Con la prevalencia de los problemas de ciberseguridad en el mundo actual, es necesario establecer un marco práctico para proteger los datos de su organización de cualquier amenaza potencial. Para ello, necesita un centro de operaciones de seguridad (SOC). Se trata de una entidad dentro de su organización compuesta por personas, procesos y herramientas que monitorean, protegen y mejoran la seguridad de sus sistemas de TI.
Entonces, ¿cómo se configura un SOC eficaz? Aquí hay cuatro pasos críticos para su consideración.
Construya un equipo calificado
Debe contar con suficiente personal con las habilidades necesarias para detectar, contener y responder a una violación de datos. Necesitarás:
- Especialistas en triaje: analizan la relevancia y gravedad de las alertas entrantes.
- Respondedores de incidentes: utilizan herramientas de inteligencia de amenazas para identificar y reparar los sistemas afectados.
- Cazadores de amenazas: identifican y contienen amenazas que pueden haberse infiltrado en su red sin ser detectadas.
- Gerentes de SOC: supervisan las actividades del equipo y realizan tareas de gestión general, como contratación, capacitación y evaluación del personal.
A pesar de los beneficios asociados con un equipo de este tipo en su organización, crear un equipo SOC interno puede resultar costoso, especialmente si opera una pequeña empresa. Tendrás que considerar sus sueldos, el espacio para montar el puesto de operaciones, el equipamiento, etc.
Por este motivo, es posible que desee subcontratar proveedores de servicios gestionados (MSP), como los servicios de TI de Netsurit en Nueva York . Estas empresas de consultoría le proporcionarán servicios SOC expertos a tarifas mensuales fijas razonables.
Establecer procedimientos operativos estándar
Este paso implica el establecimiento de los procedimientos necesarios para supervisar la protección general de los activos físicos y digitales de su empresa. Los procedimientos actúan como una lista de verificación para los procesos de mantenimiento. Por este motivo, debes establecerlos con mucha consideración para cubrir todas las áreas de seguridad. Son muy importantes, ya que ofrecen claridad sobre las responsabilidades de cada miembro del equipo, garantizando así la eficiencia del departamento de seguridad. Los procesos se dividen en las siguientes categorías:
- Observando
- alertando
- Reenvío
- investigando
- Informe de incidentes
- Monitoreo de cumplimiento
Para garantizar una transición fluida del flujo de trabajo, debe conocer los puntos finales de sus tareas, de modo que, en caso de un ataque, sepa en qué parte del proceso debe centrarse y en qué medida. Saber qué papel desempeñar le permitirá pasar los resultados a la siguiente fase de operaciones en el momento adecuado.
Reúna las herramientas necesarias
Para detectar y responder eficazmente a las ciberamenazas , es necesario contar con el conjunto de herramientas adecuado. Para ello, debe establecer tecnologías rentables y de calidad que garanticen la transparencia y el flujo de información a través de sus redes.
Las tecnologías deben estructurarse en base a:
- Su entorno operativo. Puede ser en la nube, interno o híbrido.
- El tipo de amenazas a las que se enfrenta, como phishing, malware, descifrado de contraseñas y más.
- Las regulaciones de cumplimiento que se espera que respete, como la Organización Internacional de Normalización (ISO), la Ley de Responsabilidad y Portabilidad de Seguros Médicos de 1996 (HIPAA), el Reglamento General de Protección de Datos (GDPR), etc.
Debe comprender cómo están conectadas sus herramientas para poder encontrar formas de optimizar el flujo de datos dentro de su sistema. Esto es importante, ya que en caso de una violación de datos, podrá identificar el punto de la pérdida de datos.
Algunas herramientas incluyen:
- Herramientas de descubrimiento de activos: un inventario automatizado detectará cualquier activo nuevo en el sistema.
- Herramientas de evaluación de vulnerabilidades: estas herramientas identifican las superficies de ataque (vulnerabilidades) y las cierran antes de que escale.
- Herramientas de monitoreo del comportamiento: un buen ejemplo de esto es el Forensic Toolkit (FTK), que identifica anomalías en su sistema.
- Detección de intrusiones: utilice sistemas de detección de intrusiones (IDS) para identificar ataques conocidos y actividades conocidas de los atacantes.
- Herramientas de gestión de eventos e información de seguridad (SIEM): cubren todo el alcance de la monitorización incorporando todas las herramientas de monitorización. Supervisan varios sistemas, incluidos escáneres de aplicaciones y bases de datos ; detección y remediación de puntos finales (EDR); sistemas de gobernanza, riesgo y cumplimiento (GRC); plataformas de inteligencia de amenazas (TIP); sistemas de prevención de intrusiones (IPS); y análisis del comportamiento de usuarios y entidades (UEBA).
Revise sus operaciones SOC
En este paso, debe revisar el éxito de sus operaciones SOC. Además, debe identificar las áreas débiles y mejorarlas. Para analizar su SOC, debe hacer lo siguiente:
- Determine el alcance del proceso de revisión y forme un equipo para el proceso.
- Establecer una metodología concisa para guiar el proceso de revisión.
- Determinar la frecuencia de revisión. Preferiblemente debe realizarse cada pocas semanas.
- Priorizar resultados y pasos de acción que implementen los cambios necesarios.
Para revisar eficazmente su SOC, puede utilizar un marco de indicadores clave de rendimiento (KPI) de su empresa . Un desempeño deficiente en la báscula es una indicación de la necesidad de revisar y actualizar su sistema SOC.
Conclusión
Para proteger su empresa de los ciberataques, debe configurar un centro de operaciones de seguridad eficaz. Si no tiene recursos suficientes para hacer esto, puede subcontratar servicios de consultoría de TI.
Este artículo destaca los pasos principales que debe seguir para configurar un sistema SOC funcional y que lo abarque todo. Debe contratar personal capacitado y capacitarlo, definir los procesos necesarios para ejecutar el SOC, incorporar tecnologías actualizadas y realizar actualizaciones y revisiones del sistema. De esta manera, tendrás un potente sistema SOC que mantendrá seguros los activos de tu negocio.
