Contenido
Security Operations

Cargos y responsabilidades del centro de operaciones de seguridad (SOC)

Contenido

Un centro de operaciones de seguridad, o SOC, es una unidad de negocio u organizativa que se ocupa de las operaciones de seguridad para gestionar y mejorar la estrategia de seguridad general de una organización. Su principal función es detectar y analizar los eventos en materia de ciberseguridad (como las amenazas y los incidentes), así como responder a ellos, utilizando recursos humanos, procesos y tecnologías. Se encarga de gestionar la infraestructura de seguridad y de configurar e implementar varias soluciones, herramientas y productos de seguridad. Como ocurre en otras unidades organizativas, dentro de un SOC hay varios cargos y responsabilidades, desde analistas de nivel 1 hasta cargos especializados, como los expertos en búsqueda de amenazas.

El equipo del SOC: cargos y responsabilidades

Los cargos principales que solemos encontrar en los centros de operaciones de seguridad son analistas del SOC de distinto nivel y gestores especializados. En sus estudios, Manfred Vielberth, Fabian Böhm, Ines Fichtinger y Günther Pernul hablan de estos cargos principales (cada uno con su propio conjunto de competencias profesionales) en un equipo del SOC:

Nivel 1 — Especialista en clasificación: los analistas de nivel 1 se ocupan principalmente de recopilar datos sin procesar, así como de revisar las alarmas y alertas, para luego confirmar, determinar o ajustar su nivel de severidad, y contextualizarlas con los datos pertinentes. El especialista en clasificación tiene que observar cada alerta y decidir si está justificada o si se trata de un falso positivo, pues el mal de alertas es un gran problema. Otra responsabilidad de este cargo es la detección de otros eventos de alto riesgo y posibles incidentes, que se deben priorizar según su nivel de gravedad. Si los problemas que se producen no se pueden resolver en este nivel, deben derivarse a los analistas de nivel 2. Los especialistas en clasificación suelen ocuparse, además, de gestionar y configurar las herramientas de supervisión.

Nivel 2 — Especialista en respuesta a incidentes: en el nivel 2, los analistas revisan los incidentes de seguridad de mayor prioridad que les han derivado los especialistas en clasificación y realizan una evaluación más a fondo utilizando para ello la inteligencia sobre amenazas (indicadores de riesgo, reglas actualizadas, etc.), con el fin de determinar el alcance del ataque y saber qué sistemas se han visto afectados. Los datos de telemetría sobre el ataque sin procesar recopilados en el nivel 1 se transforman en inteligencia sobre amenazas práctica en este segundo nivel. Los especialistas en respuesta a incidentes se ocupan de diseñar e implementar estrategias para contener los incidentes y recuperarse de sus efectos. Si un analista de nivel 2 tiene graves problemas para detectar o mitigar un ataque, consulta a otros profesionales de su mismo nivel o bien deriva el incidente al nivel 3.

Nivel 3 — Especialista en búsqueda de amenazas: los analistas de nivel 3, que son los profesionales del SOC con más experiencia, gestionan los incidentes de gran envergadura que les derivan los especialistas en respuesta a incidentes. También realizan, o al menos supervisan, evaluaciones de vulnerabilidades y pruebas de penetración para identificar posibles vectores de ataque. Su responsabilidad más importante es detectar de forma proactiva posibles amenazas, lagunas de seguridad y vulnerabilidades que tal vez se desconozcan. Conforme adquieren conocimientos acerca de una posible amenaza para los sistemas, también deberían recomendar formas de optimizar las herramientas de supervisión de la seguridad implementadas. Además, estos cargos revisan las alertas de seguridad críticas, la inteligencia sobre amenazas y los demás datos de seguridad que les proporcionen los analistas de nivel 1 y 2.

Gerente del SOC: los gerentes del SOC supervisan el equipo de operaciones de seguridad. En caso de necesidad, proporcionan orientaciones técnicas, pero su responsabilidad más importante es la gestión del equipo, con todo lo que conlleva: contratación, formación y evaluación de los miembros del equipo; creación de procesos; evaluación de informes sobre incidentes, y desarrollo e implementación de planes de comunicación de crisis. Asimismo, supervisan los aspectos financieros del SOC, colaboran con las auditorías de seguridad y responden ante el director de seguridad de la información (CISO) o un alto directivo correspondiente.

Además de los niveles ya mencionados, existen varios cargos técnicos y especializados, como los siguientes:

  • Los analistas de malware o especialistas en ingeniería inversa ayudan a responder a las amenazas sofisticadas aplicando al malware ingeniería inversa para proporcionar información útil para las investigaciones de los incidentes, facilitan al SOC inteligencia sobre amenazas y mejoran las tareas futuras de detección y respuesta.
  • Los especialistas en búsqueda de amenazas (que se corresponden con el nivel 2) buscan amenazas dentro de la organización de forma proactiva. Aunque también los analistas de nivel 3 se ocupan de esta tarea, estos profesionales cumplen funciones especializadas como revisar los logs, buscar amenazas de manera proactiva o investigar fuera de la organización analizando la inteligencia sobre amenazas disponible públicamente.
  • Los analistas o especialistas forenses investigan y estudian los delitos o eventos cibernéticos relacionados con los sistemas de tecnología de la información (TI), las redes y las pruebas digitales.
  • Los gestores de vulnerabilidades se ocupan continuamente de detectar, evaluar, gestionar y corregir las vulnerabilidades presentes en los endpoints, las cargas de trabajo y los sistemas, así como de informar sobre ellas.
  • Consultores: los dos cargos más importantes de esta categoría son el arquitecto de seguridad y el consultor de seguridad. El primero planifica, estudia y diseña una infraestructura de seguridad sólida para la empresa. Realiza periódicamente pruebas de vulnerabilidad y de sistemas, además de implementar mejoras o supervisar su implementación. También se ocupa de establecer los procedimientos de recuperación. Los consultores de seguridad suelen estudiar los estándares de seguridad, los sistemas de seguridad y las prácticas recomendadas al respecto. Están capacitados para facilitar a la organización una visión general del sector y para comparar las capacidades actuales del SOC con las de la competencia. Por último, ayudan a planificar, estudiar y diseñar arquitecturas de seguridad sólidas.

¿Cuál es la función del centro de operaciones de seguridad (SOC)?

Los SOC se crearon para facilitar la colaboración entre el personal de seguridad y se centran en la supervisión y el envío de alertas, lo cual pasa por recopilar y analizar datos para detectar actividad sospechosa y mejorar la seguridad de la organización.

El SOC agiliza el proceso de gestión de incidentes de seguridad, además de ayudar a los analistas a clasificar y resolver los incidentes de manera más eficiente y eficaz. En el mundo digitalizado en el que vivimos, el SOC puede encontrarse en las instalaciones de la empresa o en la nube (un SOC virtual), el personal que lo compone puede ser interno o externo (por ejemplo, cuando se recurre a un MSSP o a un servicio MDR) y también se puede optar un modelo híbrido.

Los SOC ofrecen una protección continua gracias a la supervisión ininterrumpida y a la visibilidad que proporcionan de los activos cruciales presentes en toda la superficie de ataque. También brindan una respuesta rápida y eficaz, con una reducción del tiempo que pasa desde que tiene lugar el ataque hasta el momento de la detección.

 

¿Cuáles son las prácticas recomendadas que conviene seguir para garantizar el éxito del equipo del SOC?

Ahora que la seguridad se está convirtiendo en un tema de interés a nivel ejecutivo, las organizaciones se plantean si necesitan un SOC y, en caso afirmativo, de qué tipo y con qué componentes. Aunque no hay directrices específicas para ayudar a las organizaciones a decidir, sí que existen prácticas recomendadas para sopesar las distintas opciones y garantizar el cumplimiento normativo.

Independientemente de que se opte por crear un SOC físico, adoptar un modelo híbrido dividido entre la nube y las instalaciones de la empresa o establecer una colaboración externa, siempre hay que tener en cuenta ciertas directrices básicas. Antes de empezar, es importante (para garantizar el éxito) que el proyecto cuente con un «defensor» o patrocinador de nivel ejecutivo, que esté respaldado por un caso de uso sólido y que disponga de presupuesto a largo plazo. Independientemente de la forma que adopte el SOC, los equipos de seguridad tienen varios modos de garantizar su éxito.

Optimización de los equipos de seguridad prestando atención a la plantilla y los recursos humanos

Por encima de las inversiones en herramientas y soluciones de seguridad, el elemento decisivo para el éxito de un SOC sigue siendo el factor humano. Aunque sin duda el aprendizaje automático y la automatización están llamados a mejorar cuestiones como los tiempos de respuesta, la precisión y la corrección de problemas (en especial cuando se trata de tareas básicas repetitivas), atraer, formar y conservar a buenos profesionales de la seguridad (ingenieros, analistas, arquitectos, etc.) debe ser parte integral de cualquier estrategia de SOC cohesionada.

Potenciación de los equipos con la automatización y el aprendizaje automático

Aproveche al máximo el aprendizaje automático y la automatización para complementar y potenciar la labor de quienes velan por la seguridad de la organización. Gracias a los análisis avanzados y a la inteligencia artificial, se puede reducir de forma considerable el tiempo que dedican los equipos a procesar ingentes cantidades de datos en la empresa para obtener información crucial para la seguridad. Al automatizar la detección de patrones anómalos en las distintas fuentes de datos y, además, contextualizar automáticamente las alertas, hoy el aprendizaje automático cumple la promesa de acelerar las investigaciones y eliminar los ángulos muertos.

Automatización de los flujos de trabajo

Para acelerar la investigación de incidentes, los expertos en seguridad pueden identificar aquellas tareas básicas y repetitivas a las que se pueda aplicar la automatización, aunque requieran intervención humana a la hora de tomar las decisiones. Como las operaciones de seguridad y la respuesta a incidentes (IR, por sus siglas en inglés) conllevan demasiados procesos manuales y exigen supervisar una gran cantidad de fuentes de inteligencia sobre amenazas, invertir en funciones de automatización como las de las soluciones SOAR puede resultar útil para orquestar las acciones de los distintos productos con el fin de aumentar la velocidad y la escalabilidad de la IR.

Auditorías del entorno para reducir los riesgos relacionados con la proliferación de herramientas

A consecuencia de las fusiones y adquisiciones y la falta de estandarización de productos de seguridad similares entre sí, muchas organizaciones acaban cargando el peso de una gran cantidad de herramientas dispares entre sus soluciones de seguridad. Uno de los primeros pasos que puede dar una organización para reducir el impacto que tiene la proliferación de herramientas en la seguridad es auditar las entidades y los sistemas protegidos. Así, sabrá exactamente qué se está protegiendo y qué se está evitando (p. ej., la propiedad intelectual o la información personal de los clientes). Al identificar todos los recursos posibles, ya se trate de software o de activos físicos, a la organización le resultará más fácil priorizar la protección de los datos más valiosos y de mayor riesgo. El hecho de contar con esta visibilidad integral puede ayudar a detectar carencias y posibles vectores de amenazas.

¿Quiere aprender los aspectos básicos de un centro de operaciones de seguridad? Lea nuestro artículo ¿Qué es un SOC?.

Preguntas frecuentes sobre los cargos y las responsabilidades del SOC

Gerente del SOC: supervisa las operaciones del SOC y garantiza la eficacia de la gestión de incidentes.
Analista de seguridad: supervisa y analiza el tráfico de la red, detecta amenazas y responde a los incidentes.
Especialista en respuesta a incidentes: interviene durante los incidentes de seguridad para mitigar los daños y restablecer las operaciones habituales.
Especialista en búsqueda de amenazas: busca de manera proactiva amenazas ocultas dentro de la red.
Ingeniero de seguridad: se ocupa del mantenimiento y la optimización de la infraestructura y las herramientas de seguridad.
Gestionar el equipo del SOC: garantizar que los recursos, la formación y el rendimiento sean adecuados.
Desarrollar e implementar procedimientos y políticas de seguridad: definir los protocolos para la respuesta a incidentes, la gestión de vulnerabilidades y el cumplimiento normativo en materia de seguridad.
Coordinar las tareas de respuesta a incidentes: liderar y supervisar la respuesta a los incidentes de seguridad.
Garantizar el cumplimiento de los requisitos normativos: asegurarse de que se respeten los estándares y las normativas de seguridad pertinentes.
Informar sobre el rendimiento y las actividades del SOC: informar periódicamente a los altos directivos acerca de las operaciones y la eficacia del SOC.
Analizar las alertas de seguridad y determinar su validez: evaluar la gravedad y el posible impacto de los eventos de seguridad.
Investigar los incidentes de seguridad y responder a ellos: identificar la causa original, contener la amenaza y restablecer las operaciones habituales.
Llevar a cabo evaluaciones de vulnerabilidades y recomendar medidas de mitigación: identificar los puntos débiles en materia de seguridad y recomendar soluciones al respecto.
Estar al día de la inteligencia sobre amenazas más reciente: mantenerse al tanto de las amenazas emergentes y las nuevas técnicas de ataque.
Documentar los incidentes y elaborar informes: llevar registros detallados de los eventos de seguridad y facilitar informes exhaustivos a las partes interesadas.
Responder con rapidez a los incidentes de seguridad detectados: actuar de inmediato para contener y mitigar las amenazas.
Analizar el impacto y el alcance de los incidentes: evaluar la magnitud de los daños y averiguar qué sistemas se han visto afectados.
Trabajar de forma coordinada con otros equipos para contener y erradicar las amenazas: colaborar con recursos internos y externos para garantizar que los incidentes se resuelvan con eficacia.
Realizar análisis y elaborar informes después de los incidentes: identificar las causas originales, sacar conclusiones de lo ocurrido y ofrecer recomendaciones para mejorar.
Desarrollar y mantener planes de respuesta a incidentes: definir procedimientos y protocolos para lidiar con distintos tipos de incidentes de seguridad.
Conocimientos avanzados sobre las ciberamenazas y las técnicas de ataque: conocer los distintos actores detrás de las amenazas, sus motivaciones y sus métodos de ataque.
Dominio del uso de las tecnologías y herramientas de búsqueda de amenazas: utilizar herramientas especializadas para el análisis y la detección proactivos de las amenazas.
Competencias sólidas de análisis y solución de problemas: identificar patrones, anomalías y posibles indicadores de riesgo.
Experiencia en análisis forenses e ingeniería inversa de malware: investigar las actividades sospechosas y extraer información crítica de los sistemas afectados.
Excelentes capacidades de comunicación y elaboración de informes: comunicar con eficacia las conclusiones y recomendaciones tanto al personal técnico como a quienes carecen de conocimientos técnicos.

Contenido relacionado

  • ¿Qué es un SOC?

    Los centros de operaciones de seguridad pueden ser de distintos tipos y perseguir objetivos diferentes.

  • Cortex XSIAM

    La inteligencia de seguridad y gestión de la automatización ampliadas (XSIAM) es un enfoque revolucionario que brinda al SOC moderno una mejor seguridad con un modelo operativo de ...

  • La modernización del SOC y el papel de la tecnología XDR

    Lea este informe de ESG para conocer los principales retos y prioridades de los equipos de SecOps.

  • Cómo prepararse ya para el SOC del futuro

    Modernice el SOC con cuatro medidas que puede adoptar de inmediato para mejorar la eficiencia y tres tecnologías de seguridad que resultan fundamentales a la hora de preparar el SO...

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas