Red Seguridad 091

Remodelación del SOC: cómo fomentar una cultura de crecimiento de las máquinas– deben construirse para permitir que el SOC ofrezca aquello que más necesita la empresa. Uno de los bancos más grandes de Europa utilizaba un SIEM ( Security Information and Event Management ) incapaz de escalar en volumen de datos para satisfacer sus necesida- des de seguridad. El rendimiento del SIEM se limitaba a 16 consultas o menos por grupo, y el proveedor que- ría aumentar sus costes antes de que el banco empezara a añadir otros 20 TB de datos diarios de fuentes de toda la organización. Después de que Devo reemplazara el SIEM anterior, el cien por cien de los datos relevantes para la seguridad del banco se ingestan ahora y están disponibles para con- sultas en tiempo real, mientras que se reducen los tiempos de consulta en un 98 por ciento, y se logra un tiempo de alerta de milisegundos. Los analistas de seguridad ahora buscan, detectan e investigan las amenazas rápidamen- te y a mayor escala que nunca. Analistas: también son personas El fomento de una cultura SOC comienza y termina con las perso- nas, los analistas. Las organizaciones deben invertir en su formación con- tinua, en su crecimiento profesional y capacitarlos para hacer su trabajo. Las herramientas no son valiosas hasta que la gente aprende a usarlas de manera efectiva. Esto comienza con el establecimiento de métricas de rendimiento, la comprensión de las necesidades de la empresa desde una perspectiva de riesgo, y el uso adecuado de su tecnología SIEM. En otras palabras, eliminar todo lo que no es importante mientras se asegura que los analistas tienen la tecnología adecuada para un entorno SOC maduro. A menudo hablamos de los Centros de Operaciones de Seguridad (SOC) como si existieran desde hace años; pero tener un equipo definido es un concepto relativamente nuevo. Un equipo que pasa todo su tiempo moni- torizando y manejando eventos de seguridad y usando procesos consis- tentes para remediarlos. Aunque los SOC no tienen una larga historia, es imperativo examinar cómo hacerlos más efectivos, especialmente, tenien- do en cuenta la agresividad de adver- sarios tales como los piratas informá- ticos de Estado-nación, bandas ciber- néticas y cárteles de ransomware . El mayor indicador de la existen- cia de problemas en los SOC es la alta tasa de agotamiento entre los analistas. Todo ello, respaldado por una reciente encuesta a casi 600 profesionales de la seguridad citados en el 2020 Devo SOC Performance Report . Más de dos tercios de los encuestados respondieron que es probable o posible que sus analistas del SOC renuncien debido al estrés laboral. Como líderes en seguridad, tenemos la responsabilidad de reducir el estrés y el sufrimiento que conlleva trabajar en un centro de este tipo para poder mejorar la satisfacción laboral, la salud y la retención de los empleados, así como la eficacia del propio SOC. Alinearse con el negocio Un SOC bien administrado es el cora- zón del programa de seguridad de una organización. Otras disciplinas, como la gestión de la vulnerabilidad, la inteligencia de amenazas, etcétera, se alimentan del centro neurálgico que es el SOC. Partiendo de este hecho, decidir cuáles son los eventos más importantes en los que los ana- listas del SOC deben enfocarse es simple. Los analistas deben centrarse en las amenazas más importantes para el negocio: los eventos, las aler- tas y los indicadores de compromiso que requieren de una acción inme- diata. Es esencial un mayor grado de madurez del SOC, de priorización y de comprensión de las alertas dirigi- das a los activos de alto valor. Los CISO deben preguntarse: "¿Qué beneficios clave aporta el SOC a mi programa de gestión de riesgos de seguridad?". Una vez definidas esas ventajas, las otras acciones que habría que tener en cuenta –visibi- lidad, automatización e incluso la forma en que se diseña el aprendizaje 34 red seguridad cuarto trimestre 2020 Fernando Lalanda Marcos Strategic Account Director de Devo opinión servicios esenciales monográfico