Pymes, grandes compañías, ministerios, ayuntamientos, universidades… La escalada de ciberataques no para de crecer y ninguna organización por grande o pequeña que sea está a salvo. Además, los ataques han cambiado de objetivo, pasando de centrarse en particulares a dirigirse contra las administraciones o las infraestructuras esenciales, según un informe de la INTERPOL. Para estar lo más blindado posible ante la llegada de un ciberataque, el CiberSOC se convierte en un elemento clave para responder de forma efectiva ante las ciberamenazas a las que se enfrentan las organizaciones.
El Plan de Recuperación, Transformación y Resiliencia del Gobierno de España determina como prioridad número uno la ciberseguridad en las organizaciones públicas. Las entidades beneficiarias de las subvenciones de este plan tienen como proyecto de ejecución obligatoria la implantación de centros de operaciones de ciberseguridad y su integración en la red nacional de centros de operaciones de ciberseguridad, en la que el CCN ya está trabajando, y que integrará el Centro de Operaciones de Ciberseguridad de la Administración General del Estado y los de las demás administraciones públicas del ámbito nacional.
Como hemos podido observar, los ciberdelincuentes no descansan, por lo que contar con servicios de ciberseguridad que no sean 24x7 es tan solo poner un pequeño parche al problema real. Por este motivo, dentro de un CiberSOC, los analistas de seguridad monitorizan todas las amenazas posibles las 24 horas del día todos los días del año. Así pueden detectar posibles signos de intrusión y dar una respuesta ante incidentes más inteligente, pudiendo llegar a evitar que un ciberataque tenga lugar.
¿Pero cuál es el coste de un equipo de estas características? Al margen de las soluciones de seguridad con las que se cuente, el coste de tener un equipo capacitado de analistas cubriendo la ciberseguridad de la organización en horario completo, supera con creces los presupuestos con los que cuentan la mayoría de las instituciones. Por eso, gran parte de las organizaciones cuenta con un pequeño grupo de técnicos que tienen otras muchas tareas que realizar o dependen de personas que no se dedican específicamente a esta materia. De esta manera, los eventos de seguridad no se monitorizan las 24 horas del día, por lo que se producen retrasos en la respuesta ante incidentes o pasan inadvertidos posibles ciberataques.
En estas situaciones, los analistas tampoco pueden ser proactivos y buscar posibles amenazas o ataques a sus sistemas y, cuando tiene lugar un incidente de seguridad, la organización no cuenta con los recursos necesarios para responder eficazmente, al no tener capacidad de respuesta ante incidentes ni procesos específicos para ello. ¿Y cuál es la solución a esta problemática? Para no verse superado por los grandes costes que supone un CiberSOC cualificado, existen dos soluciones clave: automatizar tanto trabajo como sea posible con la ayuda de un NGSIEM y contar con una empresa especializada en ciberseguridad que nos ofrezca el apoyo de un CiberSOC para cubrir todas las necesidades de nuestra organización en materia de ciberseguridad. Es decir, disponer de un Virtual SOC o Centro de Operaciones de Ciberseguridad virtual para poder disfrutar de todos los beneficios de un CiberSOC pero sin los grandes costes asociados.
Seguro que ya has oído hablado de los SIEM. Es la herramienta imprescindible de los equipos de seguridad no solo porque aumenta su eficiencia de forma significativa, sino porque también ayuda a identificar muchas más amenazas antes de lleguen a causar graves consecuencias. Un sistema de gestión de eventos de información de seguridad (Security Information and Event Management) es clave para desarrollar la monitorización y la correlación de eventos de seguridad, integrando las fuentes de datos que generan todos los dispositivos y sistemas de red de la organización con el objeto de detectar anomalías de seguridad y generar alertas que permitan la adecuada clasificación del nivel de amenaza de cualquiera de los incidentes de seguridad detectados.
Como sistema automatizado de gestión de información y eventos de seguridad, recoge en una única plataforma toda la información existente sobre amenazas potenciales, permitiendo no solo reaccionar ante los ataques, sino adelantarse a ellos para remediarlos antes de que sucedan. Las principales funcionalidades de un Next Generation SIEM son detectar y resolver amenazas en tiempo real, priorizar e investigar incidentes relevantes, analizar el comportamiento del usuario -UEBA, User Entity Behavior Analytics- o responder de forma automática a incidentes de seguridad -SOAR, Security Orchestration Automation and Response-. En definitiva, se trata de una potente herramienta de ciberinteligencia de amenazas, que también funciona como un punto único de control y almacenamiento centralizado, y que permite resolver incidentes un 63% más rápido.
Si disponer de una herramienta NGSIEM es prácticamente imprescindible hoy en día, contar con personal experto lo es aún más para poder hacer un uso eficaz de esta herramienta. Con un proveedor especializado de ciberseguridad, puedes tener el respaldo de un centro de operaciones de seguridad beneficiándote de su servicio de vigilancia y respuesta ante incidentes gracias al vSOC (Centro de Operaciones de Ciberseguridad virtual). Además, la prestación del servicio en 24x7x365 evitará que en ningún momento tu organización esté desprotegida. De esta manera, tendrás todos los beneficios de un CiberSOC sin la inversión asociada a la creación de un centro de operaciones propio, que supondría un coste de más del 80% de media.
Existen multitud de compañías que ofrecen servicios de ciberseguridad. ¿Cómo elegir al aliado perfecto para tu Virtual SOC? Empieza por prestar especial atención a las herramientas que te ofrecen. Actualmente, la solución más completa para la gestión integral de la ciberseguridad de una organización es un NGSIEM. Busca que las ventajas que te ofrecen sean las que realmente te brinda un SIEM y no te dejes engañar por soluciones que intentan ser un NGSIEM pero no lo son.
MÓNICA NGSIEM es la plataforma NGSIEM del Centro Criptológico Nacional desarrollada por el equipo de ICA Sistemas y Seguridad. Recientemente ha sido elegida por el Ministerio de Asuntos Económicos y Transformación Digital y las Diputaciones de Castellón y Barcelona para hacer frente al creciente volumen y sofisticación de ciberamenazas. De esta manera, se han unido a las diferentes instituciones públicas locales, autonómicas y estatales que ya confían en MÓNICA NGSIEM, como el Museo del Prado, el Ministerio de la Presidencia o HAZI.
En total, más de 50 organismos públicos ya disfrutan de esta plataforma y de los servicios de ciberseguridad de ICA Sistemas y Seguridad, estando preparados para adherirse de forma sencilla al proyecto de los Centros de Operaciones de Ciberseguridad (COCS) de la Administración General del Estado, a los SOC Autonómicos o a los SOC de Entidades Locales. Además, MÓNICA NGSIEM permite la integración con la herramienta LUCÍA, para la Gestión de Ciberincidentes en el ámbito de aplicación del Esquema Nacional de Seguridad, y otras soluciones del CCN como CARMEN, PILAR, CLAUDIA, MicroCLAUDIA y SAT-INET.
Al margen de las certificaciones ISO 9000/27000/20000 y ENS categoría ALTA con las que cuenta ICA Sistemas y Seguridad, nuestro CiberSOC es miembro de los foros y organizaciones más relevantes en el campo de la ciberseguridad a nivel nacional e internacional, FIRST, CSIRT, CERT y TF-CSIRT. Además, nuestro equipo trabaja activamente de la mano de los principales organismos gubernamentales encargados de la ciberseguridad nacional, como el Instituto Nacional de Ciberseguridad de España (INCIBE) y el Centro Criptológico Nacional (CCN-CERT), para que las empresas nacionales y las organizaciones gubernamentales puedan operar de forma segura, minimizando el riesgo de los ciberataques.
