Un centro de operaciones de seguridad de la información ( ISOC o SOC ) es una instalación donde se monitorean, evalúan y defienden los sistemas de información empresarial ( sitios web , aplicaciones , bases de datos , centros de datos y servidores , redes , computadoras de escritorio y otros puntos finales).
Objetivo
Un SOC está relacionado con las personas, los procesos y las tecnologías que brindan conocimiento de la situación a través de la detección, contención y corrección de las amenazas de TI para administrar y mejorar la postura de seguridad de una organización. [1] Un SOC manejará, en nombre de una institución o empresa, cualquier incidente de TI amenazante y se asegurará de que se identifique, analice, comunique, investigue y notifique correctamente. El SOC también monitorea las aplicaciones para identificar un posible ciberataque o intrusión (evento) y determina si se trata de una amenaza maliciosa genuina (incidente) y si podría afectar al negocio.
Los requisitos reglamentarios
Establecer y operar un SOC es costoso y difícil; las organizaciones deberían necesitar una buena razón para hacerlo. Esto puede incluir:
Nombres alternativos
Un centro de operaciones de seguridad (SOC) también se puede llamar centro de defensa de seguridad (SDC), centro de análisis de seguridad (SAC), centro de operaciones de seguridad de red (NSOC), [4] centro de inteligencia de seguridad, centro de seguridad cibernética, centro de defensa contra amenazas, seguridad centro de inteligencia y operaciones (SIOC). En el gobierno federal canadiense, el término centro de protección de infraestructura (IPC) se utiliza para describir un SOC.
Tecnología
Los SOC generalmente se basan en un sistema de gestión de eventos e información de seguridad (SIEM) que agrega y correlaciona datos de fuentes de seguridad, como sistemas de detección de redes y evaluación de vulnerabilidades ; sistemas de gobernanza, riesgo y cumplimiento (GRC); sistemas de evaluación y seguimiento de sitios web, escáneres de aplicaciones y bases de datos; herramientas de prueba de penetración ; sistemas de detección de intrusos (IDS); sistema de prevención de intrusiones (IPS); sistemas de gestión de registros; análisis del comportamiento de la red e inteligencia de amenazas cibernéticas ; sistema inalámbrico de prevención de intrusiones; cortafuegos, antivirus empresarial y gestión unificada de amenazas (UTM). La tecnología SIEM crea un "panel único" para que los analistas de seguridad supervisen la empresa.
Personas
El personal de SOC incluye analistas, ingenieros de seguridad y gerentes de SOC que deben ser profesionales experimentados de TI y redes. Por lo general, están capacitados en ingeniería informática , criptografía , ingeniería de redes o ciencias de la computación y pueden tener credenciales como CISSP o GIAC .
Los planes de personal de SOC van desde ocho horas al día, cinco días a la semana (8x5) a veinticuatro horas al día, siete días a la semana (24x7). Los turnos deben incluir al menos dos analistas y las responsabilidades deben estar claramente definidas.
Organización
Las grandes organizaciones y los gobiernos pueden operar más de un SOC para administrar diferentes grupos de tecnología de la información y la comunicación o para proporcionar redundancia en caso de que un sitio no esté disponible. El trabajo de SOC puede subcontratarse, por ejemplo, mediante el uso de un servicio de seguridad administrado . El término SOC fue utilizado tradicionalmente por gobiernos y proveedores de seguridad informática administrada, aunque un número creciente de grandes corporaciones y otras organizaciones también tienen tales centros.
El SOC y el centro de operaciones de red (NOC) se complementan y trabajan en conjunto. El NOC generalmente es responsable de monitorear y mantener la infraestructura de red general, y su función principal es garantizar un servicio de red ininterrumpido. El SOC es responsable de proteger las redes, así como los sitios web, aplicaciones, bases de datos, servidores y centros de datos, y otras tecnologías. Asimismo, el SOC y el centro de operaciones de seguridad física se coordinan y trabajan juntos. El SOC físico es una instalación en grandes organizaciones donde el personal de seguridad monitorea y controla a los oficiales / guardias de seguridad, alarmas, CCTV, acceso físico, iluminación, barreras para vehículos, etc.
No todos los SOC tienen el mismo rol. Hay tres áreas de enfoque diferentes en las que un SOC puede estar activo y que se pueden combinar en cualquier combinación:
- Control: se centra en el estado de la seguridad con pruebas de conformidad, pruebas de penetración, pruebas de vulnerabilidad, etc.
- Supervisión: se centra en los eventos y la respuesta con supervisión de registros, administración de SIEM y respuesta a incidentes.
- Operativo: se centra en la administración de seguridad operativa, como la administración de identidades y accesos, administración de claves, administración de firewall, etc.
En algunos casos, el SOC, el NOC o el SOC físico pueden estar alojados en la misma instalación o combinados organizativamente, especialmente si el enfoque está en las tareas operativas . Si el SOC se origina en una organización CERT , entonces el enfoque suele estar más en el seguimiento y el control , en cuyo caso el SOC opera independientemente del NOC para mantener la separación de funciones . Por lo general, las organizaciones más grandes mantienen un SOC separado para garantizar el enfoque y la experiencia. Luego, el SOC colabora estrechamente con las operaciones de red y las operaciones de seguridad física.
Instalaciones
Los SOC suelen estar bien protegidos con seguridad física, electrónica, informática y personal. Los centros a menudo se distribuyen con escritorios frente a una pared de video, que muestra estados, eventos y alarmas importantes; incidentes en curso; a veces se usa una esquina de la pared para mostrar un canal de televisión de noticias o del clima, ya que esto puede mantener al personal del SOC al tanto de los eventos actuales que pueden afectar los sistemas de información. Un ingeniero de seguridad o un analista de seguridad puede tener varios monitores de computadora en su escritorio.
Procesos y procedimientos
Los procesos y procedimientos dentro de un SOC detallarán claramente los roles y responsabilidades, así como los procedimientos de monitoreo. Estos procesos incluyen procesos comerciales, tecnológicos, operativos y analíticos. Establecen los pasos que se deben tomar en caso de una alerta o una infracción, incluidos los procedimientos de escalada, los procedimientos de notificación y los procedimientos de respuesta a la infracción.
CloudSOC
Se puede configurar un centro de operaciones de seguridad en la nube (CloudSOC) para monitorear el uso del servicio en la nube dentro de una empresa (y mantener bajo control el problema de TI en la sombra ), o analizar y auditar la infraestructura de TI y los registros de aplicaciones a través de tecnologías SIEM y plataformas de datos de máquinas para proporcionar alertas. y detalles de actividad sospechosa.
SOC inteligente
Un Smart SOC (Security Operations Center) es una solución integral de ciberseguridad independiente de la tecnología que utiliza tecnología y herramientas de vanguardia, talento humano altamente calificado y experimentado (compuesto por recolectores de inteligencia cibernética, analistas y expertos en seguridad) y principios proactivos de guerra cibernética para prevenir y neutralizar las amenazas contra la infraestructura digital, los activos y los datos de una organización.
Otros tipos y referencias
Además, hay muchos otros términos comúnmente referenciados relacionados con el título original de "ISOC", incluidos los siguientes:
- SNOC, Centro de operaciones de red de seguridad
- ASOC, Centro de operaciones de seguridad avanzada
- GSOC, Centro de operaciones de seguridad global
- vSOC, Centro de operaciones de seguridad virtual [5]
Ver también
Referencias
- ↑ Vielberth, M .; Böhm, F .; Fichtinger, I .; Pernul, G. (2020). "Centro de operaciones de seguridad: un estudio sistemático y desafíos abiertos" . Acceso IEEE . 8 : 227756–227779. doi : 10.1109 / ACCESS.2020.3045514 . ISSN 2169-3536 .
- ^ "PCI DSS 3.0: el impacto en sus operaciones de seguridad" . Semana de la seguridad . 31 de diciembre de 2013 . Consultado el 22 de junio de 2014 .
- ^ "Monitoreo de transacciones para proveedores de servicios en línea de HMG" (PDF) . CESG . Consultado el 22 de junio de 2014 .
- ^ "Servicios gestionados en el centro de operaciones de seguridad de red de Tactical FLEX, Inc. (NSOC)" . Tactical FLEX, Inc. Archivado desde el original el 24 de septiembre de 2014 . Consultado el 20 de septiembre de 2014 .
- ^ "¿Qué es un Centro de operaciones de seguridad virtual (VSOC)?" . cybersecurity.att.com .