Gestionar la seguridad de la información en una organización no es una tarea que se limite a generar políticas, cambiar configuraciones en los firewall y analizar que las firmas de antivirus estén al día. Ante los cada vez más especializados ataques (APT – Advance Persistent Threat) que atentan contra la seguridad de la información es necesario establecer infraestructuras más robustas, arquitecturas de comunicaciones mayor protegidas y procedimientos que no sólo sean de calidad sino también seguros.

Esto lleva a las organizaciones a un estado donde es necesario invertir constántemente en IT y seguridad, pero mucho se queda en sólo inversión, sin embargo, temas como el manejo, correcta configuración, monitoreo, seguimiento y análisis del éxito de los controles y tecnologías implementadas a través de dichas inversiones no se realiza correctamente o no se realiza, es aquí cuando aparece el concepto de SOC, Security Operations Center.

Para entender de la mejor forma la idea de un SOC es necesario comprender que no se trata sólo de un servicio o proceso de monitoreo que todo esté bien o que los antivirus estén actualizados, va más allá y como lo plantean varios autores, la idea central de un SOC es gestionar el riesgo que pueda afectar la seguridad de la información y por ende la seguridad informática. Para que esto sea posible es necesario definir que lineamientos regirán al SOC, como se estructurará, que jerarquías se deben manejar y por supuesto, los alcances de las actividades a realizar.

Es de vital importancia que si se desea monitorear, vigilar o regular el uso de recursos, información o acceso exista una o varias políticas que estipulen ese requerimiento ejecutivo para poder así justificar la implementación o contratación de servicios que se encarguen de hacer cumplir las políticas. Un ejemplo de ello puede ser la política que se desarrolla en la organización para evitar la fuga de información y por consiguiente la implementación de un sistema de Data Loss Prevention. Así bien, con la existencia de las políticas, ya está expuesta la necesidad de establecer los controles y vigilar su cumplimiento, es aquí donde el SOC aparece como centro de operaciones de seguridad donde estas tareas se llevarán a cabo.

¿Qué se debe gestionar, monitorear o hacer seguimiento?

El abanico de posibilidades es amplio y varía de acuerdo al tipo de negocio y sus actividades. Entre las opciones se pueden encontrar:

• Monitoreo de disponibilidad de plataformas y servicios

• Monitoreo de integridad de información en plataformas y servicios

• Protección perimetral ante atacantes e intrusiones

• Gestión de sistemas de protección de datos (DLP – Antivirus – entre otros)

• Gestión de vulnerabilidades de plataformas (Pruebas periódicas)

• Gestión de eventos e incidentes de seguridad (A modo de un CSIRT)

• Gestión de dispositivos y plataformas de seguridad y comunicaciones (En conjunto con el NOC – Network Operations Center)

• Entre otros…

Observando estas posibilidades también es necesario recalcar la importancia de los tiempos de respuesta, cadena y canales de comunicación. Un ejemplo para proyectar esta idea consiste en el caso de encontrarse en proceso un ataque de denegación de servicio contra la infraestructura de la organización. El SOC debe informar a los dueños de la información o de los recursos para que estos realicen acciones correctivas, si no se informa a tiempo puede llegar a afectar la organización y esto a su vez verse reflejado en materialización de amenazas que generan riesgo reputacional o de la imagen, riesgos económicos, por nombrar algunos.

A nivel técnico, al hablar de componentes de un SOC ya entra en detalle a revisar soluciones tales como SIEM (Correlacionadores de eventos), sistemas de monitoreo de servicios y plataformas, consolas centralizadas de análisis de tráfico, sistemas de IDS, IPS, HIDS, sistemas para gestión de incidentes. Todo esto coordinado por recurso humano capacitado con amplios conocimientos de temas de seguridad informática, gestión de eventos, incidentes, hacking, entre otros.

Finalmente, así como se indicó anteriormente, la idea del monitoreo es evidenciar el cumplimiento de las políticas, es por ello que la generación de los informes y reportes son la forma de recopilar toda aquella información obtenida a través de los procesos realizados por el SOC y determinar que tanto se está logrando con los controles implementados, permitir a la alta gerencia conocer el cumplimiento de las políticas y establecer acciones de mejora o inversión para lograr las metas esperadas.

Como recomendaciones acerca de como estructurar, identificar necesidades y servicios adicionalmente de consejos de implementación y para contratación recomiendo los siguientes documentos complementarios:

• Security Operation Center Concepts & Implementation – Renaud Bidou

• Building a Security Operations Center for little or no money – Josh Pyorre (Defcon 18)

• Implementing a Security Operations Center – Park Foreman