La madurez de un Centro de Operaciones (SOC) es crucial para determinar la efectividad y precisión a la hora de responder a los incidentes de ciberseguridad. Antes de dar respuesta a nuestra pregunta, debemos plantearnos cuáles son los beneficios de realizar dicho análisis ya que es necesario invertir recursos en la evaluación, proyección y seguimiento hasta conseguir el punto objetivo.
En este sentido, podemos hablar de:
- Optimización de recursos en tanto que el estudio se centra en las personas, procesos, tecnología y servicios, permitiendo identificar ineficiencias. Por ejemplo, un SOC en niveles bajos de madurez puede depender excesivamente de la intervención manual, lo que aumenta el riesgo de errores humanos y ralentiza la respuesta a incidentes.
Ligado a ello, y como resultado de la evaluación, puede existir una reducción de los costes debido a inoperancias en la gestión de incidentes o tecnologías utilizadas. Además, y al igual que ocurre en el resto de los servicios y procesos, a medida que se avanza en madurez, estos se vuelven más eficientes, lo que revierte en una reducción de recursos, si bien para ello es imprescindible mantener un equipo estable y un programa de formación paulatino para las nuevas incorporaciones.
- Mejora de la capacidad de respuesta. Cuanto más altos sean los niveles de madurez (optimización de procesos, tecnologías y habilidades del equipo), mayor será la capacidad del SOC para gestionar incidentes complejos y multivectoriales.
Ejemplo de ello lo observamos con la documentación y estandarización de procesos en la que en los niveles más bajos de madurez los incidentes se gestionan de forma individual, mientras que la formalización dota de consistencia a la detección, la respuesta y la mitigación
- Estrategia de crecimiento y escalabilidad. A medida que la organización crece o cambia, el SOC también debe evolucionar para gestionar nuevas amenazas y soportar mayores volúmenes de datos. Conocer y gestionar su capacidad y demanda permite mejorar el alineamiento a las necesidades empresariales.
- Cumplimiento normativo. Puesto que un SOC no deja de ser un servicio cuyo alcance afecta a varios estándares (como la ISO 27001) y cuerpos legislativos (RGPD), se requieren procesos definidos y auditables.
Una vez tenemos claros los beneficios, pasamos a la selección metodológica más adecuada en función del objetivo. Si lo que buscamos es evaluar, no sólo las capacidades técnicas, sino también las organizativas, sería conveniente utilizar SOC Capability Maturity Model. Por otro lado, si queremos centrarnos en el desarrollo operativo, tenemos el marco de madurez de SANS; mientras que si lo que necesitamos es controlar el nivel técnico de detección y respuesta, buscando un equipo más proactivo, MITRE es nuestro aliado, si bien es más complejo y requiere de un equipo con experiencia puesto que no tiene niveles de madurez como tal, sino que se basa en la cobertura de las TTP (Técnicas, Tácticas y Procedimientos).
Ahora bien, y aun cuando son marcos diferentes, todo análisis debe pasar por una evaluación inicial en la que se identifique el estado actual del SOC a través de entrevistas, revisiones de documentación y auditorías de sistemas, la definición de objetivos respecto al nivel de madurez deseable, el desarrollo de un plan de acción para el gap y la monitorización continua mediante evaluaciones periódicas.
En definitiva, analizar la madurez de un SOC es, no sólo posible, sino esencial para garantizar que una organización esté adecuadamente protegida contra las amenazas cibernéticas.
