Un centro de operaciones de seguridad de la información ( ISOC o SOC ) es una instalación donde los sistemas de información empresarial ( sitios web , aplicaciones , bases de datos , centros y servidores de datos , redes , escritorios y otros puntos finales) se monitorean, evalúan y defienden.
Un SOC está relacionado con las personas, los procesos y las tecnologías que brindan conciencia situacional a través de la detección, contención y remediación de amenazas de TI para administrar y mejorar la postura de seguridad de una organización. [1] Un SOC manejará, en nombre de una institución o empresa, cualquier incidente de TI amenazante y se asegurará de que se identifique, analice, comunique, investigue y notifique adecuadamente. El SOC también monitorea las aplicaciones para identificar un posible ciberataque o intrusión (evento) y determina si se trata de una amenaza maliciosa genuina (incidente) y si podría afectar el negocio.
Establecer y operar un SOC es costoso y difícil; Las organizaciones deberían necesitar una buena razón para hacerlo. Esto puede incluir:
Un centro de operaciones de seguridad (SOC) también puede denominarse centro de defensa de seguridad (SDC), centro de análisis de seguridad (SAC), centro de operaciones de seguridad de red (NSOC), [4] centro de inteligencia de seguridad, centro de seguridad cibernética, centro de defensa contra amenazas, centro de seguridad. Centro de Inteligencia y Operaciones (SIOC). En el gobierno federal canadiense, el término centro de protección de infraestructura (IPC) se utiliza para describir un SOC.
Los SOC generalmente se basan en un sistema de gestión de eventos e información de seguridad (SIEM) que agrega y correlaciona datos de fuentes de seguridad, como sistemas de evaluación de vulnerabilidades y descubrimiento de redes; sistemas de gobernanza, riesgo y cumplimiento (GRC); sistemas de evaluación y seguimiento de sitios web, escáneres de aplicaciones y bases de datos; herramientas de prueba de penetración ; sistemas de detección de intrusos (IDS); sistema de prevención de intrusiones (IPS); sistemas de gestión de registros; análisis del comportamiento de la red e inteligencia sobre amenazas cibernéticas ; sistema inalámbrico de prevención de intrusiones; firewalls, antivirus empresarial y gestión unificada de amenazas (UTM). La tecnología SIEM crea un "panel de cristal único" para que los analistas de seguridad supervisen la empresa.
El personal de SOC incluye analistas, ingenieros de seguridad y gerentes de SOC que deben ser profesionales experimentados en TI y redes. Por lo general, están capacitados en ingeniería informática , criptografía , ingeniería de redes o ciencias de la computación y pueden tener credenciales como CISSP o GIAC .
Los planes de dotación de personal del SOC varían desde ocho horas al día, cinco días a la semana (8x5) hasta veinticuatro horas al día, siete días a la semana (24x7). Los turnos deben incluir al menos dos analistas y las responsabilidades deben estar claramente definidas.
Las grandes organizaciones y los gobiernos pueden operar más de un SOC para gestionar diferentes grupos de tecnologías de la información y las comunicaciones o para proporcionar redundancia en caso de que un sitio no esté disponible. El trabajo de SOC se puede subcontratar, por ejemplo, mediante el uso de un servicio de seguridad gestionado . El término SOC fue utilizado tradicionalmente por gobiernos y proveedores de seguridad informática gestionada, aunque un número creciente de grandes corporaciones y otras organizaciones también tienen dichos centros.
El SOC y el centro de operaciones de red (NOC) se complementan y trabajan en conjunto. El NOC suele ser responsable de monitorear y mantener la infraestructura general de la red, y su función principal es garantizar un servicio de red ininterrumpido. El SOC es responsable de proteger las redes, así como los sitios web, aplicaciones, bases de datos, servidores y centros de datos, y otras tecnologías. Asimismo, el SOC y el centro de operaciones de seguridad física se coordinan y trabajan en conjunto. El SOC físico es una instalación en grandes organizaciones donde el personal de seguridad monitorea y controla a los oficiales/guardias de seguridad, alarmas, CCTV, acceso físico, iluminación, barreras para vehículos, etc.
No todos los SOC tienen el mismo papel. Hay tres áreas de enfoque diferentes en las que un SOC puede estar activo y que pueden combinarse en cualquier combinación:
En algunos casos, el SOC, el NOC o el SOC físico pueden estar alojados en la misma instalación o combinarse organizativamente, especialmente si la atención se centra en tareas operativas . Si el SOC se origina en una organización CERT , entonces la atención suele centrarse más en el seguimiento y el control , en cuyo caso el SOC opera independientemente del NOC para mantener la separación de funciones . Normalmente, las organizaciones más grandes mantienen un SOC separado para garantizar el enfoque y la experiencia. Luego, el SOC colabora estrechamente con las operaciones de red y las operaciones de seguridad física.
Los SOC suelen estar bien protegidos con seguridad física, electrónica, informática y personal. Los centros suelen estar diseñados con escritorios frente a una pared de vídeo, que muestra estados, eventos y alarmas importantes; incidentes en curso; A veces se utiliza una esquina de la pared para mostrar un canal de televisión de noticias o meteorológico, ya que esto puede mantener al personal del SOC al tanto de los acontecimientos actuales que pueden afectar los sistemas de información. Un ingeniero de seguridad o un analista de seguridad pueden tener varios monitores de computadora en su escritorio.
Los procesos y procedimientos dentro de un SOC detallarán claramente las funciones y responsabilidades, así como los procedimientos de seguimiento. Estos procesos incluyen procesos comerciales, tecnológicos, operativos y analíticos. Establecen los pasos que se deben tomar en caso de una alerta o infracción, incluidos procedimientos de escalada, procedimientos de presentación de informes y procedimientos de respuesta a infracciones.
Se puede configurar un centro de operaciones de seguridad en la nube (CloudSOC) para monitorear el uso del servicio en la nube dentro de una empresa (y mantener bajo control el problema de la TI en la sombra ), o analizar y auditar la infraestructura de TI y los registros de aplicaciones a través de tecnologías SIEM y plataformas de datos de máquinas para proporcionar alertas. y detalles de actividades sospechosas.
Un Smart SOC (Centro de Operaciones de Seguridad) es una solución de ciberseguridad integral e independiente de la tecnología que utiliza tecnología y herramientas de vanguardia, talento humano altamente capacitado y experimentado (compuesto por recolectores de ciberinteligencia, analistas y expertos en seguridad) y principios proactivos de ciberguerra para prevenir y neutralizar amenazas contra la infraestructura digital, los activos y los datos de una organización.
Además, existen muchos otros términos de referencia común relacionados con el título original "ISOC", incluidos los siguientes: