Blog B-SECURE

¿Cómo elegir un SOC? 3 aspectos que van más allá del costo

soc-8El panorama de la seguridad digital pareciera no ser muy alentador para las organizaciones. Diariamente surgen informes que indican el crecimiento exponencial de vulnerabilidades, ransomware, ataques DDoS, nuevos malwares, etc. Lo preocupante es que las malas noticias no dejan de llegar. Tenemos en el mundo una escasez de ingenieros y en particular de expertos en seguridad de la información con la capacidad de combatir estas amenazas.

En un abrir y cerrar de ojos dejó de ser suficiente un firewall y un antivirus para estar relativamente protegidos. Ahora se requieren IPS, WAF, MFA, ADC, PAM y tantas otras tecnologías con acrónimos que nunca acabamos de aprendernos. Como si fuera poco, con el ánimo de proteger la economía, seguridad nacional o a las personas en general, las industrias y gobiernos han establecido regulaciones que presionan a las organizaciones a establecer controles de seguridad más avanzados.

Todos estos factores han llevado a que las organizaciones se planteen la subcontratación de algunas de las funciones de seguridad, entregándolas a proveedores especializados comúnmente conocidos como proveedores de servicios de SOC. El Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) no es más que la centralización de un conjunto de tecnologías, personas y procesos que en coordinación prestan una serie de servicios de seguridad de la información.

Escoger un proveedor de SOC es una decisión clave que debe realizarse de una forma concienzuda pues serán una extensión de su equipo de seguridad y los responsables de realizar en muchos casos tareas como el análisis y reducción de la superficie de ataque, detección de amenazas y coordinación y ejecución de respuesta ante incidentes, entre otros. A continuación, algunos aspectos clave a tener en cuenta en la evaluación y selección de su proveedor:

Soporte tecnológico de un SOC                                                                                    

Quizás la tecnología más conocida, y parte fundamental de un SOC, sea el SIEM. Aunque lleva un par de décadas en los anaqueles de arsenales de ciberseguridad fue hace unos años atrás que las organizaciones empezaron a tenerlos en cuenta más recurrentemente. Sus capacidades básicas son el manejo de logs, la correlación y el alertamiento. Sin embargo, han evolucionado y hoy muchos fabricantes han integrado funciones como automatización y orquestación (SOAR), análisis basados en aprendizaje automático (Machine Learning) o análisis de comportamiento de entidades y usuarios (UEBA), entre otros.

Revise que su proveedor cuente con una solución que no solo resuelva los requerimientos de hoy sino que se proyecte para acompañarlo en el camino de maduración de su estrategia de seguridad. Pregunte por funcionalidades que podría no usar inmediatamente pero que sería deseable integrar en un futuro próximo. Adicionalmente, averigüe cómo el SIEM que utiliza el proveedor facilita el análisis de los incidentes pues esto será clave para tener menores tiempos de respuesta frente a los incidentes.

CsocOjo, otras tecnologías son claves si además de servicios de monitoreo de ciberseguridad está buscando que su proveedor de SOC le ayude con la gestión de la infraestructura de seguridad o la revisión del estado actual y reducción de la superficie de ataque. Anote y pregunte si tienen herramientas de revisión de configuraciones y políticas, análisis de vulnerabilidades o parcheo virtual.

Foco en su negocio

Aunque es determinante que el SOC cuente con lineamientos para asegurar que todos los clientes sean atendidos con un estándar determinado, debe cerciorarse que el desarrollo del servicio girará en torno a sus necesidades específicas. Aun cuando dos empresas estén en el mismo sector o nicho no pueden ser tratadas de la misma forma. No me malinterprete, definitivamente una de las grandes ventajas de los proveedores de SOC es que se alimentan constantemente de las experiencias que tienen con otros clientes. Sin embargo, esto no debe ser una excusa para tratarlos a todos de la misma forma.

Busque un proveedor que asigne un analista de ciberseguridad dedicado a su organización. El mejor servicio provendrá de personas familiarizadas con sus sistemas, procesos, requisitos de cumplimiento y objetivos de seguridad. Deben convertirse en una extensión de su equipo y trabajar específicamente para usted. Tenga en cuenta además si incluyen la criticidad de sus activos para establecer niveles de riesgo en las alarmas, sus flujos de negocio o el desarrollo de casos de uso personalizados.

Madurez de los procesos

A menudo las organizaciones priorizan tecnología antes que personas y procesos. Sin embargo, esto puede tener un impacto negativo pues los procesos son la herramienta adecuada para llenar las brechas entre estos dos. Solo piense en qué guiará a los analistas a tomar decisiones sobre una investigación o un cambio en una tecnología.

Por otro lado, las organizaciones eficaces no están estancadas y los procesos son el habilitador clave en la definición de métricas que les permiten mejorar. Además, operacionalmente, un enfoque de proceso debería reducir las redundancias que conducen a una mejor utilización de los recursos y calidad del servicio.

Solicite a los proveedores que estén evaluando, pruebas de los procesos que han establecido. Como mínimo gestión de eventos e incidentes, gestión de investigaciones y gestión de cambios, problemas y requerimientos. No está de más preguntar si están alineados o certificados en ISO 9001, ISO 20000, CMMI SVC e ISO 27001. Estos estándares permiten fijar procesos establecidos, probados y en constante maduración.

 

Topics: CSOC