Si est\u00e1s pensando en armar un Centro de Operaciones de Seguridad (Security Operations Center, o SOC) para tu empresa, tienes decisiones importantes por delante. Algunas cosas las puedes solucionar con antecedencia, pero otras exigen una reflexi\u00f3n m\u00e1s profunda. En este texto, te explicamos un poco sobre este proceso y resaltamos los posibles resultados de cada opci\u00f3n.<\/p>\n
Antes de todo, es ideal entender bien las diferencias entre un SOC y una red de operaciones de seguridad (NOC), que es un sistema m\u00e1s tradicional. Las NOCs tiene como enfoque principal mantener el flujo de paquetes de datos que pasan por los canales digitales, encontrando y destruyendo cualquier bloqueo en el camino. Ya los SOCs tambi\u00e9n hacen la funci\u00f3n de “fontaneros”, pero adem\u00e1s aseguran que los paquetes correctos lleguen a sus respectivos lugares, haciendo una b\u00fasqueda permanente para encontrar posibles errores en ese sistema. Por ejemplo, una NOC se preocupa con niveles de latencia abajo de lo normal, mientras un SOC se fijar\u00eda en cu\u00e1l es el endpoint no autorizado que tiene niveles elevados de acceso y que est\u00e1 usando demasiados recursos de red, causando la baja latencia.<\/p>\n
Un SOC y una NOC tambi\u00e9n muestran diferentes respuestas al encontrarse con falsos positivos. Dentro de una NOC eso generalmente no ser\u00eda visto como un problema, ya que su funci\u00f3n s\u00f3lo es alertar cuando una red est\u00e1 funcionando o no. Mientras que un SOC, en ese caso, mostrar\u00eda que la infraestructura fue invadida.<\/p>\n
La principal decisi\u00f3n a la hora de crear un SOC es elegir entre construir un sistema propio en tu empresa o subcontratar el servicio a un especialista. Los dos escenarios tienen diversas complejidades que marcan no solo la construcci\u00f3n del SOC como tambi\u00e9n sus resultados futuros. Puedes construir un SOC f\u00edsico dentro de tu empresa o tambi\u00e9n utilizar un proveedor para subcontratar ese servicio, a lo que le llamamos SOC-as-a-Service, o SOCaaS.<\/p>\n
Adem\u00e1s de esas dos opciones, tambi\u00e9n existe una tercera alternativa que es usar un sistema de seguridad gestionado por un proveedor, algo que se llama MSSP. Algunos MSSPs proveen equipos que funcionan con una parte f\u00edsica en tu oficina, mientras otros gestionan sus SOCs remotamente, por medio de servicios en nube. Ese medio t\u00e9rmino puede ser una gran alternativa para dar tu primer paso en el \u00e1rea y as\u00ed poder evaluar tus experiencias antes de elegir un sistema 100% de SOCaaS, principalmente cuando a\u00fan no tienes una completa comprensi\u00f3n sobre qu\u00e9 exactamente es lo que tienes que subcontratar.<\/p>\n
Tener una MSSP puede ser una especie de “prueba de SOC” en versi\u00f3n beta, con solo parte del servicio siendo subcontratada y un feedback reducido sobre posibles problemas de seguridad, sin tener que subcontratar toda la operaci\u00f3n del sistema desde el principio. O sea, un MSSP en una buena opci\u00f3n para ir aprendiendo sobre todo lo que necesitas hacer.<\/p>\n
Mientras asimilas lo que es realmente importante para tu negocio, tienes la oportunidad de preguntarte: \u00bfqu\u00e9 servicios de seguridad necesito? ?Qu\u00e9 equipos tengo que monitorear y c\u00f3mo mis proveedores deben interactuar con mis servidores, mi red y mis funcionarios?\u00a0<\/strong><\/p><\/blockquote>\n
El origen de los proveedores SOCaaS<\/h3>\n
Hay un factor que hace la elecci\u00f3n a\u00fan m\u00e1s complicada: servicios de SOCaaS no son conocidos exactamente por su consistencia, variando mucho en calidad dependiendo de su proveedor. Eso pasa porque cada empresa del sector tiene un origen distinto: mientras algunas empezaron como MSSPs, otras ten\u00edan servicios enfocados solo en la detecci\u00f3n de amenazas o en la gesti\u00f3n de eventos y endpoint espec\u00edficos. Otros proveedores de SOC empezaron sus operaciones como proveedores internos o subsidiarias de grandes compa\u00f1\u00edas de tecnolog\u00eda o comunicaciones, como HP, IBM y Dell, vendiendo servicios de gesti\u00f3n de NOCs antes mismo de hacer parte del universo de los SOCs. En otros casos, consultores de seguridad y soluciones digitales tambi\u00e9n terminaron por desarrollar sus propios servicios semejantes a los SOCs.<\/p>\n
El origen de esos servicios es relevantes porque crea una expectativa sobre las fortalezas de cada plataforma y las herramientas que cada proveedor utiliza, lo que tambi\u00e9n ayuda a diferenciarlos a la hora de elegir cu\u00e1l contratar. Debes hacer una b\u00fasqueda y un estudio sobre los diferentes proveedores, justamente porque tratarse de un segmento altamente fragmentado del mercado. En EEUU, por ejemplo, seg\u00fan estudio de la empresa Gartner, los proveedores de MSSP m\u00e1s populares son IBM, AT&T\/AlienVault, Atos, Dell Secureworks y DXC Technology. A\u00fan as\u00ed, ninguna de estas marcas detiene un porcentaje mayor que el 5% del mercado.<\/p>\n
\u00bfC\u00f3mo elegir un proveedor SOCaaS?<\/h2>\n
La primera definici\u00f3n es tambi\u00e9n la m\u00e1s dif\u00edcil; \u00bfcu\u00e1les son tus demandas?. Despu\u00e9s de definir eso, es posible finalmente pensar en una estrategia de acuerdo con tu presupuesto para as\u00ed elegir tus prioridades.<\/p>\n
Esa es una tarea dif\u00edcil porque proveedores con sistemas en nube tienen la costumbre de tener una tabla de precios muy compleja, basada casi siempre en el volumen de uso. Y muchos de estos proveedores no revelan los detalles de sus cobros antes de cerrar un contrato o, al menos, un acuerdo de confidencialidad. Adem\u00e1s, algunos de los proveedores de menor tama\u00f1o funcionan con pagos mensuales, basados en el n\u00famero de servicios que la empresa utiliza.<\/p>\n
Al analizar una serie de proveedores, es posible notar que los precios estimados tienen una variaci\u00f3n absurda. Proveedores deben ser m\u00e1s transparentes sobre los costos de sus servicios. Por eso, al considerar la construcci\u00f3n de un Centro de Operaciones de Seguridad propio, vale la pena averiguar para saber cu\u00e1l ser\u00eda el costo de ese proyecto con un proveedor externo y solo despu\u00e9s de eso ver si hace sentido para tu negocio invertir en un SOC f\u00edsico.<\/p>\n
Parte del problema de los precios es no saber exactamente cu\u00e1ntos servidores y endpoints (o cualquier sistema de protecci\u00f3n) deber\u00e1s proteger con tu SOC. Por eso, es importante ir de a poco, probando para ver c\u00f3mo tu proveedor trabaja, c\u00f3mo son sus reportes y c\u00f3mo funciona la comunicaci\u00f3n entre tu staff y el de tu proveedor en caso de que haya alg\u00fan problema.<\/p>\n
Definiendo qu\u00e9 servicios necesitas<\/h3>\n
Despu\u00e9s de calcular el valor ideal para lo que necesitas, la pr\u00f3xima medida es entender cuales son los recursos, incluyendo personas y herramientas, que necesitas para cuidar de tu sistema SOC y de la seguridad de tu negocio. Tus empleados pueden no tener la formaci\u00f3n necesaria para responder de manera adecuada en caso de incidentes, amenazas y problemas de operaci\u00f3n, y eso puede interferir directamente a la hora de decidir entre construir tu propio SOC u optar por un servicio de SOCaaS.<\/p>\n
Otro punto importante es entender qu\u00e9 tipo de cobertura tu negocio necesita. Si tienes un servicio global que est\u00e1 todo el tiempo online, necesitas supervisi\u00f3n 24\/7 y funcionarios que est\u00e9n disponibles full-time. As\u00ed, es recomendado que elijas a un proveedor que tenga m\u00faltiples estructuras de SOC en diferentes pa\u00edses, para asegurarte de que siempre habr\u00e1 alguien, en alguna parte del mundo, cuidando tus redes internacionales. Ese tipo de estructura en m\u00e1s de una zona tiene un abordaje que tambi\u00e9n puede ayudarte a evidenciar posibles problemas de latencia y acceso a tu p\u00e1gina.<\/p>\n
Otra parte de la evaluaci\u00f3n de recursos incluye entender qui\u00e9n ser\u00e1 el responsable por el SOC subcontratado: \u00bfCual es la formaci\u00f3n necesaria para trabajar en una empresa como aquella? \u00bfEl proveedor tiene un analista-jefe disponible para casos de emergencia? \u00bfTu proveedor solo gestiona alertas o tambi\u00e9n hacer la tarea, al presentarte an\u00e1lisis de seguridad proactivos y recomendaciones para el futuro? Adem\u00e1s, es importante definir qu\u00e9 tipo de controle esperar tener sobre tu seguridad: \u00bfEsperas recibir notificaciones casi inmediatas sobre cualquier amenaza a tu empresa? \u00bfPretendes cambiar de opini\u00f3n sobre invertir en un sector propio o sobre renovar tu infraestructura?<\/p>\n
Ah\u00ed viene otro factor importante: la geograf\u00eda. Donde ser\u00e1 la base de tu equipo y de tu estructura de SOC? Si tu oficina est\u00e1 ubicada en una metr\u00f3polis, tal vez sea bueno contar con un proveedor de SOCaaS que tenga su sede secundaria en otra ciudad, caso alguna cat\u00e1strofe natural, como un terremoto o inundaci\u00f3n, pueda derrumbar la conexi\u00f3n de tu regi\u00f3n.Y, finalmente, debes definir todos los componentes de tu SOC: gesti\u00f3n de seguridad, supervisi\u00f3n y detecci\u00f3n de amenazas, entre otros. Features como an\u00e1lisis de log, gesti\u00f3n de vulnerabilidades y respuesta a incidentes pueden ser necesarios en algunos casos, entonces es importante calcular bien c\u00f3mo vas a distribuir todos esos servicios dentro de tu sistema y tu presupuesto.<\/p>\n
Mantente atento para se\u00f1ales de alerta<\/h2>\n
Es una buena idea pasar por un periodo de prueba antes de poner el sistema de SOC a funcionar por completo. Antes de elegir un proveedor, mantente atento a posibles se\u00f1ales que ayudan a saber si est\u00e1s eligiendo lo ideal para tu negocio, como aparece en este estudio de 2019 sobre la eficiencia de los SOCs.<\/p>\n
Ning\u00fan consumidor es igual<\/h3>\n
Mira si tu proveedor est\u00e1 alineado con tu ramo de trabajo, o sea, si tiene otros clientes del mismo porte, con shares de mercado similares o productos semejantes a los tuyos.<\/p>\n
Incompatibilidad<\/h3>\n
Verifica si tu sistema de gesti\u00f3n y servicios es compatible con el modelo que tu SOC provee. As\u00ed no tendr\u00e1s que cambiar el sistema de tu propia empresa.<\/p>\n
Falta de visibilidad<\/h3>\n
Aseg\u00farate que tengas visibilidad y control sobre las funciones y condiciones m\u00e1s esenciales para el funcionamiento de tu empresa.<\/p>\n
Equipos frustrados<\/h3>\n
Averigua si los funcionarios de tu proveedor de seguridad tienen una rotaci\u00f3n demasiado alta, bajos niveles de satisfacci\u00f3n o altos niveles de stress.<\/p>\n
Falsos positivos<\/h3>\n
Mantente atento y verifica si tu SOC detecta demasiados casos de falsos positivos sin cerrarlos.<\/p>\n
C\u00f3mo empezar<\/h2>\n
Con amenazas cada vez m\u00e1s frecuentes y peligrosas afectando compa\u00f1\u00edas de todos los tama\u00f1os, este es el momento ideal para pensar si tu sistema actual de NOC es suficiente para tu negocio o si es hora de hacer un upgrade para un SOC.<\/p>\n
“Establecer un SOC interno es un desaf\u00edo para cualquier negocio, porque requiere inversiones significativas en conocimiento, procesos y tecnolog\u00eda, y justificar ese tipo de inversi\u00f3n suele ser una tarea dif\u00edcil para todos los jefes de seguridad. De esa forma, subcontratar algunos servicios de un SOC puede ser una soluci\u00f3n financieramente efectiva. Lo m\u00e1s importante es asegurar que el proveedor que elijas tenga toda la capacidad de atender a tus demandas” <\/p>\n
Artem Karasev, <\/strong><\/p>
Gerente Senior de Productos de SOC de Kaspersky.<\/p><\/cite><\/blockquote>\n
\u00a1Suerte!<\/p>\n","protected":false},"excerpt":{"rendered":"
Existen diferentes maneras de obtener un Centro de Operaciones de Seguridad (SOC): puedes hacerlo dentro de tu empresa, a trav\u00e9s de un proveedor externo o usando una mezcla de los dos sistemas. \u00bfPero cu\u00e1l es la mejor alternativa para tu negocio? <\/p>\n","protected":false},"author":2517,"featured_media":20350,"template":"","coauthors":[4135],"class_list":{"0":"post-20297","1":"emagazine","2":"type-emagazine","3":"status-publish","4":"has-post-thumbnail","6":"emagazine-category-ciberseguridad-empresarial","7":"emagazine-category-infraestructura-de-ti","8":"emagazine-tag-security-operation-center"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/secure-futures-magazine\/inhouse-outsource-soc\/20297\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/secure-futures-magazine\/inhouse-outsource-soc\/21736\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/secure-futures-magazine\/inhouse-outsource-soc\/32612\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/secure-futures-magazine\/inhouse-outsource-soc\/16163\/"}],"acf":[],"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/emagazine\/20297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/emagazine"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/emagazine"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2517"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/20350"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=20297"}],"wp:term":[{"taxonomy":"author","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/coauthors?post=20297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}