Un centro de operaciones de seguridad de la información ( ISOC o SOC ) es una instalación donde se monitorean, evalúan y defienden los sistemas de información empresarial ( sitios web , aplicaciones , bases de datos , centros de datos y servidores , redes , computadoras de escritorio y otros puntos finales).
Un SOC está relacionado con las personas, los procesos y las tecnologías que brindan conocimiento de la situación a través de la detección, contención y remediación de amenazas de TI con el fin de gestionar y mejorar la postura de seguridad de una organización. [1] Un SOC se ocupará, en nombre de una institución o empresa, de cualquier incidente de TI amenazante y se asegurará de que se identifique, analice, comunique, investigue y notifique adecuadamente. El SOC también monitorea las aplicaciones para identificar un posible ciberataque o intrusión (evento) y determina si se trata de una amenaza maliciosa genuina (incidente) y si podría afectar al negocio.
Establecer y operar un SOC es costoso y difícil; las organizaciones deberían tener una buena razón para hacerlo. Esto puede incluir:
Un centro de operaciones de seguridad (SOC) también puede denominarse centro de defensa de seguridad (SDC), centro de análisis de seguridad (SAC), centro de operaciones de seguridad de red (NSOC), [4] centro de inteligencia de seguridad, centro de seguridad cibernética, centro de defensa contra amenazas, centro de operaciones e inteligencia de seguridad (SIOC). En el Gobierno Federal de Canadá, el término centro de protección de infraestructura (IPC) se utiliza para describir un SOC.
Los SOC suelen basarse en un sistema de gestión de eventos e información de seguridad (SIEM) que agrega y correlaciona datos de fuentes de seguridad como sistemas de detección de redes y evaluación de vulnerabilidades ; sistemas de gobernanza, riesgo y cumplimiento (GRC); sistemas de evaluación y monitoreo de sitios web, escáneres de aplicaciones y bases de datos; herramientas de prueba de penetración ; sistemas de detección de intrusiones (IDS); sistemas de prevención de intrusiones (IPS); sistemas de administración de registros; análisis de comportamiento de red e inteligencia de amenazas cibernéticas ; sistema de prevención de intrusiones inalámbricas; firewalls, antivirus empresariales y gestión unificada de amenazas (UTM). La tecnología SIEM crea un "panel único" para que los analistas de seguridad monitoreen la empresa.
El personal del SOC incluye analistas, ingenieros de seguridad y administradores del SOC que deben ser profesionales experimentados en TI y redes. Por lo general, están capacitados en ingeniería informática , criptografía , ingeniería de redes o ciencias de la computación y pueden tener credenciales como CISSP o GIAC .
Los planes de dotación de personal del SOC varían de ocho horas al día, cinco días a la semana (8x5) a veinticuatro horas al día, siete días a la semana (24x7). Los turnos deben incluir al menos dos analistas y las responsabilidades deben estar claramente definidas.
Las grandes organizaciones y los gobiernos pueden operar más de un SOC para administrar diferentes grupos de tecnología de la información y la comunicación o para proporcionar redundancia en caso de que un sitio no esté disponible. El trabajo del SOC se puede subcontratar, por ejemplo, mediante el uso de un servicio de seguridad gestionado . El término SOC lo utilizaban tradicionalmente los gobiernos y los proveedores de seguridad informática gestionada, aunque un número cada vez mayor de grandes corporaciones y otras organizaciones también cuentan con dichos centros.
El SOC y el centro de operaciones de red (NOC) se complementan y trabajan en conjunto. El NOC suele ser responsable de supervisar y mantener la infraestructura general de la red, y su función principal es garantizar un servicio de red ininterrumpido. El SOC es responsable de proteger las redes, así como los sitios web, las aplicaciones, las bases de datos, los servidores y los centros de datos, y otras tecnologías. Asimismo, el SOC y el centro de operaciones de seguridad física se coordinan y trabajan juntos. El SOC físico es una instalación en grandes organizaciones donde el personal de seguridad supervisa y controla a los oficiales/guardias de seguridad, las alarmas, el CCTV, el acceso físico, la iluminación, las barreras para vehículos, etc.
No todos los SOC tienen el mismo papel. Hay tres áreas de enfoque diferentes en las que un SOC puede estar activo y que pueden combinarse de cualquier forma:
En algunos casos, el SOC, el NOC o el SOC físico pueden estar alojados en la misma instalación o combinados organizativamente, especialmente si el enfoque está en tareas operativas . Si el SOC se origina en una organización CERT , entonces el enfoque suele estar más en el monitoreo y control , en cuyo caso el SOC opera independientemente del NOC para mantener la separación de funciones . Por lo general, las organizaciones más grandes mantienen un SOC separado para garantizar el enfoque y la experiencia. El SOC luego colabora estrechamente con las operaciones de red y las operaciones de seguridad física.
Los SOC suelen estar bien protegidos con seguridad física, electrónica, informática y personal. Los centros suelen estar dispuestos con escritorios frente a una pared de vídeo, que muestra estados, eventos y alarmas importantes, así como incidentes en curso; a veces se utiliza una esquina de la pared para mostrar un canal de televisión de noticias o del tiempo, ya que esto puede mantener al personal del SOC al tanto de los eventos actuales que pueden afectar a los sistemas de información. Un ingeniero de seguridad o un analista de seguridad puede tener varios monitores de computadora en su escritorio.
Los procesos y procedimientos dentro de un SOC detallarán claramente las funciones y responsabilidades, así como los procedimientos de monitoreo. Estos procesos incluyen procesos comerciales, tecnológicos, operativos y analíticos. Establecen qué pasos se deben tomar en caso de una alerta o infracción, incluidos los procedimientos de escalamiento, los procedimientos de informe y los procedimientos de respuesta a las infracciones.
Se puede configurar un centro de operaciones de seguridad en la nube (CloudSOC) para monitorear el uso de servicios en la nube dentro de una empresa (y mantener el problema de Shadow IT bajo control) o analizar y auditar la infraestructura de TI y los registros de aplicaciones a través de tecnologías SIEM y plataformas de datos de máquinas para proporcionar alertas y detalles de actividad sospechosa.
Un SOC (Centro de Operaciones de Seguridad) inteligente es una solución de ciberseguridad integral e independiente de la tecnología que utiliza tecnología y herramientas de vanguardia, talento humano altamente calificado y experimentado (compuesto por recolectores de inteligencia cibernética, analistas y expertos en seguridad) y principios proactivos de ciberguerra para prevenir y neutralizar amenazas contra la infraestructura digital, los activos y los datos de una organización.
Además, hay muchos otros términos comúnmente referenciados relacionados con el título original "ISOC", incluidos los siguientes: