de seguridad en tiempo real de diversas aplicaciones, servicios y herramientas de seguridad, y de generar alertas si detectan actividades sospechosas. La SIEM es una de las herramientas más importantes de un centro de operaciones de seguridad, ya que actúa como el eje central de recopilación de datos del que dependen casi todas las decisiones relacionadas con la seguridad.

Sistema de detección de intrusiones (IDS)
Un sistema de detección de intrusiones, abreviado como «IDS», es otro de los componentes esenciales de un centro de operaciones de seguridad. El IDS se encarga de supervisar los datos que entran y salen de la red. Su función es identificar y marcar las posibles amenazas a la seguridad que se desplazan por la red de una organización.

Sistema de protección contra intrusiones (IPS)
Un sistema de protección contra intrusiones, abreviado como «IPS», se parece a un sistema de detección de intrusiones (IDS) en que su función es mitigar las amenazas que se producen a través de la red de una organización. Sin embargo, a diferencia de un IDS, en el que un equipo de operaciones de seguridad identifica y marca los paquetes sospechosos, el IPS identifica los paquetes sospechosos y los elimina de la red en tiempo real.

La estructura de los equipos de operaciones de seguridad actuales es fundamental para el éxito de cualquier organización. Las personas incluidas en los equipos de operaciones de seguridad no solo tienen que recibir la formación adecuada para su función, sino que el equipo en su conjunto debe trabajar al unísono para garantizar la seguridad y la integridad de su organización.

Director de seguridad de la información:

El puesto de director de seguridad de la información es uno directivo, encargado de tomar decisiones de alto nivel con respecto a las iniciativas de seguridad que afectan a toda la empresa.

Estas personas tienen que establecer las estrategias y operaciones de seguridad que llegarán a los responsables del centro de operaciones de seguridad, como el director de respuesta a incidentes y el responsable del SOC, para garantizar la uniformidad en la forma de entender las operaciones de seguridad y las de prevención de amenazas.

Responsable sénior de seguridad:

El responsable sénior de seguridad se encarga de supervisar todas las operaciones de su equipo del SOC y de proporcionar directivas de alto nivel sobre cómo el equipo debe operar y responder en caso de haber una amenaza grave a la seguridad. Sobre el responsable sénior de seguridad también recae la tarea de comunicarse con el director de seguridad de la información para transmitirle datos sobre los problemas graves de seguridad.

Responsables de la respuesta a incidentes:

El responsable de la respuesta a incidentes se encarga de configurar y gestionar las herramientas de supervisión de la seguridad, así como de informar sobre las ciberamenazas identificadas. Estos responsables supervisan cientos de amenazas diarias a la seguridad y deben tomar decisiones en tiempo real sobre cómo gestionar las posibles amenazas de seguridad.

Analista del SOC:

Sobre el analista del SOC recae la tarea de supervisar los eventos de seguridad y clasificar las alertas para los analistas de seguridad de nivel 2 y 3. Deben investigar todas las actividades sospechosas y responder a las alertas.

VMware proporciona una suite de soluciones de seguridad para impulsar la modernización de los centros de operaciones de seguridad. Gracias a VMware, puede adaptar su respuesta con confianza, velocidad y precisión. VMware proporciona confianza operativa inmediata y permite reducir el tiempo de resolución con la mejor plataforma.