4min. read

Durante décadas, los centros de operaciones de seguridad (SOC, por sus siglas en inglés) tradicionales se han basado en un modelo que hoy ya no resulta eficaz. Y es que, con todos los cambios que han experimentado las organizaciones y las amenazas, ¿cómo va a seguir funcionando hacer las cosas a la vieja usanza?

Es hora de modernizar el SOC apostando por su consolidación, una medida que permitirá acelerar la corrección, reducir los riesgos, reforzar la estrategia de seguridad general y, en definitiva, obtener mejores resultados.

¿Qué es lo que ha cambiado en los SOC?

En los SOC tradicionales, los profesionales de la seguridad de TI se sientan unos al lado de otros frente a unas pantallas repletas de un sinfín de información que ofrecen vistas y datos procedentes de decenas y decenas de herramientas de seguridad y presentan una lista de alertas que se antoja interminable. En este modelo tradicional, el objetivo era intentar ganarle la carrera a las alertas y a la escasez de recursos, por más que estuviera perdida desde el mismo pistoletazo de salida.

Con la pandemia, muchos de los problemas de los SOC tradicionales se han agravado: los recursos están hoy más saturados que nunca y, con frecuencia, ya no es posible contar con la presencia física de todos los trabajadores del SOC. Además, las amenazas no dejan de proliferar y los incidentes de ciberseguridad se suceden a un ritmo sin precedentes.

Para adaptarse a la nueva realidad, los SOC de hoy en día han de apostar por la consolidación para poder hacer más con menos y optimizar sus prácticas en función de las circunstancias y las necesi- dades actuales y futuras.

Tres realidades problemáticas en los SOC tradicionales

Los SOC tradicionales se enfrentan a tres problemas principales que afectan negativamente a los resultados y debilitan la estrategia de seguridad.

Demasiadas alertas

En pocas palabras: los SOC tradicionales están tratando de gestionar un volumen de alertas im- posible de asumir. Este volumen desmesurado da lugar al llamado «mal de alertas», que ralentiza considerablemente las operaciones de la organización. Pero este no es el único peligro del exceso de alertas: además, se corre el riesgo de pasar por alto problemas que podrían revestir gravedad, ya que se pierden en todo ese ruido.

Superar este desafío pasa por mejorar la fiabilidad de las alertas, de modo que estas solo se generen en casos en los que exista un problema real. Y para ello hay que contar con los procesos y herramien- tas adecuados que permitan optimizar los logs y los datos que procesa el SOC.

Demasiados productos de seguridad

Un problema recurrente con el que nos encontramos es que los SOC utilizan una gran cantidad de productos de seguridad (unas decenas, por término medio).

También hemos visto organizaciones con cuatro o cinco agentes diferentes en el endpoint e incluso con varios tipos de cortafuegos. La magnitud del caos que esto genera es descomunal, ya que, cuan- do los distintos recursos de seguridad no se comunican entre sí, la confusión está garantizada. Por si fuera poco, el trabajo que requiere gestionar todas estas herramientas supone una complejidad añadida que el equipo, ya de por sí sobrecargado, desde luego no necesita.

Los SOC que consigan ser eficientes serán aquellos que no tengan piedad a la hora de cribar y priori- zar las herramientas que utilizan. Para ello, deben empezar por establecer los resultados que quieren obtener y, a continuación, determinar qué plataformas y soluciones necesitan para alcanzarlos. La clave del éxito de los SOC está en encontrar una plataforma común en la que todas las herramientas puedan entenderse y comunicarse entre sí.

Demasiados procesos manuales

Muchos SOC tradicionales utilizan procesos manuales en sus operaciones rutinarias y en la gestión de incidentes. El exceso de tareas manuales requiere un nivel de intervención humana y de arduo trabajo capaz de nublar la mente a cualquiera. Cuando se produce un incidente, en los SOC tradicio- nales siempre se repite la misma historia: se saca el libro de estrategias para consultar qué medidas manuales se tomaron la última vez que sucedió algo parecido y, a continuación, se siguen los mis- mos pasos también de forma manual.

Los procesos manuales son inflexibles, generan desgaste profesional entre los analistas del SOC y no están a la altura de la actividad frenética de los centros de operaciones de seguridad modernos. Además, hacen que resulte imposible alcanzar buenos tiempos de detección y respuesta.

Lo que hay que hacer es dejar el grueso de los procesos en manos del aprendizaje automático y la automatización, de modo que los recursos humanos puedan centrarse en las tareas más cruciales.

La consolidación del SOC abre la puerta a la transformación digital

El sector de las TI está apostando por entornos más homogéneos y por un mayor nivel de consolida- ción. Antes, cada entorno local de una empresa era radicalmente diferente a los demás en todos los sentidos. Ahora, las organizaciones están recurriendo a herramientas SaaS e IaaS consolidadas en el marco de una migración a la nube a gran escala que deja inservibles algunas de las soluciones locales que venían utilizando. Lo que hace falta son productos de seguridad de nueva generación basados en la nube que ayuden a lograr