El Centro de Operaciones de Seguridad (SOC), es indispensable para las empresas en la actualidad. Sin embargo, si aún no posee uno en su empresa, tiene dos alternativas para conseguirlo. La primera es crear uno y la segunda es utilizar algún conjunto de servicios gestionados.
Anteriormente, decidirse por una u otro resultaba muy sencillo con base en los costos y habilidades del personal. En la actualidad, la industria del SOC as a service maduró, al punto que el término parece caer en desuso. Esto, debido a que los proveedores gestionados se han convertido en una parte más integral de la práctica.
Te podría interesar: Qué aporta Amazon Web Services a la tecnología
¿Qué ha cambiado?
Conforme los servicios en la nube mejoran, los centros de datos y aplicaciones comienzan a migrarse ahí. Para poner en contexto esta situación, podemos ver las fusiones y adquisiciones en los últimos años. Por ejemplo, la compra de AlienLabs por AT&T. Luego, CrowdStrike adquirió Humio, después, eSentire adquirió CyFIR.
Estas adquisiciones manifiestan que se ha producido una difuminación en el mercado de servicio de seguridad. En consecuencia, la línea entre MSS, MDR y SOCaaS puede resultar un tanto confusa. En tanto, es posible encontrar más evidencia de esta evolución con otro acrónimo: borde de servicio de acceso seguro (SASE). El término hace referencia a las herramientas de seguridad consolidadas en la medida que el entorno de la nube híbrida es afianzado.
Lo que resulta más complicado aún, es que cada proveedor cuenta con su propia historia de origen que se basa en una especialización de seguridad particular. Por ejemplo, algunos proveedores parten de eventos de seguridad gestionados (AlertLogic), otros como proveedores de detección gestionada (Network Technology Partners, ahora fusionados con Business System Solutions) o proveedores de seguridad de punto final gestionada (Symantec).
Por si te lo perdiste: Aprende cloud computing con estos cursos gratis
Modernidad del modelo
Gartner trata de poner orden. Por ello lleva años perfeccionando sus guías “SOC Hybrid-Internal-Tiered model”. Tiene que ser flexible, incorporando una gran variedad de herramientas de protección a fin de examinar el fraude, intrusiones físicas y basados en la red. También el monitoreo de eventos de seguridad, análisis de registros, escaneo de vulnerabilidades y respuesta a incidentes.
Ante esto, Gartner recomienda que cada empresa se plantee la pregunta ¿Cuántas funciones de seguridad pueden realizarse interna y efectivamente? Esto requiere un esfuerzo en encontrar los vacíos y si un posible proveedor de servicios gestionados puede cubrirlos.
El objetivo debe ser como el planteado por whitepaper de splunk. Es decir, que la organización se centre en especializar a su personal de SOC con el fin de adelantarse a las amenazas. Esto significa que deberían crecer y evolucionar a media que lo hacen estas amenazas.
Sigue con: Aprende Cloud Computing gratis con Amazon
¿Qué preguntar a un proveedor de SOC as a service?
Para conseguir mayor claridad en este panorama, Splunk nos comparte un esquema de diez pasos que ayuden a las compañías en decidir por la mejor opción de SOC gestionado según sus propios requerimientos.
- ¿Cuál es la misión del SOC? Esto podría determinar si estos se alinean a sus objetivos empresariales generales para reducir el riesgo. ¿El SOC está abordando un panorama actual de amenazas?
- ¿Cómo es que cualquier SOC gestionado podría aumentar su infraestructura de seguridad vigente?, ¿Será necesario un personal una vez que el equipo regrese a la oficina y el SOC este implementado completamente en virtual?
- ¿En qué difiere de un enfoque de servicios meramente supervisados?
- ¿Cuántos SIEM y sistemas de mesa de servicios heredados admite?
- ¿Qué servicios y agentes serán necesarios para instalar los clientes en sus oficinas?
- ¿Cuál es la frecuencia con la que un proveedor reevalúa/escanea su infraestructura?
- ¿Cómo se realizarán las auditorías de cumplimiento?
- ¿Cuál será el tamaño objetivo típico de sus clientes?
- ¿Quién se encarga de dotar de personal a su SOC?
- Por último, ¿cuál es el precio?
Una vez respondidas estas preguntas, debería tener mayor claridad sobre qué SOC adoptar en su compañía según sus propios requerimientos.
