¿Qué es un centro de operaciones de seguridad (SOC)?

Un centro de operaciones de seguridad, o SOC, ayuda a las organizaciones a evitar ataques al identificar, investigar y solucionar las amenazas.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir "centro de operaciones de seguridad"
  • Más información sobre cómo un SOC protege a las organizaciones de las amenazas
  • Comparar las funciones de un SOC y un NOC

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es un centro de operaciones de seguridad (SOC)?

Un centro de operaciones de seguridad (SOC), también llamado centro de operaciones de seguridad de la información (ISOC), es una instalación dedicada en la que los profesionales de la seguridad supervisan, analizan y mitigan las posibles ciberamenazas. Debido a la naturaleza distribuida de las organizaciones modernas, se suele utilizar "SOC" para describir al equipo de ingenieros y analistas de seguridad que lleva a cabo estas funciones.

Aunque la arquitectura de un SOC varía de una organización a otra, cumple varias funciones clave:

  • Realizar un seguimiento de la actividad en redes, servidores, bases de datos y dispositivos
  • Investigar y responder a las amenazas
  • Garantizar el cumplimiento y mejorar las posturas de seguridad

Lo habitual es que una organización dependa de un único SOC interno para gestionar y solucionar las amenazas, pero las grandes empresas pueden mantener varios SOC en distintos países (a veces conocido como centro global de operaciones de seguridad, o GSOC) u optar por contratar a un grupo externo de analistas e ingenieros de seguridad.

¿Cómo protege un SOC a las organizaciones de las amenazas?

Un SOC se puede configurar de muchas formas distintas, y es probable que cambie en función de las necesidades y capacidades de una organización. En general, sus responsabilidades se dividen en tres categorías:

de datos

Inventario de activos: para proteger a una organización de las amenazas e identificar las brechas de seguridad, un SOC necesita una visibilidad total de sus sistemas, aplicaciones y datos, así como de las herramientas de seguridad que los protegen. Se puede usar una herramienta de descubrimiento de activos para realizar el proceso de inventario.

Evaluación de vulnerabilidades: para medir el potencial impacto de un ataque, un SOC puede realizar pruebas periódicas en el hardware y el software de una organización, y usar esos resultados para actualizar sus políticas de seguridad o desarrollar un plan de respuesta a incidentes.

Mantenimiento preventivo: una vez que un SOC ha detectado vulnerabilidades en la infraestructura de una organización, puede tomar medidas para reforzar su postura de seguridad. Entre ellas, actualizar los firewalls, mantener listas de permitidos y listas de bloqueados, aplicar parches al software y pulir los protocolos y procedimientos de seguridad.

Detección

Recopilación y análisis de registros: un SOC recopila datos de registro generados por eventos en la red de una organización (como aquellos documentados por firewalls, sistemas de prevención y detección de intrusos, etc.), y luego analiza esos registros para detectar cualquier anomalía o actividad sospechosa. En función del tamaño y la complejidad de la infraestructura de una organización, puede ser un proceso que requiera muchos recursos, y se puede llevar a cabo con una herramienta automatizada.

Supervisión de amenazas: un SOC usa datos de registro para crear alertas de actividades sospechosas y otros indicadores de riesgo (IOC). Los IOC son anomalías en los datos (irregularidades en el tráfico de red, cambios inesperados en los archivos del sistema, uso no autorizado de aplicaciones, solicitudes DNS extrañas u otros comportamientos) que indican que es probable que se vaya a producir una fuga u otro suceso malicioso.

Administración de eventos e información de seguridad (SIEM): un SOC suele trabajar con una solución SIEM para automatizar la protección y la solución de amenazas. Entre las funciones habituales de un SIEM se incluyen:

  • Agregación de datos de registro
  • Supervisión de alertas
  • Información sobre amenazas avanzada
  • Análisis de incidentes de seguridad
  • Informes de cumplimiento

Protección

Respuesta a incidentes y solución: cuando se produce un ataque, un SOC suele tomar varias medidas para mitigar los daños y restaurar los sistemas afectados. Como aislar los dispositivos infectados, eliminar los archivos en riesgo, ejecutar software antimalware y llevar a cabo una investigación de la raíz del problema. Los SOC pueden usar estos resultados para mejorar las políticas de seguridad existentes.

Informes de cumplimiento: después de un ataque, un SOC ayuda a las organizaciones a seguir cumpliendo la normativa sobre privacidad de datos (por ejemplo, el RGPD) al notificar a las autoridades competentes el volumen y tipo de datos protegidos que se han puesto en riesgo.

¿Cuáles son los tipos habituales de SOC?

Al crear un SOC, las organizaciones tienen varias opciones. Las categorías más habituales de SOC son:

  • El SOC interno, o SOC exclusivo, lo posee y gestiona la organización que lo utiliza. Entre las ventajas de los SOC internos se pueden incluir tiempos de respuesta a incidentes más rápidos, y funciones de detección y respuesta de seguridad personalizados, aunque también pueden ser más caros y necesitar más recursos para su mantenimiento que otros SOC.
  • El SOC gestionado, o SOC como servicio, permite que las organizaciones externalicen las responsabilidades del SOC a un proveedor de seguridad externo. La mayoría de los SOC gestionados se encuadran en una de estas dos categorías: proveedores de servicios de seguridad gestionados (MSSP) y detección y respuesta gestionadas (MDR).
  • MSSP es un servicio SOC gestionado que supervisa los sistemas y datos. La función principal de un MSSP es alertar a las organizaciones cuando se detecta una actividad maliciosa. Lo hace catalogando los sucesos de la red y detectando anomalías.
  • MDR es un servicio SOC gestionado que amplía las funciones periciales de un MSSP. Además de realizar un seguimiento de la actividad de la red y crear alertas, también investiga las amenazas potenciales, elimina los falsos positivos de las alertas, ofrece análisis avanzados e información sobre amenazas, y ayuda a solucionar los incidentes de seguridad.

¿Qué es un centro de operaciones de red (NOC)?

Un centro de operaciones de red, o NOC, supervisa la actividad de la red y las amenazas. Un equipo de NOC es responsable de supervisar el estado de la red de una organización, anticiparse y prevenir las interrupciones, defenderse de los ataques y realizar comprobaciones rutinarias de mantenimiento de los diversos sistemas y el software.

A diferencia de un SOC, que rastrea y mitiga la actividad maliciosa en toda la infraestructura de una organización, un NOC se centra únicamente en el rendimiento y la seguridad de la red.

¿Ofrece Cloudflare servicios SOC?

El Centro como servicio de operaciones de seguridad de Cloudflare combina funciones de detección y supervisión con tecnologías de seguridad clave, como un firewall de aplicaciones web (WAF), una solución de gestión de bots y prevención de ataques DDoS. Al descargar las responsabilidades del SOC en Cloudflare, las organizaciones pueden mantener la visibilidad de su infraestructura, rastrear y mitigar las próximas amenazas y reducir los costes de seguridad.