Consolidación del centro de operaciones de seguridad (SOC)
Hacer más con menos
Durante décadas, los centros de operaciones de seguridad (SOC, por sus siglas en inglés) tradicionales se han basado en un modelo que hoy ya no resulta eficaz. Y es que, con todos los cambios que han experimentado las organizaciones y las amenazas, ¿cómo va a seguir funcionando hacer las cosas a la vieja usanza?
Es hora de modernizar el SOC apostando por su consolidación, una medida que permitirá acelerar la corrección, reducir los riesgos, reforzar la estrategia de seguridad general y, en definitiva, obtener mejores resultados.
¿Qué es lo que ha cambiado en los SOC?
En los SOC tradicionales, los profesionales de la seguridad de TI se sientan unos al lado de otros frente a unas pantallas repletas de un sinfín de información que ofrecen vistas y datos procedentes de decenas y decenas de herramientas de seguridad y presentan una lista de alertas que se antoja interminable. En este modelo tradicional, el objetivo era intentar ganarle la carrera a las alertas y a la escasez de recursos, por más que estuviera perdida desde el mismo pistoletazo de salida.
Con la pandemia, muchos de los problemas de los SOC tradicionales se han agravado: los recursos están hoy más saturados que nunca y, con frecuencia, ya no es posible contar con la presencia física de todos los trabajadores del SOC. Además, las amenazas no dejan de proliferar y los incidentes de ciberseguridad se suceden a un ritmo sin precedentes.
Para adaptarse a la nueva realidad, los SOC de hoy en día han de apostar por la consolidación para poder hacer más con menos y optimizar sus prácticas en función de las circunstancias y las necesi- dades actuales y futuras.
Tres realidades problemáticas en los SOC tradicionales
Los SOC tradicionales se enfrentan a tres problemas principales que afectan negativamente a los resultados y debilitan la estrategia de seguridad.
Demasiadas alertas
En pocas palabras: los SOC tradicionales están tratando de gestionar un volumen de alertas im- posible de asumir. Este volumen desmesurado da lugar al llamado «mal de alertas», que ralentiza considerablemente las operaciones de la organización. Pero este no es el único peligro del exceso de alertas: además, se corre el riesgo de pasar por alto problemas que podrían revestir gravedad, ya que se pierden en todo ese ruido.
Superar este desafío pasa por mejorar la fiabilidad de las alertas, de modo que estas solo se generen en casos en los que exista un problema real. Y para ello hay que contar con los procesos y herramien- tas adecuados que permitan optimizar los logs y los datos que procesa el SOC.
Demasiados productos de seguridad
Un problema recurrente con el que nos encontramos es que los SOC utilizan una gran cantidad de productos de seguridad (unas decenas, por término medio).
También hemos visto organizaciones con cuatro o cinco agentes diferentes en el endpoint e incluso con varios tipos de cortafuegos. La magnitud del caos que esto genera es descomunal, ya que, cuan- do los distintos recursos de seguridad no se comunican entre sí, la confusión está garantizada. Por si fuera poco, el trabajo que requiere gestionar todas estas herramientas supone una complejidad añadida que el equipo, ya de por sí sobrecargado, desde luego no necesita.
Los SOC que consigan ser eficientes serán aquellos que no tengan piedad a la hora de cribar y priori- zar las herramientas que utilizan. Para ello, deben empezar por establecer los resultados que quieren obtener y, a continuación, determinar qué plataformas y soluciones necesitan para alcanzarlos. La clave del éxito de los SOC está en encontrar una plataforma común en la que todas las herramientas puedan entenderse y comunicarse entre sí.
Demasiados procesos manuales
Muchos SOC tradicionales utilizan procesos manuales en sus operaciones rutinarias y en la gestión de incidentes. El exceso de tareas manuales requiere un nivel de intervención humana y de arduo trabajo capaz de nublar la mente a cualquiera. Cuando se produce un incidente, en los SOC tradicio- nales siempre se repite la misma historia: se saca el libro de estrategias para consultar qué medidas manuales se tomaron la última vez que sucedió algo parecido y, a continuación, se siguen los mis- mos pasos también de forma manual.
Los procesos manuales son inflexibles, generan desgaste profesional entre los analistas del SOC y no están a la altura de la actividad frenética de los centros de operaciones de seguridad modernos. Además, hacen que resulte imposible alcanzar buenos tiempos de detección y respuesta.
Lo que hay que hacer es dejar el grueso de los procesos en manos del aprendizaje automático y la automatización, de modo que los recursos humanos puedan centrarse en las tareas más cruciales.
La consolidación del SOC abre la puerta a la transformación digital
El sector de las TI está apostando por entornos más homogéneos y por un mayor nivel de consolida- ción. Antes, cada entorno local de una empresa era radicalmente diferente a los demás en todos los sentidos. Ahora, las organizaciones están recurriendo a herramientas SaaS e IaaS consolidadas en el marco de una migración a la nube a gran escala que deja inservibles algunas de las soluciones locales que venían utilizando. Lo que hace falta son productos de seguridad de nueva generación basados en la nube que ayuden a lograr una gran eficiencia.
Ahora que las empresas están migrando a la nube y llevando a cabo su transformación digital, es el momento de redefinir las estrategias y de evaluar los productos y herramientas de seguridad que utiliza el SOC con un doble objetivo: determinar la rentabilidad de la inversión (ROI, por sus siglas en inglés) de cada uno de ellos y consolidar todas esas inversiones en seguridad en un conjunto de funciones clave que puedan definirse en una plataforma.
La consolidación del SOC contribuye a la prevención y la protección
En cualquier organización, la proliferación de herramientas es el enemigo número uno de la segu- ridad. Fijémonos, por ejemplo, en el incidente de seguridad Log4j que sorprendió a los SOC a finales de diciembre de 2021. Concretamente, se trató de un fallo de seguridad en una biblioteca de software ampliamente utilizada. En un SOC tradicional que ejecute entre 75 y 80 herramientas diferentes, detectar, corregir y proteger todos los activos vulnerables no es tarea fácil.
Consolidar el SOC para abandonar la multitud de herramientas en favor de una plataforma puede dar muy buenos resultados. Por ejemplo, protegerse de una vulnerabilidad como Log4j pasaría a ser una acción coordinada en lugar de una serie de procesos manuales independientes.
La consolidación del SOC favorece a los equipos de seguridad
Quizás lo más importante sea que apostar por la consolidación del SOC también puede reportar grandes ventajas al personal de la organización. Normalmente, trabajar en un SOC tradicional se ve como un trampolín hacia otros puestos relacionados con la ciberseguridad, y no como una profesión en sí. ¿Por qué? Porque los trabajadores del SOC suelen verse inundados de eventos, sometidos a muchísima presión y obligados a seguir unos procesos manuales y, muchas veces, caóticos.
Si trabajar en su SOC se considera una mera vía de acceso a otras trayectorias profesionales relacio- nadas con la ciberseguridad, su modelo está fallando estrepitosamente: el personal no se está vol- cando en crear un SOC de máxima eficacia, sino que se limita a cumplir sus obligaciones esperando el momento de cambiar a un puesto más prometedor.
Consolidar el SOC implica también renovar la forma en la que funciona y en la que trabaja el perso- nal. En lugar de tener a los trabajadores realizando siempre las mismas tareas repetitivas y abu- rridas, hay que permitirles dedicarse a innovar y sacar adelante proyectos importantes, así como a mejorar las tecnologías y perfeccionar sus técnicas de búsqueda de amenazas. Todos estos cambios se traducen en un personal mucho más satisfecho, ya que puede trabajar en proyectos gratificantes que le permiten dar lo mejor de sí. En otras palabras, se trata de salir de la nefasta mentalidad de «la rueda de hámster». Y no hay que olvidar que, si los trabajadores están contentos y se sienten reali- zados, serán más fieles a la empresa y se esforzarán por mejorar aún más los sistemas.
Ninguna organización puede permitirse perder tiempo ni dinero filtrando un sinfín de alertas con procesos manuales de herramientas independientes que no se compenetran bien. Ha llegado el momento crear un SOC moderno a la altura de las complejas amenazas de hoy en día. Ha llegado el momento de embarcarse en la consolidación del SOC.
Recuerde la receta del éxito: consolidar, simplificar, orquestar y automatizar.