CAREERS

“En Wise, construir y operar un SOC es un viaje en continua evolución y flexible a los cambios de cada organización” 

Los CSOC (Cyber Security Operations Center) tienen un papel clave en la ciberseguridad actual. Desde Wise Security Global, Juanjo Pérez, Chief Operations Officer, y Xavi Pes, Service and Account Manager, explican la importancia de contar con un SOC flexible y de la automatización de los procesos de primer nivel. 

¿Qué papel tienen los SOC en la actualidad? 

Los usuarios son más móviles, los servicios migran a la nube y todos los recursos de tecnologías de la información están mucho más expuestos a las ciberamenazas. El control de la seguridad también evoluciona: hay que cubrir tanto los entornos cloud como on-premise para prevenir, detectar y actuar ante las ciberamenazas lo antes posible. 

Y aquí es donde el papel del SOC es clave: supervisar la actividad en redes, servidores, dispositivos, bases de datos, aplicaciones, webs y otros para mejorar los niveles de protección y la ciberresiliencia de las organizaciones. 

¿Cómo evolucionan los SOC? 

En este contexto postCOVID, la ubicación física no es estrictamente necesaria para un SOC moderno. El ritmo de ciberamenazas evoluciona de forma constante y difícilmente alcanzable. Por lo que los SOC modernos no deben regirse por modelos rígidos con una única forma de operar sino que deben ser capaces de evolucionar y ser flexibles.  

Construir y operar un SOC es un viaje en continua evolución acorde a los cambios en la dirección de la empresa, su transformación digital, los proveedores de la nube y los cambios en la estrategia de negocio. Todo impacta directamente en el objetivo del SOC y en la forma de llevarlo a cabo. 

¿Qué hay que tener en cuenta para desplegar un SOC para un cliente? 

Es importante crear un SOC basado en las necesidades del negocio para garantizar que todas las partes obtengan valor del esfuerzo. Definir prioridades de negocio y comprender las limitaciones proporcionan claridad para seleccionar el modelo adecuado. El equipo de Wise entra desde esa fase inicial de definición para asesorar el modelo adecuado y su escalabilidad. 

Tras esta fase, ¿cuál es el modus operandi? 

El servicio de SOC es continuado 24×7 en los casos de cierta madurez. La automatización es clave para minimizar la dependencia de personas en la detección de primer nivel. Así, se podrán focalizar esfuerzos y perfiles más experimentados en niveles superiores y en la respuesta ante ataques. 

Las nuevas tecnologías y la automatización constante permiten una detección y respuesta casi inmediata en aquellos incidentes que hace muy poco eran el “core” de un SOC. Gracias a esto, podemos focalizar la seguridad en una mejora constante de las medidas de detección de riesgos que puedan tener un impacto relevante en las organizaciones y en una respuesta más ágil y eficaz. 

“Los SOC modernos no deben regirse por modelos rígidos con una única forma de operar sino que deben ser capaces de evolucionar y ser flexibles” 

Juanjo Pérez, Chief Operations Officer de Wise

¿Existen diferentes modelos de SOC?  

Cualquier versión de un modelo SOC puede ajustarse a: SOC híbrido, interno y externo. Desde Wise nos adaptamos a cada caso para alinearnos con la organización, sus recursos, actividad… y a partir de ahí damos la solución adecuada y siempre con flexibilidad para evolucionarla. 

El modelo híbrido es flexible y el más implementado en el mundo; es una combinación de recursos internos y externos. Desde Wise apostamos por esta gestión del SIEM híbrida, con más o menos soporte en función de la madurez del cliente, pero siempre con la capacidad de acceder a la herramienta e investigar por su propia cuenta. 

¿Hay que evaluar continuamente el modelo de SOC adoptado? 

La historia demuestra que el alcance de un SOC evolucionará, dados los inevitables cambios en el panorama de las amenazas, las necesidades, recursos y casos de uso de una organización. 

Debido a la pandemia muchas organizaciones tuvieron que adoptar nuevas tecnologías de seguridad, desarrollar talento para apoyar las operaciones de seguridad de forma remota, o contratar proveedores para llenar cualquier vacío. 

En cualquier caso, el modelo de SOC adoptado debe ser evaluado continuamente para garantizar que se ajusta a las metas de la organización. 

¿Y cómo puede evaluar una organización la eficacia del SOC? 

Las funciones del SOC deben recaer en profesionales con altas habilidades y con protocolos de actuación claros. 

Hay que evaluar con frecuencia las capacidades del SOC (personas, procesos y tecnología) para determinar si está funcionando de acuerdo con los estatutos del SOC y con el objetivo para el que fue diseñado. 

Algunas de las preguntas para hacer esta evaluación están relacionadas con la misión del SOC y su alineamiento con el riesgo empresarial, si las herramientas son adecuadas para detectar los últimos ataques, simular ataques, combinar con tecnología inteligente para la detección continua y reevaluar la matriz de decisiones a seguir. 

¿Cómo funciona el SOC de Wise Security Global? 

Llevamos a cabo todo este tipo de funciones a través de nuestros dos CSOC físicos (Madrid y Barcelona) en manos de personal altamente cualificado. El funcionamiento ininterrumpido de nuestros CSOC está orientado a la nube y combina un alto grado de automatización típico de los casos de uso. Integra tecnologías de seguridad e inteligencia de primera línea (como Tenable Nessus, Microsoft Sentinel, Blueliv, Google Rapid Response y otras). 

Llevamos a cabo mucho más que la supervisión de alertas y amenazas: también orquestamos el SOAR y la respuesta a los incidentes DFIR, integrados en nuestra función de detección y respuesta gestionada (MCDR). 

Nuestro modelo de SOC moderno va más allá de la concepción tradicionales. El valor diferencial radica en que hemos suavizado la pirámide de jerarquías: Tenemos más colaboración y permeabilidad entre las distintas líneas de ejecución

Xavi Pes, Service and Account Manager de Wise

¿Cuál es el valor diferencial de vuestro SOC? 

Nuestro modelo de SOC moderno va más allá de la concepción tradicionales. El valor diferencial radica en que hemos suavizado la pirámide de jerarquías: Tenemos más colaboración y permeabilidad entre las distintas líneas de ejecución, nos cultivamos entre todas las partes para tomar decisiones en base a la estrategia del cliente. 

Otro factor relevante es que las herramientas de última generación que integramos en el SOC como Microsoft Sentinel permiten automatizar muchas tareas humanas de nivel 1. Así podemos invertir en talento humano de un perfil más elevado para la toma de decisiones de alto nivel. 

Además, identificamos nuevas carencias tecnológicas del mercado desde el punto de vista de la detección y la protección, que Wise subsana a través de su considerable inversión en I+D. De aquí nacen soluciones propias como Haunt Keeper®, Net Alarm® y Bastet®.  

¿Qué tipo de clientes cuentan con los servicios del SOC? 

Contamos con casos de éxito de sectores muy variados, sobre todo de empresas con un nivel de madurez en ciberseguridad alto. Tenemos referencias a nivel internacional de grandes compañías como HomeServe y Puig. 

¿Cuál es el horizonte para los SOC? 

Gartner, nuestro partner analítico, estima que para 2025, el 90% de los SOC del G2000 utilizarán un modelo híbrido externalizando al menos el 50% de la carga de trabajo operativa. Y el 33% de las organizaciones que actualmente tienen funciones de seguridad internas intentarán y no lograrán crear un SOC interno eficaz debido a las limitaciones de recursos, como la falta de presupuesto, experiencia y personal. 

Esta entrevista también está publicada en la revista Computing

    Contact us!

    hello@wsg127.com
    +34 910 700 549

    We inform you that the data provided will be processed by WISE SECURITY GLOBAL S.L. in order to answer your queries and send you commercial communications about which you have shown interest. In addition, if you give us your consent, we can track your interactions in the communications to measure the effectiveness of the campaigns or send you personalised communications. You can exercise your rights as defined in Articles 15 to 22 of Regulation (EU) 2016/679 or request revocation of your consent at dpo@wsg127.com. For more information you can access our Privacy Policy.

    I have read and accept the Privacy Policy*. I consent to receive personalized marketing communications based on my profile and interests.