¿Qué es un SOC o Centro de Operaciones de Seguridad?

Centro de Operaciones de Seguridad (SOC)

En IT, un Centro de Operaciones de Seguridad o SOC (del inglés Security Operations Center) o Centro de Operaciones de Seguridad Informática (ISOC) es una ubicación centralizada en la que el equipo de seguridad de una organización monitoriza, analiza, detecta y resuelve cualquier incidente de ciberseguridad que pudiera surgir. Sin embargo, además de esta definición, un SOC también hace referencia a un equipo de profesionales de ciberseguridad interno o a un SOC externalizado o proveedor de SOC como servicio que monitoriza, analiza, detecta y resuelve incidentes de ciberseguridad de forma proactiva.

De hecho, su externalización es cada vez más popular dado que el número de soluciones de SOC disponibles en el mercado crece de forma imparable. Lo cual hace que su implementación sea accesible para empresas de todos los tamaños.

Una ubicación centralizada para las operaciones de seguridad

Como unidades centralizadas de seguridad, los SOCs están diseñados para unificar y coordinar todas las tecnologías y operaciones de ciberseguridad. Para ello, suelen abordar los problemas de seguridad tanto desde el punto de vista técnico como organizativo. Así que, las instalaciones de un SOC suelen estar muy protegidas por medidas de seguridad física, electrónica e informática.

En un ISOC, los sistemas informáticos de la empresa se monitorizan, analizan y protegen frente a cualquier problema o amenaza de ciberseguridad. Esto incluye los centros de datos, servidores, redes, aplicaciones, sitios web, bases de datos, etc. Lo mismo ocurre con el Centro de Operaciones de Red o NOC (del inglés Network Operations Center), el cual hoy en día a menudo comparte espacio con el SOC.

Los Centros de Operaciones de Seguridad están operativos 24/7. El personal, los procesos y la tecnología se centran en gestionar y mejorar la postura de seguridad de la empresa en todo momento.

Centro de Operaciones de Seguridad: tecnología y organización

Tradicionalmente, establecer y operar un Centro de Operaciones de Seguridad ha sido más habitual en grandes organizaciones y gobiernos, debido a su complejidad y alto coste. Sin embargo, el número de empresas que disponen de un SOC va en aumento, ya que cada vez hay más soluciones asequibles disponibles en el mercado.

Se espera que el mercado global del SOC como servicio o SOCaaS (del inglés SOC as a Service) crezca de unos 3.000 millones de euros (~3.700 millones de dólares) en 2022 a unos 3.700 millones de euros (~4.200 millones de dólares) en 2023, según Research and Markets. Además, se espera que el mercado SOCaaS supere los 5.300 millones de euros (6.000 millones de dólares) para 2027.

Esto es especialmente relevante teniendo en cuenta que el número de ciberataques no para de crecer en todo el mundo —y no parece que la tendencia vaya a cambiar—. Por mencionar un ejemplo, los ataques semanales a redes corporativas aumentó un 38 % en 2022, respecto a 2021 —según datos de Check Point.

Herramientas y tecnologías en un SOC

Para establecer un SOC es necesario: definir una estrategia e implementar la infraestructura y tecnología necesarias para apoyar dicha estrategia. Los SOCs suelen disponer de un sistema de Información de seguridad y gestión de eventos o SIEM (del inglés Security Information and Event Management) para agregar los datos de las diferentes fuentes, por ejemplo:

  • Software GRC (del inglés Governance Risk Management and Compliance).
  • Soluciones de análisis de vulnerabilidades.
  • Herramientas EDR (del inglés Endpoint Detection and Remediation).
  • Sistemas de prevención de intrusiones o IPS (del inglés Intrusion Prevention Systems).
  • Soluciones de análisis de comportamiento de usuarios y entidades o UEBA (del inglés User and Entity Behavior Analytics).

Además de sistemas SIEM, algunos SOCs también adoptan la tecnología de Detección y Respuesta Extendidas o XDR (Extended Detection and Response en inglés) para contar con telemetría, monitorización y automatización mejoradas.

Roles en un SOC

Asimismo, contar con los profesionales adecuados es tan importante como definir una estrategia adecuada e implementar la tecnología e infraestructura necesarias. Los miembros del equipo de un SOC suelen tener diferentes formaciones, como: ingeniería informática, ingeniería de redes, ciencias de la computación y criptografía.

Los centros de operaciones de seguridad suelen estar compuestos por:

  • SOC managers (expertos en IT y redes), que se encargan de supervisar al personal, ejecutar operaciones y gestionar las finanzas, entre otras tareas. Suelen reportar directamente al CISO.
  • Ingenieros de seguridad, que son responsables de diseñar la arquitectura de seguridad e investigar, implementar y mantener las soluciones de seguridad.
  • Analistas SOC o analistas de seguridad, que se encargan de identificar y priorizar amenazas para actuar y contener daños.

Además, en grandes organizaciones, pueden haber roles como el director de respuesta a incidencias o el analista forense.

¿De qué se encarga el SOC?

Un SOC se suele establecer para proteger infraestructuras y sistemas de misión crítica, y datos sensibles, y cumplir con las regulaciones de organismos gubernamentales o de un sector empresarial específico. Estas son algunas de las tareas de las que se encargan los Centros de Operaciones de Seguridad:

Planificación y prevención

  • Mantener el control y la visibilidad sobre todos los recursos disponibles: desde los dispositivos, aplicaciones y procesos que hay que proteger, hasta los sistemas y herramientas que se usan para monitorizarlos, detectarlos y protegerlos.
  • Implementar medidas preventivas manteniéndose al día de las últimas innovaciones de seguridad, diseñando un plan de Disaster Recovery y una roadmap de seguridad, y actualizando, parcheando y manteniendo los sistemas de forma periódica. En otras palabras, la mejora continua se adopta como una herramienta esencial para anticiparse a los cibercriminales.
  • Analizar y gestionar las alertas para clasificarlas según su criticidad y prioridad.

Monitorización y detección

  • Garantizar la monitorización continua y proactiva para la detección temprana o incluso anticipada de amenazas, a fin de mitigar y prevenir daños.
  • Gestionar y analizar el log de toda la actividad de red para detectar amenazas de forma proactiva y evitar problemas de seguridad. Para ello, los SOCs usan sistemas SIEM para agregar todos los datos de los terminales, apps, sistemas operativos y firewalls, y tecnología de Detección y Respuesta Extendidas (XDR) para conseguir telemetría, monitorización y automatización mejoradas.

Recuperación, post mortem y cumplimiento de la normativa

  • Responder y llevar a cabo las acciones necesarias para asegurar que el impacto en la continuidad del negocio sea mínimo, cuando se confirma un incidente de seguridad. Así como restaurar los sistemas y recuperar los datos que pueden haberse visto comprometidos o perdidos.
  • Analizar e informar del origen y causa de los incidentes de seguridad para ayudar a evitar problemas similares en el futuro. Aprovechando lo aprendido durante un incidente para mejorar procesos, revisar planes de respuesta, habilitar nuevas herramientas y abordar mejor las vulnerabilidades en el futuro. 
  • Garantizar el cumplimiento de la regulación, asegurándose de que se notifica a todas las partes involucradas —usuarios, reguladores, etc.— y de que se retienen los datos necesarios para pruebas y autorías.

Beneficios de disponer de un SOC

En nuestra economía digital, donde la gobernanza y la protección de datos cada vez son más importantes tanto para los ciudadanos como para las empresas, disponer de un Centro de Operaciones de Seguridad tiene muchos beneficios. Por ejemplo:

  • Detección de incidentes de seguridad mejorada.
  • Reducción de los tiempos de respuesta ante incidentes.
  • Defensa proactiva ante incidentes e intrusiones.
  • Ahorro de costes al enfrentarse a incidentes de seguridad.
  • Protección de datos y mejora de la confianza de los consumidores.
  • Mayor transparencia y control sobre las operaciones de seguridad.
  • Refuerzo del cumplimiento de los requisitos normativos.

En Stackscale, como parte de nuestro enfoque proactivo de seguridad y disponibilidad, monitorizamos todos nuestros servicios cloud, infraestructura y sistemas a través de nuestra Plataforma de Monitorización y Automatización de Stackscale (SAMP), integrando diferentes tecnologías de software y hardware. Nuestro servicio de monitorización incluye, pero no se limita a, la red core, el acceso de red, el almacenamiento en red, los nodos de computación, los backups y el propio SAMP.

Si te ha gustado, compártelo en redes sociales

Servicios gestionados

Despliegue del entorno hasta el nivel de aplicación, administración delegada y monitorización de sistemas 24/7; adaptados a las necesidades de cada proyecto.

DESCUBRIR MÁS