SOC (Security Operation Services)

SOC (Security Operation Services)

Un centro de operaciones de seguridad (SOC) es fundamental para el mantenimiento y entendimiento de la postura global de seguridad. El SOC realizara la detección temprana de ataques cibernéticos sofisticados que puedan impactar notablemente a la Organización, generando una adecuada respuesta a cualquier actor malicioso que busque dañar o afectar a . Un adecuado y continuo diagnóstico del SOC es requerido, con el objetivo de mejorar continuamente todo el compendio de capacidades en la respuesta a incidentes y evolucionar los servicios actuales del SOC, que permitan estar un paso adelante de las técnicas, tácticas y procedimientos de los ciberdelincuentes actuales.

El SOC desea mejorar su capacidad para detectar los incidentes de seguridad y responder a ellos oportunamente, disminuyendo el tiempo que lleva encontrar amenazas y mitigarlas adecuadamente.

Nuestro enfoque se basa en las cinco fases de ITILv3: Estrategia de servicio, Diseño de servicio, Transición de servicio, Operación de servicio y Mejora continúa de servicio. Este enfoque nos proporciona una estructura sólida y estable una definición clara de expectativas y trazabilidad de todos los componentes que conforman el SOC mediante las tres torres: personas, procesos y tecnología.

Nos enfocaremos en definir todos los componentes requeridos para el servicio basados en la definición de las torres de:

• Personas,

• Procesos,

• Tecnologías.

Después abordaremos todo los aspectos de mejora continua y estrategia de medición, basándonos en la definición de:

• Programa de métricas,

• Los acuerdos de niveles de operación del servicio,

• Los indicadores claves de desempeño (KPI),

• Los indicadores claves de riesgos (KRI),

Posterior identificaremos todo el marco base de gobernanza que requiere el servicio para su funcionamiento, mediante la definición de:

• Las políticas que requiere el servicio para su operación.

• Los procesos operacionales.

• Procedimientos.

Política de Respuesta a Incidentes (RI). El entregable es un documento de estrategia que incluirá lo siguiente (alineado con el NIST SP800-61):

• Propósito y objetivos de la política

• Alcance de la política

• Declaración y compromiso de la gerencia

• Declaraciones de la política.

Diseño Plan de Respuesta a Incidentes. Parte fundamental de un programa de Respuesta a Incidentes maduro es un plan de Respuesta bien preparado y mantenido. Este elemento/entregable deberá de incluir el siguiente alcance:

• Formalizar el ciclo de vida de respuesta a incidentes y mapearlo a las actividades y los procedimientos previstos en cada fase:

• Detección y Análisis: Identificación de los canales de informes, análisis de relevancia, identificación, clasificación, triage, la creación de tiquetes, asignación, comunicación, análisis de datos, investigación de la solución, etc.

• Contención, la erradicación y la recuperación: la presentación de informes, acciones a tomar, etc.

• Post-incidente: la recogida de propuestas de mejoras, la formalización de los planes de acción, el seguimiento de las mejoras, etc.

• Identificar las funciones y responsabilidades. Esto incluirá la identificación de la posición de Respuesta a incidentes, las tareas asignadas, la frecuencia de la realización de las tareas, la posición y la competencia.

Manual de Respuesta a Incidentes. Con el objetivo de establecer la base del manual de respuesta a incidentes de seguridad informática (RI) para las operaciones actuales. El manual de RI de seguridad informática se basará en tres escenarios de ataque comunes que hacen parte del alcance de la Respuesta a Incidentes (RI) de seguridad cibernética actual. El elemento/entregable del documento por cada escenario de ataque deberá de incluir al menos:

• Introducción

• Alcance

• Indicios

• Accionadores

• Procedimiento

La evaluación de los componentes se realizará mediante el análisis de los siguientes dominios:

Personas

Contar con el personal calificado para el cumplimiento de los objetivos y estrategia del SOC, es un requisito crítico, donde queremos evolucionar el conocimiento y competencias del personal actual, definir un plan de entrenamiento y mejora continua, tener un plan de retención. Para el presente torre se realizarán las siguientes actividades:

o Comprender la estructura de TI (Tecnología de la Información) de la organización, sus funciones, responsabilidades y gobierno,

o Comprender la estructura de las áreas de Ciber Seguridad de la organización, sus funciones, responsabilidades y gobierno,

o Realizar un análisis GAP de las habilidades actuales de los recursos asignados a la operación del SOC y las respuestas antes incidentes.

o Identificar el plan de entrenamiento del SOC,

o Identificar el plan de retención del SOC,

o Identificar y estructurar el modelo de operación de SOC en términos de la estructura del equipo de trabajo, los cambios y la cobertura.

o Identificar el plan de entrenamiento del plan de respuesta a incidentes,

o Identificar y estructurar el modelo de operación del plan de respuesta a incidentes en términos de la estructura del equipo de trabajo, los cambios y la cobertura.

Procesos

Los procesos, procedimientos y políticas deben estar alineados en la misión y objetivos del SOC. Mejorando el nivel de madurez con respecto a las mejores prácticas y técnicas efectivas de los SOC de clase

...