Aunque supongo que tod@s los lectores conocerán el término SOC (Security Operation Center), creo que es importante aportar nuestra visión particular sobre los objetivos y el funcionamiento de los mismos a través del análisis de distintos tipos de Centros de Seguridad que hemos tenido la oportunidad de conocer y estudiar en alguno de los proyectos que hemos realizado; ésta es la primera de las entradas semanales que dedicaremos a este tema.
Un Centro de Seguridad en general y un Centro de Seguridad Gestionada (SOC) en particular, es un centro de servicios especializado en la prestación de servicios de seguridad a sus clientes. Los Centros de Servicios, en general, son centros especializados en la provisión de servicios de valor añadido a sus clientes que buscan de forma incesante la gestión eficaz y eficiente de sus recursos humanos y materiales para la consecución de sus objetivos.
Con la calidad de servicio como estandarte, un Centro de Servicios se caracteriza por una organización por niveles de especialización y una férrea organización que permita la gestión de los eventos asociados al mismo con un estándar de calidad determinado y medido de forma continua. Este tipo de centros disponen de herramientas que le permiten gestionar en tiempo real los eventos asignados al mismo, asegurando que en ningún caso se deja de atender, en los tiempos establecidos, los sucesos que acontecen en el devenir del mismo. Sistemas que deben contemplar la monitorización de procesos y actividades en tiempo real (BAM: Business Activity Monitoring) e incluso la posibilidad de actuar de forma automática ante la existencia de determinados estímulos o sucesos. Otro aspecto a destacar de los centros de servicios es la gestión de forma procedimentada, con el fin de que el conocimiento de la propia gestión cotidiana del centro revierta en la mejora continua de los procedimientos de actuación y que los niveles menos especializados de atención puedan incluso actuar en caso de emergencia. Para conseguir este objetivo es muy importante la definición de un modelo de gestión del centro y su posterior certificación en base al referencial o referenciales adecuados en cada caso.
Un Centro de Servicios es una vía de búsqueda de sinergias, de concentración de conocimiento y saber hacer no sólo en un sentido científico o tecnológico, sino también en la optimización de procesos de gestión como puede ser el caso de la gestión de la seguridad de la información.
Los SOC o centros de seguridad gestionada, como centros de servicios que son, deben cumplir estas características generales. A pesar de ello existen distintos tipo de centros de seguridad que en varias entradas vamos a intentar analizar brevemente; algunos tienen sus orígenes en aspectos técnicos de la seguridad, mientras que otros nacen de la necesidad de la defensa de las infraestructuras críticas nacionales. Algunos tienen su origen en la actividad privada de las organizaciones mientras que otros son centros públicos. Unos tienen como objetivo compartir información y otros actuar en caso de incidentes. En cualquier caso, todos ellos tienen como común objetivo la mejora de la seguridad de las organizaciones para las que trabajan.
Hemos clasificado algunos de los centros analizados en función de su origen, determinando los siguientes grandes grupos:
- CERTs: Centros de respuesta ante incidencias técnicas y por tanto, a priori reactivos. Son centros surgidos en torno a las amenazas dentro de Internet. Públicos y privados. Ejemplos: FIRST, CERT, IRIS CERT, CERT Centro Criptológico Nacional, Inteco-CERT, CSIRT-CV, E-CSIRT….
- Centros de defensa nacional: Surgidos como iniciativas gubernamentales para la defensa de sectores de infraestructura gubernamental o considerada crítica para el estado: ISACs americanos (Information Sharing and Analysis Center), WARP británicos (Warning, Advice and Reporting Point), BFAG australianos, …. Son centros preventivos a diferencia de los anteriores que son reactivos almenos en su concepción inicial.
- Centros divulgativos, académicos y de investigación: Centros enfocados principalmente a la investigación en materias de seguridad. SANS o INTECO.
- Centros sectoriales: Desarrollados de manera privada por un sector específico. Ejemplos: Comisión nacional de Seguridad en el entorno de las Cajas de Ahorro, centros de seguridad de medios de pago, Centro sectoriales de banca: BITS, s-CERT, UK Financial Sector Continuity, e-LC CSIRT, CCI, Centro de Cooperación Interbancaria.
- Otros centros de seguridad: Centros de seguridad privados que ofrecen servicios de seguridad gestionada a sus clientes, como Argópolis en nuestro caso.