Retos del SOC del futuro
4 retos para los Security Operations Center.
ThreatQuotient, compañía líder en plataformas de operaciones de Ciberseguridad, ha hecho balance de los retos del Centro de Operaciones de Seguridad (SOC) durante el año pasado y ha concretado cuales son los retos para mejorarlos en 2022. De hecho en su quinta encuesta anual SANS 2021 Survey: Security Operations Center (SOC), ThreatQuotient recogió y analizó las opiniones de los analistas de seguridad y de los directores de equipo de un amplio espectro de sectores industriales. Este estudio se convierte en una referencia válida para los SOC que deseen comparar su enfoque y sus estrategias, incluso con los de otros sectores.
Durante los últimos dieciocho meses, el SOC ha estado en primera línea frente al aumento de amenazas de ciberseguridad inducidas por la pandemia. De hecho, un año antes, el 2020 study by Forrester descubrió que el equipo medio de operaciones de seguridad recibía más de 11.000 alertas al día. Y es probable que esa cifra haya aumentado debido al cambio de los trabajadores que antes se encontraban en la oficina y, actualmente, trabajan en remoto.
Varias conclusiones interesantes pueden ser extraídas de este estudio que conllevarán una mejora en la preparación de los SOC para el futuro:
• La escasez de competencias en ciberseguridad supone un problema: Las organizaciones desean dedicar más recursos humanos a las actividades de los SOC, así como la adquisición de habilidades adicionales por parte del personal existente. El informe de ThreatQuotient señala que la principal "habilidad que falta" en los equipos es la experiencia en la búsqueda de amenazas, algo que puede ser costoso de obtener fuera del ámbito de la empresa. También se observó que la caza de amenazas y la supervisión de la inteligencia son las actividades más comúnmente subcontratadas por el SOC. Sin embargo, se trata de dos áreas en las que el conocimiento íntimo de los sistemas y la infraestructura internos mejora considerablemente la eficacia. Si se da a los analistas la oportunidad de adquirir estas habilidades y se les apoya con herramientas que alivien la carga de la asimilación de la inteligencia, esto supondrá un doble beneficio para la empresa, al retener al personal clave y construir una capacidad interna más fuerte en las áreas que más se beneficiarían.
• El trabajo desde casa se convierte en la norma: En la actualidad, las organizaciones carecen de un método adecuado para calcular la carga de trabajo de los analistas, ya que la mayoría de los encuestados afirman que su SOC no la calcula. La siguiente respuesta más común es que utilizan un método básico de tiempo por entrada. Dado que el 83% de los SOC operan 24 horas al día, 7 días a la semana, y la mayoría de ellos ofrecen esta capacidad a través de recursos internos, la gestión de la carga de trabajo es importante para mantener el bienestar del equipo.
• La automatización y el contexto de los datos impulsan la eficiencia y la seguridad: Cuando se carece de personal y habilidades, es fundamental que las tareas repetitivas y de bajo valor se automaticen en la medida de lo posible, liberando a los analistas para que se centren en actividades de mayor importancia que reduzcan el tiempo de detección y respuesta, y sean más satisfactorias a nivel individual. Varios encuestados citaron la falta de contexto relacionado con los datos que analizan como una barrera importante para operar en un SOC eficiente. El SOC del futuro se basará cada vez más en los datos, ingiriendo información de múltiples fuentes dentro y fuera de la empresa, pero los datos sin contexto o relevancia simplemente abrumarán a los analistas.