Las organizaciones se enfrentan a un panorama de ciberamenazas cambiante e inestable, un escenario en el que el SOC juega un papel fundamental. El enfoque tradicional, basado en gestionar las infraestructuras de red y las de seguridad por separado, ya no es suficiente. La proliferación de usuarios remotos, las aplicaciones basadas en la nube y los perímetros de red menos definidos exigen soluciones integrales y personalizables capaces de hacer frente a este crecimiento.

Lucas FerreroEmpecemos por contextualizar la situación: la pandemia por COVID-19 impulsó a muchas organizaciones a adoptar el trabajo a distancia como única opción viable para mantener la actividad; una práctica que las expuso a nuevas amenazas que afectaban de forma directa a su postura de seguridad, como el simple hecho de extender la conectividad de sus sistemas informáticos a las redes domésticas de sus empleados. Se vieron incluso obligadas a aceptar la incertidumbre en cuanto a la locación de estas redes y, en muchos casos, a la del equipo que originaba la conexión.

Tan simples características han propiciado que los ciberdelincuentes se concentren en ataques dirigidos a los empleados, valiéndose para ello de sus vulnerabilidades. En su momento, dichos ataques se lanzaron mediante phishing o técnicas de ingeniería social, como medios para la infección de troyanos, con el objetivo de explotar brechas en sistemas de acceso remoto, controlar dispositivos móviles de uso empresarial y acceder a la información que reside en los servicios de nube, los proveedores de servicios digitales.

Una de las tareas más importantes del SOC es prevenir, detectar y combatir las amenazas

Por supuesto, estos son siempre objetivos intermedios, un camino para lograr finalmente la extorsión a las organizaciones afectadas, sobre todo a través de la ejecución de ransomware o de la exfiltración de información sensible. Todo ello unido a la posterior exigencia del pago de un suculento importe para no publicar dichos datos o para recuperar la información que ha sido cifrada.

Solo dos años más tarde, el mundo afronta otra brutal noticia: una nueva invasión de Rusia a Ucrania o el preocupante escenario que se ha abierto en Israel. Ambos tienen en común el tratarse de conflictos bélicos en los que el ciberespacio es campo de batalla, uno en el que los grupos de ciberdelincuentes pueden escoger bando. El resultado: más ataques y campañas de desinformación que afectan a los ciudadanos de las regiones más políticamente expuestas.

Entidades afectadas

En este escenario, la tendencia muestra que las entidades más afectadas son las Administraciones Públicas y las cadenas de suministro, estructuras ambas que, aunque presentan coyunturas informáticas y exposiciones muy distintas, comparten la finalidad de proporcionar bienestar al ciudadano. Pero estos no son los únicos afectados, ya que, según un reciente informe de la Unión Europea, las organizaciones alcanzadas son:

  • Administración Pública y Gobierno (24%).
  • Proveedores de servicios digitales (13%).
  • Público general (12%).
  • Servicios (12%).
  • Finanzas y banca (9%).
  • Sanidad (7%).
  • Otros (23%).

Además, no es posible abordar el contexto actual de ciberseguridad sin tener en cuenta la evolución tecnológica. Este ha sido un factor determinante para explicar la eficacia de los ataques, pues les ha añadido simplicidad y velocidad. Y el problema no queda ahí: la evolución y extensión de la tecnología ha tornado mucho más complejo el entorno que enfrentan las organizaciones, tanto a la hora de protegerse como a la de detectar la afectación y reaccionar frente a ella una vez ocurrida.

Amenazas más frecuentes

En este contexto tan volátil, en el que se entrelaza un buen número de variables que ahora se ven multiplicadas por las capacidades que aporta la nube o la inteligencia artificial, las organizaciones enfrentan un amplio abanico de amenazas, que van desde el clásico malware (virus, troyanos o software espía) hasta los ataques DoS (denial of service o denegación de servicio) o los que se sirven de técnicas de ingeniería social: phishing en sus diferentes variables, pharming, el fraude del CEO, etc.

Sobre todos ellos se puede destacar el denominado ransonware, mediante el que los atacantes toman el control de los datos de una persona o una organización y exigen un rescate para restaurar el acceso, evitar que se hagan públicos, etc.

Según un reciente estudio de la Agencia de Ciberseguridad de la Unión Europea, las amenazas emergentes continuarán creciendo, al menos, hasta 2030. Algunas de las principales amenazas emergentes de ciberseguridad estarán relacionadas con:

  • El compromiso de la cadena de suministro relacionada con las dependencias de software.
  • Campañas avanzadas de desinformación.
  • Aumento del autoritarismo en la vigilancia digital; pérdida de privacidad.
  • Errores humanos e incidencias en sistemas heredados.
  • Ataques selectivos potenciados por los datos de los dispositivos inteligentes.
  • El abuso de la inteligencia artificial y la escasez de competencias y profesionales formados en este ámbito.

El SOC como instrumento fundamental

Ahora que hemos esbozado el panorama actual, podemos definir con mayor precisión los desafíos que persigue un SOC (centro de operaciones de seguridad) y qué beneficios brinda a las organizaciones. En pocas palabras, un SOC busca ser un aliado en la estrategia de seguridad de la organización, un instrumento fundamental que permite complementar y robustecer su seguridad.

El SOC previene, detectaa y combate las amenazasHay ciertos aspectos que un SOC debe cumplir para lograr ese objetivo. En primer lugar, comprender la verdadera postura de seguridad de la organización y su exposición a las amenazas, así como dar visibilidad a las necesidades actuales en ese aspecto, todo ello dentro del marco de mejora continua en la estrategia de seguridad de los niveles operativos, tácticos y estratégicos.

Una de las tareas más importantes del SOC es dar soporte a la organización en las tareas de prevenir, detectar y combatir las amenazas, así como en la de recuperar los sistemas informáticos. En este sentido, resulta clave comprender la evolución tecnológica que se está desarrollando y utilizar las nuevas tecnologías para reforzar la seguridad en cuanto a las exposiciones, tácticas y técnicas que aparecen diariamente.

El SOC supera estos desafíos a través del establecimiento de los siguientes puntos:

  • Objetivos de protección. Es importante desarticular las capas de protección en procesos conocidos y robustos.
  • Un equipo competente. Quizá este sea uno de los puntos más complejos de las organizaciones, dada la escasez de profesionales y la alta demanda del sector.
  • Inversión. Contar con un programa de inversión en nuevas tecnologías que permitan aumentar las capacidades de protección, ya sea por el endurecimiento de los sistemas o por la velocidad de los procesos de actuación.
  • Un esquema de protección adecuado basado en la atención 24 × 7 ante amenazas.
  • Una poderosa red de inteligencia. De la que la compañía deberá formar parte no solo a nivel nacional, sino también en la región y en los foros internacionales.

Un programa de mejora permanente a través de la formación continua, la contratación de profesionales y la provisión de nuevas tecnologías.

Estos desafíos no siempre son alcanzables en su totalidad. Por ello, muchas veces la mejor alternativa es contratar como servicio un SOC que, gestionado y mantenido por empresas especializadas, se erija en aliado indispensable dentro de la estrategia de seguridad.

Artículo relacionadosMás del autor