Al mismo tiempo que las empresas aprenden a protegerse mejor, los delincuentes conciben técnicas aún más sofisticadas para penetrar en sus protecciones de seguridad. El SOC ofrece una función centralizada para la supervisión y el análisis constantes de amenazas, y para la mitigación y prevención de incidentes de ciberseguridad.
De acuerdo con el modelo de arquitectura de seguridad adaptable de Gartner, si los equipos de SOC pretenden combatir con éxito la ciberdelincuencia en el entorno de amenazas actual, deben ser capaces de:
- PREDECIR
- DETECTAR - PREVENIR - RESPONDER
Para conseguir aplicar con éxito este enfoque tan reconocido en el sector es necesario implementar cuatro elementos clave, junto con procesos claramente definidos y tecnologías relevantes. Estos elementos son los siguientes:
• GESTIÓN DE CONOCIMIENTOS. Las personas (los miembros del equipo de SOC) deben contar con una buena formación en ciencia forense digital y respuesta ante incidentes con el fin de prevenir y responder con éxito a unos ataques cada vez más sofisticados.
• INTELIGENCIA FRENTE A AMENAZAS, recopilada a partir de diferentes fuentes (cuantas más mejor), esencial para detectar a tiempo las amenazas que surgen:
1. Datos sobre amenazas internos 2. Inteligencia obtenida de fuentes abiertas (OSINT)
3. CERT del sector 4. Proveedores de antimalware globales
• BÚSQUEDA DE AMENAZAS con el fin de buscar de forma proactiva las amenazas que no detectan los sistemas de seguridad tradicionales, como firewall, IPS/IDS, SIEM, etc.
• UN MARCO DE RESPUESTA ANTE INCIDENTES implementado para limitar los daños y reducir los gastos de corrección.
