Por Oscar Jara. Jefe de Área SOC – NOC Infocorp
Primero fue el centro de operaciones de la red – NOC. Su implementación o externalización es una realidad en prácticamente todas las empresas medianas o grandes que cuenten con más de una oficina o sitio. Luego, vemos que muchas empresas consolidan sus funciones de seguridad en un nuevo centro de operaciones llamado SOC (Security Operation Center). Entonces nos preguntamos, ¿Necesito un SOC si ya tengo un NOC?
Sabemos los beneficios de monitorear la red en tiempo real y como el NOC nos permite realizar las acciones que correspondan en caso de incidentes, pero ¿Cuáles son los beneficios de un SOC? En realidad son varios, pero aquí destaco los que mi juicio son los principales beneficios de contar con un SOC:
- Permitir una más rápida y mejor detección de ataques de seguridad que puedan afectar la plataforma tecnológica de la empresa.
- Mejora el tiempo de respuesta como de solución de los incidentes de seguridad.
- Resguardar de mejor forma los datos confidenciales de la empresa y de sus clientes.
- Evitar la fuga de información importante de la empresa y de sus clientes.
- Potencia la especialización del personal encargado de atender la plataforma de seguridad.
- Permite un mayor conocimiento del entorno, al centralizar los equipos técnicos especializados en seguridad
- Estar preparados ante nuevos ataques y amenazas que puedan afectar la continuidad operativa de la empresa.
Estos beneficios, se pueden obtener asignado al SOC tareas como:
- Administración de Firewalls:
- Administración de IDS e IPS.
- Análisis de logs y correlación de eventos.
- Análisis de Vulnerabilidades.
- Tests de Ataque y Penetración.
- Auditoría de Redes Internas.
- Manejo soluciones de Filtrado de Contenido.
- Antivirus y Anti-spywares de servidores y de workstations.
- Administración de Soluciones de Autentificación.
Ahora bien, no hay una regla o estándar que defina cuando una empresa necesita realmente un SOC, pero de acuerdo a nuestra experiencia, su organización debería estar considerando ya la implementación o contratación de este nuevo centro de operaciones, si se da algunas de las siguientes situaciones:
- La compañía tiene dispositivos de seguridad en distintas ubicaciones geográficas
- No se están detectando ni respondiendo a las amenazas en forma efectiva.
- Los responsables de seguridad pasan más tiempo gestionando incidentes que gestionando otros aspectos de la seguridad
- No ha existido una coordinación entre los distintos equipos técnicos, llegando incluso a que distintos equipos gestionen el mismo incidente.
Si en su empresa ocurren algunas de estas situaciones, entonces lo invito a realizar una nueva pregunta. ¿Obtengo mejores resultados implementando un SOC propio o contratando el servicio externalizado?
