S egún el “Informe Verizon sobre Brechas de Datos”, ya en 2021 el 85% de las brechas de datos registró un tiempo de detección de semanas o más, dejando en evidencia la necesidad de una detección y respuesta más rápidas y de contar para esto con una solución de seguridad efectiva, como las que brindan los SOC. Un SOC (del inglés “Security Operations Center”, Centro de Operaciones de Ciberseguridad) se encarga de monitorear, detectar y responder a incidentes de este tipo en una organización, protegiendo sus sistemas y datos contra posibles amenazas y vulnerabilidades.
Cerca de 2005, Gartner comenzó a usar este concepto, asociado a las plataformas SIEM (“Security Information and Event Management”), aunque de forma mucho más acotada que el concepto actual. Para Víctor Barrera, Subgerente de Riesgo y Seguridad de S&A Consultores, su evolución ha sido algo natural, por que las amenazas lo han ido demandando. “Antes se requerían menos recursos desde el punto de vista de procesos, personas y tecnología, y en la práctica esto ha ido cambiando, así como el concepto de riesgo, que antes era solo perimetral”, explica.
A juicio de Hiram Walker, Senior Cloud Architect de Axity, lo anterior se refleja en cómo la ciberseguridad se ha enfocado en las plataformas SCADA y dispositivos que se usan en el ámbito industrial, todos ellos muy importantes porque estos actúan sobre los sistemas que manejan, por ejemplo, la distribución de energía eléctrica o de gas de una ciudad, por lo que cualquier cambio no autorizado impacta directamente en los ciudadanos.
Un escenario distinto
Hoy los SOC se enfrentan a una realidad muy distinta a la planteada por Gartner en 2005, en que, con un perímetro ampliado y amenazas en constante evolución, se ha ido masificando la necesidad por este tipo de servicios para enfrentar la ciberseguridad como un reto que afecta a todas las empresas y sectores.
Víctor Barrera, S&A. Hiram Walker, AXITY. Ariana Jaimes, UBIQUO. Eduardo Bouillet, ENTEL. Mauricio Espinoza, METABASE Q. Carlos Jaureche, INSSIDE. Manuel Gaete, KC LATAM. Miguel Satzger, BASE4 SECURITY.
“Actualmente los clientes cuentan con una infraestructura donde conviven diversos activos, cloud u onpremise, los que generan eventos de seguridad en gran volumen y, para un ser humano, es imposible verlos todos. Sin embargo, un SOC permite monitorearlos 24×7, a través de la correlación de eventos que agrega esa capa de Inteligencia, detectar la actividad maliciosa y avisar de forma eficiente sobre esta, entregando una visibilidad de 360° sobre qué está corriendo en mi infraestructura”, explica Ariana Jaimes, Managed Security Service Manager de Ubiquo.
A juicio de Eduardo Bouillet, Director del Centro de Ciberinteligencia de Entel, “hoy lo que pide el cliente no es sólo una persona mirando ‘logs’ en una pantalla, sino que el ‘paquete’ completo: que se esté detectando actividad maliciosa, tener especialistas detrás y que se responda oportunamente si hay un incidente. Se debe pensar en términos de amenazas, por ejemplo, qué pasa con mi organización en la Deep Web, si hay algún dato expuesto, etc., y eso escapa totalmente al monitoreo de una plataforma tipo SIEM, que es un concepto acotado a una tecnología”.
Agrega que “el concepto de SOC moderno tiene que ir de principio a fin; no gano nada con decir que tengo un incidente, sino cómo lo resuelvo, cómo avanzo y lo freno. Y aquí entran otros conceptos como, por ejemplo, el riesgo reputacional, y de qué forma ayudo al cliente no solo en lo técnico, también de cara a alguna necesidad de cumplimiento o a sus propios clientes”.
Para Mauricio Espinoza, Director Comercial de Metabase Q, es clave considerar el concepto de SOC como una “triada”: Personas, Procesos y Tecnología. “Automatizamos todo un 90%, para hacerlo más ágil, porque existe un ‘delay’ desde el punto de vista de nuestro actuar como humanos. Y para eso incorporamos mucha gente en el área de desarrollo que permita ir adaptándose”, señala.
Asimismo, es fundamental incorporar seguridad desde el inicio en el código de las aplicaciones, así se mitiga mucho más el riesgo, advierte el ejecutivo de Axity, quien enfatiza que “sin embargo, lo más importante es tener la conciencia de los arquitectos de desarrollo e implementadores de ciberseguridad, de cómo aplicar las mejores técnicas para los clientes y a un bajo costo que permita hacer más con menos”.
En la evolución del SOC también ha ido tomando un rol importante la prevención. “Estos centros tienen la responsabilidad de ir apoyando al cliente. Es difícil que las organizaciones logren establecer equipos preparados para responder ante un evento de seguridad, hay escasez en este sentido y mucha rotación. Muchos clientes no tienen la experiencia de cómo enfrentar la seguridad, y requieren ese apoyo previo y posterior”, advierte el profesional de S&A Consultores. Añade que ha ido cambiando el concepto de riesgo: “Tenemos que estar mirando dentro de la organización porque las brechas de seguridad permiten que los incidentes se produzcan de diferentes formas y por distintos frentes. Hoy estamos monitoreando más integralmente servidores, base de datos y elementos de seguridad internos que ante se omitían y la tendencia claramente es buscar la proactividad, que no es fácil”.
¿Qué tipo de empresas requiere servicios SOC?
Para Carlos Jaureche, Gerente Comercial de Insside, la respuesta es clara: es un requerimiento transversal, pues todos están afectados por retos a la ciberseguridad. Ahora, en cuanto al tamaño de empresas que contratan los servicios SOC, advierte que estas deben tener un nivel de madurez para que reconozcan el valor que les aportará el SOC y en virtud de eso invertir. Todos coinciden en que durante la pandemia se aceleró esta necesidad por la seguridad. “Vimos que muchas empresas, de diferente envergadura, tenían el área de Networking y Comunicaciones fusionada con Seguridad y no le daban un foco importante a esta última. Con la llegada del COVID-19, todo comenzó a ser virtual, por lo que hubo mayor exposición y creció el número de ataques, se generó esa conciencia de crear áreas especializadas de Seguridad y ahí surge la necesidad de contratar servicios de SOC”, explica la ejecutiva de Ubiquo. De esta manera, a su juicio, cualquier empresa con foco en seguridad y ya concientizada es tendiente a contratar SOC.
Según añade Hiram Walker, “sectores como Banca, Retail, Educación y Salud, son algunos de los que contratan este tipo de servicios, pero en realidad es un requerimiento transversal y no solo se limita a grandes empresas, ya que muchas necesitan garantizar niveles de seguridad en la nube para poder vender más rápido”.
Además, las organizaciones hoy están más conscientes de su exposición al riesgo debido a los distintos incidentes ocurridos y conocidos en el mercado nacional. Según detalla Manuel Gaete, Country Manager Chile en KC Latam, la exposición de datos en Chile ha aumentado de 21% a 53%, cifra que da cuenta de la necesidad de mejorar la seguridad corporativa y de adoptar estrategias reactivas y proactivas.
En todo caso, se coincide en que el mercado se ha “movido” con los hechos reales. Antes, las organizaciones y la gerencia tenían poca conciencia y siempre buscaban bajar costos en lugar de aumentarlos para mejorar la ciberseguridad, y efectivamente cuando ocurren estos grandes eventos, que no solo afectan a las grandes empresas (se han visto casos de compañías muy pequeñas víctimas de ransomware), las organizaciones buscan servicios SOC.
¿Qué necesita y busca el cliente?
Para los especialistas asistentes a esta mesa de trabajo, es claro que cada cliente es una realidad distinta y el SOC tiene que ajustarse a eso. Más allá de que existan casos de uso estándares que se pueden replicar, hay un componente propio de cada organización que se debe incluir.
En opinión del ejecutivo de Insside, lo primero es entender el negocio del cliente para saber dónde está el riesgo. “Dependiendo de esto y del sector en que actúe, enfocarse en dos aspectos: tecnología, ver qué activos monitorear; y servicios, que van muy de la mano con la madurez del cliente”, indica. “Por el lado de la tecnología, se trata de plataformas que tienen Inteligencia Artificial y Machine Learning, pero que necesitan mucho ajuste y parametrización. Es fundamental trabajar en los casos de uso generales y específicos del cliente, ya que hay que hacer ajustes para que efectivamente lo que se está detectando sea crítico para este”.
Para brindar servicios SOC adecuados, el equipo técnico debe también entender cómo funciona la estructura operativa del cliente. “A nivel de infraestructura y activos, es necesario preguntarle qué golpea más su negocio en caso de una eventual falla, para dar prioridad a eso”, agrega Ariana Jaimes.
“El SOC no es una plataforma automática que se instala y se olvida; es esencial la correlación de eventos y eso depende de la parametrización, de que las alertas realmente se enfoquen en el riesgo del cliente; de lo contrario, no tiene sentido. El SOC requiere de la colaboración del cliente para llegar a tener el nivel de alertas que efectivamente le sumen valor”, detalla Víctor Barrera.
De acuerdo al profesional de Entel, “hay que entender también los ciclos de negocio del cliente, que son distintos y eso requiere tiempo y dedicación”.
Y la forma de entregar el servicio, es decir, lo que ve el cliente, también cambia, pues estos quieren una mirada simple e instantánea, no un montón de indicadores muchas veces incomprensibles. “Muchos clientes esperan sólo un dashboard, una ventana que les entregue una vista de 360° de qué está pasando con sus bases de datos, servidores, aplicaciones nativas, etc. Esperan que la seguridad prácticamente sea invisible, que esté automatizada y exista un mayor control”, indica el ejecutivo de Metabase Q.
De acuerdo a Miguel Satzger, Head of Sales America en Base4 Security, los clientes muchas veces se quejan de que los proveedores les envían un montón de alertas que no les sirven y no saben qué hacer con eso. En ese sentido, el ejecutivo cree que, por lo general, las empresas requieren un dashboard sencillo que realmente les sirva, en el que puedan monitorear qué está haciendo el proveedor (por ejemplo, mostrando cuántos eventos y casos de uso está sacando), en tiempo real. “Por otro lado, también demandan un ‘playbook’ donde se detalle el caso de uso, es decir, el ‘paso a paso’ que tienen que seguir, así como el análisis y el contexto de ese ataque, que finalmente es lo que termina haciendo que cada una de las alertas sea crítica y realmente útil al cliente”, asevera.
RR.HH. en escasez
Ya en 2020, se estimaba que el mercado chileno tenía una escasez de al menos 5.000 profesionales expertos en ciberseguridad y que solo el 22% de las empresas contaba con este tipo de RR.HH. Situación que, a juicio de los ejecutivos presentes en esta mesa de trabajo, se ha agravado con el tiempo: no sólo continúa la escasez de recursos especializados, sino que los que hay, son costosos.
En este sentido, uno de los grandes desafíos para construir el SOC es armar el llamado “nivel 1”, porque es uno de los que tiene mayor rotación de personal, por los diferentes horarios y perfiles “junior” (generalmente) que requiere. Por eso, la profesional de Ubiquo recomienda apostar por talentos nuevos que tienen pasión por la ciberseguridad y darles la oportunidad.
Al respecto, Mauricio Espinoza sostiene que, en adelante, estos perfiles vinculados a ciberseguridad serán de distintas disciplinas, como psicólogos y sociólogos, quienes pueden meterse en la mente del delincuente y representan un aporte distinto. Asimismo, según Eduardo Bouillet, es importante potenciar certificaciones que son reconocidas en el mercado para que, de acuerdo al nivel de cumplimiento, los profesionales pueden ir creciendo en su formación, hacer carrera y proyectarse, lo que ayuda a la retención del talento.
No obstante, el ejecutivo de KC Latam advierte que hoy no se requiere la misma cantidad de personas en el SOC que años atrás, gracias a la automatización que permite una respuesta más automática.
Además, si bien antes no había una carrera para preparar a personas en esta área, por lo que la mayoría de la gente que trabaja en este mercado proviene del mundo de la Informática y el Networking, varias universidades hoy en día están impartiendo carreras de ingeniería en seguridad, lo que puede ayudar a aliviar la presión sobre la demanda actual de personas capacitadas. Quienes hoy trabajan en este mercado, según explica el profesional de S&A Consultores, “son principalmente personas con un perfil técnico que aprendieron a través de empresas de servicios de seguridad, por lo que tienen experiencia en la configuración de dispositivos. Y a medida que la demanda de personas con especialización ha aumentado, algunas han evolucionado y tomado cursos para mejorar su comprensión del riesgo, el análisis y la seguridad en general. Sin embargo, cuesta encontrar gente que ha desarrollado esta competencia y también mantener ese talento”, indica.
¿Commodity?
Aunque ciertas tecnologías y partes del servicio SOC son hoy un commodity, este mercado aún mantiene una diferenciación que depende de cada proveedor y el valor que apuesta por ofrecer.
“Definitivamente para los clientes que no logran identificar qué servicios requieren, el SOC puede ser lo mismo independientemente del proveedor, pero otros sí diferencian y valoran una serie de características y funcionalidades adicionales. Ahí es donde se marca la diferenciación”, explica Manuel Gaete.
Para Ariana Jaimes, la distinción también es clara: depende de los “features” que tiene cada SOC y el roadmap al que está dispuesto a evolucionar. “Por ejemplo, si hace ‘Threat hunting’ (detección y respuestas a APT) o servicio de respuesta ante incidentes, o si tiene gerencia de desarrollo, que permite automatizar y prescindir de esa cantidad de manos especializadas que hoy no sobra”, indica.
Sobre esta idea, Carlos Jaureche agrega que “hay clientes que pueden tener plataformas SIEM, pero la personalización es el servicio de valor que como proveedores otorgamos sobre eso y es lo que nos da la diferenciación”.
Para el ejecutivo de Entel, es importante ser más disruptivos cuando hablamos de SOC, apuntando a un servicio end-to-end, y dejar de ofrecer módulos de inteligencia, respuesta ante incidentes, etc., sino que entregar el panorama completo. “Ahí empezaremos a cambiar el modelo de este negocio, al proponer, independientemente de la tecnología, visibilidad, detección, análisis, hunting, etc., y acompañamiento en los distintos procesos del cliente”.
Ahora, en términos de tecnología, si bien la mayoría puede indicar que esta podría transformarse en un commodity, hay distinciones en las capacidades de las soluciones y eso, para Víctor Barrera, también marca una diferenciación y hará que con la tecnología adecuada el servicio sea más potente. Lo mismo que el recurso humano, si está capacitado o no incidirá en el nivel de servicio.
A medida que las amenazas continúan creciendo, la demanda por estos servicios seguirá aumentando; al mismo tiempo que los avances que pueda haber en regulación impulsarán también este camino. Las empresas, por su parte, deben estar preparadas para invertir en la seguridad de sus activos y confiar en los expertos en SOC para brindarles la protección que necesitan.
