Artículos

SOC Security Operations Center. Tercerización de la seguridad

admin - 4 octubre, 2012

Ing. Héctor Acevedo Juárez
Gerencia de Soluciones de Servicios Latam Scitum
hacevedoj@scitum.com.mx

Vivimos una época en la que la protección de la información personal y de negocios ya no es un tema que solo preocupe a las instituciones financieras o a las grandes corporaciones, cualquier PyME o persona que se conecte a Internet es víctima potencial de virus informáticos, robo de información y una larga lista que aumenta día tras día

Proteger la seguridad de la información es una eterna lucha entre el establecimiento de controles de seguridad, surgidos de un ciclo constante de análisis de riesgos, versus las amenazas y vulnerabilidades.
Conforme aumenta la complejidad de los sistemas de TI de las empresas modernas, que incluyen mayor conectividad con entes externos, dispositivos móviles y soluciones en la nube (cloud computing), aumenta el número de vulnerabilidades que pueden ser aprovechadas por la competencia, el crimen organizado o hasta gobiernos extranjeros.
EL SOC: CONVIRTIENDO LO IMPOSIBLE EN POSIBLE
La gestión de la seguridad se ha convertido en uno de los retos más importantes para cualquier organización, pues la dispersión geográfica y la gran interconexión de las redes, aunada a la diversidad de soluciones, fabricantes, plataformas y aplicaciones, tanto de procesos de negocio como de la propia infraestructura de TI, obligan a controlar una cantidad enorme de eventos, los cuales surgen de muchísimas fuentes diferentes que, además, no siempre son compatibles entre sí.
Como respuesta al reto, surge en el escenario el SOC
(Security Operations Center, Centro de Operaciones de Seguridad), al proporcionar un punto central que monitorea y gestiona todos los aspectos de la seguridad de la organización. El SOC colecta información de seguridad de todas las áreas de una red y correlaciona, en tiempo real o casi real, todos los datos que recibe para proveer una imagen de cómo se encuentra la organización en cuanto a seguridad se refiere, permitiendo a los administradores tomar acciones preventivas y correctivas que protejan la información.
Aunque existe una infinidad de maneras de definir los servicios que un SOC proporciona, desde el punto de vista del negocio, los más importantes son: el monitoreo y gestión de la infraestructura de seguridad, la administración y explotación de bitácoras, la respuesta a incidentes de seguridad, las auditorías de seguridad y el apoyo a cumplimiento regulatorio.
MODELO DE OPERACIÓN DEL SOC
Por la naturaleza de sus funciones, se requiere que un SOC opere a toda hora y todo el año, pues a partir de la identificación de las necesidades, tendrá una serie de acuerdos de niveles de servicio soportados por la definición de gente, procesos y tecnología del propio SOC.
GENTE (ESTRUCTURA ORGANIZACIONAL)
Más que la tecnología y los procesos, el factor de éxito más importante para un SOC lo constituye la gente. El alto grado de especialización técnica, la naturaleza de las funciones y el tener que soportar una operación sin interrupciones —que a veces llega a someter a la gente a altos niveles de estrés— hacen que no sea fácil reclutar, conjuntar y mantener al personal de operación.
PROCESOS
El modelo de operación debe incluir los procesos que soportan la operación del SOC. Algunos procesos típicos son administración de cambios, administración de configuraciones, monitoreo de disponibilidad, monitoreo de desempeño, administración de incidentes/problemas y respuesta a incidentes de seguridad.
TECNOLOGÍA
En este rubro se indican desde las características físicas que debe incluir un Centro de Operaciones de Seguridad hasta la infraestructura necesaria para soportar el servicio. Algunos de los rubros típicos son los siguientes:

  • Sistema de Service Desk.
  • Sistemas de correlación y administración de bitácoras.
  • Instalaciones físicas.

SERVICIOS ADMINISTRADOS DE SEGURIDAD: ZAPATERO A TUS ZAPATOS
Queda claro que la implantación de un SOC no es un asunto fácil. La inversión inicial requerida puede estar fácilmente por arriba del medio millón de dólares para un centro no muy grande, y los costos de operación, sin duda, también son altos.
Muchas organizaciones se preguntan si lo más conveniente es montar un SOC, o bien, contratar los servicios de un tercero. Es aquí donde surgen proveedores de servicios administrados de seguridad (MSSP, Managed Security Service Provider), que ofrecen servicios tercerizados de SOC desde sus propios centros de operaciones a cambio de una renta mensual.
Pero, no todo lo que brilla es oro. Si va a optar por contratar un SOC externo, tómese el tiempo necesario para evaluar bien a los proveedores. Algunas consideraciones importantes a la hora de evaluarlos son las siguientes:

  • Cobertura del servicio. Tipos de dispositivos, tareas o actividades que se incluyen en el servicio y la cobertura geográfica existente.
  • Niveles de servicio. Asegúrese de que ofrecen acuerdos firmados que especifiquen los niveles y penalizaciones.
  • Experiencia. Años de experiencia del SOC, clientes de referencia, número de dispositivos administrados, certificaciones del SOC y del personal.
  • Infraestructura.
  • Instalaciones físicas. Seguridad física, infraestructura redundante y existencia de un SOC alterno.

CONCLUSIÓN
Debido a que la seguridad de la información es un asunto caro y complicado que cada vez va a requerir de más esfuerzos por parte de cualquier empresa, si no hay razones legales o estratégicas para optar por la difícil implantación de un SOC propio, un MSSP puede ser una solución excelente. Gracias a su alto grado de especialización, redundancia y a sus economías de escala, permite el acceso a servicios de gran valor con costos muy razonables. Aunque hay de proveedores a proveedores.
Antes de firmar un contrato con cualquiera, asegúrese de que su proveedor cuente con la infraestructura, experiencia, niveles de servicio y compromiso para convertirse en uno de sus aliados principales.