¿Qué es y cómo funciona un Centro de Operaciones de Ciberseguridad (SOC)?

En la actualidad, los ciberataques siguen aumentando a pesar de los avances que se han adoptado en las medidas de ciberseguridad. De hecho, el informe del Foro Económico Mundial publicado en 2021 señaló que muchas de las medidas para hacer frente a las técnicas y a la tecnologí­a cada vez más complejas que utilizan los cibercriminales se están quedando obsoletas. Y, sorprendentemente, los informes revelan que los equipos de seguridad necesitan una media de 287 dí­as para identificar y frenar una filtración de datos.

Un solo ciberataque supone para cualquier tipo de empresa un coste medio de 200 000 dólares, y muchas de las empresas que sufren estos ataques tienen que cerrar a los seis meses. Un firewall o antivirus ya no es suficiente para protegerse frente a estos ataques cada vez más sofisticados: es necesario contar con un equipo dedicado las 24 horas a proteger tus datos, economí­a y empleados. 

Además, es complicado mantenerse al dí­a en los diferentes tipos de ciberamenazas incluso sabiendo que es necesario tomar medidas para proteger a la empresa. Pero recuerda: ¡no estás solo/a en este camino! El 70% de los informáticos afirman que su empresa no está preparada para responder de manera apropiada a una ciberamenaza.

Un Centro de Operaciones de Ciberseguridad (SOC) centraliza la información de la industria y las novedades tecnológicas para proteger a las empresas frente a estos ataques. El SOC se nutre de expertos con una gran experiencia para responder de forma proactiva y reactiva a los ataques que tienen lugar en la actualidad. En este artí­culo vamos a analizar el papel crucial que desarrolla el SOC en la ciberseguridad de hoy en dí­a y su importancia para proteger a tu negocio.

¿Qué es un SOC?

Un SOC es un equipo de expertos en ciberseguridad cuyo objetivo es mantener y mejorar la seguridad de una empresa. El equipo del SOC se centra en anticiparse a los ataques, supervisar amenazas e implementar una respuesta rápida a fallos de seguridad mediante tres aspectos fundamentales: una tecnologí­a innovadora, unos procesos consolidados y un equipo muy especializado.

En general, el SOC es responsable de:

• Supervisar de forma proactiva y continua sistemas de alerta frente a actividades criminales y posibles puntos vulnerables.
• Ofrecer un conocimiento técnico en software de terceros.
• Mantener la seguridad de los endpoints y sistemas. 
• Gestionar las alertas que sean excepciones por surgir a partir de procesos seguros.
• Analizar el registro de datos de seguridad. 
• Analizar e investigar nuevas amenazas de ciberseguridad y procesos para protegerse.
• Coordinar una respuesta ante incidentes e investigar fallos de seguridad.

En conclusión,  el SOC se encarga de desarrollar y mantener la estrategia y procesos de ciberseguridad de una empresa de forma centralizada para desarrollar, gestionar y mejorar la seguridad del negocio. 

¿Cuál es el papel del SOC?

En el campo de la ciberseguridad, los expertos suelen dividirse en dos equipos para probar al detalle y mejorar la defensa de una empresa: el equipo rojo, de seguridad ofensiva, y el equipo azul, de seguridad defensiva.

El equipo rojo es responsable de proyectos como auditorí­as de seguridad en un sitio web para encontrar puntos débiles o de procesos como el ataque a esos puntos débiles para acceder a la infraestructura interna de tu empresa.

El equipo azul se encarga de supervisar las alertas del sistema para detectar algún fallo de seguridad, responder a esas alertas siguiendo los métodos necesarios y mantener un nivel alto en inteligencia de amenazas cibernéticas. Este equipo aprovecha su experiencia y capacidad técnica para conocer bien el escenario de ciberseguridad de hoy en dí­a. Asimismo, el equipo azul es responsable de la informática forense, que recopila y analiza las pruebas e investiga a fondo los sistemas informáticos para identificar actividades criminales. 

El SOC forma parte del equipo azul, por lo que es responsable de responder a ataques, gestionar amenazas y supervisar la infraestructura del cliente. El objetivo del SOC es mantener la seguridad de tu negocio y mejorarla continuamente aprendiendo sobre el entorno que le rodea.

Una mirada al Centro de Operaciones de Ciberseguridad de Ackcent

El SOC de Ackcent está compuesto de especialistas en ciberseguridad que abarcan diferentes ámbitos, desde el soporte al cliente hasta la supervisión de alertas. Además, el equipo aprovecha software de terceros para reforzar los procesos, incluyendo:

• Un Sistema de Gestión de Eventos e Información de Seguridad (SIEM) que analiza todos los eventos que generan los productos de seguridad, el controlador de dominio y otros softwares que estén instalados en la infraestructura del cliente. Nuestro SIEM recopila y centraliza estos eventos en la nube para darles un formato que permita hacer búsquedas. Estos datos nos permiten crear casos de uso para generar alertas.
• Un Sistema de Gestión de Incidencias (TMS) para registrar todas las incidencias del SIEM que se utilizan para la comunicación bidireccional y como documentación de las investigaciones realizadas.
• SentinelOne, un software de Detección y Respuesta de Endpoints (EDR) que responde a las amenazas a un endpoint mediante análisis de comportamiento y datos de telemetrí­a. 
• Imperva Incapsula, un servicio para aplicaciones que incluye una aplicación de firewall, un servicio de mitigación de DDoS, una red de distribución de contenidos y una aplicación de distribución de carga.
• Qualys VM, que escanea e identifica continuamente puntos débiles de los endpoints, las redes internas y la nube. 
• Asimismo, automatizamos la mayorí­a de las tareas a través de varias cuentas de Amazon Web Service (AWS) para controlar mejor los procesos y contar con una mayor escalabilidad. 

Nuestra experiencia nos permite utilizar una amplia gama de softwares en los procesos para ofrecer la solución de seguridad más sofisticada posible a nuestros clientes. Además, trabajamos directamente con estos proveedores externos para que no tengas que preocuparte de tener que seleccionar o gestionar a terceras partes.

Cómo mitigar los riesgos gracias al SOC

Vamos a analizar un ejemplo de un negocio de e-commerce que depende enormemente de su sitio web para conseguir ventas. Acabas de encender el ordenador por la mañana y te das cuenta de que se ha caí­do el servidor de la empresa. Has recibido un ciberataque. Un hacker ha encriptado tus datos y te exige una cantidad de dinero por restaurarlos: este es el tí­pico ejemplo de un ataque de ransomware. En la actualidad, los negocios sufren ataques de ransomware cada 40 segundos, lo que supone unas ganancias anuales de mil millones de dólares para los criminales. 

Para que tu empresa funcione, necesitas que tu servidor gestione todo el negocio online: cada minuto que el servidor esté caí­do, estarás perdiendo dinero. Tienes instalado un antivirus, pero nadie lo ha supervisado de forma activa y no os habéis percatado de todas las alertas que ha ido enviando. Es posible que necesites varios dí­as para recuperarte del ataque y que tengas que restaurar copias de seguridad de hace meses, por lo que perderás el trabajo más reciente.

Aquí­ te mostramos cómo actuarí­a el Centro de Operaciones de Ciberseguridad de Ackcent ante este tipo de ataques:

1. Evaluarí­amos de inmediato el alcance del ataque para definir el impacto que ha tenido.
2. A continuación, realizarí­amos una imagen forense (una copia de los datos que no hayan sufrido ningún cambio) o comprobarí­amos los artefactos.
3. El siguiente paso serí­a investigar los accesos desde otros dispositivos como el controlador de dominio.
4. Normalmente, te pedirí­amos que iniciaras el proceso de recuperación que tuvieras implementado. Por ejemplo, una recuperación a partir de una copia de seguridad, en paralelo a la respuesta al incidente y sin alterar el proceso de investigación.
5. Supervisarí­amos de manera continua las nuevas amenazas que puedan surgir durante la respuesta al incidente por si la red puede verse afectada de algún modo.
6. Una vez que hayamos finalizado el análisis, mitigarí­amos el daño impidiendo que el ataque afecte a todo el sistema y obtenga permisos de administrador para controlar el problema.

El SOC, además de proporcionar un soporte fundamental y responder a los ataques, trabaja las 24 horas del dí­a para identificar y eliminar posibles amenazas. De esta manera, una empresa que hubiera contado con el SOC de Ackcent habrí­a recibido una alerta de ataque mucho antes para actuar con rapidez y evitar una situación crí­tica. 

Si todaví­a no cuentas con los servicios de Ackcent, no te preocupes, puedes contactar con nosotros hoy mismo para analizar un incidente similar al del ejemplo. Cuanto antes actúes frente a una amenaza, menor será el impacto.

Más beneficios de un Centro de Operaciones de Ciberseguridad

A continuación, te mostramos algunos de los muchos beneficios de los que disfrutan las empresas que trabajan con un Centro de Operaciones de Ciberseguridad como Ackcent:

• Los conocimientos y la experiencia de Ackcent nos permiten estar al dí­a en todo lo relacionado con la ciberseguridad para que puedas aprovechar una gran red de información.
• El SOC está disponible a cualquier hora, por lo que puedes contactar con el equipo durante las 24 horas.
• El SOC gestionará la relación con proveedores externos para que el cliente no tenga que elegir ni controlar los softwares que se van a utilizar.
• Un director de prestación de servicios te garantizará una atención al cliente personalizada.
• Los productos de Ackcent están en la nube, lo que permite escalabilidad para crear recursos nuevos de acuerdo a las necesidades del cliente.
• Con el paso del tiempo, contaremos con información especí­fica sobre tu organización para desarrollar servicios de seguridad que respondan a tus necesidades.

¿Está protegido tu negocio?

Un Centro de Operaciones de Ciberseguridad reacciona, analiza la situación al detalle y se mantiene siempre alerta. Hay muchas empresas que no cuentan con el tiempo ni los recursos para centrarse continuamente en la seguridad de sus sistemas, y hasta los negocios que cuentan con equipos internos centrados en seguridad sienten que no están al dí­a.

El SOC de Ackcent cuenta con información de la industria, con un equipo que siempre está disponible y con una amplia gama de softwares para proteger tu negocio al máximo. Contacta con nosotros hoy mismo para obtener más información sobre cómo podemos ayudarte para que la ciberseguridad de tu negocio deje de ser una preocupación.
Obtén más información sobre cómo nuestros servicios de MDR pueden ayudar a que tu empresa detecte amenazas de ciberseguridad y actúe frente a ellas.