La importancia estratégica y táctica en la arquitectura empresarial actual de un Centro de operaciones de seguridad (SOC) es indudable. No obstante, antes de hablar sobre cómo podemos justificar su implantación a nivel de negocio, recordemos en qué consiste.
¿Qué es un Centro de Operaciones de Seguridad (SOC)?
Un Centro de Operaciones de Seguridad constituye una plataforma que permite supervisar y administrar la seguridad del sistema de información mediante el uso de herramientas para la recolección, correlación de eventos e intervención remota.
En otras palabras, hablamos de un equipo técnico especializado en seguridad TI que supervisa en tiempo real las infraestructuras tecnológicas de una organización, con el objetivo de detectar, analizar y resolver incidentes de ciberseguridad.
Beneficios de un SOC a nivel de ciberseguridad
Algunos de los beneficios clave de la implementación o contratación de un servicio SOC a nivel de ciberseguridad corporativa pueden ser:
- Mayor visibilidad y conocimiento de amenazas internas y externas a las que se expone la organización.
- Monitorización constante de eventos e incidencias de seguridad con el fin de identificar posibles vulnerabilidades.
- Prevención de posibles amenazas mediante medidas correctivas.
No obstante, veamos qué ventajas puede tener un SOC a nivel de negocio y qué argumentos se pueden usar de cara a justificar su contratación.
Discrepancias entre decisores y profesionales IT
Como decimos, su necesidad es evidente frente a la hostilidad persistente de distintos actores maliciosos. No obstante, no siempre resulta sencillo justificar internamente la utilidad de su implementación. Más si esta justificación se plantea únicamente desde una perspectiva estrictamente técnica, que, por otra parte, a los decisores les cuesta comprender.
Para explicar internamente la utilidad de implementar el SOC resulta más conveniente un enfoque que disocie los detalles técnicos y se centre en los beneficios que aporta al negocio, tomando en consideración, aquellos aspectos que sí entiende y preocupa al staff de gestión y equipo directivo.
Impacto del SOC en la gestión del riesgo
La principal aportación del SOC en ciberseguridad, hay que encontrarla en la gestión del riesgo. Entendiendo su aportación en esta gestión, no como una medida de protección eficaz frente a la amenaza de distintos ciberataques, sino como la herramienta con la que tratar de reducir la posibilidad que se produzcan ciberincidentes y limitar las consecuencias si se materializan.
La propia operativa del SOC permite la fortificación de los sistemas e infraestructuras TI. Y también, identificar aspectos organizativos y de procedimiento que se pueden mejorar, tanto en el departamento de TI, como en los otros departamentos del negocio. De esta forma, el nivel de seguridad de los procesos de negocio mejora en su conjunto, no sólo en el plano técnico. Esto hace que el nivel de riesgo tecnológico y de negocio, en conjunto, disminuya.
Mayor madurez de gobierno y gestión empresarial
Reducción del nivel de riesgo que debe relacionarse con la madurez en el gobierno y gestión empresarial del mismo. Un valor añadido que seguramente será valorado por el staff directivo y por otras partes interesadas, como pueden ser los accionistas y propietarios. Se incrementa el nivel madurez y es seguro que se destaca en las revisiones de cumplimiento, auditorías, en acreditaciones y regulaciones que apliquen a la organización especificas en seguridad y continuidad, como ISO 27001, ISO 22301 y ENS. Y en otras, no tan específicas pero que tienen apartados para recoger aspectos de seguridad como ISO 9001 o ISO 20000, por citar algunas de las más conocidas y extendidas.
Evasión de brechas de seguridad, DRP y sanciones económicas
En la gestión de incidentes de ciberseguridad, el SOC, es una pieza clave. La rápida detección y resolución de los incidentes, evita la activación de los planes de continuidad y de recuperación ante desastres (DRP), momento en que el perjuicio ya está causado y sólo queda “salvar los muebles”, hacer recuento de daños y dar alguna que otra explicación, sobre cómo ha sucedido y si se ha hecho lo necesario para evitarlo.
Igualmente, la detección temprana aplicada con una adecuada monitorización de los repositorios de datos y canales de comunicación por los que éstos transitan puede advertir de accesos no autorizados y situaciones de exfiltración, negligentes o intencionadas, para atajarlos antes de que sea demasiado tarde.
Las sanciones económicas por brechas de seguridad o por fuga de información que lleva aparejado el incumplimiento de leyes y regulaciones, como ocurre con la privacidad, pueden ser cuantiosas. Y el impacto reputacional por la divulgación de información no autorizada, enorme. Muchas veces casi imposible de cuantificar. Si hay repercusión mediática en medios de comunicación generalistas, sectoriales, redes sociales y otros foros.
Elección de proveedores seguros y continuidad de negocio
Una de las principales preocupaciones a las que se enfrentan las empresas actualmente es el aseguramiento de su cadena de suministros, sus proveedores. Cada vez son más los procesos empresariales que las organizaciones externalizan y, por tanto, se evidencia que los problemas de seguridad de la información y continuidad de las operaciones de los proveedores no solo les afectan a ellos.
Esta preocupación las empresas las trasladan a sus procesos y estándares de contratación de servicios y ya se ha normalizado que las adquisiciones estén supeditadas al cumplimiento de una serie de requisitos relacionados con la ciberseguridad y continuidad.
El Centro de Operaciones de Seguridad como factor competitivo de negocio
Las empresas evalúan el riesgo que les puede representar sus proveedores y, obviamente, prefieren contratar a aquellos que les suponga menor riesgo. Todos los esfuerzos y desvelos de la fuerza comercial pueden quedar en agua de borrajas si, llegado el momento de la contratación, no se cumplen los requisitos exigidos por el cliente. Empresas sujetas a marcos regulatorios estrictos, como son grandes corporaciones o aquellas de menor tamaño que operan en sectores críticos o estratégicos, son exigentes y rigurosas con el cumplimiento de este tipo de requisitos.
Contar con un SOC es una de las medidas que mejor posibilitan cumplir adecuadamente con cualquier homologación de proveedores, en lo que a ciberseguridad se refiere. El ejemplo más inmediato, se puede encontrar en el Esquema Nacional de Seguridad (ENS): todas las empresas que pretendan acudir a las licitaciones de la Administración Pública que exijan certificación en categoría ALTA, tienen que contar con un SOC.
Retorno de la inversión (ROI)
Cuando es viable implantar un SOC, cuantificar el beneficio económico que éste repercute frente a la inversión que se ha de realizar no es fácil. Es complicado cuantificar en dinero algunas de las ventajas del SOC comentadas anteriormente, como el incremento del nivel de eficacia de las medidas tecnológicas de protección implantadas. Pero con otros aspectos sí es posible hacerlo.
La cuantificación de coste-ahorro primera es, como no, confrontar los costes de implantar el SOC frente a los posibles perjuicios económicos que produciría no responder rápida y eficazmente a un ciberataque (ransomware, exfiltración de datos personales, denegación de servicio, etc.).
El Análisis de Impacto en Negocio (BIA) es una buena fuente para determinar el impacto económico y financiero que puede representar no detectar y responder oportunamente a un ciberataque: pérdida de facturación, gastos de recuperación, posibles sanciones, pérdida de contratos y otros, frente a la inversión de implantar un SOC.
Si de facturación se habla, no es necesario plantear un escenario desastroso para que esta se vea afectada, si la postura de seguridad corporativa no ha contemplado un SOC. ¿Qué facturación se podría perder si los clientes imponen a sus proveedores la implantación de un SOC en la renovación de sus contratos? ¿Qué potenciales contratos o licitaciones se deben descartar, sin más, porque no se dispone de SOC? Como se ha comentado anteriormente, un rápido vistazo a los formularios de homologación de proveedores que tienen implantados bancos, grandes industrias y aseguradoras, puede dar una idea de esa cuantificación.
Ahorro en la prima de ciberseguros
Y no se trata sólo de pensar en grandes cifras y pérdidas. Disponer de un SOC también contribuye al ahorro en distintas partidas. Como puede ser la prima del ciberseguro que se contrate. Al igual que ocurre en los seguros convencionales, las primas varían según las medidas adoptadas por el asegurado para limitar los siniestros.
Las pólizas de ciberseguro cubren, normalmente, los gastos de recuperación de los sistemas informáticos afectados por un ciberataque y las consecuencias económicas de responsabilidad civil que se puedan derivar del mismo. Las aseguradoras toman muy en cuenta la postura en ciberseguridad de las empresas y el SOC es una de las medidas de seguridad que más destaca para el cálculo de la prima.
Las empresas que cuentan con servicios de un Centro de Operaciones de Seguridad están mejor preparadas para responder rápida y eficazmente a los ciberataques, lo que les coloca en una muy buena posición para limitar los daños que puedan sufrir y, en consecuencia, la aseguradora sabe que, llegado el caso, afrontará una indemnización de menor cuantía. Y esa confianza la traslada al importe de la prima, con una significativa reducción.
Opciones a la hora de contar con la ayuda de un SOC
Hay dos opciones a la hora de contar con la ayuda de un SOC que deben valorarse en la justificación interna. Veamos qué se debe tener en cuenta a la hora de elegir uno u otro:
Implementar un SOC propio
La primera es implementar el SOC con recursos propios. Esta opción requiere disponer de un presupuesto generoso con el que adquirir el equipamiento hardware y software necesario. Formar al personal técnico interno que se va a ocupar del SOC o contratar personal ya capacitado y con experiencia. Y armarse de paciencia.
Como en todo, la puesta en marcha de un nuevo SOC, requiere tiempo hasta que alcanza el nivel de operación adecuado para que resulte eficaz. Implementar un Centro de Operaciones de Seguridad propio resulta un proyecto muy ambicioso, que no está al alcance de todas las organizaciones.
Subcontratación de servicios SOC
Pero no por ello se debe renunciar a contar con este servicio. La segunda opción es disponer de un SOC subcontratado. La oferta de servicios de SOC es amplia y proveedores, como OneseQ, cuentan con suficiente capacidad y experiencia para ofrecer a sus clientes un servicio maduro y ajustado a distintas necesidades. La externalización del SOC proporciona un servicio completamente operativo y eficaz en un plazo de tiempo muy corto y elimina las servidumbres de su operación y mantenimiento.
Y aunque, a primera vista, pueda parecer un servicio caro, en la práctica no resulta así. No es más costoso que otros servicios TI y, por supuesto, una inversión considerablemente más reducida que implementarlo por medios propios.
Desde OneseQ (Área de ciberseguridad de Alhambra) estaremos encantados de asesorarte, sin ningún tipo de compromiso.
