Digamos que tu negocio está en auge. El lanzamiento de un nuevo producto va bien, la empresa se está expandiendo a nuevos mercados y una importante ganancia de clientes significa un aumento de las contrataciones por delante. La moral es alta en toda la organización y hay rumores de una adquisición emocionante que estimulará otra ronda de rápido crecimiento.
Pero con el crecimiento vienen mayores responsabilidades, especialmente para el equipo de seguridad. La expansión de las superficies de amenazas y ataques ejerce presión sobre el equipo para proporcionar una protección continua y siempre activa, en cualquier lugar donde haga negocios. ¿Cómo se logra esto?
Muchas organizaciones recurren a un SOC (centro de operaciones de seguridad) para centralizar la supervisión de la seguridad, aumentar la velocidad y la eficacia de la respuesta a incidentes y mantener el cumplimiento, entre otros beneficios. Sin embargo, este deseo lleva a una pregunta clave: ¿debería construir un SOC o comprar un SOC en forma de un servicio de seguridad como MDR (detección y respuesta administradas)?
Como parte del proceso de decisión, es importante analizar los desafíos de crear un equipo SOC completamente operativo las 24horas del día, los 7 días de la semana, que responda de manera rápida e inteligente a una amenaza de ciberseguridad cuando intente interrumpir su sistemas críticos.
Desafíos de crear un equipo SOC
Si hablas con un colega que puso en marcha un SOC interno en algún momento de su carrera, es probable que te diga que la dotación de personal y el mantenimiento de un SOC las 24 horas del día es desalentador, requiere muchos recursos y es costoso. Sin embargo, se puede hacer. Aquí hay algunas cosas importantes a considerar sobre el proceso.
SOC Standup: Formando un equipo experimentado
Uno de los mayores desafíos en la creación de un equipo SOC es reunir un grupo con conocimientos diversos y una experiencia significativa en amenazas para lograr sus objetivos de manera efectiva. Los actores de amenazas de hoy en día son cada vez más expertos en ocultar sus actividades y eludir las medidas de seguridad heredadas, por lo que la experiencia de los analistas juega un papel crucial. También es importante encontrar personas con experiencia en investigación, especialmente en defensa, academia o aplicación de la ley. Estos analistas deben ser capaces de ir más allá de la simple detección y utilizar las habilidades de investigación y generación de informes para proporcionar recomendaciones basadas en análisis cuidadosos y detallados.
Construyendo más allá de los analistas
Encontrar a su grupo calificado de analistas no es el final de su viaje de dotación de personal de SOC, es realmente el comienzo. Una vez que construyas una base sólida de analistas, tendrás que añadir experiencia especializada, como respondedores de incidentes, ingenieros de detección y cazadores de amenazas. Este personal de SOC llena muchas de las brechas que quedan, incluida la evaluación y corrección de vulnerabilidades, la investigación de amenazas y el mantenimiento proactivo. A medida que su organización crece y sus superficies de amenazas se expanden, es importante agregar estos roles especializados.
Dotación de personal y pago de cobertura SOC 24x7x365
La mayoría de nosotros en ciberseguridad sabemos muy bien sobre la gran brecha de habilidades de ciberseguridad que dificulta encontrar miembros de equipo calificados y asequibles, y esto se hace muy evidente a medida que se construye, mantiene y opera un equipo SOC las 24 horas del día.
Uno de los principales desafíos es el hecho de que dotar de personal a un SOC no es tan simple como crear tres turnos de ocho horas para una cobertura completa. Las leyes laborales limitan las semanas laborales a 40 horas y garantizan tiempo libre adicional. El mínimo para una cobertura de 24 horas es de cinco analistas, e incluso un equipo de cinco personas se estiraría para cubrir el PTO y servir como respaldo crítico. Operar con este tipo de dotación de personal ajustada crea la necesidad de un presupuesto significativo de horas extras para que todo funcione.
Para crear un SOC confiable a tiempo completo las 24 horas del día, los 7 días de la semana, los 365 días del año , idealmente se requieren al menos 10 personas (incluidos 5 analistas, como se mencionó anteriormente) para tener en cuenta los turnos, el PTO y las copias de seguridad. Los costos aumentan rápidamente. Por ejemplo, si pagas un salario más beneficios de $150,000 por año, estás hablando de $1.5 millones solo en costos de personal. Este número no incluye licencias de software, capacitación y certificaciones de la industria, equipos de red, espacio de oficina, viajes y otros gastos relacionados con el departamento de seguridad.
Planificación de la rotación
La rutina continua de dotar de personal a su SOC las 24 horas del día y perseguir falsos positivos puede dañar la moral, ya que su equipo puede sentir que se enfrenta a un ciclo interminable de persecución de amenazas que resultan ser inexistentes. A largo plazo, esto puede provocar agotamiento y salidas, por lo que querrás planificar la rotación del equipo SOC.
Desafortunadamente, el impacto de la salida de los empleados se extiende mucho más allá de contratar a alguien nuevo. Se estima que se tarda hasta 12 meses en pasar por todo el proceso de incorporación, en el que los nuevos empleados se integran plenamente en la cultura, los procesos y los procedimientos de la empresa. Pasar por ese largo y laborioso esfuerzo cada vez que se tiene rotación o se decide escalar las operaciones es insostenible para la mayoría de las organizaciones.
La necesidad de procedimientos estandarizados
Establecer procesos y procedimientos estandarizados para gobernar su SOC es crucial y difícil, especialmente si lo está haciendo por primera vez. Ya está ocupado con la seguridad, los proyectos de TI y la habilitación de los sistemas para impulsar su negocio principal. Es importante examinar qué tipo de recursos y experiencia puede reasignar de manera realista de sus operaciones actuales mientras escala para satisfacer el crecimiento de la empresa.
También es importante que implemente cuidadosamente las mejores prácticas basadas en marcos de ciberseguridad establecidos, como MITRE, ATT&CK o NIST 2.0. Estos estándares probados y verdaderos son una forma eficaz de asegurarse de que sus bases estén cubiertas de la manera más eficiente posible, y puede escalar su SOC a medida que crece el negocio. También es importante que alinee estos estándares con sus objetivos empresariales únicos, asegurándose de que se aborda el riesgo empresarial real a través de operaciones de seguridad.
Esto es solo el comienzo de las cosas a tener en cuenta al planificar la construcción de un centro de operaciones de seguridad interno 24x7x365. Sin embargo, se puede hacer si tiene la paciencia, el presupuesto y el tiempo para asignar de sus empleados actuales.
[Ebook gratuito: Todo lo que necesitas saber para calcular el ROI de un MDR]
Alternativa al SOC: comprar en lugar de construir
Muchas organizaciones descubren que asociarse con un proveedor de servicios de detección y respuesta administradas (MDR) es una forma más rentable y rápida de mejorar su postura de seguridad. Los expertos en MDR altamente experimentados de una variedad de antecedentes aumentan su equipo de seguridad, y el nivel de soporte es escalable para que pueda mantener la protección las 24 horas del día, los 7 días de la semana, los 365 días del año, independientemente del tamaño de su organización. La externalización de esta función de seguridad crítica le permite centrarse en proyectos de TI y seguridad, y le ayuda a habilitar su negocio de forma segura y con confianza.
Aprovechar el conocimiento de MDR
Una cosa que escuchamos es que los clientes de MDR están gratamente sorprendidos de la rapidez con la que MDR redujo su riesgo y simplificó sus procesos. Su proveedor de MDR ya estará operando bajo prácticas y procedimientos perfeccionados a lo largo de años de trabajo con un conjunto diverso de organizaciones. Han gastado millones de dólares en el desarrollo y la combinación de las mejores herramientas con las mejores prácticas, y han construido relaciones sólidas con proveedores de ciberseguridad y grupos de defensa que pueden aprovechar si surge algo anormal. Y su organización se beneficia de esta experiencia durante todo el día.
Simplificando lo complejo
La seguridad suele ser una práctica compleja y aislada, con múltiples herramientas de supervisión que introducen sus datos en una solución de gestión de eventos e información de seguridad (SIEM). Mantenerse al día con la afluencia de datos de seguridad que fluyen a través de estas herramientas puede ser abrumador, lo que permite que los ataques legítimos se escondan entre el ruido a medida que se propagan lateralmente por la red.
Su equipo de MDR recopila y consolida datos de sus herramientas de seguridad existentes en un sistema centralizado, correlacionando la información para identificar y responder mejor a comportamientos sospechosos o maliciosos y solo alertándolo sobre cosas que realmente valen la pena investigar. Este enfoque mejora la toma de decisiones, agiliza la generación de informes, mejora la medición y, en última instancia, conduce a resultados de seguridad más eficaces.
Decisión del SOC: ¿construirlo o comprarlo?
¿Debería su organización crear un SOC interno o comprarlo? Crear y mantener un SOC desde cero es un viaje plagado de obstáculos y desafíos, desde retener a los mejores talentos hasta escalar para satisfacer el crecimiento empresarial. Sin embargo, se puede hacer de manera efectiva si adopta el enfoque correcto y está dispuesto a administrar las operaciones en curso.
Trabajar con un proveedor de servicios MDR es un enfoque mucho más sencillo y rentable. Le permite aprovechar la amplia y refinada experiencia de SOC a una fracción del costo de crear el suyo propio. Para obtener más información, explore todos los detalles de Bitdefender MDR o consulte la vista interactiva de cómo funciona Bitdefender MDR.
