Sobre los SOC

El CCN entiende que un Centro de Operaciones de Ciberseguridad (SOC) es un conjunto de tecnologías, procesos y personas que mediante su interrelación, cooperación y coordinación prestan servicios de ciberseguridad a su comunidad.

Su misión es actuar como medida principal para la protección de la ciberseguridad de la propia comunidad. Pudiendo ser dicha comunidad de diversa índole, desde organismos tanto públicos como privados, hasta individuales o colectivos. Su institucionalización es decisión del organismo que lo promueve y su reconocimiento se obtiene por la participación en diferentes foros de intercambio.

Los servicios de ciberseguridad que pueden prestar son:

Prevención
Servicio de Prevención

Para ampliar el conocimiento respecto de sus vulnerabilidades, tanto técnicas como humanas, para reducir la superficie de exposición.

Protección
Servicio de Protección

Para aplicar medidas de bloqueo, en diferentes puntos de la infraestructura, para impedir o limitar los ciberataques.

Public entities
Servicio de Detección

Para observar todo lo que ocurre en la organización, para buscar las amenazas existentes.

Respuesta
Servicio de Respuesta

Para actuar ante los ciberincidentes, para minimizar el impacto sobre la Organización.

Security
Servicio de Gestión de la Ciberseguridad

Para establecer el rumbo del resto de servicios, para desempeñar una correcta gobernanza.

Una mención especial merecen los SOC gubernamentales, que prestan estos servicios a una o varias instituciones públicas de un país, actuando como componente fundamental de la capacidad nacional de prevención, protección, detección, coordinación y respuesta ante ciberincidentes. En estos casos la institucionalización viene impulsada y patrocinada por una institución pública con competencias en materia de seguridad nacional.

Detalle de los servicios

Los servicios de ciberseguridad anteriormente mencionados se dividen en los siguientes subservicios:

Servicio de Prevención:

  • Análisis de vulnerabilidades: Para identificar y remediar las vulnerabilidades existentes en los sistemas y aplicaciones y evitar que sean explotadas por los atacantes.
  • Inspecciones técnicas de seguridad y test de intrusión: Para ayudar a identificar las vulnerabilidades y debilidades de la infraestructura de TI, así como a evaluar la eficacia de las medidas de seguridad existentes.
  • Vigilancia digital: Para detectar de forma proactiva amenazas y riesgos antes de que se materialicen en un incidente de seguridad.

Servicio de Protección:

  • Operación de ciberseguridad: Para implementar medidas de seguridad como cortafuegos, antivirus, sistemas de detección/prevención de intrusiones (IDS/IPS) que protegen la infraestructura de TI. Para mantener actualizado el software y firmware de los sistemas y dispositivos y corregir vulnerabilidades y mejorar la seguridad. Para implementar un proceso de aplicación oportuna de parches de seguridad y corregir vulnerabilidades conocidas.

Servicio de Detección:

  • Monitorización de ciberseguridad: Para monitorizar la infraestructura de TI y detectar de forma temprana posibles incidentes de seguridad.
  • Análisis de logs: Para recopilar y analizar los logs de seguridad e identificar posibles intrusiones o actividades anómalas.
  • Threat Hunting: o búsqueda proactiva de amenazas, para detectar anomalías que podrían indicar un ataque en curso o inminente.

Servicios de Respuesta:

  • Incident Response Team (IRT): Mediante un equipo especializado, para gestionar los incidentes de ciberseguridad y contener el daño, remediar el incidente y restaurar los sistemas afectados. Para definir y operar un plan de respuesta a incidentes que establezca las acciones a tomar en caso de un ciberincidente. Y para realizar análisis forenses y determinar la causa del incidente y el alcance del daño.

Servicio de Gestión de la ciberseguridad:

  • Asesoramiento en ciberseguridad: Para asesorar a la organización sobre cómo mejorar su postura de seguridad y cumplir con las normativas vigentes.
  • Cumplimiento legal y normativo: Para asegurar que la organización cumple con las leyes y regulaciones relacionadas con la seguridad de la información.
  • Formación en seguridad: Para promover que el personal de la organización reciba formación en seguridad y que pueda ser consciente de las amenazas y saber cómo actuar en caso de un incidente.
  • Cuadros de mando: Para definir e implantar cuadros de mando que proporcionen información sobre el estado de la seguridad de la organización, como el número de incidentes de seguridad, las vulnerabilidades existentes y el estado de las medidas de seguridad.

Implantación

En construcción.

Certificación

En construcción.