Los modelos varían según la madurez, presupuestos y riesgos de ciberseguridad de cada empresa, pero hay tendencias globales que están influyendo en la estructura
Cómo distribuir las tareas del SOC para hacer frente a la escasez de competencias en ciberseguridad
Alfonso Ramírez, director general de Kaspersky en España
09/01/2024Las amenazas avanzadas siguen planteando tareas cada vez más complicadas a los Centros de Operaciones de Seguridad (SOC) de las empresas. En medio de ese panorama, las organizaciones también tienen que lidiar con la falta de recursos en ciberseguridad y presupuestos ajustados. Por ello, es importante que existan diferentes enfoques para la estructuración y el procesamiento de alertas de un centro de operaciones de seguridad.
En primer lugar, para estructurar un SOC existe el enfoque clásico donde los analistas están divididos en líneas, siendo la primera la que maneja alertas entrantes, clasificándolas y gestionando aquellas que pueden abordar. Pero, si un incidente es demasiado complicado, pasa a la segunda línea, compuesta por personal más experimentado. A veces hay una tercera línea que puede dividirse aún más en áreas de especialización. Por ello, esta estructura permite que la primera línea maneje amenazas típicas, liberando a analistas más experimentados para abordar incidentes más complejos.
Por otro lado, existe otro modelo de organización en el que se asignan analistas a diferentes vectores de amenazas, como ataques de red, servidores, aplicaciones web, amenazas internas o DDoS. Este enfoque a menudo se combina con el anterior, donde la primera línea maneja alertas generales y las deriva a especialistas de la segunda o tercera línea según la especialización necesaria. Este modelo permite que las personas pueden profundizar mucho en sus campos de especialización, lo que garantiza un alto nivel de competencia y calidad en la respuesta a incidentes. Sin embargo, dificulta la búsqueda de un sustituto para estos especialistas en caso necesario.
Y, en un tercer enfoque, todos los analistas comparten una cola común de incidentes. Aunque trabajan en la misma línea con un nivel similar de experiencia, los incidentes más sofisticados los maneja un grupo de profesionales altamente cualificados. Por ejemplo, nuestra estructura del SOC se asemeja a este enfoque, en el que un experto en Inteligencia de Amenazas desempeña el papel de primera línea, filtrando automáticamente falsos positivos y resaltando detalles interesantes en las alertas. Luego ya, en la segunda línea, los expertos examinan incidentes según una cola común, y los que no pueden ser manejados se escalan a una “línea virtual”, que incluye expertos disponibles en ese momento.
Con este enfoque, los analistas pueden mejorar sus habilidades de manera más amplia, aumentando la madurez y eficacia general del SOC. Sin embargo, se requiere personal más cualificado y, por tanto, una composición del equipo más exigente, además de una inversión en desarrollo e implementación adecuada del análisis de Inteligencia de Amenazas.
Pero, aunque los modelos de SOC varían según la madurez, presupuestos y riesgos de ciberseguridad de cada empresa, hay tendencias globales que están influyendo en la estructura, como la automatización de operaciones y la escasez de profesionales cualificados, que impulsa la necesidad de especialistas versátiles que puedan abordar diversas amenazas. Y, aunque no está claro cómo evolucionarán los modelos en respuesta a estas tendencias, es importante analizar y mejorar continuamente estos procesos y sus empleados para mantenerse protegidos frente a amenazas.