El documento describe la necesidad creciente de los centros de operaciones de seguridad (SOC) ante el complejo panorama de amenazas cibernéticas. Un SOC es una unidad centralizada que se encarga de la detección, prevención y respuesta rápida a incidentes de seguridad a través de la monitorización continua y el análisis de informes. Los SOC pueden ser propios o externos, ofreciendo este último opciones como experiencia comprobada y sinergias entre clientes.

1. Centros de
operaciones de
seguridad
IVª Jornada Pribatua
4 de Junio de 2014

2. • El escenario de amenazas y riesgos tanto externos como internos, a los que
están sometidas las organizaciones, especialmente cuando crecen, les obliga a
reforzar sus equipos de seguridad, especializar a sus técnicos en seguridad
informática, monitorizar la actividad de su infraestructura tecnológica y mejorar
los tiempos de respuesta ante incidentes. Esta evolución natural tiene un
nombre: SOC.
Evolución hacia los Centros de Operaciones de Seguridad

3. Escenario de Amenazas
 Phishing
 Malware
 Credenciales robadas
 Configuraciones de seguridad
 Robo de datos personales
 Ataques DDoS
 Vulnerabilidades dirigidas
 Información sobre sistemas
comprometidos
 Fuga de bases de datos
 Cybersquatting
 Publicación de documentos confidenciales
 Perfiles falsos en redes sociales
 Información publicada por empleados
 Job scams
 Counterfeiting
 Incumplimiento de copyright
 Falsas ofertas
 Menciones negativas en media o foros
 Menciones negativas sobre ejecutivos

4. APTs
Las amenazas avanzadas persistentes avanzadas suelen manifestarse como un programa
especialmente diseñado para mantenerse oculto en el sistema atacado, puede que
aprovechando vulnerabilidades desconocidas hasta el momento o usando técnicas de
ingeniería social sobre el personal de la empresa. Esto quiere decir que se aleja del
malware o amenazas comunes que, por lo general son impersonales y generalistas.
Proceso:
1. Estudio de la victima
2. Infección
3. Propagación
1. Ingeniería Social
2. BYOD
3. Vulnerabilidades
4. Phishing dirigido
5. Perímetro externo
6. Distracciones

5. El internet de las cosas
¿Qué riesgos podemos correr en una casa donde casi todos los electrodomésticos
están conectados y pueden ser monitorizados de forma remota?
Hace no mucho tiempo, Internet solo conectaba ordenadores con servidores. Desde hace
unos años, esta tendencia ha cambiado y casi todo tiene una dirección IP y está
conectado a la red. La seguridad de Internet es cada vez más vulnerable ya que cuantos
más dispositivos estén conectados, más puertas de acceso tienen los cibercriminales para
lanzar sus ataques.
• In-Car WIFI
• Electrodomésticos
• Drones
• mHealth

6. • Un SOC es un centro de operaciones de seguridad, una unidad centralizada
en una organización que se encarga de gestionar la seguridad desde el punto
de vista organizacional y técnico.
• El objetivo principal es asegurar que las amenazas en seguridad de la
información y los incidentes son detectados rápidamente tratados
eficientemente y remediados antes de que tengan impacto significativo en la
organización o fuera de ella: Prevención, detección y respuesta.
• Las funciones básicas de un SOC se encuentran divididas en tres vertientes:
Monitorización y gestión en tiempo real, gestión de informes y análisis post-
incidentes.
• Como funciones avanzadas los SOC modernos realizan otra serie de servicios
para la organización, como son la actividad de cumplimiento técnico en
cualquier ventana temporal como elemento de prevención, o servicios
relacionados con la inteligencia de red, como son el anti-fraude o la protección
de marca.
Definición y objetivos

7. • De forma genérica un SOC se estructura de acuerdo a tres niveles de actuación, cada
uno de los cuales debe estar representado por un equipo especializado.
• Cada uno de estos tres niveles tienen asociados diferentes parámetros y protocolos
que se amoldan a las necesidades de las organizaciones.
Estructura de niveles
• Incidencias documentadas
que no requieren un técnico
de soporte especializado
• Atención directa por parte del
equipo
• Plazos de respuesta
inmediatos
• Monitorización continua
• Prácticas de healthchecking
en modalidad 24x7
• Resolución de incidencias no
documentadas en Nivel 1
• Atención bajo demanda a
través del equipo de Nivel 1
• Plazos de respuesta
conforme a niveles de
servicio
• Técnicos especializados en
las tecnologías objeto de
soporte
• Posibilidad de
desplazamiento onsite
• Soporte premium
proporcionado por los
fabricantes de seguridad
• Proporciona soporte a casos
en el Nivel 2 que requieren
asistencia adicional de
expertos en el producto
NIVEL 1 NIVEL 2 NIVEL 3

8. • Cuando la organización cuenta con una
deslocalización geográfica que le
obliga a tener equipos de seguridad
dispersos.
• Cuando no se están detectando ni
respondiendo a las amenazas a tiempo
ni de forma efectiva: fugas de
información, accesos no autorizados,…
• Cuando los CISOs pasan más tiempo
gestionando incidentes que
gestionando otros aspectos de la
seguridad.
• Cuando no existe una coordinación
entre los distintos equipos o personas de
seguridad, dándose el caso que distintos
equipos gestionen el mismo incidente.
Indicadores y señales
Deslocalización
geográfica
Falta de respuesta en 24x7
Descoordinación entre
equipos de seguridad

9. SOC propio SOC externo
• Necesaria elevada inversión
en profesionales cualificados
y tecnología
• Sin sinergias
• Dificultad y tiempo necesario
para adquirir el know-how
(curva excesiva de
aprendizaje de 3 a 5 años)
• Inversión en formación
continua
• Mayor presión para
rentabilizar el ROSI (Return
of Security Investment).
• Amplio conocimiento de la
corporación.
• Un equipo altamente
cualificado a disposición del
cliente
• Sinergias en la operación y
en la gestión
• Curva de aprendizaje nula,
puesta en marcha inmediata
• Conocimiento cruzado y
experiencia acumulados por
la prestación a múltiples
clientes

10. 1. ¿Tiene estabilidad?
2. ¿Tiene experiencia en grandes clientes?
3. ¿Cuál es su tasa de pérdida de clientes?
4. ¿Cuenta con procedimientos internos de cumplimiento
normativo, como ISO/IEC 27001 o RFC 2350?
5. ¿Proporciona servicios de valor añadido, como inteligencia
de red o cumplimiento normativo en el ámbito técnico?
6. ¿Qué experiencia tiene el equipo técnico?
7. ¿Cuántas certificaciones acumula su equipo técnico y
cuáles son?
8. ¿Cuál es su tasa de rotación de trabajadores?
9. ¿El personal está sujeto a estrictos acuerdos de
confidencialidad?
10. ¿Cuántos técnicos destina a cada nivel de servicio?
Las preguntas

11. • La gestión de los equipos de seguridad en grandes corporaciones no es
suficiente ante la nueva escalada y sofisticación de ataques informáticos:
Especialización de ataques, APTs, robo de información sensible, la denegación
de servicios o la fuga de información.
• Por este motivo, los centros de operaciones se plantean como una necesidad a
corto plazo en estructuras empresariales que requieren de una madurez en sus
procesos de seguridad, garantizar los activos de información que están
gestionando y reducir el impacto de los incidentes de seguridad.
Conclusiones

12. For more information, please, visit www.deloitte.es
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms,
each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of
Deloitte Touche Tohmatsu Limited and its member firms.
Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally
connected network of member firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients
succeed wherever they operate. Deloitte's approximately 182,000 professionals are committed to becoming the standard of excellence.
This publication contains general information only, and none of Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte
Global Services Holdings Limited, the Deloitte Touche Tohmatsu Verein, any of their member firms, or any of the foregoing’s affiliates (collectively
the “Deloitte Network”) are, by means of this publication, rendering accounting, business, financial, investment, legal, tax, or other professional
advice or services. This publication is not a substitute for such professional advice or services, nor should it be used as a basis for any decision or
action that may affect your finances or your business. Before making any decision or taking any action that may affect your finances or your
business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever
sustained by any person who relies on this publication.
© 2014 Deloitte Advisory, S.L.