SOCs modernos y servicios MDR: modelos de implementación
Hay varias formas para que una organización adopte capacidades de SOC modernos. Los modelos de implementación más comunes incluyen:
SOC interno
Se recomienda construir un centro de operaciones de seguridad interno dedicado para empresas maduras de ciberseguridad. Las organizaciones que tienden a desarrollar SOC internos tienen el presupuesto necesario para respaldar una inversión que incluye un equipo a turnos 24/7. Una de las ventajas esenciales de crear un SOC interno es la máxima visibilidad y capacidad de respuesta en toda la red. Un equipo interno dedicado tendrá la capacidad de monitorizar el entorno, los endpoints, los usuarios y las aplicaciones, proporcionando una visión completa desde la perspectiva del panorama de amenazas y por lo tanto detectar y responder más eficientemente.
Algunas desventajas incluyen la gran dificultad en conseguir y retener talento y los altos costos de inversión iniciales. Este modelo generalmente lleva una cantidad considerable de tiempo para construir y mantener a un nivel adecuado.
SOCaaS
El término SOCaaS (Security Operations Center as a Service) se refiere a un tipo de servicio de seguridad administrado que está basado en la nube, creado en una plataforma de software como servicio (SaaS) de múltiples “inquilinos”, para ofrecerles funciones SOC 24/7 .
Se recomienda seleccionar una SOCaaS para organizaciones que buscan apoyo de una empresa externa para realizar tareas altamente calificadas de monitorización, detección y respuesta. Algunas organizaciones pueden ser maduras desde una perspectiva de ciber seguridad. Sin embargo, las restricciones presupuestarias y la experiencia limitada pueden obstaculizar la capacidad de construir un SOC moderno, interno y totalmente funcional, las 24 horas del día, los 7 días de la semana. En consecuencia, algunas organizaciones requieren una mayor experiencia para gestionar más rápidamente los esfuerzos de monitorización, detección y respuesta (MDR) y delegarlos a una SOCaaS.
Las ventajas de este modelo lo convierten en el modelo más rápido, simple, escalable y rentable de implementar.
SOCaaS híbrido
Un modelo híbrido saca lo mejor de ambos mundos; personal interno complementado por expertos externos, lo que ofrece un enfoque inteligente para ofrecer servicios de detección y la respuesta eficaces y eficientes. La mayoría de las organizaciones en este nivel son lo suficientemente grandes como para formar un pequeño equipo propio. Sin embargo, no pueden construir un SOC moderno interno completamente funcional las 24 horas del día, los 7 días de la semana. Esta solución es eficiente debido a su rápido tiempo de puesta en marcha. Además, hay un menor número de alertas e indicadores de ataque a gestionar, debido a los analistas adicionales externos que trabajan con tecnologías y procesos avanzados. Además, este modelo ofrece la mejor experiencia de aprendizaje en la práctica de detección y respuesta a incidentes, gracias al apoyo del equipo especializado en operaciones de seguridad (SecOps) del partner.
Finalmente, este modelo ofrece la mejor ruta de aprendizaje para una organización y su equipo de ciberseguridad, ya que proporciona transferencia de conocimiento de los expertos del partner.
Considera todos los pros y los contras de los modelos de implementación de SOC modernos antes de tomar una decisión
- El SOC interno es costoso y complejo. Aún así, los márgenes son altos y la diferenciación puede hacer que valga la pena.
- SOCaaS acelera el tiempo de comercialización pero convierte los servicios MDR en productos básicos. No podrías añadir tu toque para diferenciarte de los demás. Asegúrese de que todos estén de acuerdo sobre quién es el propietario de la información de sus clientes y cuándo, cómo y quién podría ponerse en contacto con ellos.
- Hybrid SOCaaS permite a los MSPs madurar gradualmente en sus prácticas de operaciones de seguridad mientras mantienen la relación con el cliente, pero aún así se necesita cierta inversión en personas, tecnología, capacitación y operaciones.
Puedes encontrar toda la información necesaria para iniciar el proceso de modernización de un equipo de operaciones de seguridad en el libro electrónico SOC modernos y servicios MDR: qué son y por qué son importantes.
Si deseas obtener más información sobre los centros de operaciones de seguridad modernos, no te pierdas nuestra serie de artículos: