NoticiasSeguridad

Los cuatro retos de los Centros de Operaciones de Seguridad (SOC)

Presupuesto, volumen de alertas, personal cualificado y automatización, son las debilidades de estos centros.

Los Security Operations Center (SOC) son a menudo la principal barrera entre las grandes compañías y el cibercrimen, o lo que es lo mismo, entre proteger la ciberseguridad empresarial de una organización y sucumbir a un ciberataque que puede ocasionar graves pérdidas no solo económicas, sino también a nivel de imagen y reputación.

Pero lo cierto es que, pese a su carácter imprescindible, los SOC tienen por delante cuatro grandes retos a los que hacer frente para poder seguir siendo el muro de contención ante posibles vulnerabilidades. Para empezar existe un problema de presupuesto. Según el informe Economic Impact of Cybercrime – No Slowing Down de Cytomic, la ciberdelincuencia implica un ingente gasto económico que, en el caso de las organizaciones, asciende a cerca de 600.000 millones de dólares anuales debido, sobre todo, a las sofisticación de los cibercriminales, al aumento de usuarios en internet (y de sus datos asociados) y a la proliferación de grupos organizados y cada vez más especializados en intentar aprovechar las brechas de seguridad de las compañías.

Pero ese no es el único problema. Los Security Operations Center también se vienen enfrentando a un ingente aumento en el volumen de alertas de seguridad que asolan los sistemas informáticos. Este aumento no solo exige aumentar su capacidad de prevención y respuesta, sino que también puede provocar un problema de jerarquización: ante el ‘bombardeo’ de alertas que pueden resultar de una menor gravedad, las de mayor riesgo pueden ser desatendidas, ya que gran parte de los recursos estarán destinados a amenazas menores o incluso falsos positivos de ciberseguridad.

Por otro lado, los SOC se enfrentan a otra problemática que es cada vez más común a todas las industrias tecnológicas y, especialmente, preocupante en el sector de la seguridad informática: la escasez de personal suficientemente cualificado y especializado en ciberseguridad. Según el análisis de Cybersecurity Ventures, en 2021 habrá cerca de 3,5 millones de empleos relacionados con la ciberseguridad que seguirán vacantes ante la falta de profesionales experimentados. De hecho, solo el 25% de los candidatos cubren todas las necesidades del puesto y muchas empresas acaban recurriendo a estudiantes.

No se trata de un problema menor, ya que, aunque los profesionales trabajen con soluciones de ciberseguridad automatizadas, sus conocimientos previos son esenciales, ya que tendrán que analizar las distintas brechas y alertas, clasificarlas y jerarquizarlas para que el software empleado sepa cómo actuar en cada caso. Además, en caso de posibles intrusiones, el profesional deberá tomar ciertas decisiones de manera muy rápida, con lo que su experiencia siempre será un valor añadido. Sin embargo, la falta de talento cualificado hace más difícil contar con los perfiles adecuados en los SOC, algo que preocupa, y mucho, al 62% de las compañías.

Por último, la automatización de procesos lleva también consigo un reto asociado: la gestión y análisis de todos esos datos. Si ningún control de ciberseguridad puede ser exhaustivo sin el uso de big data, machine learning o inteligencia artificial, gestionar todas estas herramientas se vuelve esencial en cualquier SOC. Según el Security Operations Survey for 2018 realizado por SANS, los profesionales de estos centros pueden verse abrumados por todas las tecnologías que deben gestionar, lo que a menudo acaba desembocando en una mejorable cohesión de todos los datos que se están recibiendo y procesando. Esto puede traer consigo otra consecuencia peor: que los analistas de ciberseguridad no puedan profundizar en muchas alertas si las tienen monitorizadas o que, en ocasiones, decidan hacer análisis manuales para correlar datos y poder profundizar en cada posible vulnerabilidad; una labor que podrían evitar si contaran con la tecnología adecuada.

Los CISO se encuentran desbordados

Asimismo, los resultados de una reciente encuesta desvelan que los directores de TI se encuentran desbordados por el creciente número y sofisticación de los ataques. El 26% del tiempo de su equipo lo dedican a administrar la seguridad. Sin embargo, el 86% está de acuerdo en que la experiencia en seguridad podría mejorarse y el 80% requiere de un equipo más fuerte para detectar, investigar y responder a incidentes de seguridad. Una solución es contar con herramientas que aumenten el nivel de madurez del proceso de hunting en la organización, así como que permitan homogeneizar el flujo de trabajo.

Computing 782