Un centro de operaciones de seguridad (SOC, por sus siglas en inglés) es un centro de mando para los equipos de ciberseguridad de una organización. Su responsabilidad es supervisar y proteger la tecnología, la Red, los servidores, las aplicaciones y el hardware. Así lo explica el Centro Criptológico Nacional (CCN) en un documento titulado Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC.
Entre sus funciones se encuentran la prevención, detección, respuesta y recuperación de los sistemas tras un ciberataque. Por tanto, deben vigilar y analizar constantemente las redes y sistemas para detectar intrusiones y anomalías en tiempo real. Además, entre sus cometidos figura la parametrización del atacante y la implantación de medidas concretas para su mitigar la amenaza. Todo ello, compartiendo la información con su CERT o CSIRT de referencia para evitar la propagación de la actividad maliciosa a otras entidades.
Tipos de SOC
Los SOC pueden ser de diferentes clases en función de la entidad a la que presten servicio. En concreto, España cuenta con los siguientes tipos de centros de operaciones de seguridad, según refleja el mencionado documento del CCN:
- COCS de la Administración General del Estado: Proporciona servicios de seguridad a más de 105 entidades de toda la Administración Pública.
- SOC ministeriales: Por ejemplo, los desarrollados por los ministerios de Justicia, Defensa e Interior.
- CERT y SOC autonómicos: Actualmente existen centros de estas características en Andalucía, Cataluña, Comunidad Valenciana, Galicia, Región de Murcia y País Vasco. Otros organismos autonómicos ofrecen parcialmente este tipo de servicios, como es el caso de Madrid, y otros están en periodo de implantación.
- SOC de entidades locales: El CCN-CERT está impulsando también la constitución de SOC virtuales en entidades locales en los que una diputación, consejo insular o cabildo ofrezca estos servicios a todos los municipios de su demarcación. Hoy en día existen proyectos iniciales con servicios de detección en Córdoba, Cádiz, Zaragoza y Valencia. Mientras tanto, en Murcia, Asturias, Navarra y Tenerife se está acompañando a los organismos en el cumplimiento del Esquema Nacional de Seguridad y en servicios de vigilancia, detección y respuesta. Precisamente, gracias a la firma de un convenio, el CCN está colaborando en la implementación y funcionamiento el SOC del Cabildo Tenerife. Su objetivo es, en concreto, aumentar de forma significativa sus capacidades de vigilancia y detección de amenazas, así como su capacidad de respuesta.
- SOC sectoriales: Dirigidos a los servicios esenciales establecidos en la Directiva NIS, cuya actualización se producirá próximamente. Algunos ejemplos son los servicios andaluz, extremeño y madrileño de salud, así como el proyecto iniciado con la Red Iris para proporcionar servicios similares para infraestructuras científicas y técnicas singulares. También destaca el sector transporte, con el ejemplo de Puertos del Estado.
- SOC privados: Centros de operaciones de seguridad de empresas privadas que dan servicio a las administraciones públicas. Multitud de compañías de ciberseguridad cuentan con esta clase de centros.
Todos los SOC utilizan la herramienta Lucía, del CCN, para comunicar los incidentes de seguridad a los que se han visto expuestos. Esta plataforma notifica dichas vulnerabilidades a aquellos organismos que deben estar informados y participar en la correspondiente investigación.
Los SOC a nivel europeo
La actividad de los ciberdelincuentes, caracterizada por su profesionalización y coordinación, hace que la ciberseguridad esté en el punto de mira de la Unión Europea. Tanto es así que Bruselas ha propuesto crear una red de centros de operaciones de seguridad en todo el territorio.
Su objetivo principal es apoyar la mejora de los centros existentes y el establecimiento de otros nuevos, así como la formación y el desarrollo de capacidades del personal que trabaja en estos centros.
Además, a nivel español, el CCN está inmerso en un proyecto para implementar una Red Nacional de SOC. Esta nueva plataforma, en la que estarán incluidos SOC a nivel estatal de todas las tipologías, pretende constituirse como una herramienta que dé a conocer rápidamente cualquier anomalía detectada en alguno de sus integrantes.
Accede al documento Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC.
Archivado en:
