Centros de Operaciones de Seguridad

Perspectivas sobre
gobierno, riesgo y
cumplimiento
Octubre 2013
Centros de Operaciones
de Seguridad en contra del
crimen ciberntico
Las 10 mejores consideraciones para el xito
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
Ya no es cuestin de si
sucediera es cuestin
de cundo suceder?
Con el entendimiento de
que los ataques nunca
pueden ser completamente
prevenidos, las compaas
deberan reforzar sus
capacidades de deteccin
para poder responder
apropiadamente.
Contenidos
Introduccin ......................................................................
Un centro de operaciones de seguridad exitoso se

construye desde los cimientos ...........................................
1.
Soporte ejecutivo y del comit directivo ................
2.
Inversin ...............................................................
10
3.
Estrategia .............................................................
11
4.
Gente ....................................................................
13
5.
Procesos ...............................................................
13
6.
Tecnologa .............................................................
15
7.
Entorno .................................................................
17
8.
Anlisis y reportes ................................................
18
9.
Espacio fsico ........................................................
18
10. Mejora Continua ....................................................
19
Conclusin .........................................................................
20
Introduccin
La percepcin de la
seguridad de la informacin
est cambiando a un ritmo
vertiginoso
La seguridad de la informacin est cambiando a un paso vertiginoso.
Los hackers son cada vez ms implacables, haciendo que la respuesta
a incidentes de seguridad de la informacin sea progresivamente ms
compleja. De acuerdo a Under cyber attack: la Encuesta Global de Seguridad
de la Informacin de EY del 2013, el 59 % de los encuestados ha visto un
incremento en las amenazas externas en los ltimos 12 meses.
En el mundo actual de la tecnologa always-on o siempre encendida y en
donde existe una conciencia insuficiente de parte de los usuarios, los ciber
ataques ya no son cuestin de si, sino de cundo? Vivimos en una era en
donde la prevencin de seguridad de la informacin no es opcional.
Muchas organizaciones han tenido un progreso sustancial por mejorar sus
defensas. En nuestra encuesta ms reciente, 60 % de los encuestados creen
que sus operaciones de seguridad son maduras. Soluciones puntuales, en
particular: antivirus, IDS, IPS, parchado y cifrado, muestran niveles madurez.
Estas soluciones siguen siendo un control clave para combatir los ataques
conocidos el da de hoy. Sin embargo, se vuelven menos efectivos en el
tiempo mientras los hackers encuentran nuevas maneras de circunvenir los
controles.
Prepararse para los ataques conocidos ya es suficientemente difcil. Pero,
cmo pueden las organizaciones construir controles para los riesgos de
seguridad de los que todava no se enteran?
Las organizaciones lderes ms que mejorar su estado actual buscan
expandir sus esfuerzos, emprender acciones ms audaces para combatir
las ciberamenazas. En lugar de esperar a que las amenazas vengan a ellos,
estas organizaciones estn priorizando esfuerzos que mejoran la visibilidad y
habilitan un proceso proactivo a travs del monitoreo y la pronta deteccin.
Es probable que las organizaciones no puedan controlar cundo suceder
un incidente de seguridad de la informacin, pero s pueden controlar cmo
responden a l. Expandir las necesidades de deteccin es un lugar clave para
empezar con el esfuerzo.
Un Centro de Operaciones de Seguridad (SOC por sus siglas en ingls)
funcionando en forma puede ser el corazn de la deteccin efectiva. Puede
habilitar las funciones de seguridad de la informacin para responder ms
rpido, trabajar de manera ms colaborativa y compartir conocimiento ms
efectivamente. En las pginas siguientes, exploramos las 10 reas principales
que las organizaciones necesitan considerar para hacer un xito de su Centro
de Operaciones de Seguridad.
* Cmo puede haber cambiado el entorno de riesgo en el que opera su

negocio en los ltimos 12 meses? Escoja las que aplican
Incremento en todas las amenazas (externas)
59%
No hubo cambios en las vulnerabilidades (internas)
41%
Incremento en vulnerabilidades (externas)
34%
Sin cambio en las amenazas (externas)
29%
Decremento en las vulnerabilidades (internas)

Decremento en las amenazas externas
15%
7%
*Bajo ciberataque. Encuesta Global sobre Seguridad

de la Informacin de EY de 2013
Un SOC exitoso se basa

en los fundamentos
Empiece con lo bsico. Parece lo suficientemente obvio. Y aun

as, es en donde las organizaciones ms sufren.
Olvide las herramientas costosas y las habitaciones bien
iluminadas, con grandes pantallas y escneres biomtricos en la
entrada. No son la panacea que proteger su permetro de las
amenazas del mundo exterior (o probablemente ya interior).
En el ncleo de un SOC exitoso estn unos cimientos fuertes
para la excelencia operacional, impulsada por procesos bien
diseados y ejecutados, un gobierno fuerte, individuos capaces
y en constante motivacin para mejorar y estar delante de
sus ciber adversarios. Un buen SOC es aquel que soporta los
objetivos del negocio y mejora efectivamente la postura de
riesgo de una compaa. Un SOC verdaderamente efectivo, es
uno que provee un ambiente seguridad para que el negocio
pueda generar, con base en sus objetivos nucleares, alineado con
su direccin y visin estratgicas.
Ya sea que una organizacin est construyendo un nuevo

SOC o buscando expandir sus capacidades existentes, aqu se
mencionan diez consideraciones para el xito:
1 Soporte ejecutivo y del comit directivo

2 Inversin
3 Estrategia
4 Gente
5 Procesos
6 Tecnologa
7 Entorno
8 Anlisis y reportes
9 Espacio fsico
10 Mejora continua
Las 10 principales reas que las organizaciones deben considerar para hacer
de los Centros de Operaciones de Seguridad un xito
Soporte ejecutivo y del comit directivo
Un enfoque ascendente de la seguridad tiene oportunidades mnimas de

supervivencia y an menores de xito. Sin un soporte ejecutivo claro, un
SOC puede ser inefectivo y no se crear conciencia de su valor. Crear un SOC
efectivo requiere soporte para establecer una ruta especfica, una estrategia a
largo plazo y un lder fuerte que impulse el cambio organizacional y desarrolle
una cultura de seguridad.
Asegurando el soporte ejecutivo

En su aventura para asegurar el soporte ejecutivo, est listo para contar una
historia convincente. A continuacin le mostramos cmo podra estructurar
esta importante discusin:
Defina problemas e impacto

Por qu necesitamos un SOC?
Qu problemas resolver el SOC para la organizacin?
Qu debe cumplir el SOC para resolver los problemas existentes?
65%
de los encuestados en el GISS (Global
Information Security Survey o Encuesta de
Seguridad de la informacin de EY) 2013
citan restricciones de presupuesto como su
principal obstculo para entregar valor al
negocio.
Demuestre visin
Cul es la visin a corto plazo?
Cul es la visin a largo plazo y cmo alcanzar los deseados
objetivos de madurez de estado final?
Cmo se alinea su visin con los objetivos de negocio, prioridades y postura

de riesgo?
Conozca lo que se necesita

Cmo habilitar el xito del SOC?
Qu necesita para que el SOC cumpla sus objetivos (gente, procesos,
tecnologa, gobierno)?
Qu debe ser hecho internamente y qu debe ser subcontratado?
Haga los clculos correctos

Cul es la inversin inicial necesaria?
Cules son los costos en curso de operar y evolucionar un SOC?
Cules son los otros gastos en este espacio?
Cuantifique el valor
Cmo demostrar el valor del SOC?
50%
de los encuestados en el GISS tambin
mencionaron la falta de talento como un
obstculo para valorar la creacin.
Inversin
Uno de los retos ms significativos que un SOC puede enfrentar es su

habilidad para trabajar (y tener xito) dentro de sus medios limitados,
especialmente cuando an no ha probado ser exitoso o producido algn
resultado tangible. Esto es particularmente complicado en un entorno
en el que un nmero significativo de encuestados en el GISS de este ao
mencionaron que las restricciones de presupuesto son el obstculo nmero
uno para entregar valor al negocio.
En el contexto de los medios limitados, enfquese en adquirir el talento
adecuado. Las funciones de seguridad de la informacin de hoy requieren
un amplio rango de capacidades con una diversidad de experiencias. Esto
puede ser una tarea difcil, especialmente en locaciones geogrficas poco
afortunadas y dada la escasez de profesionales de SOC o respuesta a
incidentes en la industria. Para atraer el talento adecuado, es probable que las
organizaciones tengan que ofrecer compensaciones de nivel Premium para
acceder a oportunidades de crecimiento.
La tecnologa SOC y el modelo operativo tomar entonces gran parte del
presupuesto. Las herramientas de cdigo abierto son de uso libre, pero
requerirn practicantes avanzados para configurarlas y operarlas.
Las soluciones comerciales son fciles de usar pero normalmente vienen
acompaadas de altos costos de licenciamiento y soporte. Dados estos
dos extremos es importante encontrar el balance adecuado que obtenga
lo mximo del presupuesto limitado. Dirigir los recursos para asegurar
algunos triunfos rpidos y demostrar el valor al negocio: en establecer los
fundamentos para una inversin ms grande en el futuro.
Dgalo y prubelo
La conversacin alrededor de proveer de recursos el monitoreo de
seguridad y los esfuerzos de respuesta a incidentes debe sobre pasar
al rea de TI y alcanzar los niveles del comit directivo. Una vez que la
funcin de seguridad de la informacin tiene un asiento en el comit
directivo, necesita contar una historia convincente.
Nuestra experiencia indica que los miembros de la junta directiva estn
ms convencidos de la necesidad de hacer algo cuando la historia incluye:
a) Una revisin de programa de seguridad independiente que pueda
evaluar el riesgo de seguridad y la madurez general de la funcin de
seguridad.
b) Una evaluacin basada en escenarios que traduzca los temas tcnicos
a riesgos de negocio de alto impacto.
Evaluaciones de seguridad de enfoque amplio pueden identificar
oportunidades de mejora basados en la madurez general de la funcin
de seguridad y del apetito de riesgo de la organizacin. Sin embargo,
en donde las evaluaciones de seguridad tradicionales pueden quedarse
cortas es en hacer los hallazgos relevantes para el negocio. Un
benchmarking por s solo no son un impulsor convincente para el cambio y
la madurez es un concepto relativo. Las organizaciones tambin necesitan
moverse ms all del cumplimiento y mirar a la seguridad a travs de la
lente del valor y el desempeo.
8
Estrategia
Un SOC debe poder articular claramente su visin, misin y objetivos dentro

del contexto de tres prioridades crticas:
Alineacin con la postura general de riesgo.

Soporte de las metas de negocio.
Asistencia en cumplir con las obligaciones de cumplimiento.
Para ganar soporte y compromiso, los SOC deben servir como centros de
servicio compartido que entreguen valor significativo a los accionistas del
negocio y que dicho valor se encuentre alineado con sus intereses. Por su
naturaleza inherente de funcin organizacional cruzada su presentacin
en ocasiones involucra el agregar y centralizar operaciones existentes de
departamentos separados. La falla de reasignar y reorganizar estos recursos
y procesos representan un precipicio comn que puede poner en peligro en
xito del recin establecido SOC, antes de que comience sus operaciones.
Para este fin, las organizaciones necesitan y formalizar definir a conciencia el
gobierno y modelo operativo del SOC (junto con procesos y acuerdos de nivel
de servicio documentos) para alcanzar el seguimiento de responsabilidad
y la supervisin, administrar las comunicaciones y guiar interacciones
oportunas con funciones relevantes como TI, RH, legal, cumplimiento y otros.
Una cadena de autoridad clara puede tambin minimizar la confusin y la
incertidumbre durante acciones alto impacto en emergencias.
Muestra de modelo
de gobierno
CEO Director ejecutivo
COO Ocial en jefe

de operaciones
Negocio
Cumplimiento
Ocial en jefe
de seguridad
de la informacin
Comit de Administracin
de Riesgos de Seguridad
Legal
Recursos humanos
Administracin de riesgos
Director de operaciones
de seguridad
Anlisis de seguridad
Auditoria interna
TI
Monitoreo de seguridad
Respuesta a incidente
y cmputo forense
Inteligencia de amenazas
y administracin
de vulnerabilidades
Prevencin de
prdida de datos
Seguridad fsica
Comunicaciones
Operaciones de seguridad
Las compaas deben

crear un marco de
gobierno corporativo para
enfocarse en los temas
de seguridad y evaluar
su impacto en el negocio
de forma que se aplique
un manejo adecuado del
riesgo.
Adicionalmente, las compaas necesitan desarrollar un marco de gobierno

para poder elevar los temas de seguridad y evaluar su impacto al negocio.
Las polticas y los estndares son fundamentales para establecer una cultura
enfocada a seguridad y habilitar un cambio organizacional duradero. Las
polticas definen la visin y posicin estratgica de largo plazo de la compaa
al respecto de temas clave mientras que los estndares proveen la gua
tangible para la implementacin y procuracin de esas reglas; juntos, forman
los cimientos sobre los cuales, todas las dems iniciativas sern medidas en
trminos de valor, alineacin y priorizacin.
An ms importante, sin polticas y estndares el SOC no tiene autoridad
para tomar accin en respuesta a los hallazgos. Tratar de procurar o ejecutar
reglas sobre los empleados, sin una gua clara de cmo hacerlo, puede poner
en problemas a la organizacin desde el punto de vista legal (p.ej. quejas
a Recursos Humanos, despidos no justificados). Sin polticas, la nocin
de conducta inapropiada hace poco sentido a los empleados y el intento
de procuracin puede dejar a la organizacin en un estado de confusin y
debilidad.
Operaciones de Seguridad vs Operaciones de Red

Los SOC y Centros de Operaciones de Seguridad (Security Operations Centers,
SOCs) y Centros de Operaciones de Red (Network Operations Center, NOC)
exhiben varias similitudes. Ambas funciones son con frecuencia organizadas de
manera similar usando un enfoque multinivel con roles similares en los niveles
ms bajos. Ambos comparten algunas herramientas, aunque cada uno tiene un
conjunto de herramientas y tcnicas individuales. Ambos grupos utilizan un amplio
conocimiento del entorno de cmputo y requieren amplias habilidades tcnicas.
Lo ms diferente es su perspectiva. Mientras que el NOC est principalmente
preocupado con servir al negocio, el SOC est enfocado a protegerlo.
Cuando se detecta un apagn de luz, por un lado, el personal del NOC se inclinar
por atribuir la disrupcin al mal funcionamiento de un dispositivo o a alguna
situacin con un sistema y tratar de atenderlo a travs del reemplazamiento de
hardware o un ajuste en la configuracin. Por otro lado, el personal del SOC se
inclinar por atribuir el problema a una actividad maliciosa y entonces solicitar
una investigacin antes de iniciar acciones de respuesta.
Juntas, las diferencias y similitudes entre el NOC y el SOC crean sinergias
poderosas que pueden beneficiar en gran proporcin a la organizacin. Algunos
ejemplos incluyen:
Mejores comunicaciones y conocimiento compartido para mejorar la

concientizacin situacional y las capacidades de respuesta.
Tiempos de respuesta a incidentes reducidos al habilitar a la funcin
de seguridad de la informacin y de TI para trabajar juntas hacia metas

comunes, con cada una contribuyendo sus habilidades y experiencias
especializadas.
Planeacin mejorada de contramedidas a travs de la responsabilidad
conjunta para la identificacin y resolucin de causas raz.
Reporteo de administracin de incidentes racionalizado con un contexto
tcnico valioso.
En EY, vemos que las funciones de seguridad pueden entregar un valor ptimo
cuando las funciones no estn embebidas dentro de TI. Aquellas organizaciones
que pueden navegar los retos polticas asociados con una entidad NOC/SOC
pueden obtener beneficios significativos en el largo plazo.
De cualquier manera, los modelos operativos, procesos y procedimientos de la
mayora de las organizaciones de hoy no estn suficientemente maduros todava
como para soportar este modelo avanzado de operacin.
10
Gente
No temas buscar apoyo de

terceros.
El SOC requiere recursos talentosos que posean un conocimiento tcnico

profundo y tambin un amplio rango de capacidades y una diversidad de
experiencias. El personal del SOC debe poder analizar grandes volmenes
de datos de manera eficiente y reconocer de manera intuitiva la necesidad
de ampliar el alcance de una investigacin. Un SOC efectivo debe lograr el
balance correcto entre los profesionales de seguridad y las transferencias
internas del rea de TI que pueden traer un slido entendimiento del
entorno de TI de la compaa y las funciones de nucleares del negocio que la
infraestructura soporta.
Las contrataciones externas de seguridad pueden dar una perspectiva fresca
basados en experiencias previas. El SOC podra llegar a querer aumentar la
cantidad de recursos con personal menos experimentado (y menos caro)
que pueda ser desarrollado con una asesora adecuada brindada por los
empleados experimentados para convertirse en profesionales de la seguridad
serios.
Procesos
Lleva tiempo para que una

operacin de monitoreo de
seguridad madure. Es posible que
las organizaciones requieran un
poco de ayuda externa durante
el periodo inicial de desarrollo
y crecimiento acelerado del
SOC. Un socio de servicios
de seguridad administrado
puede aportar conocimientos
profundos y recursos adicionales
especializados a medida que
el SOC cimiente sus bases.
Conforme las capacidades
internas maduran, el SOC
puede dejar de depender del
apoyo externo, hasta llegar a un
punto en que tal apoyo ya no se
requiera.
Procesos bien definidos crean operaciones consistentes y resultados repetibles. El SOC necesita documentar
y comunicar procesos efectivamente e implementar mecanismos de control de cambios para poder actualizar
rpidamente los procesos cuando surjan oportunidades de mejora.
Un SOC tambin necesita crear procesos con suficiente amplitud y profundidad para atender adecuadamente el
universo de posibles escenarios de incidente y proveer gua detallada para la respuesta.
Por ejemplo, un SOC debe documentar procesos para gestionar varios tipos de incidentes (p.ej. phishing, infecciones
de malware, incidentes de BYOD, alteracin no autorizada del sitio web, ataques de negacin de servicio, etc.) as
como guas de decisin para las medidas de respuesta apropiadas para cada situacin (p.ej. despliegue de un equipo
de respuesta a incidentes, investigacin forense, anlisis de malware). El SOC necesitar definir e implementar estos
procesos en colaboracin con los departamentos relacionados. La planeacin conjunta es esencial para una respuesta
oportuna y unificada as como una apropiada evaluacin del impacto a la organizacin.
Qu enunciado describe mejor la madurez de su programa de deteccin?
Tenemos dispositivos de seguridad perimetral (p.ej. IDS).
No tenemos procesos formales implementados para respuesta y escalamiento.
32%
Utilizamos una solucin SIEM (Security Information and Event Management) para monitorear activamente
la red, as como las bitcoras de los IDS, IPS y de sistema.
Tenemos procesos informales de respuesta y escalamiento implementados.
27%
Tenemos un programa formal de deteccin que aprovecha tecnologas modernas

(deteccin de malware basada en host y basada en red, deteccin de anomala conductual, etc.)
para monitorear ambos el trco externo y el interno.
Utilizamos procesos ad hoc para la recoleccin, integracin, respuesta y escalamiento de amenazas.
20%
12%
No tenemos un programa de deteccin.

Tenemos una funcin formal y avanzada de deteccin que agrupa cada una de las categoras de la tecnologa
moderna (deteccin de malware basada en host, antivirus, deteccin de malware basada en red, DLP, IDS,
rewalls de siguiente generacin, agregacin de bitcoras) y usamos anlisis de datos sosticado para
identicar anomalas, tendencias y correlaciones. Tenemos procesos formales para la recoleccin,
diseminacin, integracin, respuesta y escalamiento de amenazas.
9%
| 11
Muestra de arquitectura de servicio del SOC

Inteligencia de amenazas y concientizacin externa
Inteligencia de
fuente abierta
(OSINT)
Inteligencia
de seales
(SIGINT)
Inteligencia
Humana
(HUMINT)
Alcance sectorial
y geogrco de EY
Experiencia de EY
Contexto de negocio
Datos de eventos de la empresa
Polticas y
estndares
Marco
de riesgos
Estrategia
de negocios
Datos de
incidentes
Resultados
de pruebas
Heurstica
Requerimientos
de cumplimiento
Inventario de
activos
Estrategia de
seguridad y de TI
Datos forenses
Datos de
vulnerabilidad
Estndares
mnimos
Cmo trabajamos?
Quines somos?
SOC
Misin, visin y valores
Gobierno y modelo operativo
Estructura organizacional, roles y responsabilidades
Habilidades y
capacidades
Mensajes y
comunicaciones
Procesos
nucleares internos
Tecnologa y
herramientas
Qu hacemos?
Calidad | Eficiencia | Consistencia | Trabajo en equipo

Respuestas a
incidentes de
seguridad de la
informacin
Monitoreo de
seguridad
Reporte y
anlisis de riesgo
--------------------------------------------- Catlogo de servicios ------------------------------------------Forense digital

y anlisis de malware
Identificacin de
amenazas y
vulnerabilidades
Optimizacin
de la tecnologa
de monitoreo
Mtricas constantes y marco de trabajo de la mejora de desempeo
Seguridad
reforzada
12
Administracin
de riesgos
Administracin
de amenazas y
vulnerabilidades
Respuesta a
incidentes
Planeacin de
contramedidas
Mtricas y
reportes
Tecnologa
Con frecuencia las organizaciones despliegan tecnologa como medio de

atender temas imperativos de seguridad. Los proyectos que son nombrados
como soluciones tcnicas estn frecuentemente medidos por el xito de la
implementacin ms que por el valor que la tecnologa provee. Por ejemplo
en las preguntas alrededor de la proteccin de datos, los encuestados de la
GISS hicieron referencia a la implementacin de un sistema DLP y prestan
poca atencin en los otros componentes de un programa de Prevencin de
Prdida de Datos como el desarrollo de una poltica o un estndar, gobierno,
inventario y seguimiento de activos de informacin, clasificacin y ciclo de
vida de la informacin, y soportar los procesos y los procedimientos para el
manejo de alertas.
Para obtener el mayor valor de una solucin tecnolgica, las organizaciones
deben suplementar sus esfuerzos de despliegue tecnolgico con iniciativas
estratgicas que traigan a la mesa la gobernanza apropiada, procesos,
entrenamiento y concientizacin. Retos similares existen, cuando la
implementacin de un SOC se iguala al despliegue de un sistema SIEM. La
implementacin de un SOC bien diseado es el paso que las compaas deben
dar para obtener el mayor beneficio de una implementacin SIEM.
Un SOC debe estar equipado con una suite de productos tecnolgicos que
provean la visibilidad adecuada hacia el entorno que coadyuve a la postura
de seguridad de la organizacin. Al seleccionar la tecnologa correcta, el
SOC necesita asignar un equipo de seguridad calificado que pueda identificar
exactamente cules son las herramientas adecuadas para el trabajo. Este
equipo ser responsable de evaluar los RFP de distintos proveedores,
considerar los requerimientos de integracin del sistema, evaluar la
interoperabilidad con la infraestructura existente y realizar demostraciones y
pruebas de las soluciones.
Algunas de las herramientas requeridas pueden incluir la tecnologa de
deteccin y prevencin de intrusiones; soluciones SIEM; herramientas de
administracin de amenazas y vulnerabilidades; tecnologas de filtrado;
herramientas de prevencin de prdida de datos; soluciones de inspeccin
de trfico/paquetes; y plataformas de anlisis de datos y tecnologas de
reporteo. Adems, dependiendo del alcance de las responsabilidades, el SOC
podra tener acceso a otros sistemas de negocio como herramientas forenses
para soportar los esfuerzos de investigacin de la respuesta a incidentes.
Aunque las herramientas tcnicas son importantes, el desplegar tecnologa
simplemente por hacerlo es costoso e inefectivo. Los planes de tecnologa
del SOC deben primer considerar lo que est disponible en casa para
satisfacer sus necesidades: entonces, se podr mejorar y ampliar las
capacidades actuales a travs del despliegue de herramientas y tecnologas
suplementarias.
El abordar las inversiones en aspectos tcnicos del SOC como parte de la
perspectiva ms amplia de la estrategia de TI as como de los procesos de
administracin de portafolio es una mejor opcin que perseguir adquisiciones
de tecnologa de seguridad de manera aislada.
La implementacin de un
sistema SIEM no es igual
a tener una capacidad
madura de monitoreo
de seguridad. De hecho,
un SOC bien diseado es
requerido antes de que
todos los beneficios de
una implementacin SIEM
puedan notarse.
| 13
Caso de estudios del despliegue de un SOC

Cliente: Organizacin de salud
Estado original
Aunque la organizacin realiz algn monitoreo informal de seguridad a travs de la
revisin de bitcoras bajo un esquema ad hoc, no existe un SOC.
Retos
La visibilidad limitada hacia el ambiente llev a incidentes de seguridad que pasaron
desapercibidos con un impacto potencial grave para la organizacin (p.ej. financiero, de
cumplimiento, en reputacin).
Como EY ayud al cliente

EY asisti al equipo del cliente en disear y desplegar un SOC al crear unos cimientos
fuertes en las reas de personal, procesos y tecnologa que soportan el futuro crecimiento
y avance en la capacidad.
Gente
Trabajando con el cliente, EY defini un modelo de gobernanza y operaciones para
el SOC que claramente defini las oportunidades de integracin con la funcin de
seguridad de la informacin as como con otras reas de la organizacin (TI, legal,
respuesta a incidentes, cumplimiento, administracin de riesgos y auditora interna).
Roles y responsabilidades claramente definidos fueron esenciales para asignar el
personal del SOC y ayud a soportar su adecuada operacin.
Procesos
EY desarroll y document procesos y procedimientos para formalizar las operaciones
del SOC para impulsar resultados y consistencia. Ayudamos al cliente a crear
documentacin de procesos para el monitoreo y deteccin de eventos, monitoreo
de amenazas, administracin de vulnerabilidades, respuesta a incidentes, reporteo
y rastreo de riesgos. El verdadero valor de nuestro trabajo relacionado con procesos
fue la habilidad de fomentar un cambio duradero. Bajo nuestra gua, el SOC pudo
institucionalizar los procesos que definimos al probarlos en la prctica y ajustarlos
para satisfacer las necesidades de la organizacin.
Tecnologa
EY trabaj con el cliente para desarrollar un plan multianual de tecnologa
que reforzara las capacidades del SOC a travs del tiempo. Algunas de las
implementaciones tecnolgicas que soportamos fueron las de IDS/IPS, SIEM, TVM
y GRC. Tambin efectuamos recomendaciones para el despliegue e integracin de
sistemas de administracin de inventario en las funciones del SOC, lo que lo habilit
para poder evaluar de manera precisa su impacto en el negocio.
Beneficios
Al enfocarse en lo bsico, el cliente pudo desplegar efectivamente un SOC que entreg
valor organizacional a travs de:
Gobernanza fuerte que gener consistencia, propiedad de las responsabilidades y una
integracin adecuada con otras reas relevantes de la organizacin
Procesos y procedimientos robustos, probados que impulsaron resultados repetibles y
eficiencia
La integracin adecuada de tecnologa que provey informacin importante para
soportar la toma de decisiones y una respuesta efectiva
14
Entorno
El propsito general de un SOC es brindar seguridad y actuar como un

habilitador del negocio. Para lograrlo, el personal del SOC debe entender el
negocio y el valor asociado con decisiones especficas para poder priorizar la
respuesta ms apropiada.
Para administrar eventos que se alinean a las prioridades del negocio y
evaluar el verdadero riesgo o impacto a la organizacin, el SOC necesita una
sistema de administracin de activos empresarial, bien mantenido (lo que
incluye la criticidad de los proceso de negocio soportados).
El conocimiento tcnico de la infraestructura mantenido en el SOC es crtico
para el xito del mismo. Por ejemplo, investigar todas las actividades que
aparentemente se desvan de la norma es ineficiente y costoso; sin embargo,
los estndares mnimos ambientales pueden asistir al SOC para priorizar
la remediacin de vulnerabilidades o la resolucin de eventos basados en
imperativos del negocio.
Los dos factores, conocimiento del negocio y familiaridad con la
infraestructura, son beneficios inmediatos que las transferencias internas
brindan a un nuevo SOC. Adicionalmente, los requerimientos de polticas
y estndares pueden ayudar a alinear las operaciones del SOC a la postura
general de riesgo y cumplimiento al detectar y resolver conductas de alto
riesgo y violaciones a las polticas y a los estndares. Al correlacionar la
informacin relevante para el negocio contra informacin tcnica disponible,
el SOC puede producir tendencias de la industria de seguridad que pueden
habilitar al negocio para mejorar la toma de decisiones, la administracin del
riesgo y la continuidad del negocio.
62%
de las organizaciones no tiene alineada su
estrategia de seguridad de la informacin a su
apetito o tolerancia de riesgo.
54%
de las organizaciones no alinean su estrategia
de seguridad de la informacin con su
estrategia de negocios.
Est consciente de los puntos ciegos

Los sistemas de control industrial son frecuentemente considerados las
joyas de la corona de las operaciones de negocio y aun as, muy pocos
les prestan atencin. La mayora de los SOC an estn en el procesos de
reforzar las capacidades de monitoreo y respuesta para la infraestructura
de TI y los sistemas crticos.
Los SOC, con frecuencia excluyen la tecnologa operacional (OT), que
abarca recursos SCADA y ambientes de control de procesos, desde
cualquier revisin basada en seguridad o escaneo de vulnerabilidades que
no sea explcitamente requerido para propsitos regulatorios. Para hacer
las cosas peores, los proveedores tienen a controlar los ciclos de parcheo,
y los SOC raramente monitorean las redes operacionales en busca de
conductas ilcitas.
El temor de causar una disrupcin operacional es tan grande que el
negocio podra reaccionar con escepticismo y estar altamente preocupado
por cualquier intento de hacer cambios. El resultado es que esos entornos
permanecen muy poco monitoreados, incrementando en gran proporcin
la complejidad de los esfuerzos de administracin de riesgos de las
organizaciones.
| 15
S miramos hacia
los prximos aos,
necesitamos expandir
la administracin de
la seguridad de la
informacin a nivel
de sistemas SCADA.
Actualmente, esta rea
no est cubierta con
la informacin de un
ambiente de seguridad
de la informacin,
sin embargo requiere
atencin significativa
como el costo de un
compromiso con los
niveles de daos
Ejecutivo de empresa de petrleo y gas.
Anlisis y reportes
Los SOC actuales tienen la ardua tarea de monitorear enormes volmenes de

datos para encontrar aquellas piezas de informacin relevante que significan
un evento digno de ejecutar una accin o ampliar la revisin.
Las herramientas basadas en reglas o en firmas ya no son tan efectivas en el
entorno actual y nuevos modelos de amenaza han generado el concepto de
permetro defensivo en la obsolescencia. El SOC puede traer un valor nico
al monitoreo de actividades al utilizar anlisis basados en conducta en contra
de los estndares mnimos del entorno. Al usar tcnicas avanzadas, el SOC
puede analizar datos a travs de varios sistemas y dispositivos, esto provee
visibilidad hacia tendencias y patrones nicos que no podran haber sido
identificados de otra manera.
El SOC tambin puede utilizar el anlisis para crear mtricas perspicaces y
medidas de desempeo. Puede tambin usar algunas mtricas para facilitar
las mejoras operacionales internamente, mientras que la administracin
puede utilizar otras para tomar decisiones ms informadas a la hora de
balancear entre el precio y el riesgo. As, unas mtricas bien pensadas y un
marco de reporteo puede agregar valor ms all de los temas de seguridad al
funcionar tambin como un vehculo de comunicacin para temas financieros
y operacionales
Espacio fsico
El SOC debe mantener su propio espacio fsico en una instalacin segura.

Crear una locacin distinta para el SOC, junto con el hardware y software que
necesitan, facilitar los tiempos cortos de respuesta y promover la unidad,
la comparticin de conocimientos y un equipo de trabajo cuyas filas se
encuentren ms cerradas.
Los anlisis del SOC raramente trabajan en el aislamiento. Aprovechar el
conocimiento diverso y colectivo, as como la experiencia del equipo puede
ser ms contundente que aquel de cualquier individuo por s solo. Los
analistas del SOC tambin se desempean de manera ms efectiva cuando se
encuentran en proximidad fsica uno del otro. Los SOC exitosos con un amplio
grado de colaboracin a distancia son muy raros. Por estas razones, el SOC
debe incluir un diseo de instalacin que promueva la colaboracin y que sea
ms parecido a un war room que a una granja.
16
10 Mejora continua
De la misma manera en que la seguridad est en cambio constante, el campo
del SOC debe cambiar tambin. Las organizaciones deben establecer un
marco de trabajo para monitorear continuamente el desempeo y mejorar sus
programas de seguridad de la informacin en las reas de gente, procesos y
tecnologa.
El SOC necesita proveer la educacin apropiada y entrenamiento constante
para que las habilidades y conocimiento de su gente puedan evolucionar
con el entorno cambiante de amenazas. De manera similar, los procesos
necesitarn adaptarse para entregar un valor de mayor magnitud. Finalmente,
el SOC necesitar evaluar constantemente para determinar su relevancia y
efectividad en contra de amenazas internas y externas en evolucin.
Estos factores deben estar embebidos en el diseo de la organizacin del SOC
y sus operaciones. Por ejemplo, despus de la conclusin de incidente mayor
o investigacin nica, los reportes after action y las sesiones de preguntas y
respuestas de lecciones aprendidas identifican oportunidades para la mejora,
mantienen informada a la administracin y reconocen las contribuciones con
ambos, el SOC y los miembros interdepartamentales del equipo.
| 17
Las organizaciones deben

estar preparadas para
combatir, administrar y
mitigar los ciberataques
que pueden ocurrir
cualquier da, a cualquier
hora, en cualquier lugar.
18
El abrasador ritmo del cambio tecnolgico y las ciberamenazas

que lo acompaan solamente van a acelerar.
Un SOC la de a la organizacin la habilidad de anticipar
y responder ms rpidamente a las amenazas trabajar
ms colaborativamente y compartir el conocimiento ms
efectivamente. El SOC puede actuar como un concentrador de
monitoreo de la seguridad, deteccin para toda la empresa.
Pero para que una instalacin de ese tipo sea verdaderamente
efectiva, requiere un compromiso y una asignacin de
responsabilidades a nivel del comit directivo, sin l el SOC
nunca podr ejercer todo su potencial.
Un SOC exitoso es una

fuerte combinacin de
excelencia operacional
motivada por procesos
bien diseados y
ejecutados, una fuerte
gobernanza, individuos
capaces y una constante
motivacin por la mejora
continua.
Qu s y no hacer para empezar

S:
tenga al equipo ejecutivo de la administracin corporativa

de su lado
No:
subestime el costo total para construir un SOC. Evite

sorpresas y costos ocultos y comunquese abiertamente
para asegurar los fondos necesarios.
S:
desarrolle procesos de gobernanza slidos para la

asignacin de responsabilidades y la supervisin y redefina
reglas para la interaccin con otras reas.
S:
construya un equipo capaz.
No:
no empiece con la tecnologa; entienda sus necesidades

primero y entonces busque soluciones tcnicas que
encajen.
S:
habilite resultados repetibles a travs de procesos,

procedimientos y protocolos formales.
S:
entienda su activo ms valioso y construya las operaciones

del SOC a su alrededor
S:
use informacin disponible para reforzar la toma de

decisiones y los esfuerzos de respuesta.
No:
subestime el valor de la colaboracin. Construya un entorno

de trabajo que produzca trabajo en equipo y habilite
operaciones efectivas.
S:
mantngase a la par del horizonte de amenazas siempre

cambiante a travs de prcticas de mejora continua.
| 19
EY | Aseguramiento | Impuestos | Transacciones | Asesora

Acerca de EY
EY es lder global en servicios de
aseguramiento, impuestos, transacciones
y asesora. Las perspectivas y servicios
de calidad que brindamos ayudan a
generar confianza y seguridad en los
mercados de capital y en las economas
de todo el mundo. Desarrollamos lderes
extraordinarios que se unen para cumplir
nuestras promesas a todas las partes
interesadas.
Al hacerlo, jugamos un papel fundamental
en construir un mejor entorno de
negocios para nuestra gente, clientes y
comunidades.
EY se refiere a la organizacin global
y podra referirse a una o ms firmas
miembro de Ernst & Young Global Limited,
cada una de ellas acta como una entidad
legal separada. Ernst & Young Global
Limited, una compaa de Reino Unido
limitada por garanta, no proporciona
servicios a clientes. Para obtener mayor
informacin acerca de nuestra empresa,
favor de ingresar a ey.com.
2014 EYGM Limited.
Todos los Derechos Reservados
Este material ha sido elaborado solamente con fines
informativos en general y no deber ser utilizado
como asesora contable, fiscal u otro tipo de asesora
profesional. Favor de acudir a sus asesores para recibir
asesora especfica.
www.ey.com/GRCinsights
Acerca de los Servicios

de Asesora de EY
Mejorar el desempeo de los negocios mientras se
administran los riesgos es un reto de negocios que
es cada vez ms complejo. Ya sea que se enfoque
en una amplia transformacin de su negocio o ms
especficamente en lograr un crecimiento, optimizar
o proteger su negocio, tener los asesores indicados
de su lado puede marcar la diferencia. Nuestros
30,000 profesionales en asesora forman una de
las redes globales de asesora ms extensas de
cualquier firma profesional, proporcionndole equipos
multidisciplinarios con experiencia que trabajan
con nuestros clientes para ofrecerles un servicio
excepcional a los clientes. Utilizamos metodologas
comprobadas e integradas para ayudarle a resolver
los problemas ms desafiantes para su negocio, lograr
un desempeo slido en las complejas condiciones del
mercado y generar una confianza sostenible de sus
partes interesadas a ms largo plazo. Entendemos
que requiere de servicios que se adapten a sus
necesidades industriales; por lo tanto, le ofrecemos
nuestra amplia experiencia en el sector y nuestro
profundo conocimiento sobre el tema para aplicarlos
de manera proactiva y objetiva. Sobre todo, nos
comprometemos a medir las ganancias y a identificar
en dnde su estrategia y las iniciativas de cambio estn
proporcionando el valor que su negocio necesita.
Para encontrar ms informacin sobre los servicios
de IT Risk Advisory que pueden ayudar a su
organizacin, comunquese con su profesional local de
EY, a algn miembro de nuestro equipo.
Los lderes de seguridad de la informacin dentro de
nuestra prctica de Riesgos son:
Christian Andreani
Director ejecutivo de Asesora
christian.andreani@mx.ey.com
Tel. +52 (55) 5283-1339
Pilar Pliego
Directora ejecutiva de Asesora Monterrey
pilar.pliego@mx.ey.com
Tel. +52 (81) 8152 1815
20

Centros de Operaciones de Seguridad

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Centros de Operaciones de Seguridad

Uploaded by

Copyright:

Available Formats

Perspectivas sobre

Un centro de operaciones de seguridad exitoso se

Soporte ejecutivo y del comit directivo ................

Anlisis y reportes ................................................

Espacio fsico ........................................................

10. Mejora Continua ....................................................

* Cmo puede haber cambiado el entorno de riesgo en el que opera su

Incremento en todas las amenazas (externas)

No hubo cambios en las vulnerabilidades (internas)

Incremento en vulnerabilidades (externas)

Sin cambio en las amenazas (externas)

Decremento en las vulnerabilidades (internas)

*Bajo ciberataque. Encuesta Global sobre Seguridad

Un SOC exitoso se basa

Empiece con lo bsico. Parece lo suficientemente obvio. Y aun

Ya sea que una organizacin est construyendo un nuevo

1 Soporte ejecutivo y del comit directivo

Soporte ejecutivo y del comit directivo

Un enfoque ascendente de la seguridad tiene oportunidades mnimas de

Asegurando el soporte ejecutivo

Defina problemas e impacto

Cmo se alinea su visin con los objetivos de negocio, prioridades y postura

Conozca lo que se necesita

Haga los clculos correctos

Uno de los retos ms significativos que un SOC puede enfrentar es su

Un SOC debe poder articular claramente su visin, misin y objetivos dentro

Alineacin con la postura general de riesgo.

CEO Director ejecutivo

COO Ocial en jefe

Las compaas deben

Adicionalmente, las compaas necesitan desarrollar un marco de gobierno

Operaciones de Seguridad vs Operaciones de Red

Mejores comunicaciones y conocimiento compartido para mejorar la

Tiempos de respuesta a incidentes reducidos al habilitar a la funcin

de seguridad de la informacin y de TI para trabajar juntas hacia metas

No temas buscar apoyo de

El SOC requiere recursos talentosos que posean un conocimiento tcnico

Lleva tiempo para que una

Tenemos un programa formal de deteccin que aprovecha tecnologas modernas

No tenemos un programa de deteccin.

Muestra de arquitectura de servicio del SOC

Datos de eventos de la empresa

Calidad | Eficiencia | Consistencia | Trabajo en equipo

--------------------------------------------- Catlogo de servicios ------------------------------------------Forense digital

Mtricas constantes y marco de trabajo de la mejora de desempeo

Con frecuencia las organizaciones despliegan tecnologa como medio de

Caso de estudios del despliegue de un SOC

Como EY ayud al cliente

El propsito general de un SOC es brindar seguridad y actuar como un

Est consciente de los puntos ciegos

Los SOC actuales tienen la ardua tarea de monitorear enormes volmenes de

El SOC debe mantener su propio espacio fsico en una instalacin segura.

Las organizaciones deben

El abrasador ritmo del cambio tecnolgico y las ciberamenazas

Un SOC exitoso es una

Qu s y no hacer para empezar

tenga al equipo ejecutivo de la administracin corporativa

subestime el costo total para construir un SOC. Evite

desarrolle procesos de gobernanza slidos para la

construya un equipo capaz.

no empiece con la tecnologa; entienda sus necesidades

habilite resultados repetibles a travs de procesos,

entienda su activo ms valioso y construya las operaciones

use informacin disponible para reforzar la toma de