Opinión Info Opinión

Los modelos varían según la madurez, presupuestos y riesgos de ciberseguridad de cada empresa, pero hay tendencias globales que están influyendo en la estructura

Cómo distribuir las tareas del SOC para hacer frente a la escasez de competencias en ciberseguridad

Alfonso Ramírez, director general de Kaspersky en España

09/01/2024

Las amenazas avanzadas siguen planteando tareas cada vez más complicadas a los Centros de Operaciones de Seguridad (SOC) de las empresas. En medio de ese panorama, las organizaciones también tienen que lidiar con la falta de recursos en ciberseguridad y presupuestos ajustados. Por ello, es importante que existan diferentes enfoques para la estructuración y el procesamiento de alertas de un centro de operaciones de seguridad.

En primer lugar, para estructurar un SOC existe el enfoque clásico donde los analistas están divididos en líneas, siendo la primera la que maneja alertas entrantes, clasificándolas y gestionando aquellas que pueden abordar. Pero, si un incidente es demasiado complicado, pasa a la segunda línea, compuesta por personal más experimentado. A veces hay una tercera línea que puede dividirse aún más en áreas de especialización. Por ello, esta estructura permite que la primera línea maneje amenazas típicas, liberando a analistas más experimentados para abordar incidentes más complejos.

Imagen

Por otro lado, existe otro modelo de organización en el que se asignan analistas a diferentes vectores de amenazas, como ataques de red, servidores, aplicaciones web, amenazas internas o DDoS. Este enfoque a menudo se combina con el anterior, donde la primera línea maneja alertas generales y las deriva a especialistas de la segunda o tercera línea según la especialización necesaria. Este modelo permite que las personas pueden profundizar mucho en sus campos de especialización, lo que garantiza un alto nivel de competencia y calidad en la respuesta a incidentes. Sin embargo, dificulta la búsqueda de un sustituto para estos especialistas en caso necesario.

Y, en un tercer enfoque, todos los analistas comparten una cola común de incidentes. Aunque trabajan en la misma línea con un nivel similar de experiencia, los incidentes más sofisticados los maneja un grupo de profesionales altamente cualificados. Por ejemplo, nuestra estructura del SOC se asemeja a este enfoque, en el que un experto en Inteligencia de Amenazas desempeña el papel de primera línea, filtrando automáticamente falsos positivos y resaltando detalles interesantes en las alertas. Luego ya, en la segunda línea, los expertos examinan incidentes según una cola común, y los que no pueden ser manejados se escalan a una “línea virtual”, que incluye expertos disponibles en ese momento.

Con este enfoque, los analistas pueden mejorar sus habilidades de manera más amplia, aumentando la madurez y eficacia general del SOC. Sin embargo, se requiere personal más cualificado y, por tanto, una composición del equipo más exigente, además de una inversión en desarrollo e implementación adecuada del análisis de Inteligencia de Amenazas.

Pero, aunque los modelos de SOC varían según la madurez, presupuestos y riesgos de ciberseguridad de cada empresa, hay tendencias globales que están influyendo en la estructura, como la automatización de operaciones y la escasez de profesionales cualificados, que impulsa la necesidad de especialistas versátiles que puedan abordar diversas amenazas. Y, aunque no está claro cómo evolucionarán los modelos en respuesta a estas tendencias, es importante analizar y mejorar continuamente estos procesos y sus empleados para mantenerse protegidos frente a amenazas.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos