Los Centros de Operaciones de Ciberseguridad (SOC,
por sus siglas en inglés) son organizaciones creadas dentro de las
empresas para responder a Riesgos Digitales e incidentes de
Ciberseguridad. La implantación de estos centros gana
cada vez más importancia en organizaciones de Latinoamérica y Europa.
En España, por ejemplo, la empresa Telefónica ha puesto en marcha
recientemente un SOC para vigilar las ciberamenazas a las que se
enfrenta la compañía. Por otro lado, el Gobierno español también aprobó
la implantación de un SOC en la Administración General del Estado. El
objetivo en ambos casos es aumentar la capacidad de vigilancia y
detección de amenazas, y mejorar la respuesta ante cualquier
ciberataque.
Los Centro de Operaciones de Ciberseguridad pueden
ser externos o internos en la empresa. Entre sus principales funciones,
se pueden distinguir varios servicios esenciales para evitar Riesgos
Digitales.
1. Servicio de Threat Intelligence
La inteligencia de amenazas proporciona un enfoque integral para
investigar, analizar y validar las notificaciones de amenazas. El
equipo de Threat Intelligence tendrá la función de
estudiar diferentes datos y patrones. A partir de ellos, podrá
determinar si alguna estructura de la empresa puede verse afectada por
algún malware, y actuar en consecuencia. Es un concepto que debe
implicar a todo el Centro de Operaciones de Ciberseguridad.
2. SIEM Intelligence & Alerting
Esta función de Ciberseguridad se centra en la
monitorización de la infraestructura tecnológica de la organización.
Las empresas actuales tienen muchos equipos, softwares y redes
tecnológicas. Para protegerlas, la SIEM (Secuiry Information and Event
Management) actúa como una unidad centralizada que monitoriza todas esas
herramientas tecnológicas. De esta forma, también centraliza las
alertas de vulnerabilidades o amenazas de los distintos dispositivos.
3. Monitoring & Triage en los SOC
Este servicio o función de los SOC permite determinar si se ha producido un incidente de Ciberseguridad
y, de ser así, el tipo, alcance y la magnitud del problema. Es decir,
se encarga de filtrar las alertas que emite la SIEM, para determinar el
alcance de las amenazas o Riesgos Digitales. De esta forma, también se
pueden detectar falsos positivos, de alertas que no son realmente
significativas de incidentes de Ciberseguridad.
4. Incident Response
El equipo de respuesta a incidentes se dedica a responder a incidentes de seguridad
de manera sistemática. De este modo, permite minimizar la pérdida o el
robo de información y la interrupción de los servicios, reduciendo así
el impacto comercial de un ataque de Ciberseguridad.
5. Threat Hunting
Es una función que están incorporando muchas empresas en la
actualidad. Consiste en realizar búsquedas de forma proactiva e
iterativa en el entorno tecnológico de una organización para detectar y
aislar amenazas de seguridad existentes que han evadido las medidas de
seguridad implantadas. Se trata así de una labor de investigación, para
detectar las amenazas que se han saltado todas las barreras de seguridad
que tiene la empresa. Es un servicio importante, puesto que las
ciberamenazas avanzan y se sofistican constantemente.
6. Forensics o Análisis Forenses
Los Centros de Operaciones de Ciberseguridad no sólo detectan y
mitigan los incidentes, sino que además tratan de prevenirlos. El
equipo de forenses digitales se encarga así de analizar
por qué se ha producido un incidente de Ciberseguridad. Así podrá
definir, por ejemplo, por dónde ha entrado un malware, cuándo y por qué
ha sucedido ese problema.
7. Purple Team
El purple team asegura y maximiza la efectividad de las capacidades
de respuesta y detección de incidentes de un SOC. Además, ayuda a
mejorar la madurez general de la empresa en términos de Ciberseguridad.
Fuente: www.ealde.es
No hay comentarios:
Publicar un comentario