Las pequeñas y medianas empresas (PYMES) están constantemente asediadas por amenazas de ataques cibernéticos como intentos de phishing y documentos maliciosos, que solo empeorarán. Al mismo tiempo, los presupuestos son ajustados para todos en una economía desafiante. Además, es difícil para las PYMES obtener el talento que necesitan para la ciberseguridad debido a la continua escasez de talento en ciberseguridad. Eso deja a las empresas en un dilema; ¿Cómo pueden protegerse de un ciberataque devastador sin contratar más especialistas en ciberseguridad? La respuesta a esa pregunta es invertir en un SOC gestionado.

¿Cuáles son los beneficios de un SOC?

Un SOC, Centro de Operaciones de Seguridad o una solución de Detección y Respuesta Administrada (MDR) es un centro de comando que comprende personal de seguridad altamente calificado, procesos y tecnologías de ciberseguridad que monitorean continuamente la actividad maliciosa mientras previenen, detectan y responden a incidentes cibernéticos. Teniendo en cuenta el riesgo cada vez mayor de ataques cibernéticos en empresas de todos los tamaños, incluso las organizaciones más pequeñas necesitan un servicio continuo de monitoreo y respuesta las 24 horas del día, los 7 días de la semana para no meterse en problemas.

Una empresa puede crear un SOC o subcontratar una solución SOC administrada, pero cualquiera de las dos opciones tiene importantes ventajas e inconvenientes. Configurar y operar un SOC interno es desafiante y costoso. En estos tiempos económicos turbulentos, las PYMES intentan sacar el máximo provecho de cada centavo. Eso significa que la mayoría de los departamentos de TI están al límite, sin mucho dinero para nuevos equipos o más personal. Contratar a los profesionales de ciberseguridad adecuados también es complejo y costoso: la brecha global de la fuerza laboral de ciberseguridad ha aumentado en un 26,2 % en comparación con 2021, y se necesitan 3,4 millones de trabajadores más para satisfacer la demanda actual. El SOC administrado alivia esas cargas.

• Elegir entre construir un SOC o aprovechar un SOC administrado:

Muchas PYMES imaginan construir un SOC solo para descubrir cuán compleja y costosa es una tarea. Aprovechar un SOC administrado reduce la barrera de entrada, lo que hace que MDR sea fácil y asequible. Tenga en cuenta estos puntos críticos de consideración cuando analice sus opciones:

1. Personal: La mayoría de los SOC son centros de operaciones 24/7/365. Crear su empresa significa tener un equipo lo suficientemente grande en la nómina para manejar sus necesidades.
2. Disponibilidad:  muchos ataques sofisticados tienden a comenzar un viernes por la noche, mientras que aún más ocurren los fines de semana festivos. Garantizar que el personal esté disponible en los momentos libres o durante las vacaciones puede ser difícil y costoso.
3. Talento:  Obtener y retener talento es un desafío. Lamentablemente, la demanda del mercado de profesionales de la seguridad supera con creces la disponibilidad del mercado. Esto aumenta el costo de contratar profesionales de ciberseguridad y hace que sea más difícil mantener expertos capacitados en el personal.
4. Inversión: las herramientas de ciberseguridad avanzadas no son baratas y pueden ser costosas. Por ejemplo, en un SOC, necesitará muchas herramientas defensivas como fuentes de inteligencia de amenazas, soluciones de análisis de malware y personal experimentado que pueda utilizarlas al máximo.

• Identificación de capacidades críticas de un servicio SOC administrado:

El servicio SOC administrado correcto incluirá estas capacidades clave:

1. Servicio 24/7/365:  El SOC debe estar operativo todas las horas de todos los días, todo el año. Este es el factor más importante a tener en cuenta, ya que muchos atacantes intentan sincronizar sus ataques cuando las empresas tienen menos personal disponible, especialmente durante los fines de semana festivos: las tasas de ataques de ransomware aumentan aproximadamente un 30 %  durante la temporada de vacaciones de invierno.
2. Inteligencia de amenazas integrada: la inteligencia de amenazas es el elemento vital de un SOC. Asegúrese de que el SOC que elija traiga múltiples fuentes de amenazas para identificar rápidamente las amenazas emergentes más recientes.
3. Caza de amenazas: para encontrar y neutralizar amenazas, un SOC siempre debe contar con analistas de ciberseguridad experimentados. Estos expertos buscarán proactivamente las amenazas latentes y los peligros de seguridad que se esconden en la red de una empresa.
4. Análisis de expertos:  un SOC es tan bueno como sus expertos en ciberseguridad. Asegúrese de que los analistas y cazadores de amenazas en los que confía su SOC sean verdaderos expertos en ciberseguridad capacitados para detectar comportamientos sospechosos y amenazas sigilosas.
5. Tiempo de resolución:  en estos días, es menos un “si” y más un “cuándo” una empresa enfrentará un ataque cibernético. Descubrir un ataque cibernético rápidamente y limitar el daño que causa es fundamental para la supervivencia de una empresa. Pregunte cómo responderá el SOC y cómo solucionará un incidente.
6. Supervisión de registros sin SIEM: averigüe si debe implementar un sistema de gestión de eventos e información de seguridad (SIEM) para que funcione el SOC. Idealmente, desea una solución de SOC administrado que no requiera un SIEM, tecnología que puede ser muy costosa y engorrosa.
7. Alineación de MITRE ATT&CK: una cosa es tener un CSF pero otra aprovechar el marco MITRE ATT&CK en caso de un ataque. Comprender cómo el marco MITRE ATT&CK puede ayudar a prevenir y mitigar los ataques cibernéticos es esencial para la respuesta a incidentes.
8. Supervisión de intrusiones : el SOC adecuado podrá detectar actividades sospechosas en tiempo real, incluidas conexiones a estados-naciones terroristas y servicios TCP/UDP no autorizados, así como enlaces de puerta trasera a servidores de mando y control.

Fuente: ID Agent