La importancia de tener un SOC y por qué externalizarlo
La pandemia global terminó por acelerar todos los procesos de transformación digital que las organizaciones estaban encarando hasta 2019. Literalmente de un día para el otro las compañías se vieron obligadas a mover sus operaciones a algún tipo de nube para poder trabajar en forma remota. La improvisación, la creatividad y el esfuerzo de los equipos de TI fueron claves en esos días y lo sigue siendo hasta hoy.
El problema es que en este vertiginoso camino muchas empresas dejaron de lado un aspecto crítico para su viabilidad: la seguridad.
Estamos bajo ataque
Repasemos algunas estadísticas:
- La frecuencia de los ciber-ataques aumentó de uno cada 14 segundos en 2019 a uno cada 11 segundos en 2021
- En 2020, 6 de cada 10 ataques tuvo la intención de extorsionar por dinero a personas y empresas El ataque más caro registrado le costó a Garmin 10 millones de dólares.
Fuente: Web Arx Security
Las empresas medianas son los objetivos predilectos de los hackers dado que ofrecen un punto justo entre calidad de información para robar y vulnerabilidades en su infraestructura.
Muchas compañías medianas tuvieron que adoptar operaciones remotas de modo intempestivo, lo que dio pie a vulnerabilidades que los atacantes explotan. Además, ahora tienen usuarios accediendo a la información y sistemas críticos de la organización desde terminales sin protección. Cada usuario es un potencial vector de ataque, y esto explica por qué la mayoría de los ataques este año incluyeron el uso de fuerza bruta, credenciales robadas y medidas de seguridad deficientes en el entorno de la red.
Quizás te interese seguir leyendo ¿Por qué el usuario y la cultura son claves para la ciberseguridad?
Se requiere una defensa activa y flexible
Los mecanismos tradicionales de defensa no están alcanzando. Casi todas las compañías hoy tienen algún tipo de sistema de ciber-seguridad tal como firewall, prevención de intrusos, filtrado URL, filtrado de email y antivirus. Estas tecnologías representan una defensa higiénica básica que permite proteger a los empleados que navegan por el salvaje Internet. Pero quedó demostrado, por el éxito y masividad que están teniendo los ataques, que esta infraestructura de seguridad no es suficiente para mantener a una empresa verdaderamente segura.
En primer lugar, el equipamiento de defensa mantiene lo malo afuera, siempre y cuando se encuentre correctamente configurado; pero ¿qué pasa con las cosas que desconocemos?
Todos los años se liberan miles de vulnerabilidades nuevas que representan amenazas potenciales. La mayoría de las empresas tratan a sus defensas de forma estática, es decir que no las están actualizando en forma continua. El problema es que las amenazas en Internet son todo menos estáticas.
Para atender los desafíos de las amenazas cambiantes actuales, las empresas necesitan una operación de seguridad activa y flexible. Esto es, tener recursos calificados que puedan mantener la seguridad constantemente actualizada contra nuevas y cambiantes amenazas todo el tiempo.
Las compañías necesitan desarrollar u obtener capacidades para prevenir y alertar sobre vulnerabilidades, sean emergentes o existentes, así como para evaluar y responder a incidentes de ciber-seguridad y cumplir con las regulaciones de su industria.
Esto está impulsando a empresas de diferentes rubros y tamaños a adquirir estas capacidades a través de un Centro de Operaciones de Seguridad (SOC) que vigile la postura de sus activos.
SOC: el corazón de las operaciones de seguridad
Un SOC debe funcionar como un equipo de especialistas profesionales a cargo de operaciones complejas de ciber-seguridad con un objetivo principal: monitorear, prevenir, detectar, anticipar y responder incidentes de seguridad en el entorno de la organización. Los activos que monitorea el SOC van desde información sensible hasta sistemas informáticos críticos como el Centro de Datos, las aplicaciones y puntos finales. Como el delito no descansa, un SOC debe tener la capacidad de monitorear incidentes en tiempo real, 24x7x365.
Las capacidades claves que un SOC ofrece son:
-
Detección proactiva de actividad maliciosa en redes y sistemas. No es recomendable que pasen los 206 días que le toma en promedio a una empresa detectar una brecha de seguridad. Detectar una intrusión lo antes posible minimiza sus efectos.
-
Hacer inteligencia sobre las amenazas para ajustar las defensas antes de que una amenaza llegue.
-
Detectar y reportar sobre vulnerabilidades para ver evaluar el nivel de exposición a nuevas amenazas antes de que sean explotadas.
-
Gestionar los logs de los sistemas para ofrecer a analistas y auditores la capacidad de hacer análisis forense en caso de que efectivamente tenga lugar un incidente de seguridad.
-
Visibilidad en tiempo real sobre los eventos y alertas de seguridad detectados en la red y en los sistemas por violaciones a las políticas y buenas prácticas.
Sigue leyendo Cómo lograr una mirada más amplia de la seguridad de mi empresa
SOC: ¿interno o externo?
Este equipo de ciber-seguridad puede ser interno o externo, es decir, puede pertenecer a la propia empresa o puede ser un servicio externalizado con una compañía que se dedica exclusivamente a la ciberseguridad.
El desarrollo de un SOC interno implica que la empresa deberá contratar, capacitar y mantener a recursos altamente calificados. Además, la empresa tendrá que invertir también en tecnología y herramientas sofisticadas, complejas y costosas para poder llevar a cabo las tareas de monitoreo, la inteligencia en seguridad, etc. Estos servicios están más enfocados a empresas grandes ya que requiere una importante inversión tanto de tiempo como económica.
Por otra parte, los SOCs externos resultan la opción más utilizada en el mundo corporativo. Al externalizar este servicio, la gran ventaja es que se puede conseguir que empiece a funcionar casi de inmediato. Además, es un equipo compuesto de expertos en diferentes áreas, lo que te aporta una garantía de efectividad.
¿Por qué externalizar el SOC?
En la actualidad hay una muy alta demanda de analistas de seguridad. En el mercado hay más posiciones abiertas para este rol que personas calificadas. Se proyecta globalmente una escasez de 1.8 millones de profesionales de ciberseguridad para 2022. Esto implica que las posiciones de ciber-seguridad tengan salarios más altos que el promedio. Muchas compañías deciden por este motivo no contratar personal dedicado para el monitoreo de seguridad, sino delegar esta responsabilidad adicional a miembros valiosos del equipo actual. Esto generalmente termina en después de un tiempo se desconcentran del trabajo de monitoreo dejando la red vulnerable a amenazas.
Por otra parte, los analistas de seguridad necesitan mantenerse actualizados, deben tener tiempo para investigar sobre las diferentes técnicas y tácticas, filtrar y priorizar la información para mantenerse al día y tener capacidad de prevenir ataques. Además, la visión de los analistas que sólo trabajan con una red es acotada, se pierden de conocer amenazas descubiertas en otras redes que puede ser información invaluable para prevenirla en forma temprana.
Un SOC y el SIEM (Security Incident & Event Management) que lo respalda sólo son útiles en la medida en que se tenga a las personas, los procesos y la inteligencia adecuados para mantener las herramientas e interpretar los datos convirtiéndolos en información útil. Esto es un trabajo de tiempo completo que requiere especialistas.
¿Está su empresa considerando implementar medidas de monitoreo y detección para anticiparse a los ataques de ciberdelincuentes cada vez más sofisticados?