Qué es un centro de operaciones de seguridad (SOC)?
Optimización de un modelo de operaciones de seguridad
Mientras que el tratamiento de los incidentes monopoliza gran parte de los recursos del SOC, el director de seguridad de la información (CISO) es responsable del panorama más amplio del riesgo y el cumplimiento. Para superar los silos operativos y de datos entre estas funciones, una estrategia eficaz requiere una arquitectura de seguridad adaptable que permita a las organizaciones promulgar operaciones de seguridad optimizadas. Este enfoque aumenta la eficiencia a través de la integración, la automatización y la orquestación, y reduce la cantidad de horas de trabajo necesarias al tiempo que mejora su postura de gestión de la seguridad de la información.
Un modelo de operaciones de seguridad optimizado requiere la adopción de un marco de seguridad que facilite la integración de las soluciones de seguridad y la inteligencia sobre amenazas en los procesos cotidianos. Las herramientas SOC, como los cuadros de mando centralizados y procesables, ayudan a integrar los datos de las amenazas en los cuadros de mando e informes de supervisión de la seguridad para mantener a las operaciones y a la dirección al tanto de la evolución de los acontecimientos y las actividades. Al vincular la gestión de las amenazas con otros sistemas para la gestión del riesgo y el cumplimiento de la normativa, los equipos del SOC pueden gestionar mejor la postura de riesgo general. Estas configuraciones admiten una visibilidad continua en todos los sistemas y dominios y pueden utilizar la inteligencia procesable para impulsar una mayor precisión y coherencia en las operaciones de seguridad. Las funciones centralizadas reducen la carga del intercambio manual de datos, la auditoría y la elaboración de informes a lo largo de todo el proceso.
La puesta en marcha de la gestión de amenazas debe comenzar con una evaluación reflexiva. Además de las defensas, una organización debe evaluar los procesos y las políticas. ¿Dónde es fuerte la organización? ¿Cuáles son las lagunas? ¿Cuál es la postura de riesgo? ¿Qué datos se recopilan y cuántos de ellos se utilizan?
Si bien cada organización es diferente, ciertas capacidades básicas y las mejores prácticas de operaciones de seguridad representan el cuidado debido hoy en día. Un proceso razonable de gestión de amenazas comienza con un plan, e incluye el descubrimiento (incluyendo el cálculo de la línea de base para promover la detección de anomalías, la normalización y la correlación), el triaje (basado en el riesgo y el valor de los activos), el análisis (incluyendo la contextualización) y el alcance (incluyendo la investigación iterativa). Los procesos de gestión de amenazas alimentan los casos priorizados y caracterizados en los programas de respuesta a incidentes. Un plan de respuesta bien definido es absolutamente clave para contener una amenaza o minimizar los daños de una violación de datos.
Figura 1. Los planes de gestión de amenazas integran y estructuran muchos procesos a través de las operaciones de seguridad y de TI.
Una visibilidad y gestión de amenazas eficaz se basará en muchas fuentes de datos, pero puede ser difícil clasificar la información útil y oportuna. Los datos más valiosos han demostrado ser los datos de eventos producidos por las contramedidas y los activos de TI, los indicadores de compromiso (IoC) producidos internamente (a través del análisis de malware) y externamente (a través de las fuentes de inteligencia de amenazas), y los datos del sistema disponibles de los sensores (por ejemplo, el host, la red, la base de datos, etc.).
Fuentes de datos como éstas no son sólo una entrada para la gestión de amenazas. Añaden contexto y hacen que la información sea valiosa y procesable para una evaluación más precisa, exacta y rápida a lo largo del esfuerzo iterativo e interactivo de gestión de amenazas. El acceso y el uso eficaz de los datos adecuados para apoyar los planes y procedimientos es una medida de la madurez de la organización. Un escenario «maduro» incluiría un flujo de trabajo que entrega la información correcta o permite la acción directa dentro de las consolas operativas y a través de los productos. Este flujo integra las operaciones de TI y los equipos y herramientas de seguridad en la respuesta a incidentes cuando hay un evento crítico.
Todas estas evaluaciones ayudarán a priorizar dónde se necesita un aumento de la inversión o una reducción de la fricción para que la implementación de la gestión de amenazas se ajuste a los objetivos. Los consultores y las pruebas de penetración pueden ayudar a comparar la estrategia y la madurez de la organización y comprobar la salud de la respuesta de seguridad frente a los ataques para obtener una medida actual de la capacidad de una organización para detectar y contener eventos maliciosos. Al compararse con empresas similares, esta revisión vetada puede ayudar a justificar y explicar la necesidad de reorientar o invertir en recursos de operaciones de ciberseguridad.