Centros de operaciones de seguridad

IVª Jornada Pribatua

4 de Junio de 2014

• El escenario de amenazas y riesgos tanto externos como internos, a los que

están sometidas las organizaciones, especialmente cuando crecen, les obliga a

reforzar sus equipos de seguridad, especializar a sus técnicos en seguridad

informática, monitorizar la actividad de su infraestructura tecnológica y mejorar

los tiempos de respuesta ante incidentes. Esta evolución natural tiene un

nombre: SOC.

Evolución hacia los Centros de Operaciones de Seguridad

Escenario de Amenazas

Phishing

Malware

Credenciales robadas

Configuraciones de seguridad

Robo de datos personales

Ataques DDoS

Vulnerabilidades dirigidas

Información sobre sistemas

comprometidos

Fuga de bases de datos

Cybersquatting

Publicación de documentos confidenciales

Perfiles falsos en redes sociales

Información publicada por empleados

Job scams

Counterfeiting

Incumplimiento de copyright

Falsas ofertas

Menciones negativas en media o foros

Menciones negativas sobre ejecutivos

APTs

Las amenazas avanzadas persistentes avanzadas suelen manifestarse como un programa

especialmente diseñado para mantenerse oculto en el sistema atacado, puede que

aprovechando vulnerabilidades desconocidas hasta el momento o usando técnicas de

ingeniería social sobre el personal de la empresa. Esto quiere decir que se aleja del

malware o amenazas comunes que, por lo general son impersonales y generalistas.

Proceso:

1. Estudio de la victima

2. Infección

3. Propagación

1. Ingeniería Social

2. BYOD

3. Vulnerabilidades

4. Phishing dirigido

5. Perímetro externo

6. Distracciones

El internet de las cosas

¿Qué riesgos podemos correr en una casa donde casi todos los electrodomésticos

están conectados y pueden ser monitorizados de forma remota?

Hace no mucho tiempo, Internet solo conectaba ordenadores con servidores. Desde hace

unos años, esta tendencia ha cambiado y casi todo tiene una dirección IP y está

conectado a la red. La seguridad de Internet es cada vez más vulnerable ya que cuantos

más dispositivos estén conectados, más puertas de acceso tienen los cibercriminales para

lanzar sus ataques.

• In-Car WIFI

• Electrodomésticos

• Drones

• mHealth

• Un SOC es un centro de operaciones de seguridad, una unidad centralizada

en una organización que se encarga de gestionar la seguridad desde el punto

de vista organizacional y técnico.

• El objetivo principal es asegurar que las amenazas en seguridad de la

información y los incidentes son detectados rápidamente tratados

eficientemente y remediados antes de que tengan impacto significativo en la

organización o fuera de ella: Prevención, detección y respuesta.

• Las funciones básicas de un SOC se encuentran divididas en tres vertientes:

Monitorización y gestión en tiempo real, gestión de informes y análisis post-

incidentes.

• Como funciones avanzadas los SOC modernos realizan otra serie de servicios

para la organización, como son la actividad de cumplimiento técnico en

cualquier ventana temporal como elemento de prevención, o servicios

relacionados con la inteligencia de red, como son el anti-fraude o la protección

de marca.

Definición y objetivos

• De forma genérica un SOC se estructura de acuerdo a tres niveles de actuación, cada

uno de los cuales debe estar representado por un equipo especializado.

• Cada uno de estos tres niveles tienen asociados diferentes parámetros y protocolos

que se amoldan a las necesidades de las organizaciones.

Estructura de niveles

• Incidencias documentadas

que no requieren un técnico

de soporte especializado

• Atención directa por parte del

equipo

• Plazos de respuesta

inmediatos

• Monitorización continua

• Prácticas de healthchecking

en modalidad 24x7

• Resolución de incidencias no

documentadas en Nivel 1

• Atención bajo demanda a

través del equipo de Nivel 1

• Plazos de respuesta

conforme a niveles de

servicio

• Técnicos especializados en

las tecnologías objeto de

soporte

• Posibilidad de

desplazamiento onsite

• Soporte premium

proporcionado por los

fabricantes de seguridad

• Proporciona soporte a casos

en el Nivel 2 que requieren

asistencia adicional de

expertos en el producto

NIVEL 1 NIVEL 2 NIVEL 3

• Cuando la organización cuenta con una

deslocalización geográfica que le

obliga a tener equipos de seguridad

dispersos.

• Cuando no se están detectando ni

respondiendo a las amenazas a tiempo

ni de forma efectiva: fugas de

información, accesos no autorizados,…

• Cuando los CISOs pasan más tiempo

gestionando incidentes que

gestionando otros aspectos de la

seguridad.

• Cuando no existe una coordinación

entre los distintos equipos o personas de

seguridad, dándose el caso que distintos

equipos gestionen el mismo incidente.

Indicadores y señales

Deslocalización

geográfica

Falta de respuesta en 24x7

Descoordinación entre

equipos de seguridad

SOC propio SOC externo

• Necesaria elevada inversión

en profesionales cualificados

y tecnología

• Sin sinergias

• Dificultad y tiempo necesario

para adquirir el know-how

(curva excesiva de

aprendizaje de 3 a 5 años)

• Inversión en formación

continua

• Mayor presión para

rentabilizar el ROSI (Return

of Security Investment).

• Amplio conocimiento de la

corporación.

• Un equipo altamente

cualificado a disposición del

cliente

• Sinergias en la operación y

en la gestión

• Curva de aprendizaje nula,

puesta en marcha inmediata

• Conocimiento cruzado y

experiencia acumulados por

la prestación a múltiples

clientes

1. ¿Tiene estabilidad?

2. ¿Tiene experiencia en grandes clientes?

3. ¿Cuál es su tasa de pérdida de clientes?

4. ¿Cuenta con procedimientos internos de cumplimiento

normativo, como ISO/IEC 27001 o RFC 2350?

5. ¿Proporciona servicios de valor añadido, como inteligencia

de red o cumplimiento normativo en el ámbito técnico?

6. ¿Qué experiencia tiene el equipo técnico?

7. ¿Cuántas certificaciones acumula su equipo técnico y

cuáles son?

8. ¿Cuál es su tasa de rotación de trabajadores?

9. ¿El personal está sujeto a estrictos acuerdos de

confidencialidad?

10. ¿Cuántos técnicos destina a cada nivel de servicio?

Las preguntas

• La gestión de los equipos de seguridad en grandes corporaciones no es

suficiente ante la nueva escalada y sofisticación de ataques informáticos:

Especialización de ataques, APTs, robo de información sensible, la denegación

de servicios o la fuga de información.

• Por este motivo, los centros de operaciones se plantean como una necesidad a

corto plazo en estructuras empresariales que requieren de una madurez en sus

procesos de seguridad, garantizar los activos de información que están

gestionando y reducir el impacto de los incidentes de seguridad.

Conclusiones

For more information, please, visit www.deloitte.es

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms,

each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of

Deloitte Touche Tohmatsu Limited and its member firms.

Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally

connected network of member firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients

succeed wherever they operate. Deloitte's approximately 182,000 professionals are committed to becoming the standard of excellence.

This publication contains general information only, and none of Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte

Global Services Holdings Limited, the Deloitte Touche Tohmatsu Verein, any of their member firms, or any of the foregoing’s affiliates (collectively

the “Deloitte Network”) are, by means of this publication, rendering accounting, business, financial, investment, legal, tax, or other professional

advice or services. This publication is not a substitute for such professional advice or services, nor should it be used as a basis for any decision or

action that may affect your finances or your business. Before making any decision or taking any action that may affect your finances or your

business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever

sustained by any person who relies on this publication.

© 2014 Deloitte Advisory, S.L.