Muchas veces se puede pensar a un SOC como aquel equipo de expertos sacados de una trama de ciencia ficción, con monitores y registros que lo pueden ver todo. Y es verdad: pueden —y deben—, verlo todo (al menos todo lo que compete a la organización que están resguardando). Recordemos que un
Centro de Operaciones de Seguridad es una unidad de profesionales especializada en operaciones complejas de seguridad de TI, cuyo objetivo primordial es monitorear, prevenir, detectar, investigar y responder ante incidentes de Ciberseguridad emergentes dentro del entorno de una organización.
El disponer de uno dentro del esquema de tu organización es un paso fundamental para el bienestar de tus activos, pues estos estarán resguardados de forma proactiva por un equipo de especialistas que se encargará no solo de vigilar tu entorno, sino reaccionar de forma eficiente ante un ciberataque.
Como todo en el ámbito de la tecnología, los SOC han evolucionado para adaptarse a las diversas necesidades, tanto del contexto que vivimos, como de las empresas que buscan protegerse de forma robusta. Con anterioridad, la única forma de contar con un Centro de Operaciones era implantando uno dentro de tu propia empresa; sin embargo, con el aumento de las capacidades de la nube, así como una mejora en las intercomunicaciones, los SOC externos, o tercerizados, surgen como un impulso a la competitividad para las operaciones de Ciberseguridad.
SOC interno
Este modelo tradicional es, sobre todo, común en empresas inmensas pues, dada la inversión que requiere implantar un centro —desde los equipos hasta del capital humano especializado— se debe proyectar su función como algo a largo plazo, cosa que solo es posible con aquellas organizaciones asentadas por el tiempo.
Una de las ventajas de contar con un SOC interno es que el equipo que lo conforma es parte de la organización y, por lo tanto, se encuentra perfectamente familiarizado con el entorno de ésta: conoce sus necesidades de primera mano, sus desafíos, su meta y su visión, lo que agiliza sobremanera la gestión e implementación de soluciones y acciones. Aunando a esto, ya que toda la información está siendo vigilada in situ, los registros del sistema quedan almacenados y respaldados dentro de la misma organización, lo que evita intermediarios en el manejo de la información sobre el comportamiento de tu red. Esto, a largo plazo, se plantea como una visión sumamente eficiente; sin embargo existen grandes desventajas:
Tiempo de implementación Más allá de generar la estrategia de seguridad, requiere de mucho tiempo para poder observar un retorno de la inversión. Aunando a esto, el proceso de reclutamiento de personal especializado es significativo.
Coste económico Se requiere de infraestructura y tecnología sumamente especializada, así como de técnicos sumamente preparados. La inversión de ésto implica también un coste temporal para poder hacer que el SOC funcione de manera adecuada.
Recursos Humanos Dado que serán empleados de la compañía, el proceso debe estar guiado por el equipo de Recursos Humanos, quienes pueden carecer de la especialidad requerida para elegir a los candidatos adecuados de acuerdo a las necesidades de la empresa. Por otro lado, dado que el equipo se enfocará en una sola empresa, la retención de personal se vuelve un desafío.
SOC externo
Los nuevos paradigmas y la efervescencia del medio de la seguridad de TI ha llevado a la creación de Centros de Operaciones de Ciberseguridad en un esquema as a Service, es decir, dados por una empresa tercera, de manera remota y basada, en gran medida, en tecnologías de nube. Esta clase de modelos, desde su aparición, se han planteado como las más comunes y efectivas. Por un lado, su implementación dentro de los ecosistemas empresariales es muy rápida, lo que potencia el coste de ésta. Los modelos de SOC externo o tercerizado han destacado por su flexibilidad, pues tienen la capacidad de atraparse a los servicios específicos de cada empresa y, por lo mismo, pueden añadir o modificar sus esquemas conforme los requerimientos de las compañías cambien, lo que asegura su escalabilidad.
Dado que los proveedores de SOC externos son compañías dedicadas en exclusiva a las Ciberseguridad, cuentan con un equipo de analistas expertos, con el perfil adecuado como para realizar operaciones de seguridad de alto nivel. Esto también es una ventaja, pues dada la variedad de clientes que estas compañías tienen, sus analistas pueden estar familiarizados con una amplia gama de sectores y sus necesidades. Sin embargo, una desventaja potencial es que la compilación de registros no es local —al interior de la empresa—, sino en los sistemas del proveedor del servicio.
Interno / Externo, las diferencias
De manera puntual, podemos resumir las ventajas y desventajas de la siguiente manera:
SOC interno
Ventajas -Equipo conformado por empleados de la compañía -Conocimiento a la medida del entorno y las necesidades -Almacenamiento local de logs -Visión a largo plazo
Desventajas -Largo tiempo de implementación -Infraestructura y tecnología sumamente especializada -Mayor inversión, tanto económica como temporal y humana -Mucho tiempo para observar el retorno de inversión -Dificultad para contratar especialistas -Dificultad para retener a un equipo sólido
SOC externo
Ventajas -Implementación veloz -Menor inversión y mayores resultados -Personal con experiencia en una amplia gama de sectores -Flexibilidad, adaptación, escalabilidad y valor -Personal especializado en Ciberseguridad
Desventajas -Equipo de analistas ajeno a la empresa -Almacenamiento remoto de registros -Posible desconocimiento sobre el sector
¿Conoces el SOC de Nordstern?
Nordstern Technologies cuenta con una amplia experiencia en los servicios de seguridad administrada: por más de 15 años, hemos trabajado de la mano con nuestros clientes para resolver sus necesidades de infraestructura de seguridad de TI a través de herramientas de inteligencia y orquestación de servicios. Por otro lado, contamos con la Certificación CERT, de Carnegie Mellon, somos un centro de respuesta a incidentes de Ciberseguridad avalado por Kaspersky y nos respaldan las certificaciones ISO 9001, ISO 27001, ISO 20000 e ISO 37001, que permean toda nuestra infraestructura organizacional.
La labor de nuestro SOC, como Centro de Operaciones tercerizado, se enfoca en brindarle a tu empresa las herramientas más robustas disponibles en el mercado, de acuerdo a las necesidades de tu negocio, de la mano con especialistas que vigilarán y podrán actuar de manera efectiva ante los incidentes que amenacen tu infraestructura crítica. Contáctanos en el formulario que encontrarás bajo esta publicación y comienza a invertir en el activo más importante que tienes: tu seguridad.