Ciberseguridad empresarial

Un trabajo interno o externo: qué considerar antes de construir un Centro de Operaciones de Seguridad (SOC).

Existen diferentes maneras de obtener un Centro de Operaciones de Seguridad (SOC): puedes hacerlo dentro de tu empresa, a través de un proveedor externo o usando una mezcla de los dos sistemas. ¿Pero cuál es la mejor alternativa para tu negocio?

Compartir articulo

Si estás pensando en armar un Centro de Operaciones de Seguridad (Security Operations Center, o SOC) para tu empresa, tienes decisiones importantes por delante. Algunas cosas las puedes solucionar con antecedencia, pero otras exigen una reflexión más profunda. En este texto, te explicamos un poco sobre este proceso y resaltamos los posibles resultados de cada opción.

¿Cual es la diferencia entre los Centros y las Redes de operaciones de seguridad?

Antes de todo, es ideal entender bien las diferencias entre un SOC y una red de operaciones de seguridad (NOC), que es un sistema más tradicional. Las NOCs tiene como enfoque principal mantener el flujo de paquetes de datos que pasan por los canales digitales, encontrando y destruyendo cualquier bloqueo en el camino. Ya los SOCs también hacen la función de “fontaneros”, pero además aseguran que los paquetes correctos lleguen a sus respectivos lugares, haciendo una búsqueda permanente para encontrar posibles errores en ese sistema. Por ejemplo, una NOC se preocupa con niveles de latencia abajo de lo normal, mientras un SOC se fijaría en cuál es el endpoint no autorizado que tiene niveles elevados de acceso y que está usando demasiados recursos de red, causando la baja latencia.

Un SOC y una NOC también muestran diferentes respuestas al encontrarse con falsos positivos. Dentro de una NOC eso generalmente no sería visto como un problema, ya que su función sólo es alertar cuando una red está funcionando o no. Mientras que un SOC, en ese caso, mostraría que la infraestructura fue invadida.

¿Construir o subcontratar tu propio SOC?

La principal decisión a la hora de crear un SOC es elegir entre construir un sistema propio en tu empresa o subcontratar el servicio a un especialista. Los dos escenarios tienen diversas complejidades que marcan no solo la construcción del SOC como también sus resultados futuros. Puedes construir un SOC físico dentro de tu empresa o también utilizar un proveedor para subcontratar ese servicio, a lo que le llamamos SOC-as-a-Service, o SOCaaS.

Además de esas dos opciones, también existe una tercera alternativa que es usar un sistema de seguridad gestionado por un proveedor, algo que se llama MSSP. Algunos MSSPs proveen equipos que funcionan con una parte física en tu oficina, mientras otros gestionan sus SOCs remotamente, por medio de servicios en nube. Ese medio término puede ser una gran alternativa para dar tu primer paso en el área y así poder evaluar tus experiencias antes de elegir un sistema 100% de SOCaaS, principalmente cuando aún no tienes una completa comprensión sobre qué exactamente es lo que tienes que subcontratar.

Tener una MSSP puede ser una especie de “prueba de SOC” en versión beta, con solo parte del servicio siendo subcontratada y un feedback reducido sobre posibles problemas de seguridad, sin tener que subcontratar toda la operación del sistema desde el principio. O sea, un MSSP en una buena opción para ir aprendiendo sobre todo lo que necesitas hacer.

Mientras asimilas lo que es realmente importante para tu negocio, tienes la oportunidad de preguntarte: ¿qué servicios de seguridad necesito? ?Qué equipos tengo que monitorear y cómo mis proveedores deben interactuar con mis servidores, mi red y mis funcionarios? 

El origen de los proveedores SOCaaS

Hay un factor que hace la elección aún más complicada: servicios de SOCaaS no son conocidos exactamente por su consistencia, variando mucho en calidad dependiendo de su proveedor. Eso pasa porque cada empresa del sector tiene un origen distinto: mientras algunas empezaron como MSSPs, otras tenían servicios enfocados solo en la detección de amenazas o en la gestión de eventos y endpoint específicos. Otros proveedores de SOC empezaron sus operaciones como proveedores internos o subsidiarias de grandes compañías de tecnología o comunicaciones, como HP, IBM y Dell, vendiendo servicios de gestión de NOCs antes mismo de hacer parte del universo de los SOCs. En otros casos, consultores de seguridad y soluciones digitales también terminaron por desarrollar sus propios servicios semejantes a los SOCs.

El origen de esos servicios es relevantes porque crea una expectativa sobre las fortalezas de cada plataforma y las herramientas que cada proveedor utiliza, lo que también ayuda a diferenciarlos a la hora de elegir cuál contratar. Debes hacer una búsqueda y un estudio sobre los diferentes proveedores, justamente porque tratarse de un segmento altamente fragmentado del mercado. En EEUU, por ejemplo, según estudio de la empresa Gartner, los proveedores de MSSP más populares son IBM, AT&T/AlienVault, Atos, Dell Secureworks y DXC Technology. Aún así, ninguna de estas marcas detiene un porcentaje mayor que el 5% del mercado.

¿Cómo elegir un proveedor SOCaaS?

La primera definición es también la más difícil; ¿cuáles son tus demandas?. Después de definir eso, es posible finalmente pensar en una estrategia de acuerdo con tu presupuesto para así elegir tus prioridades.

Esa es una tarea difícil porque proveedores con sistemas en nube tienen la costumbre de tener una tabla de precios muy compleja, basada casi siempre en el volumen de uso. Y muchos de estos proveedores no revelan los detalles de sus cobros antes de cerrar un contrato o, al menos, un acuerdo de confidencialidad. Además, algunos de los proveedores de menor tamaño funcionan con pagos mensuales, basados en el número de servicios que la empresa utiliza.

Al analizar una serie de proveedores, es posible notar que los precios estimados tienen una variación absurda. Proveedores deben ser más transparentes sobre los costos de sus servicios. Por eso, al considerar la construcción de un Centro de Operaciones de Seguridad propio, vale la pena averiguar para saber cuál sería el costo de ese proyecto con un proveedor externo y solo después de eso ver si hace sentido para tu negocio invertir en un SOC físico.

Parte del problema de los precios es no saber exactamente cuántos servidores y endpoints (o cualquier sistema de protección) deberás proteger con tu SOC. Por eso, es importante ir de a poco, probando para ver cómo tu proveedor trabaja, cómo son sus reportes y cómo funciona la comunicación entre tu staff y el de tu proveedor en caso de que haya algún problema.

Definiendo qué servicios necesitas

Después de calcular el valor ideal para lo que necesitas, la próxima medida es entender cuales son los recursos, incluyendo personas y herramientas, que necesitas para cuidar de tu sistema SOC y de la seguridad de tu negocio. Tus empleados pueden no tener la formación necesaria para responder de manera adecuada en caso de incidentes, amenazas y problemas de operación, y eso puede interferir directamente a la hora de decidir entre construir tu propio SOC u optar por un servicio de SOCaaS.

Otro punto importante es entender qué tipo de cobertura tu negocio necesita. Si tienes un servicio global que está todo el tiempo online, necesitas supervisión 24/7 y funcionarios que estén disponibles full-time. Así, es recomendado que elijas a un proveedor que tenga múltiples estructuras de SOC en diferentes países, para asegurarte de que siempre habrá alguien, en alguna parte del mundo, cuidando tus redes internacionales. Ese tipo de estructura en más de una zona tiene un abordaje que también puede ayudarte a evidenciar posibles problemas de latencia y acceso a tu página.

Otra parte de la evaluación de recursos incluye entender quién será el responsable por el SOC subcontratado: ¿Cual es la formación necesaria para trabajar en una empresa como aquella? ¿El proveedor tiene un analista-jefe disponible para casos de emergencia? ¿Tu proveedor solo gestiona alertas o también hacer la tarea, al presentarte análisis de seguridad proactivos y recomendaciones para el futuro? Además, es importante definir qué tipo de controle esperar tener sobre tu seguridad: ¿Esperas recibir notificaciones casi inmediatas sobre cualquier amenaza a tu empresa? ¿Pretendes cambiar de opinión sobre invertir en un sector propio o sobre renovar tu infraestructura?

Ahí viene otro factor importante: la geografía. Donde será la base de tu equipo y de tu estructura de SOC? Si tu oficina está ubicada en una metrópolis, tal vez sea bueno contar con un proveedor de SOCaaS que tenga su sede secundaria en otra ciudad, caso alguna catástrofe natural, como un terremoto o inundación, pueda derrumbar la conexión de tu región.Y, finalmente, debes definir todos los componentes de tu SOC: gestión de seguridad, supervisión y detección de amenazas, entre otros. Features como análisis de log, gestión de vulnerabilidades y respuesta a incidentes pueden ser necesarios en algunos casos, entonces es importante calcular bien cómo vas a distribuir todos esos servicios dentro de tu sistema y tu presupuesto.

Mantente atento para señales de alerta

Es una buena idea pasar por un periodo de prueba antes de poner el sistema de SOC a funcionar por completo. Antes de elegir un proveedor, mantente atento a posibles señales que ayudan a saber si estás eligiendo lo ideal para tu negocio, como aparece en este estudio de 2019 sobre la eficiencia de los SOCs.

Ningún consumidor es igual

Mira si tu proveedor está alineado con tu ramo de trabajo, o sea, si tiene otros clientes del mismo porte, con shares de mercado similares o productos semejantes a los tuyos.

Incompatibilidad

Verifica si tu sistema de gestión y servicios es compatible con el modelo que tu SOC provee. Así no tendrás que cambiar el sistema de tu propia empresa.

Falta de visibilidad

Asegúrate que tengas visibilidad y control sobre las funciones y condiciones más esenciales para el funcionamiento de tu empresa.

Equipos frustrados

Averigua si los funcionarios de tu proveedor de seguridad tienen una rotación demasiado alta, bajos niveles de satisfacción o altos niveles de stress.

Falsos positivos

Mantente atento y verifica si tu SOC detecta demasiados casos de falsos positivos sin cerrarlos.

Cómo empezar

Con amenazas cada vez más frecuentes y peligrosas afectando compañías de todos los tamaños, este es el momento ideal para pensar si tu sistema actual de NOC es suficiente para tu negocio o si es hora de hacer un upgrade para un SOC.

“Establecer un SOC interno es un desafío para cualquier negocio, porque requiere inversiones significativas en conocimiento, procesos y tecnología, y justificar ese tipo de inversión suele ser una tarea difícil para todos los jefes de seguridad. De esa forma, subcontratar algunos servicios de un SOC puede ser una solución financieramente efectiva. Lo más importante es asegurar que el proveedor que elijas tenga toda la capacidad de atender a tus demandas”

Artem Karasev,

Gerente Senior de Productos de SOC de Kaspersky.

¡Suerte!

Crea tu propio Centro de Operaciones de Seguridad (SOC)

Descubre cómo empezar un SOC desde cero en este guía de SOCs de Kaspersky.

Sobre los autores

David Strom is an experienced computer industry journalist with a body of work that includes two computer networking books and running the US editions of Network Computing and Tom’s Hardware magazines. He currently curates the Inside Security newsletter and writes for CSOonline.com