El mantra para la protección de las empresas ha cambiado de "qué hacer para evitar ser atacado" a "cómo reaccionar de forma efectiva ante un ataque", porque algo es seguro:
todas las empresas están sujetas a ser atacadas y de hecho, eventualmente, lo serán.
Este cambio de visión no implica ignorar la prevención sino robustecer también la capacidad de respuesta y reacción al momento de encontrarse en un ciberataque. En este sentido, y para poder tener un punto de partida interno en tu empresa, podrías responder las siguientes preguntas:
¿Anticipas un ciberataque?
¿Sabrías qué hacer ante uno?
¿Qué harías si el día de hoy tu empresa fuera víctima?
¿Sabes en cuánto tiempo lo podrías remediar?
Respecto a este último punto existe una cifra crítica que, de hecho, se ha mantenido igual desde hace dos años: las empresas tardan un promedio de 280 días en contener e identificar una brecha de información. Esto, en otras palabras, significa que por 280 días —casi un año—, existe un intruso al interior de la red de las organizaciones el cual puede, incluso paralizar parte —o la totalidad— de las operaciones. Y por cada día que una amenaza pasa sin ser detectada, el costo para la recuperación aumenta exponencialmente.
¿Qué hace un SOC?
Las funciones de un Centro de Operaciones de Seguridad parten de una premisa fundamental: el riesgo de ataque es inminente, es decir, su mecanismo principal para la protección es la anticipación. Con anterioridad, la función del SOC se enfocaba meramente en la administración y gestión de la infraestructura y si bien, esto sigue siendo verdad, corresponde a la función más básica de un Centro. En la actualidad, la ventaja principal de implementar un servicio así en las empresas es la anticipación, la cual tiene la capacidad de alertar sobre un ataque venidero incluso minutos antes de que éste acontezca.
Para poder prevenir —anticipar— de tiene que monitorear de manera constante el comportamiento de una red, con el fin de discernir entre aquellas rutinas habituales y permitidas al interior de la operación y encontrar, de entre todas esas alertas, aquellas que verdaderamente corresponden a comportamientos anómalos. Esta vigilancia de la red acontece de manera continua, en un esquema 24/7-365, es decir, todo el día, todos los días, todo el año, implementando tanto la operación de especialistas y analistas (sean de manera presencial como bajo un esquema follow the sun*, para optimizar los servicios disponibles), como herramientas de Inteligencia Artificial, Inteligencia de Máquinas, y Orquestación de Servicios. La conjunción de esta capacidad de monitoreo permite establecer un esquema de respuesta ante ciberataques. Las tecnologías de acción ante un ataque deben ser optimizadas y actualizadas de manera constante, con el fin de permanecer a la par de aquellas técnicas desarrolladas por los criminales quienes, sobre todo, encuentran un impulso en el alto índice lucrativo de estas actividades.
¿Cómo opera un SOC para protegerte?
La operación usual de un SOC se pueden entender, de forma global, como un proceso continuo análisis y compilación de inteligencia, aprovechamiento y visibilidad de la infraestructura disponible y la evaluación —y dictaminación— de un incidente de acuerdo a las necesidades específicas de una organización. Esto se da al implementar tecnología avanzada de monitoreo, prevención y análisis de amenazas, en conjunto a un cuerpo especializado de personas encargados de darle contexto a cada uno de los hallazgos y al papel de los elementos que conforman la red. Para poder operar de forma efectiva, se debe de tener una visión clara de los activos críticos de la organización, con el fin de centrar los recursos disponibles en el mantenimiento y la protección de aquellas partes elementales para el funcionamiento de la organización.
La ruta crítica para la implementación y el accionar del SOC comienza con la creación de una estrategia de gobierno de Ciberseguridad en la organización, en temas relativos al cumplimiento normativo y establecimiento de mejores prácticas. Posteriormente, se diseña una arquitectura de seguridad para impulsar a la organización dentro de su curva de madurez digital. Esto permitirá implementar los tres eslabones fundamentales del SOC de forma completa al interior del esquema organizacional:
Gestión de Eventos: implica la administración de activos de seguridad de los clientes, monitoreo de eventos y alertas y categorización de eventos a partir de triages.
Respuesta a Incidentes: análisis del incidente y cotejo de información con distintas fuentes, análisis y determinación del estado de los sistemas críticos y recomendaciones para remediar.
Ciberdefensa: trabajo de un equipo experto para la mitigación o resolución de incidentes y cacería de posibles incidentes presentes o futuros.
Los diferenciadores de Nordstern
Nordstern Technologies cuenta con una amplia experiencia en los servicios de seguridad administrada; por más de 15 años, hemos trabajado de la mano con nuestros clientes para resolver sus necesidades de infraestructura de seguridad de TI, a través de herramientas de inteligencia y orquestación de servicios. Por otro lado, contamos con la Certificación CERT, de Carnegie Mellon, y somos un centro de respuesta a incidentes de Ciberseguridad avalado por Kaspersky. Las capacidades de nuestros especialistas, en conjunto con la amplia gama de proveedores que confían en nuestro servicio, pueden brindar apoyo de IT SOC y OT SOC. Actualmente contamos con las certificaciones ISO 9001, ISO 27001, ISO 20000 e ISO 37001, que permean toda nuestra infraestructura organizacional.
La labor de nuestro SOC va más allá de lo operativo y administrativo, nos enfocamos en brindarle a tu empresa las herramientas más robustas disponibles en el mercado, de acuerdo a las necesidades de tu negocio, de la mano con especialistas que vigilarán y podrán actuar de manera efectiva ante los incidentes que amenacen tu infraestructura crítica. Contáctanos en el formulario que encontrarás bajo esta publicación y comienza a invertir en el activo más importante que tienes: tu seguridad.