Un centro de operaciones de seguridad (SOC), también llamado centro de operaciones de seguridad de la información (ISOC), es una instalación dedicada en la que los profesionales de la seguridad supervisan, analizan y mitigan las posibles ciberamenazas. Debido a la naturaleza distribuida de las organizaciones modernas, se suele utilizar «SOC» para describir al equipo de ingenieros y analistas de seguridad que lleva a cabo estas funciones.
Un SOC se puede configurar de muchas formas distintas, y es probable que cambie en función de las necesidades y capacidades de una organización. En general, sus responsabilidades se dividen en tres categorías:
Para proteger a una organización de las amenazas e identificar las brechas de seguridad, un SOC necesita una visibilidad total de sus sistemas, aplicaciones y datos, así como de las herramientas de seguridad que los protegen. Se puede usar una herramienta de descubrimiento de activos para realizar el proceso de inventario.
Para medir el potencial impacto de un ataque, un SOC puede realizar pruebas periódicas en el hardware y el software de una organización, y usar esos resultados para actualizar sus políticas de seguridad o desarrollar un plan de respuesta a incidentes.
Una vez que un SOC ha detectado vulnerabilidades en la infraestructura de una organización, puede tomar medidas para reforzar su postura de seguridad. Entre ellas, actualizar los firewalls, mantener listas de permitidos y listas de bloqueados, aplicar parches al software y pulir los protocolos y procedimientos de seguridad.
Un SOC recopila datos de registro generados por eventos en la red de una organización (como aquellos documentados por firewalls, sistemas de prevención y detección de intrusos, etc.), y luego analiza esos registros para detectar cualquier anomalía o actividad sospechosa. En función del tamaño y la complejidad de la infraestructura de una organización, puede ser un proceso que requiera muchos recursos, y se puede llevar a cabo con una herramienta automatizada.
Un SOC usa datos de registro para crear alertas de actividades sospechosas y otros indicadores de riesgo (IOC). Los IOC son anomalías en los datos (irregularidades en el tráfico de red, cambios inesperados en los archivos del sistema, uso no autorizado de aplicaciones, solicitudes DNS extrañas u otros comportamientos) que indican que es probable que se vaya a producir una fuga u otro suceso malicioso.
Un SOC suele trabajar con una solución SIEM para automatizar la protección y la solución de amenazas. Entre las funciones habituales de un SIEM se incluyen: Agregación de datos de registro Supervisión de alertas Información sobre amenazas avanzada Análisis de incidentes de seguridad Informes de cumplimiento
Cuando se produce un ataque, un SOC suele tomar varias medidas para mitigar los daños y restaurar los sistemas afectados. Como aislar los dispositivos infectados, eliminar los archivos en riesgo, ejecutar software antimalware y llevar a cabo una investigación de la raíz del problema. Los SOC pueden usar estos resultados para mejorar las políticas de seguridad existentes.
Después de un ataque, un SOC ayuda a las organizaciones a seguir cumpliendo la normativa sobre privacidad de datos (por ejemplo, el RGPD) al notificar a las autoridades competentes el volumen y tipo de datos protegidos que se han puesto en riesgo.
Un centro de operaciones de seguridad (SOC), es una instalación dedicada en la que los profesionales de la seguridad supervisan, analizan y mitigan las posibles ciberamenazas.
