SOC o no SOC, he ahí la cuestión (o cómo ser más felices con un centro de operaciones de seguridad)

¿Por qué te convendría apostar por un SOC o centro de operaciones de seguridad? No decimos nada nuevo si escribimos aquí que el objetivo final de un departamento de Seguridad es que la empresa, pase lo que pase, siga facturando contra viento y marea.

Atrás quedaron los tiempos en los que los Dioses de la Red crearon las VLANs, los firewalls Linux y los antivirus, los trabajadores estaban en la oficina y se podía controlar la red y los equipos de trabajo.

Ahora, con L7 FW, EDRs, SASE, etc. hace falta que los Dioses envíen también a los Titanes de la Seguridad, porque ellos saben sus bondades y cómo configurarlos seamlessly.

El único inconveniente es que los Demonios crearon los presupuestos y las 24 horas del día.

Pero, pensándolo bien, no es cuestión de tener todos los elementos que se venden en el mercado, ni subcontratar servicios a este proveedor porque tiene hordas de trabajadores y cuatro (mil) ojos ven más que dos.

Esto no hará a los CISO, Security Manager o ingenieros de seguridad ser realmente felices y dormir más tranquilos.

Un poquito de Respond, por favor

Si nos fijamos en el enfoque CARTA de Gartner o en el Framework de NIST se ve que las inversiones en ciberseguridad realizadas por las empresas durante los últimos años no han estado en la parte de Respond y Recover, sino en proteger y detectar.

Y esto es un error, es un punto clarísimo que hemos visto cuando hemos tratado el tema de Ransomware en clientes grandes, porque quiere decir que esas inversiones no han estado bien enfocadas.

Cuando te dan, que es cuestión de tiempo, si no se cubren todas las fases, el impacto es más que tremendo.

Hay que tener en cuenta que, si a todos nos van a dar, hay que enfocarse también en Respond no solo en proteger – proteger – proteger, detectar – detectar – detectar, y olvidarnos de operar, correlar, responder, corregir y vuelta a empezar. Por eso es un círculo y no una línea recta horizontal.

¿Qué es un SOC?

Un SOC (Security Operations Center, o Centro de Operaciones de Seguridad), por definición, previene, monitorea y controla la seguridad, y es algo ya conocido por la mayoría de las empresas; algunas ya lo tienen, otras lo están valorando.

Pero, ¿te has parado a pensar cuántas alertas tienes? ¿Y cuántas podrías gestionar? ¿Qué haces realmente con las alertas del FW, del email,…? ¿Te ves obligado a descartar alertas porque el día no tiene suficientes horas para mirarlas? ¿Y de verdad crees que es un tema de fuerza bruta, de que con más personas se resuelve? Antes de responder a estas preguntas, ¡sigue leyendo!

Por qué escoger Virtual SOC de Open3s

Con nuestro vSOC vamos más allá y cubrimos LA necesidad: permitimos que la empresa siga facturando contra viento y marea.

Porque proporcionamos una visión global de la postura de seguridad, donde se pueden ver las distintas amenazas que se están identificando en línea temporal y clasificadas por tipología y severidad.

Así podemos identificar puntos de mejora y, sobre todo, ayudar al cliente a priorizar dichos puntos de mejora.

Nótese que no queremos decir que presumimos ante el cliente de KPIs que indiquen el número de ataques que el firewall, WAF o EDR ha detectado. No, no vamos por ahí.

En OPEN3S nos centramos también en lo que no se ha detectado, en lo que no se ve, en lo que habitualmente se desecha por no parecer importante y no tener tiempo (ni conocimiento) para saber que sí lo es. Nos centramos en una visión más amplia para poder ejecutar el famoso kill-the-chain y limitar las posibilidades de evolución de un ataque.

Proveemos de indicadores que permiten, a nosotros y al cliente, medir la respuesta que estamos teniendo a las distintas amenazas, así como la evolución de dicha respuesta.

Y pararemos aquí, aunque podríamos seguir enumerando cómo nuestros clientes son más felices con un centro de operaciones de seguridad; solo tienes que pedírnoslo.

Autor: Juan Fernando Romero, Business Development en Open3S