Dado el aumento, la evolución y complejidad de los incidentes de ciberseguridad que se están produciendo en estos últimos años, se hace necesario disponer de los conocimientos, recursos tecnológicos y expertos necesarios para hacerles frente o evitarlos en lo posible. Son los llamados Centros de Operaciones de Ciberseguridad que algunas empresas e instituciones ya poseen.
Tipos de infraestructuras y su complejidad
Hoy en día la mayoría de las empresas han implementado en mayor o menor medida diferentes infraestructuras y/o tecnologías de protección frente a posibles amenazas cibernéticas:
- Infraestructuras de protección perimetral como cortafuegos (NGFW), proxies de navegación segura, mecanismos de control de identidad y acceso a las aplicaciones, VPN’s para acceso remoto, etc.
- Infraestructuras de protección para entornos específicos como pueden ser: Protección de red como detectores de anomalías IPS; protección correo, antispam, etc; protección al usuario y servidores: antivirus-endpoint (EPP/EDR), Sandbox, protección para almacenamiento y backup, Protección DLP para evitar fugas de información, etc.
Con la irrupción de los proveedores de infraestructuras cloud y las aplicaciones alojadas en ellos (Gmail, Office365, OnDrive, Teams, Sharepoint, G-suite, Saleforce etc.) el perímetro clásico en el ámbito IT desaparece como tal, lo que nos exige añadir controles o tecnologías (SASE) que permitan gestionar la seguridad de los datos, las aplicaciones cloud con los que interaccionan los mismos, el control de acceso, la identidad de los usuarios y los dispositivos con los que se conectan, etc. En definitiva, se añade complejidad.
Todas estas tecnologías y controles precisan de unos mecanismos de gestión, operación y análisis rigurosos y continuados en el tiempo para discernir el grano de la paja o, lo que es lo mismo, los eventos que son críticos de los que no los son. Implican, además, poseer un conocimiento especializado que permita interpretar y contextualizar, en el ámbito de la ciberseguridad, los eventos y alertas generados para su categorización adecuada, su análisis y detección de posibles ataques (o negligencias), además de los mecanismos de respuesta en caso de necesidad.
5 problemáticas habituales que podrían solucionarse a través de un SOC
La experiencia de 16 años de OPEN3S en el ámbito de la ciberseguridad con nuestros clientes nos permite exponer las problemáticas habituales en muchas empresas:
- El número de alertas generado por las diferentes tecnologías de ciberseguridad implantadas, que excede la capacidad de análisis del personal de IT de la empresa. En algunos casos no hay tiempo material para la operativa diaria de las mismas.
- La evolución y sofisticación de los ataques de ciberseguridad, que exigen un nivel alto de conocimientos especializados y una actualización continua de los mismos. Muchas empresas no tienen la capacidad ni los recursos para estar al día en este entorno y, además, tampoco es el objeto de su actividad.
- La falta de conocimiento especializado, que hace más problemático el disponer de personal cualificado para las tareas antes expuestas y, sobre todo, para responder adecuadamente a una situación de emergencia.
- Las dificultades para mantenerse al día de la evolución tecnológica, especialmente las relacionadas con anticiparse a técnicas de ataque y malware desarrolladas por organizaciones cibercriminales.
- El marco regulatorio y su evolución (RGPD, etc.) añade presión para instaurar mecanismos y acciones de protección de la información.
Qué es Virtual SOC y cómo da respuesta a problemáticas habituales
Por todo ello, OPEN3S estableció el servicio externalizado de Centro de Operaciones de Ciberseguridad (V-SOC), para dar respuesta a estas problemáticas habituales, proporcionando a nuestros clientes:
- Un servicio de monitorización continua de la ciberseguridad para nuestros clientes (24×7), de forma remota, para informar en tiempo real de la situación de las infraestructuras relacionadas y la postura (situación) de ciberseguridad de los entornos IT y sus usuarios.
- El conocimiento, los recursos y experiencia necesarios para analizar, detectar y responder ante posibles ataques en tiempo y forma, incluyendo la asistencia “in situ” en caso de necesidad para dar respuesta a incidentes.
- La utilización de mecanismos de automatización y categorización de alertas, empleando técnicas de Machine Learning e Inteligencia Artificial, que nos permiten concentrar los recursos y análisis en las alertas realmente importantes o sospechosas y descartar los falsos positivos.
- La tecnología necesaria para desplegar y reaccionar ante un ataque y poder ejecutar las tareas de remediación en cada caso.
- El análisis continuo de las nuevas técnicas de ciberataque, así como de la evolución de las tecnologías de ciberdefensa más novedosas del mercado.
- El acceso a fuentes de ciberinteligencia e información relacionada que dan contexto a nuestros servicios de prevención de amenazas.
- La posibilidad de externalizar la gestión y administración de las infraestructuras de ciberseguridad para su operativa diaria.
- La consideración de opciones de mejora acordes a la viabilidad de los objetivos en materia de ciberseguridad y continuidad del negocio.
- La optimización y escala de costes, adaptado a la realidad de cada cliente.
- Una medida compensatoria en materia de ciberseguridad, ya que el servicio Virtual SOC es considerado como tal en el marco regulatorio europeo actual.
En resumen, desde Open3s aseguramos la máxima tranquilidad de nuestros clientes a través del servicio externalizado y especializado Virtual SOC, que tiene como objetivo velar por los intereses de las empresas en materia de ciberseguridad.
Autor: J.Mª Cugat Account Manager en Open3S