QUE ES EL SOC?

Centro de operaciones de seguridad tambin conocido como SOC,

por sus siglas en ingls, es un centro donde se gestiona la seguridad de
una organizacin. En l, personal especializado, con altos conocimientos
de la infraestructura objetos de proteccin, monitoriza en tiempo real el
estado de la seguridad durante las 24 horas del da y los 7 das de la
semana.
PILARES FUNDAMENTALES:
El centro de operaciones debe basar sus servicios en cuatro pilares
fundamentales:
1- PREVENCION: tiene como principal objetivo disminuir la
probabilidad de apariciones de cualquier incidente. La prevencin
implica realizar vigilancia permanente de nuevos ataques que pueden
comprometer la seguridad, as como la aplicacin de medidas
preventivas que reduzca la probabilidad de materializacin de
amenazas.
2- DETECCION: Es la monitorizacin constante con el nico
propsito de detectar amenazas, vulnerables, intrusiones, ataques de
seguridad o cualquier indicio que refleje un posible incidente de
seguridad.
3- ANALISIS: Estudio de los incidentes descubiertos por la
deteccin con el anlisis se pretende discernir entre amenazas reales o
falsas positivos.
4-RESPUESTA Y RECUPERACION: Reaccin ante cualquier
incidente real de seguridad. Se refiere tambin de cmo y que tambin
es mitigado el dao, y reparado as como la funcionalidad de la
informacin restablecida despus de un ataque exitoso.
Principales Beneficios
- Reduccin de Riesgos y Amenazas.
- Mayor Disponibilidad de sus servicios
- Identificacin y Prevencin de Vulnerabilidades.
- Optimizar la capacidad de respuesta operativa.
- Implementacin de polticas y reglas claras.

- Centralizacin de los Registros de Datos.

- Mejorar la generacin de informes y reportes.
- Mayor seguridad para sus servicios y productos.

Antecedentes
Porque seguridad:

Negocio por internet son cada vez ms frecuentes:

o Uso de banca en lnea, ventas en lnea (tiendas Virtuales),
sitios de relacionamiento con clientes (atencin en lnea, Elearning, etc).
Los ataques de Phishing causaron, solo en los Estados Unidos, una
prdida de 3,2 billones de dlares en 2008. Virus y worms siguen
siendo la mayor causa de interrupcin de trabajo en las empresas.
Escenario jurdico/legislativo esta combinado, gobierno corporativo
exige controles internos.
Los dispositivos deben ser monitorizados y gestionados con mayor
eficiencia.
o Switches, Firewalls, Rauteadores, IDS, IPS, Aplicaciones.

Tendencia de nuevos ataques

1. Ataques a datos corporativos y personales en la nube

A medida que las empresas dependan cada vez ms de
diferentes servicios en la nube para la administracin de datos de
clientes, planes de proyectos internos y activos financieros, esperamos
ver nuevos ataques dirigidos a estaciones, dispositivos mviles y
credenciales con el fin de obtener acceso a nubes corporativas y
personales.
Es difcil predecir cmo sern los ataques del futuro, pero nos
imaginamos que el ransomware secuestrar no solo documentos locales,
sino tambin cualquier tipo de datos alojados en la nube.
2. Amenazas avanzadas persistentes (APT) y malware con motivaciones
econmicas
Suponemos que el xito de las amenazas avanzadas persistentes (APT)
en los ataques de espionaje industrial servir de inspiracin a las bandas
tradicionales de creacin de programas maliciosos, que adoptarn sus
tcnicas. De hecho, ya estamos observando el uso de algunas tcnicas
de explotacin tomadas de los grupos de APT para distribuir programas
maliciosos.

3. Programas maliciosos para Android ms complejos y en busca de

nuevos objetivos
En 2014 observamos un aumento vertiginoso de los programas
maliciosos para Android, no solo en cuanto al nmero de muestras y
familias exclusivas, sino tambin por el nmero de dispositivos
afectados de forma global.

4. Programas maliciosos diversificados y especializados

La diversidad de los programas maliciosos con fines econmicos refleja
las diferencias entre muchas zonas geogrficas y financieras. Es algo
que ya puede apreciarse en las tcnicas de ingeniera social especficas

de cada pas, las opciones de monetizacin del malware y la finalidad de

los ataques.

5. El peligro de las aplicaciones mviles y las redes sociales para los

datos personales
En general, la proteccin de los dispositivos mviles seguir siendo un
tema candente en 2014. La adopcin continuada de aplicaciones nuevas
de comunicacin personal y profesional ampla la superficie de ataque,
sobre todo, para los timos de ingeniera social y los intentos de
exfiltracin de datos. Las agendas de direcciones y los contactos
sociales de los usuarios son un tesoro para cualquier tipo de
ciberdelincuente, por lo que debemos ser muy conscientes de a quines
permitimos acceso y por qu. El control de aplicaciones web y mviles
para usuarios empresariales ayudar a mitigar este riesgo.
Tendencia de Seguridad informtica:
Este ao marc el despegue de la tecnologa para vestir. Apple
present su reloj inteligente, el Apple Watch, y otras empresas, como
Samsung, Sony, Asus, LG y Motorola fortalecieron su oferta en esta
nueva arista del mercado.
Estas tecnologas suponen nuevos riesgos de seguridad. Los
cibercriminales podran acceder a informacin detallada sobre los
comportamientos de los usuarios, sus signos vitales, los lugares que
frecuentan, los ritmos de sueo y ms.
Los dispositivos ms fciles de vulnerar sern aquellos con sistemas
operativos abiertos, como lo es Android, y con conexiones inalmbricas
a internet.
Todos estos avances tecnolgicos tambin involucra nuevas aplicaciones
lo cual indica nuevas brechas para filtraciones y ataques.
En este contexto, la seguridad es una prioridad para las empresas. La
nueva tendencia de seguridad es destinar entre el 5% y el 7% del gasto
total de TI en servicios, equipos y elementos de seguridad.
Las organizaciones que buscan ms la seguridad informtica son
las instituciones bancarias y las dedicadas a la finanzas son de mayor

demanda debido a que la informacin es reconocida como un activo

muy importante en el desarrollo de sus actividades.
Por qu requiero un SOC?
Piense por un momento como trabaja su empresa, en quien o en que
confa sus operaciones, y aparecern dos palabras claves: redes y
programas informticos:
La mayora de las operaciones de su empresa son controladas a travs
de programas, y estos su vez se enlazan a bases de datos internas o en
Internet: por ejemplo, las sucursales, sus bancos, sus clientes o la de un
proveedor principal.
Cada vez es ms comn escuchar sobre ataques por Internet a las
empresas, fugas de la informacin, troyanos y otro tipo de programas
malignos que buscan acabar con su informacin o entregarla a la
competencia.
Los antivirus, cortafuegos y otras herramientas o programas similares
son medidas de prevencin limitadas a operaciones especficas pero no
a la gestin total de la seguridad de su empresa, es all donde un SOC,
centraliza y gestiona la seguridad de su informacin.

COMO ESTA INTEGRADO UN SOC:

Se compone de personas, procesos, infraestructura y tecnologa
dedicada a gestionar, tanto de forma reactiva como proactiva,
amenazas. Vulnerabilidades y en general incidentes de seguridad de la
informacin con el objeto de minimizar y controlar el impacto en la
organizacin.
PRINCIPALES RECURSOS:
Recurso Humano:
Especialista con altos valores y principios, certificados en tecnologas y
herramientas de redes y seguridad con experiencia en la gestin y
mitigacin de ataques y vulnerabilidades.
Estas personas son la ltima defensa, si un adversario ciberntico burla
a los analistas de SOC no hay nadie ms en la organizacin que puedan
encontrarlos, se podr tener una gran cantidad de herramientas,
software y hardware sofisticadas pero si no se cuenta con la gente

adecuada en el puesto sera una mala inversin. Por tal razn de listan
5 habilidades de un analista de SOC:
Por tal razn se listan 5 de las habilidades del analista del SOC principiante:

1.
2.
3.
4.
5.

Con todo esto en mente, aqu estn mis cinco habilidades requeridas en un analista SOC de
nivel de entrada:
Fuerte comprensin de la ciencia bsica en computacin: algoritmos, estructuras de
datos, bases de datos, sistemas operativos, redes y desarrollo de herramientas (no software
de calidad para la produccin, sino herramientas que puedan ayudarle a hacer cosas).
Fuerte comprensin de las operaciones de TI: Mesa de ayuda, gestin
de endpoints y administracin de servidores.
Capacidad fuerte para comunicarse: escribir con claridad y hablar con autoridad a
diferentes tipos de pblico (lderes empresariales y techies).
Fuerte comprensin de las motivaciones del adversario: la ciberdelincuencia, el
hacktivismo ciberntico, la guerra ciberntica, el espionaje ciberntico y la diferencia entre
la propaganda ciberntica y el ciberterrorismo.
Fuerte comprensin de los conceptos de operaciones de seguridad: Medidas de
seguridad, gestin de BYOD, proteccin de prdida de datos, las amenazas internas, matar
anlisis de la cadena, la evaluacin de riesgos y las mtricas de seguridad.
Adems se listan 5 de las especialidades para los analistas senior del SOC

1.
2.
3.
4.
5.

Si va a contratar a una persona de mayor jerarqua, aqu estn algunas de las especialidades
que debe buscar:
Fuerte comprensin de la gestin de la vulnerabilidad: Cules son las
vulnerabilidades?, cmo las encontramos, y cmo podemos mitigarlas?
Fuerte comprensin de cdigos maliciosos: Habilidades de ingeniera reversible;
tcticas prcticas, tcnicas y procedimientos de las motivaciones comunes (vase ms
arriba)
Fuerte comprensin de las tcnicas bsicas de visualizacin; especialmente Big
Data.
Fuerte comprensin de tcnicas de inteligencia bsica aplicada a la ciberntica.
Fuerte comprensin de importantes lenguas extranjeras: (Primer Nivel: Chino, ruso,
rabe y coreano- Segundo Nivel: japons, alemn, francs, portugus y espaol).
Recursos de Procesos:
Sistema de gestin y buenas prcticas como las que se detallan:

Que es el ITIL:
Information Technology Infrastructure Library (Biblioteca de
Infraestructura de
Tecnologas de Informacin), frecuentemente abreviada ITIL, es un
marco de trabajo de las mejores prcticas destinadas a facilitar la
entrega de servicios de tecnologas de la informacin (TI) de alta

calidad. ITIL resume un extenso conjunto de procedimientos de gestin

ideados para ayudar a las organizaciones a lograr calidad y eficiencia en
las operaciones de TI. Estos procedimientos son independientes del
proveedor y han sido desarrollados para servir de gua para que abarque
toda infraestructura, desarrollo y operaciones de TI.
Aunque se desarroll durante los aos 1980, ITIL no fue ampliamente
adoptada hasta mediados de los aos 1990. SI es una certificacin. ITIL
se considera a menudo junto con otros marcos de trabajo de mejores
prcticas como la Information Services Procurement Library (ISPL,
Biblioteca de adquisicin de servicios de informacin), la Application
Services Library (ASL, Biblioteca de servicios de aplicativos), el mtodo
de desarrollo de sistemas dinmicos (DSDM, Dynamic Systems
Development Method), el Modelo de Capacidad y Madurez (CMM/CMMI) y
a menudo se relaciona con la gobernanza de tecnologas de la
informacin mediante COBIT (Control Objectives for Information and
related Technology).
ITIL se construye en torno a una vista basada en proceso-modelo del
control y gestin de las operaciones a menudo atribuida a W. Edwards
Deming. Las recomendaciones de ITIL fueron desarrolladas en los aos
1980 por la Central Computer and Telecommunications Agency (CCTA)
del gobierno britnico como respuesta a la creciente dependencia de las
tecnologas de la informacin y al reconocimiento de que sin prcticas
estndar, los contratos de las agencias estatales y del sector privado
creaban independientemente sus propias prcticas de gestin de TI y
duplicaban esfuerzos dentro de sus proyectos TIC, lo que resultaba en
errores comunes y mayores costes.
Uno de los principales beneficios propugnado por los defensores de ITIL
dentro de la
comunidad de TI es que proporciona un vocabulario comn, consistente
en un glosario de trmino precisamente definidos y ampliamente
aceptados.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada
vez ms de las TI para alcanzar sus objetivos corporativos. Esta
dependencia en aumento ha dado como resultado una necesidad
creciente de servicios TI de calidad que se correspondan con los
objetivos del negocio, y que satisfaga los requisitos y las expectativas
del cliente. A travs de los aos, el nfasis pas de estar sobre el
desarrollo de las aplicaciones TI a la gestin de servicios TI.
La aplicacin TI (a veces nombrada como un sistema de informacin)
slo contribuye a

realizar los objetivos corporativos si el sistema est a disposicin de los

usuarios y, en caso de fallos o modificaciones necesarias, es soportado
por mantenimiento y operaciones.
Brindar conocimientos fundamentales de ITIL, lograr familiaridad con los
procesos y temas organizacionales claves relacionados con la
Administracin de Servicios de IT, mostrar el vocabulario estandarizado
para describir los procesos de Administracin de Servicios, lograr un
entendimiento de la relevancia de la Administracin de Servicios en su
Organizacin y preparar el examen ISEB/EXIN Foundation Certificate in IT
Service Management.
QUE ES EL COBIT
(Control Objectives Control Objectives for Information and related Technology) es
el marco aceptado internacionalmente como una buena prctica para el control de
la informacin, TI y los riesgos que conllevan. COBIT se utiliza para implementar el
gobierno de IT y mejorar los controles de IT. Contiene objetivos de control,
directivas de aseguramiento, medidas de desempeo y resultados, factores crticos
de xito y modelos de madurez.
Para ayudar a las organizaciones a satisfacer con xito los desafos de los negocios
actualmente, el IT Governance Institute (ITGI) ha publicado la versin de COBIT
4.1

COBIT es un framework de Gobierno de TI y un conjunto de herramientas de

soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha
entre los requerimientos de control, los aspectos tcnicos y riesgos de negocio.

COBIT hace posible el desarrollo de una poltica clara y las buenas prcticas
para los controles de T.I. a travs de las organizaciones.

COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a

incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la
implementacin de la estructura COBIT.

La ltima versin, COBIT 4.1, enfatiza el cumplimiento normativo, ayuda a las

organizaciones a incrementar el valor de T.I., apoya el alineamiento con el negocio
y simplifica la implantacin de COBIT. Esta versin no invalida el trabajo efectuado
con las versiones anteriores del COBIT, sino que puede ser empleado para mejorar
el trabajo previo.

Cuando importantes actividades son planeadas para iniciativas de Gobierno de T, o

cuando se prev la revisin de la estructura de control de la empresa, es
recomendable empezar con la ms reciente versin de COBIT.

Qu es la norma ISO 9001?

La ISO 9001 es una norma internacional que se aplica a los sistemas de gestin de calidad (SGC) y que se
centra en todos los elementos de administracin de calidad con los que una empresa debe contar para tener
un sistema efectivo que le permita administrar y mejorar la calidad de sus productos o servicios.
Los clientes se inclinan por los proveedores que cuentan con esta acreditacin porque de este modo se
aseguran de que la empresa seleccionada disponga de un buen sistema de gestin de calidad (SGC).
Esta acreditacin demuestra que la organizacin est reconocida por ms de 640.000 empresas en todo el
mundo.
Cada seis meses, un agente de certifcadores realiza una auditora de las empresas registradas con el objeto
de asegurarse el cumplimiento de las condiciones que impone la norma ISO 9001. De este modo, los clientes
de las empresas registradas se libran de las molestias de ocuparse del control de calidad de sus proveedores
y, a su vez, estos proveedores slo deben someterse a una auditora, en vez de a varias de los diferentes
clientes. Los proveedores de todo el mundo deben ceirse a las mismas normas.

SO/IEC 27001 es un estndar para la seguridad de la informacin (Information technology Security techniques - Information security management systems - Requirements) aprobado y
publicado como estndar internacional en octubre de 2005 por International Organization for
Standardization y por la comisin International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema
de gestin de la seguridad de la informacin (SGSI) segn el conocido como Ciclo
de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es
consistente con las mejores prcticas descritas en ISO/IEC 27002, anteriormente conocida
como ISO/IEC 17799, con orgenes en la norma BS 7799-2:2002, desarrollada por la entidad
de normalizacin britnica, la British Standards Institution(BSI).

Serie 27000[editar]
La seguridad de la informacin tiene asignada la serie 27000 dentro de los estndares
ISO/IEC:

ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y vocabulario

a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento ms
claro de la serie y la relacin entre los diferentes documentos que la conforman.

UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de la Informacin

(SGSI). Requisitos. Fecha de la de la versin espaola 29 noviembre de 2007. Es la
norma principal de requisitos de un Sistema de Gestin de Seguridad de la Informacin.
Los SGSIs debern ser certificados por auditores externos a las organizaciones. En su
Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO
27002 (anteriormente denominada ISO 17799).

ISO/IEC 27002: (anteriormente denominada ISO 17799). Gua de buenas prcticas

que describe los objetivos de control y controles recomendables en cuanto a seguridad de
la informacin con 11 dominios, 39 objetivos de control y 133 controles.

ISO/IEC 27003: En fase de desarrollo; probable publicacin en 2009. Contendr una

gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los
requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y
en la serie de documentos publicados por BSI a lo largo de los aos con
recomendaciones y guas de implantacin.

ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas de
medida aplicables para determinar la eficiencia y eficacia de la implantacin de un SGSI y
de los controles relacionados.

ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del
riesgo de la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la
implantacin de un SGSI. Incluye partes de la ISO 13335.

ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditacin
de entidades de auditora y certificacin de sistemas de gestin de seguridad de la
informacin.

Recursos De Infraestructura y Tecnologa.

Videowall y banners electrnicos
Sistema de Aire Acondicionado
Sistema de Respaldo de energa
Sistema contra Incendios
Sistema de Video Vigilancia y CCTV
Sistema de Control de Accesos
Sistemas de Respaldo y Backups
Equipos de Networking (routers, switches, access server, etc.)
Equipos de Seguridad (Firewall, IPS ,Sensores, Analizadores, etc.)
Colectores de trfico, Correlacionadores de eventos, etc.)
Objetivos de un SOC
- Proporcionar soluciones rpidas y eficaces frente a incidentes de
seguridad.
- Mejorar la operacin y tratamiento de la informacin a travs de la
gestin y monitoreo continuo, el anlisis de los LOGs y la respuesta
inmediata a potenciales amenazas de seguridad.
- Ofrecer una visin acertada y confiable de los niveles de seguridad en
tiempo real.
- Garantizar una proteccin efectiva de los activos de informacin,
proporcionando evidencias, tendencias, anlisis y recomendaciones para
incrementar los niveles de seguridad.
- Proteger las inversiones en tecnologa y sobre todo garantizarla
continuidad de las operaciones.
Funciones de un SOC

- Gestin de Riesgos y Vulnerabilidades.

- Gestin de Seguridad de la Informacin (S GS I).
- Gestin Centralizada de Elementos de Seguridad.
- Gestin de Mejoras y Actualizacin.
- Rastreo y Recuperacin de Datos.
- Deteccin de Anomalas y Fallas.
- Operacin de Servicios.
- Operaciones Crticas.
Otros servicios brindados por el SOC
Consultora:
Implementacin de Sistemas de Gestin de Seguridad de la
Informacin
Definicin de la poltica, estructura organizativa, procedimientos,
procesos y recursos necesarios para llevar a cabo la gestin de la
seguridad de la informacin con un enfoque orientado a la consecucin
de los objetivos de la organizacin.
Planes de Contingencia Informtica
Prevencin y proteccin de la disponibilidad de los s is temas de
informacin, recursos y procesos crticos de la empresa frente a
amenazas que pudieran afectar a la continuidad del negocio.
Servicio Antifraude
Prevencin, proteccin y eliminacin de los riegos asociados con los
fraudes informticos (Phishing, Pharming, etc. )
Formacin
Cursos y Talleres
Cursos y Talleres que abarcan temas especficos dentro del campo de la
Seguridad
Informtica y cuyo objetivo es brindar capacitacin tcnica adems de
difundir la
toma de conciencia de la Seguridad Informtica.
Evaluaciones Tcnicas

 Seguridad Wireless
Analiza los riesgos de acceso ilegal a la infraestructura wireless de la
empresa, detecta sus vulnerabilidades e implanta una solucin para
asegurarla.
Seguridad Interna
Anlisis y Proteccin contra los riesgos procedentes de empleados
capaces de violar la seguridad de los sistemas de informacin de la
empresa.
Anlisis Forense
Anlisis detallado de escenarios resultado de acciones no autorizadas
que se producen en los sistemas de informacin de la empresa,
identificacin el autor, las causas y el mtodo empleado, implantacin
de medidas correctivas.
Test de Intrusin
Deteccin del nivel de Seguridad Interna y Externa de los Sistemas de
Informacin de la empresa, determinando el grado de acceso que
tendra un atacante con intenciones maliciosas.
ETAPA DE RESPUESTA A INCICENTES:

PREPARACION:

IDENTIFICACION:

CLASIFICIACION:

RASTREA:
REACCION:

POST INCIDENTE

2360-2953 al 63

Bajo el nombre de SOC se albergan un conjunto de servicios entre los

que podemos encontrar la administracin y supervisin de forma remota
de los siguientes elementos entre otros:

Servidores

Firewalls

Firewall de aplicaciones

Control de acceso a la red

Antivirus

Firewall de Base de Datos

Firewall de correo electrnico

Sistemas Anti-Spam

Sistemas de Deteccin de Intrusiones (IDS)

Trfico de red

Ancho de banda

Copias de Seguridad

VER ESTA DIRECCION

http://es.scribd.com/doc/59898020/Conceptos-basicos-para-laimplementacion-de-un- SOC#scribd

https://seguinfo.wordpress.com/2008/12/03/%C2%BFque-es-itil-2/