Más capacidad de detección y de respuesta para el SOC de la Junta de Castilla y León
Antecedentes
Aunque las Tecnologías de la Información y las Comunicaciones (TIC) eran ya un cimiento esencial de la actividad administrativa y del servicio público, la pandemia COVID-19 disparó la necesidad de digitalización en todos los ámbitos de la vida. Con ello, los riesgos de ciberseguridad crecieron y, posteriormente, se multiplicaron por la conflictiva situación geopolítica.
Por todo ello se ha hecho imprescindible prestarles una atención constante y creciente.
En este contexto, la Administración de la Comunidad de Castilla y León (en adelante, ACCyL) ha realizado un conjunto de actuaciones para mejorar la visibilidad de los incidentes de seguridad que se produzcan y para responder ante ellos con más fluidez. Los fondos del Mecanismo de Recuperación y Resiliencia - Next Generation EU han impulsado este plan financiando algunas de esas actuaciones, en concreto la adquisición de herramientas de correlación de eventos (SIEM) y de automatización de la gestión de la ciberseguridad (SOAR).
Retos
Son tres los objetivos perseguidos. Dos de ellos son operativos: aportar al SOC más visibilidad de información de ciberseguridad y más fluidez en la comunicación y en la capacidad de respuesta. El tercer objetivo, el que multiplica el valor de los dos anteriores, es su integración.
Al comienzo de la pandemia el SOC fue rediseñado para poder atender la creciente complejidad e incertidumbre. Con este objetivo se le añadió la capacidad de gestión de registros de actividad (logs) y de correlación de eventos de seguridad.
Desde entonces, la creciente actividad del SOC ha sido acompañada por un continuo incremento de la información atendida y por un constante ajuste de sus procedimientos operativos para optimizar el nivel de protección.
Por otra parte, las normas de desarrollo de la política de seguridad de la información de la ACCyL han apuntalado al SOC como pieza esencial en la gestión de los incidentes de seguridad en la organización, incrementando así también el nivel de exigencia.
Fases
En cuanto a la capacidad de detección, buscando más visibilidad:
1-Consideración de más fuentes de información.
2-Más capacidad de proceso y almacenamiento de logs.
3-Renovación del SIEM a un producto integral que aporta más capacidades y fuentes externas de inteligencia sobre amenazas.
4-Adhesión a la Red Nacional de SOCs y utilización de herramientas del CCN.
5-Firmado de logs para dotarles de integridad.
En cuanto a la capacidad de respuesta, buscando fluidez y capacidad operativa:
1-Procedimientos documentados y flujos de trabajos detallados.
2-MISP para compartir información.
3-Monitorización de IoCs.
4-Casos de uso para las operaciones y riesgos más importantes.
5-Implantación de SOAR para operar directamente diversos de los elementos de la solución de seguridad y así obtener información de contexto relevante para las investigaciones o generar reportes.
Todo ello refuerza la conciencia de que la seguridad de la información es un trabajo de todos todo el tiempo.
Nuevos Servicios
La puesta en marcha de los trabajos referidos en el punto anterior ha permitido mejorar:
1-La información que se considera, con más datos y mejores herramientas para obtener información más precisa y útil.
2-La productividad de las personas involucradas, que cuentan con una clara forma de actuar y con la potencia de herramientas que automáticamente les proporcionan datos para enfocar su trabajo o que, directamente, hacen parte de este.
En resumen, se consigue dedicar menos tiempo a operaciones manuales para poder enfocarse en la toma de decisiones con la mejor información. Todo ello, y sobre todo la herramienta SOAR referida previamente, tiene y tendrá un gran impacto en la eficiencia del trabajo de las personas involucradas a la vista de la evolución que en los últimos años ha tenido su actividad, especialmente en cuanto a logs considerados, investigaciones realizadas e incidentes confirmados, que se indica en las gráficas del documento .pdf asociado a esta candidatura.
Conclusiones
El continuo crecimiento en el uso y la criticidad de las TIC en las Administraciones Públicas hace que la protección de las herramientas que soportan la actividad administrativa y el servicio público tenga que ser una fortaleza de la organización.
La protección frente a los riesgos de ciberseguridad supone un reto común para toda la organización y no sólo para las unidades TIC. Disponer de más información y más fiable, y de más fluidez y capacidad operativa, fortalece las defensas y permite responder eficazmente a los riesgos de ciberseguridad.
Tras un proceso de madurez, el SOC de la ACCyL ha pasado de ceñirse al mundo de las comunicaciones a convertirse en un actor fiable y muy relevante en la gestión de los incidentes de seguridad en toda la organización.
Por último, las expectativas de las nuevas herramientas de correlación de eventos (SIEM) y de automatización de la gestión (SOAR), adquiridas con fondos Next Generation EU, son ilusionantes.