![Thumbnail for 📌[SOC] ¿Qué es un SOC? ►Actividades y Responsabilidad de un CENTRO de OPERACIONES de SEGURIDAD by AlbertoLopez TECH TIPS](/_next/image?url=https%3A%2F%2Fimg.youtube.com%2Fvi%2Ff0jiMDaHe1E%2Fhqdefault.jpg&w=3840&q=75)
[0:00]Todo sistema e infraestructura es vulnerable, que lo sepas, sí o sí. Lo que ocurre es que quizás aún nadie haya dado con esa vulnerabilidad o peor aún, que habiendo dado alguien con alguna vulnerabilidad no la haya hecho pública para su subsanación y así seguir aprovechándose de ello y explotándola en su beneficio. En los últimos meses se han dado ataques en este año 2020 a nivel global que han afectado a compañías que en teoría se dedican a la ciberseguridad y que en apariencia deberían ser impenetrables. Lo que quiero decirte con esto es que nadie, ni tú, ni yo, ni ninguna empresa se libra de poder sufrir un ciberataque, ninguna. Las empresas reciben cantidad de ataques diarios, unos consiguen su propósito y la mayoría, gracias a Dios, no lo suelen conseguir, pero con que lo consiga uno suficiente. Las amenazas, las estrategias y las herramientas de los ciberatacantes cada vez son mayores y más sofisticadas. Mi punto de vista es que las técnicas y en muchas ocasiones las herramientas, estas nuevas herramientas de los ciberatacantes suelen ir por delante de las defensas en muchas ocasiones. Si los atacantes, los ciberatacantes consiguen su propósito, ganan algo. Si las empresas triunfan en las defensas, no ganan nada, pero por el contrario, en las empresas si no triunfan las defensas, pierden, pierden y mucho. Tanto económicamente como a nivel de reputación, como en su posicionamiento en el mercado, etcétera, etcétera, etcétera. Es por todo lo anterior que muchísimas empresas cada vez más cuentan con un SOC propio o externo para evitar que los ciberataques tengan éxito o disminuir el impacto del ataque en caso de que se materialice. Dicho esto, suscríbete si aún no lo has hecho y comenzamos.
[1:37]Vamos allá, ¿qué es un SOC? Lo primero, como siempre, ¿qué significan las siglas SOC? Son las siglas de Security Operations Center. En castellano significa Centro de Operaciones de Seguridad. Es muy sencillo. Se trata de un departamento o área de una empresa integrado por un equipo de personas muy especializadas en ciberseguridad, que son responsables de la monitorización y análisis de la actividad que se está produciendo en los activos de la empresa. Es decir, en las infraestructuras hardware y software de una compañía. Su objetivo, el del SOC es detectar riesgos de ciberseguridad, analizarlos y responder en consecuencia con diferentes soluciones de ciberseguridad. Suelen ser normalmente departamentos que prestan el servicio las 24 horas del día y los 7 días de la semana. ¿Por qué? Pues porque recuerda que los cibercriminales no dan tregua, sea la hora que sea, sea el día que sea, tanto si es festivo, en vacaciones, día laborable, lo que sea, no dan tregua. Por tanto, un SOC de cara a una buena defensa abarca la monitorización de las redes de comunicaciones y su electrónica de red, de la seguridad perimetral, como los firewalls, los servidores también, los puestos de trabajo, los entornos de aplicaciones como son los ERPs, los CRMs, los entornos de Business Intelligence, los sistemas SCADA en la industria, las bases de datos que alimentan todo lo anterior, los sistemas IoT, los sitios web, etcétera. Aquí te dejo dos vídeos sobre el IoT. En uno te explico qué es y varios datos interesantes y en otro te explico las vulnerabilidades que se han encontrado y que afectan a millones de dispositivos y que muchos no tendrán solución jamás. Como suelo decir, un SOC se encarga de monitorizar y defender tanto el continente como el contenido, lo que hay dentro. Si te estás preguntando qué tipo de personal forma parte de un SOC, te digo que normalmente está integrado por un responsable, por una persona responsable que supervisa todos los procesos y actuaciones, así como al personal que hay en él. Y lógicamente en el SOC encontrarás analistas de seguridad, técnicos e ingenieros de ciberseguridad y sistemas, con suficiente experiencia en sus espaldas, con la formación adecuada y sus correspondientes certificaciones de ciberseguridad. Unos y otros, por supuesto, deben tener formación y experiencia en diferentes áreas y disciplinas para abarcar el mayor número de áreas de conocimiento posibles. Las personas y sistemas que integran el SOC, como te he explicado, están buscando continuamente alertas, anomalías y demás avisos o amenazas que pueden darse en esas infraestructuras, software y hardware, como las que te he mencionado. Es decir, en definitiva, están velando para que no haya ningún problema de seguridad, ciberseguridad, y si lo hubiera, corregirlo cuanto antes. Para todo esto que te estoy contando, por supuesto, disponen de herramientas de monitorización de redes, de sistemas con sus alertas, con entornos de ticketing, herramientas SOAR, SIEM, eh, IRP, IAM, EDS, IDS, etcétera, etcétera. Todo esto depende, por supuesto, de lo que la empresa quiera o deba monitorizar y cuánto dinero pueda gastarse o invertir en ello, junto a los recursos humanos necesarios para gestionar todo esto. Algo muy importante es la estrategia de un SOC, no solo es reactivo, para nada. La razón de ser de un SOC tiene carácter proactivo, preventivo, reactivo y correctivo. Todo ataque, amenaza o incidente de seguridad, tras ser identificado y detectado debe ser analizado y corregido, siendo esto, lógicamente, corregirlo la prioridad. Y una vez que el mar está en calma, es decir, una vez que se haya subsanado la incidencia, es cuando hay que aplicar mejoras para evitar que se vuelva a repetir, aprender del error, etcétera. Ah, bueno, y todo, todo debe ser registrado y documentado para ocasiones y escenarios futuros y como aprendizaje del personal técnico propio del SOC. Dos matizaciones. El SOC se encarga de la parte operacional de la ciberseguridad, es decir, que el SOC no define como tal la estrategia de ciberseguridad ni diseña su arquitectura. Y segunda matización, el SOC puede ser un departamento interno, dentro de una empresa o por el contrario puede ser contratado a una empresa externa con su personal propio, etcétera. Si se despliega internamente, la propia empresa tiene que hacerse cargo de las contrataciones de recursos humanos, su formación continua, su certificación, sus certificaciones, encargarse del despliegue de las tecnologías y herramientas necesarias, etcétera. Y esto puede tardar algo en comenzar a funcionar y calibrarlo todo correctamente. Las grandes empresas suelen hacer uso de esta modalidad, pero no siempre, es decir, que no es una regla estricta. Y si se contrata a una empresa externa, que es la modalidad por la que optan la mayoría de las empresas, el comienzo de su actividad es casi inmediata. La empresa externa se encarga de los recursos humanos, su formación, experiencia, etcétera, etcétera. Además que los gastos y costes también suelen ser menores que para el caso de hacerlo con un departamento interno propio. Por tanto, y para ponértelo un poco esquematizado, el cometido de un SOC o sus objetivos son mejorar la ciberseguridad de la compañía o la de sus activos e infraestructuras. En base a lo anterior, los SOC recogen, correlacionan y gestionan eventos, registros, alertas, logs, etcétera. Detectan con alertas tempranas, siempre que se pueda, y detienen y analizan los ataques e incidentes que puedan sufrir estas infraestructuras. No siempre pueden, pero su objetivo es detenerlos. Desde el SOC también se recuperan los sistemas, en caso de caídas, daños y demás problemas e incidentes como resultado de los ataques. Un SOC también realiza la gestión de vulnerabilidades que pueda haber en los sistemas de información que está cubriendo. Hay SOC, incluso, también, que se encargan de garantizar el cumplimiento de diferentes normativas de seguridad. Un SOC también puede hacerse cargo de la seguridad en cuanto a la propiedad intelectual y a la privacidad. Ah, bueno, y también realiza análisis forenses de ciberseguridad, esto es muy importante. Es decir, que hay muchas tareas, pero estas que te he comentado puedes considerarlas como las más comunes. Ahora bien, cada empresa es un mundo y puede decidir en un momento concreto llevar a cabo unas funciones y otras no, por ejemplo. ¿Has aprendido con este vídeo? Pues suscríbete y dale sin falta a la campanita que haya a su derecha si quieres acceder a más vídeos como este. Y dale bien fuerte al like, hasta que se ponga azul si te ha gustado este contenido. Y hasta aquí el vídeo de hoy, un saludo y hasta el próximo.
