Compartir a través de


Funciones de operaciones de seguridad (SecOps)

El objetivo principal de una función de operaciones de seguridad (SecOps) en la nube es detectar, responder y recuperarse de ataques activos a los recursos empresariales.

A medida que SecOps madura, las operaciones de seguridad deben cumplir estos requisitos:

  • Responder de forma reactiva a los ataques detectados por las herramientas
  • Buscar de forma proactiva ataques que han superado detecciones reactivas anteriores

Modernización

La detección y respuesta a las amenazas está actualmente en un importante proceso de modernización en todos los niveles.

  • Elevación a la administración de riesgos empresariales: el SOC está creciendo y convirtiéndose en un componente clave de la administración de riesgo empresariales dentro de la organización.
  • Métricas y objetivos: el seguimiento de la eficacia del SOC está evolucionando a partir del tiempo de detección a estos indicadores clave.
    • Capacidad de respuesta a través del tiempo medio de confirmación (MTTA).
    • Velocidad de corrección a través del tiempo medio para corregir (MTTR).
  • Evolución tecnológica: la tecnología SOC está evolucionando a partir del uso exclusivo del análisis estático de registros en un SIEM para agregar el uso de herramientas especializadas y técnicas de análisis sofisticadas. Esto proporciona información detallada sobre los activos que proporcionan una experiencia de investigación y alertas de alta calidad que complementan la visión completa del SIEM. Ambos tipos de herramientas usan cada vez más la IA y el aprendizaje automático, el análisis de comportamientos y la inteligencia sobre amenazas integrada para ayudar a detectar y priorizar acciones anómalas que podrían ser un atacante malintencionado.
  • Búsqueda de amenazas: los SOC están agregando la búsqueda de amenazas controlada por hipótesis para identificar de forma proactiva a los atacantes avanzados y eliminar las alertas de las colas de los analistas que están en primera línea.
  • Administración de incidentes: la disciplina se está volviendo formalizada para coordinar los elementos no técnicos de incidentes con los departamentos legales, de comunicaciones y otros equipos. Integración del contexto interno: para ayudar a priorizar las actividades del SOC, como las puntuaciones de riesgo relativas de las cuentas de usuario y los dispositivos, la confidencialidad de los datos y las aplicaciones, y los límites de aislamiento de seguridad clave para defenderse eficazmente.

Para más información, consulte:

Composición del equipo y relaciones clave

El centro de operaciones de seguridad en la nube se compone normalmente de los siguientes tipos de roles.

  • Operaciones de TI (contacto cercano y periódico)
  • Información sobre amenazas
  • Arquitectura de seguridad
  • Programa de riesgos de Insider
  • Recursos legales y humanos
  • Equipos de comunicaciones
  • Organización de riesgos (si existe)
  • Asociaciones, comunidades y proveedores específicos del sector (antes de que se produzca el incidente)

Pasos siguientes

Revise la función de la arquitectura de seguridad.