¿Qué es un centro de operaciones de seguridad (SOC)?

Un SOC, que suele pronunciarse "sock" y a veces se denomina centro de operaciones de seguridad de la información (ISOC), es un equipo interno o subcontratado de profesionales de seguridad de TI dedicados a monitorear toda la infraestructura de TI de una organización las 24 horas del día, los 7 días de la semana. Su misión es detectar, analizar y responder a incidentes de seguridad en tiempo real. Esta orquestación de las funciones de ciberseguridad permite al equipo del SOC mantener la vigilancia sobre las redes, los sistemas y las aplicaciones de la organización, y garantiza una postura de defensa proactiva contra las amenazas cibernéticas.

El SOC también selecciona, opera y mantiene las tecnologías de ciberseguridad de la organización y analiza continuamente los datos de amenazas para encontrar formas de mejorar la postura de seguridad de la organización. 

Cuando no está en las instalaciones, un SOC suele formar parte de los servicios de seguridad gestionados (MSS) subcontratados ofrecidos por un proveedor de servicios de seguridad gestionados (MSSP). El beneficio principal de operar o subcontratar un SOC es que unifica y coordina el sistema de seguridad de una organización, incluidas sus herramientas de seguridad, prácticas y respuesta a incidentes de seguridad. Esto suele dar como resultado mejores medidas preventivas y políticas de seguridad, una detección de amenazas más rápida y una respuesta más rápida, eficaz y rentable a las amenazas de seguridad. Un SOC también puede mejorar la confianza del cliente y simplificar y fortalecer el cumplimiento de una organización con las regulaciones de privacidad de la industria, nacionales y globales.

Las actividades y responsabilidades del SOC se dividen en tres categorías generales.

Inventario de activos: un SOC necesita mantener un inventario exhaustivo de todo lo que hay que proteger, dentro o fuera del centro de datos (por ejemplo, aplicaciones, bases de datos, servidores, servicios en la nube, endpoints, etc.) y todas las herramientas empleadas para protegerlos (cortafuegos, herramientas antivirus/antimalware/antiransomware, software de monitoreo, etc.). Muchos SOC emplearán una solución de detección de activos para esta tarea.

Mantenimiento y preparación de rutina: para maximizar la efectividad de las herramientas y medidas de seguridad implementadas, el SOC realiza un mantenimiento preventivo, como la aplicación de parches y actualizaciones de software, y la actualización continua de cortafuegos, listas de permitidos y bloqueados, y políticas y procedimientos de seguridad. El SOC también puede crear copias de seguridad del sistema (o ayudar a crear políticas o procedimientos de copia de seguridad) para garantizar la continuidad del negocio en caso de una violación de datos, un ataque de ransomware u otro incidente de ciberseguridad.

Planeación de respuesta a incidentes: el SOC es responsable de desarrollar el plan de respuesta a incidentes de la organización, que define las actividades, roles y responsabilidades en caso de una amenaza o incidente, y las métricas mediante las cuales se medirá el éxito de cualquier respuesta a incidentes.

Pruebas periódicas: el equipo del SOC realiza evaluaciones de vulnerabilidad, es decir, evaluaciones exhaustivas que identifican la vulnerabilidad de cada recurso ante amenazas potenciales o emergentes y los costos asociados. También realiza pruebas de inserción que simulan ataques específicos a uno o varios sistemas. El equipo corrige o ajusta las aplicaciones, las políticas de seguridad, las mejores prácticas y los planes de respuesta a incidentes basados en los resultados de estas pruebas.

Mantenerse al día: el SOC se mantiene actualizado sobre las últimas soluciones y tecnologías de seguridad, y sobre la inteligencia de amenazas: novedades e información sobre los ciberataques y los hackers que los perpetran, recopiladas de las redes sociales, fuentes de la industria y la dark web.

Monitoreo de seguridad continuo las 24 horas del día: el SOC monitorea toda la infraestructura de TI extendida (aplicaciones, servidores, software del sistema, dispositivos informáticos, cargas de trabajo en la nube, la red) las 24 horas del día, los 7 días de la semana, los 365 días del año en busca de signos de vulnerabilidades conocidas y cualquier actividad sospechosa.

Para muchos SOC, la tecnología central de monitoreo, detección y respuesta fue la información de seguridad y la gestión de eventos, o SIEM. La SIEM monitorea y agrega alertas y telemetría de software y hardware en la red en tiempo real, y luego analiza los datos para identificar posibles amenazas. Recientemente, algunos SOC también adoptaron la tecnología de detección y respuesta extendidas (XDR), que proporciona telemetría y monitoreo más detallados, y permite la automatización de la detección y respuesta a incidentes.

Gestión de registros: la gestión de registros (la recopilación y el análisis de los datos de registro generados por cada evento de red) es un subconjunto importante de la supervisión. Si bien la mayoría de los departamentos de TI recopilan datos de registro, es el análisis el que establece la actividad normal o de referencia y revela anomalías que indican actividad sospechosa. De hecho, muchos hackers cuentan con que las empresas no siempre analizan los datos de registro, lo que puede permitir que sus virus y malware se ejecuten sin ser detectados durante semanas o incluso meses en los sistemas de la víctima. La mayoría de las soluciones SIEM incluyen la capacidad de gestión de registros.

Detección de amenazas: el equipo del SOC separa las señales del ruido (las indicaciones de amenazas cibernéticas reales y los usos de los hackers de los falsos positivos) y luego clasifica las amenazas por gravedad. Las soluciones SIEM modernas incluyen inteligencia artificial (IA) que automatiza estos procesos y que "aprende" de los datos para mejorar la detección de actividades sospechosas a lo largo del tiempo.

Respuesta a incidentes: en respuesta a una amenaza o incidente real, el SOC actúa para limitar el daño. Las acciones pueden incluir:

• Hacer una investigación de la causa principal, para determinar las vulnerabilidades técnicas que dieron acceso a los hackers al sistema, así como otros factores (como una mala higiene de contraseñas o una aplicación deficiente de las políticas) que contribuyeron al incidente.
• Cerrar endpoints comprometidos o desconectarlos de la red.
• Aislar áreas comprometidas de la red o redirigir el tráfico de red.
• Pausar o detener aplicaciones o procesos comprometidos.
• Eliminar archivos dañados o infectados.
• Ejecutar software antivirus o antimalware.
• Retirar contraseñas para usuarios internos y externos.

Muchas soluciones XDR permiten a los SOC automatizar y acelerar estas y otras respuestas a incidentes.

Recuperación y corrección: una vez que se contiene un incidente, el SOC erradica la amenaza y luego trabaja para recuperar los activos afectados a su estado antes del incidente (por ejemplo, eliminar, restaurar y reconectar discos, dispositivos de usuario y otros endpoints; restaurar el tráfico de red; reiniciar aplicaciones y procesos). En el caso de una filtración de datos o un ataque de ransomware, la recuperación también podría implicar pasar a los sistemas de respaldo y restablecer las contraseñas y las credenciales de autenticación.

A posteriori y perfeccionamiento: para evitar que se repita, el SOC emplea cualquier información nueva obtenida del incidente para abordar mejor las vulnerabilidades, actualizar los procesos y las políticas, elegir nuevas herramientas de ciberseguridad o revisar el plan de respuesta a incidentes. A un nivel superior, el equipo del SOC también podría tratar de determinar si el incidente revela una tendencia de ciberseguridad nueva o cambiante para la que el equipo necesita prepararse.

Gestión del cumplimiento: el trabajo del SOC es garantizar que todas las aplicaciones, sistemas y herramientas y procesos de seguridad cumplan con las regulaciones de privacidad de datos, como el RGPD (Reglamento General de Protección de Datos), la CCPA (California Consumer Privacy Act), PCI DSS (Norma de Seguridad de Datos de la Industria de Tarjetas de Pago e HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico). Después de un incidente, el SOC se asegura de que los usuarios, los entes normativos, las autoridades y otras partes sean notificados de acuerdo con las regulaciones y que los datos de incidentes requeridos se conserven con fines de evidencia y auditoría.

Un SOC proporciona numerosos beneficios a las organizaciones, entre ellos:

Protección de activos: el monitoreo proactivo y las capacidades de respuesta rápida de los SOC ayudan a evitar el acceso no autorizado y minimizar el riesgo de filtraciones de datos. Esto protegerá los sistemas críticos, los datos confidenciales y la propiedad intelectual de las violaciones de seguridad y el robo.

Continuidad del negocio: al reducir los incidentes de seguridad y minimizar su impacto, los SOC garantizan operaciones comerciales ininterrumpidas. Esto ayuda a mantener la productividad, los flujos de ingresos y la satisfacción del cliente.

Cumplimiento normativo: los SOC ayudan a las organizaciones a cumplir con los requisitos normativos y los estándares de la industria en materia de ciberseguridad mediante la implementación de medidas de seguridad eficaces y el mantenimiento de registros detallados de incidentes y respuestas.

Ahorro de costos: invertir en medidas de seguridad proactivas a través de un SOC puede generar ahorros significativos al prevenir costosas filtraciones de datos y ciberataques. La inversión inicial suele ser mucho menor que los daños financieros y los riesgos para la reputación causados por un incidente de seguridad y, si se subcontrata, reemplaza la necesidad de contar con profesionales de seguridad internos.

Confianza del cliente: demostrar un compromiso con la ciberseguridad a través de la operación de un SOC mejora la confianza entre los clientes y stakeholders.

Respuesta mejorada a incidentes: las capacidades de respuesta rápida de los SOC reducen el tiempo de inactividad y las pérdidas financieras al contener las amenazas y restaurar rápidamente las operaciones normales para minimizar las interrupciones.

Mejora de la gestión de riesgos: mediante el análisis de eventos y las tendencias de seguridad, los equipos del SOC pueden identificar las vulnerabilidades potenciales de una organización. Así podrán tomar medidas proactivas para mitigarlas antes de que se exploten.

Detección proactiva de amenazas: al monitorear continuamente las redes y los sistemas, los SOC pueden identificar y mitigar más rápido las amenazas de seguridad. Esto minimiza los daños potenciales y las filtraciones de datos, y ayuda a las organizaciones a mantenerse a la vanguardia de un escenario de amenazas en evolución.

En general, las funciones principales de un equipo del SOC incluyen:

Director del SOC: dirige el equipo, monitorea todas las operaciones de seguridad e informa al CISO (director de Seguridad de la Información) de la organización.

Ingenieros de seguridad: crean y gestionan la arquitectura de seguridad de la organización. Gran parte de este trabajo implica evaluar, probar, recomendar, implementar y mantener herramientas y tecnologías de seguridad. Los ingenieros de seguridad también trabajan con equipos de desarrollo o DevOps/DevSecOps para cerciorarse de que la arquitectura de seguridad de la organización se incluya en los ciclos de desarrollo de aplicaciones.

Analistas de seguridad: también llamados investigadores de seguridad o encargados de responder a incidentes, los analistas de seguridad son esencialmente los primeros en responder a las amenazas o incidentes de ciberseguridad. Los analistas detectan, investigan y clasifican (priorizan) las amenazas; a continuación, identifican los hosts, endpoints y usuarios afectados. A continuación, adoptan las medidas adecuadas para mitigar y contener el impacto de la amenaza o el incidente. (En algunas organizaciones, los investigadores y los encargados de responder a incidentes son funciones separadas clasificadas como analistas de nivel 1 y 2, respectivamente).

Cazadores de amenazas: también llamados analistas expertos en seguridad o analistas del SOC, los cazadores de amenazas se especializan en detectar y contener amenazas avanzadas:búsqueda de nuevas amenazas o variantes de amenazas que logran pasar las defensas automatizadas.

El equipo del SOC puede incluir otros especialistas, según el tamaño de la organización o el tipo de industria. Las empresas más grandes pueden incluir un director de Respuesta a Incidentes, responsable de comunicar y coordinar la respuesta a incidentes. Y algunos SOC incluyen investigadores forenses, que se especializan en recuperar datos (pistas) de dispositivos dañados o comprometidos en un incidente de ciberseguridad.