|
SOC o Security Operations Center
Disponen de amplia infraestructura de seguridad, personal especializado, procesos y tecnología. Constituyen la plataforma principal en la cual se apoyan los proveedores de servicios administrados de seguridad.
Por José Antonio Ramírez
Su objetivo consiste en atender los múltiples desafíos que a diario enfrentan las organizaciones, principalmente los riesgos de ataques e infiltraciones y que, por estar avocadas al principal foco de sus operaciones, les resulta complejo atender directamente.
También responden a organizaciones usuarias de Tecnologías de Información y Comunicaciones (TIC) que no disponen de personal especializado en aspectos de seguridad y que carecen de la infraestructura tecnológica para la detección y prevención de incidentes que vulneren la seguridad perimetral de la red, señalan expertos y empresas especializadas.
Para una organización promedio, la inversión que debe realizar en procesos, tecnología y personal tiene mucho impacto y, en ocasiones, los resultados no son los esperados, por lo cual los Centros de Operaciones de Seguridad o Security Operations Center (SOC) disponen de todo lo necesario para detectar y reaccionar oportunamente a cualquier incidente de seguridad.
En otro ámbito, un SOC supervisa y administra en tiempo real todos los aspectos de la seguridad de una organización que cuenta con múltiples puntos de soluciones como software antivirus, sistemas de intrusión y prevención, de detección de intrusos, control de acceso, gestión de identidades y cualquier sistema de autenticación implementados en distintos lugares, señala Computer Associates (CA), a través de un amplio estudio sobre los SOC.
Desde un único lugar centralizado, muestra dicho estudio, estos SOC corrigen el enfoque fragmentado a la gestión de eventos de seguridad y salvaguarda de las operaciones de negocio. Toman un enfoque proactivo a través de alarmas de aviso, elaboran informes detallados y de rehabilitación, además de supervisar y administrar todos los aspectos de seguridad en tiempo real.
Para ambientes de NOC o Network Operations Center, el SOC colabora para lograr una eficiencia operacional imposible de alcanzar cuando estas dos entidades funcionan de manera separada o aislada.
Esta colaboración permite a la red y los expertos en seguridad mejorar conocimiento de la situación, compartir herramientas, integrar los procedimientos de respuesta de seguridad, y poder establecer una operación más coherente.
Aunque pareciera ser un concepto nuevo, los SOC tienen años de existencia y, como tales, no es muy común que cualquiera los conozca, a pesar de que los que están en operación han invertido importantes recursos en infraestructura y personal experimentado.
Expertos en seguridad con su propio SOC
Más allá de ser reconocido por su amplio catálogo de software de seguridad, Symantec, por ejemplo, dispone de diversos SOC en el mundo para garantizar el monitoreo permanente (24 horas/7 días) de los sistemas críticos de sus clientes como parte del ofrecimiento de sus Servicios Administrados para la Detección de Intrusos y Respuesta a Incidentes.
Organizaciones que se conectan a Internet, proveedores de servicios de Internet (ISPs) y proveedores de servicios de aplicaciones (ASPs) son principales demandantes de los servicios ofrecidos por Symantec.
Sin embargo, la labor de Symantec no queda ahí, ya que también apoya a organizaciones que, por requerimiento, quieren disponer de su propio SOC. Para ello, Symantec cuenta con asesores que proveen de su experiencia para diseño y creación de SOC partiendo de cero o mediante la integración de instalaciones existentes.
Alestra-AT&T, por su parte, dispone de un SOC que, en esencia, monitorea la Seguridad de Información de sus clientes que contratan este servicio, principalmente organizaciones de la banca y seguros.
Este monitoreo de Seguridad –de acuerdo con Ricardo Morales González, Information Security and Service Planning Manager de Alestra-AT&T– incluye “informar en tiempo real a nuestros clientes sobre el estado que guarda la seguridad de sus activos de Información, así como la del Internet”.
Expone que dicho monitoreo incluye el apoyo con la respuesta ante un posible incidente que se presente, además del soporte de un grupo de expertos en Seguridad de Información. De esta forma, “el SOC de Alestra puede atender a todo tipo de organizaciones”, refiere.
A su vez, Maxcom ofrece sus Servicios Administrados de Seguridad -denominados e-Security Max- a empresas pequeñas y medianas, basados en dispositivos y equipos de Juniper Networks de firewall/VPN y Prevención y Detección de Intrusos (IDP), siendo la primera en México en esta especialidad.
A través de su SOC, ingenieros y personal de Maxcom vigilan y actualizan vía remota la protección de la red del cliente mediante una solución administrada (Ver Gráfico 1). Esta solución no sólo detecta a los intrusos, sino que los bloquea sin interrumpir la operación de otras sesiones.
Su SOC mantiene a sus clientes actualizados con la información de seguridad relevante. Mediante sensores de detección y prevención de intrusos en la red, el equipo de expertos en seguridad de Maxcom administra los dispositivos del cliente las 24 horas del día, monitoreando violaciones de seguridad o malos usos que se originen dentro o fuera de la red.
SOC para garantizar eficiencia en servicios
Otra empresa mexicana que cuenta con SOC propio es Netrix para el ofrecimiento de sus Servicios de Seguridad Administrada las 24 horas del día. A través de la arquitectura de administración de información de seguridad TeraGuard de VeriSign, Netrix identifica riesgos de seguridad y alerta a sus clientes para reducir la exposición al peligro a medida que implementa la respuesta adecuada.
Para garantizar un ambiente seguro de alta disponibilidad al proveer sus servicios administrados de seguridad, el SOC de Netrix cuenta con sistemas de video vigilancia y acceso a zonas críticas a través de biométricos. Los sistemas de misión crítica son redundantes, así como lo relativo a suministro eléctrico y enlaces de telecomunicaciones, lo cual elimina puntos únicos de falla.
Finalmente, Scitum –que forma parte del grupo QualitaNet– dispone de un SOC para sus servicios administrados de seguridad, los cuales incluyen configuración segura de firewalls y detectores de intrusos; administración de reglas de seguridad para firewalls; detectores de intrusos y filtradores de URL´s (Universal Resource Locutor: Localizador Universal de Recursos)..
De la misma forma, Sictum integra en sus servicios la configuración, administración y mantenimiento de Redes Privadas Virtuales (VPNs); el monitoreo, la explotación de bitácoras; detección de ataques; generación de reportes periódicos operativos y respuesta inmediata a incidentes.
Scitum subraya que en el ofrecimiento de sus servicios considera todos los aspectos necesarios que garanticen una operación segura, continua y eficiente de la infraestructura de seguridad, además de complementarlos con un monitoreo de vulnerabilidades y de penetración.
Además de detectarse a los anteriores como los principales proveedores de servicios administrados de seguridad con SOC, merece destacar que coinciden en el monitoreo y análisis de vulnerabilidades, detección de ataques y respuesta a incidentes, generación y explotación de bitácoras, soporte técnico y optimización del sistema.
Además del alto nivel de especialización de personal y el apoyo de una infraestructura adecuada, incluido el SOC, estas empresas aprovechan el auge que la seguridad TIC está adquiriendo en estos momentos.
Y es que cada vez se repite la incidencia de accesos no autorizados a redes, la propagación de virus y fallas diversas, con todo y que se utilicen firewalls, software antivirus, gateways (puerta de enlace) y sistemas de detección de intrusos.
La incompatibilidad entre estos componentes y el aislamiento con que operan no garantizan que se eviten infiltraciones y accesos no autorizados, considera CA en su estudio sobre “Las Mejores Prácticas para la Construcción de un SOC”.
SOC, componente vital para el proveedor de servicio
Al mismo tiempo, empresas que abren sus procesos de negocio a Internet incurren también en riesgos de seguridad, lo que propicia que las organizaciones se interesen en establecer fuertes defensas perimetrales en sus redes que sólo los expertos en seguridad pueden proveer mediante la provisión de innovadoras soluciones, consultoría y servicios.
De ahí que los analistas de mercado, como IDC, consideran a la Seguridad y Redes como detonadores de los servicios administrados en los siguientes tres años.
De hecho, “los servicios administrados en seguridad de la información tendrán un crecimiento importante en 2008”, proyecta Alejandro Valdés, Gerente de Consultoría e Investigación en Telecom de IDC México.
El especialista considera que un diferenciador importante entre quienes provean servicios administrados en seguridad será contar con un staff certificado, lo cual los obliga a invertir en la capacitación del personal, principalmente en rubros que tengan que ver con los SOC y proyectar las posibilidades a futuro de una operación potencialmente conjunta entre la organización y el proveedor de servicios.
Cisco manifiesta que es muy importante que el personal de un SOC conozca perfectamente bien el rol al cual se va a dedicar, al igual que los procedimientos que tiene que llevar a cabo cuando ocurra alguna amenaza dentro de la red. “Tiene que actuar rápidamente, con el fin de que se eviten errores y descuidos que limiten gravemente la eficacia del SOC durante la crisis de seguridad”, apunta.
Otro aspecto a considerar es que el SOC esté debidamente equipado para vigilar continuamente las redes de cualquier incidente de seguridad y, en seguida, reaccionar con rapidez cuando surgen esas amenazas, considera Cisco.
En un análisis donde propone “Cómo Construir un SOC”, Cisco opina que la velocidad de respuesta de un SOC es y será una de sus principales atracciones. La razón es que cada segundo cuenta para que se identifiquen los ataques y se niegue su acceso antes de que puedan causar daños.
Para CA, un SOC bien configurado y administrado actúa como “cerebro inteligente” en la recolección de datos de todas las áreas de una red, repasando alertas de manera automática, al igual que brinda prioridad a riesgos y la prevención de ataques antes de que puedan ser ejecutados y causar costosos daños.
Servicios administrados de seguridad, ¿para diferentes tipos de necesidades?
Finalmente, Gartner Group considera importante que los clientes u organizaciones usuarias valúen adecuadamente todos los recursos que les ofrezcan los proveedores de servicios administrados de seguridad. De preferencia, es recomendable que elijan aquellas empresas que cuenten con soluciones certificadas.
Entre éstas últimas, algunas empresas importantes en México, como Alestra-AT&T, sobresalen por ofrecer sus servicios con el estándar ISO27001, lo que significa que están desarrollados y operados con los más altos niveles en materia de seguridad de información.
Lo anterior garantiza, de algún modo, el compromiso de esta compañía para asignar un servicio administrado apropiado para quienes requieren de una supervisión y vigilancia permanente en todo momento de las aplicaciones críticas y recursos múltiples que corren diariamente en sus redes y en las de sus clientes.
Sin duda que el factor costo incidirá en la decisión de quienes opten por alguna de las propuestas presentadas aquí, pero ante todo derivará del análisis minucioso y de discusión que al respecto arroje entre quienes toman las decisiones dentro de la organización: directivos y personal involucrado en el manejo y operación de la red.
|
