En el reciente artículo “Por qué la externalización de la ciberseguridad es esencial para las PYMES“, analizábamos las dificultades a las que se enfrentan las PYMES a la hora de proteger sus activos digitales frente a las ciberamenazas y discutíamos brevemente los pros y los contras de crear un centro de operaciones de seguridad (SOC) interno frente al uso de un SOC externo.

En este segundo artículo, analizaremos de forma más práctica y detallada las ventajas y los retos de recurrir a un SOC externo. Como ocurre con cualquier decisión, lo que usted perciba como un punto fuerte o un punto débil dependerá de las necesidades particulares de su empresa y de los recursos disponibles. Sin embargo, al final, un SOC es una pieza crucial del rompecabezas de la seguridad, y hay que elegir entre un SOC externo o interno.

A la hora de evaluar los distintos factores, es importante recordar el eterno tira y jala entre la eficiencia y la seguridad de las TI, entre las operaciones ágiles y sin fricciones queaceleran los procesos y la productividad y por el otro lado, las capas de protección, los estrictos controles de acceso y las defensas reforzadas. ¿Puede la externalización de la ciberseguridad, en concreto de un SOC, ayudar a aliviar parte de esa tensión?

Ventajas de un SOC externo

Dado que los ataques contra las PYMES son cada vez más frecuentes y costosos, disponer de un SOC no es algo negociable. Asociarse con un SOC externo es una de las medidas proactivas más rápidas y fiables que puede adoptar. Veamos algunas de las ventajas más importantes.

Protección inmediata

Cuando trabaje con un SOC externo, su empresa pasará de tener una seguridad baja a una seguridad alta de forma casi instantánea, en lugar de tener que esperar meses a que su equipo interno cree un SOC desde cero. En algunos casos, puede llevar años implantar un SOC completo, y la posibilidad de que sea víctima de una brecha de seguridad durante ese tiempo es muy alta, dado que se produce un ataque cada 39 segundos.

Con un proveedor de SOC externo, tendrá acceso inmediato a un equipo de expertos en seguridad, tecnologías de seguridad sofisticadas y un marco de seguridad maduro. Podrá aumentar rápidamente sus capacidades en materia de seguridad y responder a las ciberamenazas con mayor eficacia sin necesidad de invertir en infraestructura ni adquirir múltiples herramientas.

Profesionales especializados

Los proveedores de SOC emplean a analistas de seguridad calificados que están formados para supervisar, investigar y responder a posibles incidentes de seguridad en tiempo real. Estos expertos tienen una amplia experiencia trabajando con las últimas tecnologías, herramientas y metodologías de seguridad, lo que les permite identificar y mitigar las amenazas antes de que se agraven y causen daños significativos.

Desarrollar un SOC interno requiere un equipo interno altamente calificado y preparado. Los profesionales de la ciberseguridad escasean, e incluso cuando un número récord de trabajadores calificados se incorpora al mercado laboral, la competencia por contratar y conservar a los mejores talentos suele tener un costo prohibitivo para las PYMES. Los hackers no tienen un horario de 9 a 5. Sus momentos favoritos para atacar son aquellos en los que los empleados no están delante de sus pantallas: noches, fines de semana y vacaciones. Los SOC externos pueden proporcionar supervisión y remediación de forma ininterrumpida, mientras que a usted le resultará difícil exigir a su equipo interno que cubra de forma activa esas peligrosas horas del día.

Escalabilidad y simplicidad

Conforme crece su organización, su SOC necesita ir al mismo ritmo. Un SOC externo puede ampliar fácilmente sus capacidades de seguridad a medida que cambia su infraestructura informática, se añaden aplicaciones, se incorporan empleados y se abren oficinas en nuevos lugares. Esto le permite mantenerse ágil y responder rápidamente a los cambios sin malgastar recursos. Un SOC interno debe diseñarse teniendo en cuenta la escalabilidad, pero eso no significa que su equipo vaya a tener los conocimientos y el tiempo necesarios para adaptarse de inmediato sin tener problemas.

Un requisito esencial para un SOC externo es que sea tecnológicamente agnóstico. El SOC debe tener experiencia y familiaridad con una amplia gama de herramientas y tecnologías de seguridad para que pueda trabajar sin problemas con su infraestructura de seguridad actual (y futura). Una gran ventaja de un SOC interno es que puede diseñarse para trabajar específicamente con su infraestructura tecnológica actual; sin embargo, dado que la tecnología y las herramientas de seguridad evolucionan rápidamente, la cuestión es si su SOC será capaz de adaptarse con el paso de los años.

Los procesos de gestión de la seguridad ya son de por sí complicados. A medida que su empresa vaya creciendo y los nuevos equipos y oficinas necesiten herramientas diferentes, el mantenimiento de la seguridad y la erradicación de vulnerabilidades en su entorno informático serán más difíciles. Este es un mal necesario que va en aumento, pero en el que un SOC externo puede tener un valor inestimable. El SOC ayudará a reducir el tiempo y los recursos necesarios para implantar, actualizar y gestionar las tecnologías de seguridad, simplificando y agilizando al mismo tiempo las operaciones de seguridad y la eficacia.

Rentabilidad

Para desarrollar un SOC interno con todas las funciones necesarias, es necesario cubrir con holgura los gastos iniciales y continuos de hardware, software y herramientas de seguridad, además de los salarios de los expertos calificados y el espacio de oficinas necesario para albergar este equipo. Con un precio de casi 3 millones de dólares al año, es probable que sea un uso ineficiente de su presupuesto.

Subcontratar un SOC puede ofrecer importantes ahorros gracias a las economías de escala, ya que sus conocimientos, servicios y costos de infraestructura se reparten entre sus numerosos clientes. Un buen proveedor de SOC también dispondrá de un sistema de gestión de eventos e información de seguridad (SIEM) que incluya reglas propias para ayudar a identificar posibles amenazas y responder a las mismas con rapidez. Implantar y gestionar un sistema SIEM por su cuenta es un gasto adicional a tener en cuenta y un proyecto bastante complejo de poner en marcha.

Inteligencia sobre las  amenazas

Aunque la inteligencia sobre amenazas es esencial, recopilar y analizar grandes cantidades de datos procedentes de múltiples fuentes requiere una gran cantidad de tiempo y recursos. Necesitará un complejo conjunto de herramientas y un equipo calificado para que su SOC interno utilice la inteligencia para identificar amenazas, prevenir ataques y responder a incidentes de forma eficaz. Los proveedores de SOC tienen acceso a una amplia variedad de datos de inteligencia sobre amenazas procedentes de la gestión de su base de clientes, lo que les permite aprovechar la sabiduría de las masas y las asociaciones con los principales proveedores de inteligencia sobre amenazas para acceder a los datos más recientes y completos. 

Gestión

Las investigaciones son esenciales para determinar el alcance de los daños e identificar el origen de un ataque. Un proveedor de SOC externo debe gestionar y ejecutar las investigaciones de los incidentes, así como coordinar la respuesta. Debido a su conocimiento de las últimas amenazas, técnicas y procedimientos (TTP), disponen de sistemas y procesos consolidados para llevar a cabo las investigaciones y pueden mantenerle informado del estado y de los hallazgos en todo momento.

A menos que cuente con un equipo SOC interno de gran experiencia, las investigaciones a menudo se pasan por alto o se llevan a cabo de forma incorrecta porque no se dispone de acceso a las herramientas adecuadas y no se conocen los procedimientos apropiados para ser minucioso. Las investigaciones mal gestionadas pueden hacer que las amenazas no se erradiquen por completo y que los sistemas sigan infectados, dejando posibles puertas traseras intactas.

Costos adicionales de un SOC interno

Para muchas PYMES, externalizar su SOC o montar uno interno es una cuestión de dinero. Ya hemos visto cómo influyen los costes en las principales consideraciones, ¿pero qué pasa con los gastos menos conocidos que conlleva un SOC interno?

Cumplimiento

Muchas organizaciones están sujetas a requisitos de cumplimiento normativo como HIPAA o PCI DSS. La creación de un SOC interno exige garantizar el pleno cumplimiento de estas normativas, que son difíciles de entender y varían según el estado, el país y la región. Es probable que tenga que contratar costosos asesores de cumplimiento para asegurarse de cumplir todas las normativas y de seguir haciéndolo a medida que se promulgan nuevas leyes.

Formación y desarrollo

Mantener al día a su equipo SOC sobre las últimas amenazas, tecnologías y mejores prácticas puede suponer un gasto considerable. Es necesario invertir en programas de formación y desarrollo para garantizar que el equipo cuenta con las habilidades y los conocimientos necesarios para gestionar la ciberseguridad de la organización con eficacia.

SOC interno o externo: ¿qué debería elegir?

Hoy la pregunta no es “¿debería tener un SOC?”. Todas las organizaciones necesitan uno para cumplir la normativa y obtener un ciberseguro o simplemente porque es una buena práctica empresarial. La ciberseguridad es un asunto complejo que cada día se vuelve más intrincado.

La pugna por no quedarse atrás es real, razón por la que casi a diario surgen más empresas de ciberseguridad. A menos que su empresa disponga de fondos ilimitados, la mejor forma de proteger su negocio es aprovechar todas las medidas de ahorro que ofrecen los proveedores externos.