¿Qué es un Security Operation Center (SOC)?

Publicado por adminkenner en

El Centro de Operaciones de Seguridad (SOC) se refiere al equipo responsable de garantizar la seguridad de la información.

El SOC como plataforma permite la supervisión y administración de la seguridad del sistema de información a través de herramientas de recogida, correlación de eventos e intervención remota. El SIEM (Security Information Event Management) es la principal herramienta del SOC ya que permite gestionar los eventos.

En un momento en el que los usuarios son cada vez más móviles y las redes periféricas están migrando a la nube, los recursos de TI están más expuestos a las amenazas (malware, ransomware, phishing, ataque DDOS, ataque de fuerza bruta…). Las empresas necesitan controles de seguridad coherentes que cubran tanto los entornos Cloud como On-Premise. Estos controles deben tener en cuenta el contexto de identidad para anticipar, prevenir, detectar y reaccionar mejor ante las amenazas, con el objetivo de hacer su información más segura.

Objetivo:

Detectar, analizar y corregir incidentes de ciberseguridad utilizando soluciones tecnológicas y enfoques diferentes.

Supervisar y analizar la actividad en redes, servidores, terminales, bases de datos, aplicaciones, sitios web y otros sistemas en busca de señales débiles o comportamientos anormales que puedan indicar un incidente de seguridad o una actividad que comprometan los activos digitales.

¿Cómo funciona un SOC?

El SOC define claramente una estrategia que integre los objetivos específicos de la empresa de los distintos departamentos. Una vez desarrollada la estrategia, se establece la infraestructura necesaria para apoyarla. Una infraestructura SOC típica incluye cortafuegos, IPS/IDS, soluciones de detección de brechas, sondas y un sistema de gestión de eventos e información de seguridad (SIEM).

  • Operación, monitorización y actualización de dispositivos de defensa perimetrales.
  • Detección, respuesta coordinada, investigación de ciberataques y ciberamenazas y resolución de incidentes de seguridad.
  • Análisis de vulnerabilidades de aplicaciones y servicios.

¿Por qué implementar un SOC?

La principal ventaja de disponer de un centro de operaciones de seguridad es la mejora de la detección de incidentes de ciberseguridad mediante la supervisión y el análisis continuos de la actividad de los datos. Sin embargo, la creación y operación de un SOC es complicada y costosa. Las empresas los establecen por varias razones, tales como:

  • Proteger los datos confidenciales
  • Cumplir con las normas de la Industria, como PCI DSS
  • Cumplir con las normas gubernamentales como la circular 0052, ley 1581 de 2012, GPG53, CESG entre otras.