Comprender los Roles Y Responsabilidades del Equipo SOC
Construir un centro de operaciones de seguridad (SOC) eficaz es crucial para organizaciones de todos los tamaños. Al igual que las propias empresas, cada equipo de seguridad es diferente. Las empresas que reconocen la importancia de la ciberseguridad invertirán la cantidad necesaria para garantizar que sus datos y sistemas permanezcan seguros y que su equipo de SOC tenga los recursos necesarios para hacer frente a las amenazas.
Las funciones y responsabilidades del centro de operaciones de seguridad son bastante sencillas, pero diferenciadas en sus requisitos.
En general, las organizaciones han tenido una tendencia a infravalorar la ciberseguridad. Los equipos de operaciones de seguridad se enfrentan a innumerables desafíos: a menudo carecen de personal, tienen exceso de trabajo y reciben poca visibilidad de la alta dirección.
DESCARGA GRATUITA: GUÍA DE MERCADO DE GARTNER PARA SOLUCIONES DE ORQUESTACIÓN, AUTOMATIZACIÓN Y RESPUESTA DE SEGURIDAD
Si estas empresas supieran lo que está en juego, puede apostar a que estarían dispuestas a realizar mayores inversiones en su SOC y en los miembros de su equipo. Después de las operaciones de seguridad, las mejores prácticas ayudarán a las empresas a protegerse y proporcionar un mejor entorno a los equipos de SOC. Con nuevos ataques de alto perfil que captan los titulares a diario, las organizaciones están empezando a enfatizar la importancia de la ciberseguridad y el centro de operaciones de seguridad se está convirtiendo en un punto focal valioso.
Aunque todos los equipos SOC pueden diferir un poco entre sí, la mayoría tienen aproximadamente las mismas funciones y responsabilidades. La construcción de un SOC eficaz requiere previsión y un plan de acción ejecutable. Echemos un vistazo a las funciones y responsabilidades básicas de cada equipo de SOC.
Roles y responsabilidades del Centro de Operaciones de seguridad
El equipo de SOC promedio tiene muchas responsabilidades que se espera que administre en una serie de roles. Por lo general, los equipos de SOC tienen puestos que cubren dos responsabilidades básicas: mantener herramientas de monitoreo de seguridad e investigar actividades sospechosas.
Mantener herramientas de monitoreo de seguridad
Para asegurar y monitorear de manera efectiva un sistema, hay muchas herramientas que el equipo debe mantener y actualizar de forma regular. Sin las herramientas adecuadas, es imposible asegurar eficazmente los sistemas y las redes. Las funciones y responsabilidades del centro de operaciones de seguridad requieren que los miembros del equipo mantengan las herramientas utilizadas en todos los procesos de seguridad. Esto incluye la recopilación de datos. Estos datos deben extenderse a todos los sistemas de la red, incluida la infraestructura en la nube. Esos registros deben pasarse a un SIEM y a una herramienta de análisis de registros. Una sola ruptura en la cadena del flujo de información podría tener graves consecuencias.
Investigar actividades sospechosas
Con la ayuda de las herramientas mencionadas anteriormente, el equipo de SOC es responsable de investigar actividades sospechosas y potencialmente maliciosas dentro de las redes y sistemas. Por lo general, su software SIEM o de análisis los alertará de posibles problemas emitiendo alertas. A continuación, su equipo de analistas examina las alertas, realiza la clasificación y determina el alcance de la amenaza. La combinación de herramientas adecuadas y experiencia son los ingredientes necesarios para un equipo de SOC exitoso.
Roles y posiciones en el Centro de Operaciones de Seguridad
Aunque los roles en cualquier empresa pueden tener nombres diferentes, todas las organizaciones tienen responsabilidades similares cuando se trata de ciberseguridad. Estos son los roles más comunes dentro de un equipo SOC y las responsabilidades individuales que están asociadas con cada rol.
Analista de seguridad
Los analistas de seguridad suelen ser los primeros en responder a incidentes. Son los soldados en primera línea que luchan contra los ataques cibernéticos y analizan las amenazas. En resumen, su trabajo es detectar amenazas, investigarlas y responder a ellas de manera oportuna. Además, los analistas pueden tener responsabilidades que impliquen la implementación de medidas de seguridad dictadas por la administración. También pueden desempeñar un papel en los planes de recuperación ante desastres de la organización. En algunas organizaciones, se espera que los analistas de seguridad estén de guardia para responder a incidentes que surjan fuera del horario comercial.
Ingeniero de seguridad
Los ingenieros de seguridad son responsables de mantener las herramientas, recomendar nuevas herramientas y actualizar los sistemas. Muchos ingenieros de seguridad se especializan en plataformas SIEM. Los ingenieros de seguridad son responsables de la construcción de la arquitectura y los sistemas de seguridad. Por lo general, trabajan con equipos de operaciones de desarrollo para garantizar que los sistemas estén actualizados. Además, los ingenieros de seguridad documentan los requisitos, procedimientos y protocolos para garantizar que otros usuarios tengan los recursos adecuados.
Administrador de seguridad
Un administrador de seguridad dentro de un equipo SOC es responsable de supervisar las operaciones en su conjunto. Están a cargo de la gestión de los miembros del equipo y la coordinación con los ingenieros de seguridad. Los gerentes de seguridad son responsables de crear políticas y protocolos para la contratación y crear nuevos procesos. También ayudan a los equipos de desarrollo a establecer el alcance de nuevos proyectos de desarrollo de seguridad. Sirven como jefes directos de todos los miembros del equipo SOC.
Oficial Jefe de Seguridad de la Información
El oficial jefe de seguridad de la información (CISO) es responsable de definir y esbozar las operaciones de seguridad de la organización. Son la última palabra sobre la estrategia, las políticas y los procedimientos involucrados en todos los aspectos de la seguridad cibernética dentro de la organización. Además, también pueden ser responsables de administrar el cumplimiento.
Las empresas más grandes pueden tener equipos completos dedicados a esta tarea. Por lo general, un CISO informa directamente al CEO y tiene contacto directo con toda la alta dirección. Los puestos de CISO van mucho más allá de las habilidades técnicas y también requieren comunicar problemas complicados a la alta gerencia que puede no estar bien informada en asuntos técnicos.
Roles adicionales
Más tarde, las organizaciones de seguridad más grandes tienen roles como director de respuesta a incidentes y / o director de inteligencia de amenazas. El director de respuesta a incidentes o el gerente de respuesta a incidentes simplemente supervisan y priorizan los pasos procesables durante la detección de un incidente. Esta persona es la única responsable de transmitir los requisitos únicos de los incidentes de alta gravedad al resto de la empresa.
El administrador de respuesta a incidentes supervisa y prioriza las acciones durante la detección, el análisis y la contención de un incidente. También son responsables de transmitir los requisitos especiales de los incidentes de alta gravedad al resto de la empresa.
Conclusión
Construir un equipo SOC efectivo es imperativo para organizaciones de todos los tamaños. Es fundamental asegurarse de que puede detectar, investigar y remediar los incidentes de seguridad. Dadas las funciones y la complejidad de un SOC, es extremadamente esencial proporcionar visibilidad en todos los ámbitos. También es importante tener en cuenta que un SOC sólido es 24/7 y múltiples turnos, y administrar el traspaso de flujo de trabajo sin problemas y con prudencia es una necesidad. Definir las políticas y procedimientos que rigen a las personas que forman parte de este equipo debe ser un proceso continuo para servir mejor al equipo y a la organización en su conjunto. Definir las funciones y responsabilidades del centro de operaciones de seguridad ayuda a las empresas a priorizar y evaluar mejor sus necesidades.