lunes, 11 de mayo de 2009

SOC, ventajas e inconvenientes

Los SOC (Security Operation Centers) son un servicio de moda, cada vez son más las empresas que se deciden por esta solución externalizando la seguridad lógica de la organización pero... ¿proporcionan estos servicios lo que la organización necesita?.

¿Que es un SOC?

No voy a entrar en cómo opera un SOC a bajo nivel pero sobre esto podeis leer un artículo aquí. Lo que si os recomiendo para aquellos que no tengan una idea clara de lo que es un soc es que le echen un vistazo al siguiente video:







Bajo el nombre de SOC se albergan un conjunto de servicios entre los que podemos encontrar la administración y supervisión de forma remota de los siguientes elementos entre otros:
  • Servidores
  • Firewalls
  • Firewall de aplicaciones
  • Control de acceso a la red
  • Antivirus
  • Firewall de Base de Datos
  • Firewall de correo electrónico
  • Sistemas Anti-Spam
  • Sistemas de Detección de Intrusiones (IDS)
  • Tráfico de red
  • Ancho de banda
  • Copias de Seguridad
Algunos de sus aspectos positivos

Son muchas las virtudes que se pueden destacar y que pueden decantar a una empresa por la contratación de uno de estos servicios. Entre sus puntos fuertes podemos encontrar:
  1. La especialización del personal: siempre que se externaliza un servicio se obtiene un beneficio directo proveniente del conocimiento del personal que realiza la tarea externalizada.
  2. Servicio 24/7: estaríamos contratando un servicio que respondería las 24 horas del día durante los 7 días de la semana, hecho que resulta de especial relevancia para aquellas empresas cuya disponibilidad de sus sitemas es punto clave en su desempeño. Además hay que tener en cuenta que un servicio expuesto a internet no entiende de horarios por lo que un incidente de seguridad puede surgir en cualquier momento.
  3. Relación Coste/Resultado: estos servicios permiten tener a disposición de la organización a un equipo de expertos en seguridad informática por un precio muy inferior a lo que costaría mantenerlos a nivel interno.
  4. Velocidad de Respuesta: Derivado del punto 2, las vulnerabilidades pueden ser subsanadas en un periodo de tiempo muy corto minimizando la ventana de exposición. Aquí se debería distinguir entre medidas preventivas y correctivas, sobre todo cuando se opere con sistemas que se encuentran dentro del entorno de producción. Por poner un ejemplo, la aplicación de un parche a un servidor con el objeto de subsanar una vulnerabilidad puede tener consecuencias inesperadas en el sistema. Es aconsejable que los parches se prueben de forma que no se introduzcan directamente al entorno de producción por lo que es conveniente que entre la organización y el SOC queden claros cuáles deben ser los protocolos de actuación ante el compromiso de uno de sus sistemas.
Cuidado, la seguridad lógica ya no nos pertence...

A la hora de externalizar la seguridad lógica de la empresa se deben tener en cuenta ciertas consideraciones de las cuales ya expuse algunas en el blog de Joseba Enjuto. A la hora de externalizar este servicio se debe tener en cuenta lo siguiente:
  1. Es una solución a la parte de seguriad lógica: No debe perderse de vista que lo que se debe proteger es aquello que es más valioso para la organización. Estos servicios pueden crear la "ilusion" de seguridad mientras la puerta de atrás de la empresa está abierta 24/7. En ningún caso es una solución global puesto que aquello a lo que cada organización debe prestar especial atención debe venir dado por los objetivos de negocio de la organización y aquellos elementos que resulten determinantes tras el análisis de riesgos.
  2. Intrusividad: Algunos de estos servicios pueden no ser recomendables dependiendo de cómo de crítica sea la información que se maneje. Hay que tener en cuenta que algunos de los sensores que se instalan en los sistemas capturan llamadas al sistema con el objeto de crear un perfil de comportamiento del sistema y poder reportar cualquier anomalía que pueda surgir en el funcionamiento del mismo.
  3. La regulación contractual: Ojo porque estamos externalizando la seguridad lógica de la empresa y a nivel contractual esto debe quedar bien amarrado, en caso de duda no estaría demás recurrir a un tercero independiente no vinculado con el SOC con conocimientos legales para que analice las cláusulas del contrato y asegure la correcta inclusión de obligaciones y responsabilidades por su parte.
  4. El tercero que hace seguimiento de los terceros: El seguimiento de los terceros con el objetivo de verificar si éstos cumplen con los acuerdos firmados se enrevesa especialmente con este tipo de servicios que pueden ofrecer monitorización de los terceros de la organización, por ejemplo los ISP. Ahora bien, desde el punto de vista de la organización, el SOC es un tercero, ¿se monitoriza el SOC a si mismo?, si esto fuera así, ¿constituye una fuente fiable?, independiente desde luego no.
Conclusiones

Los SOCs pueden ser un arma de doble filo si se venden o se entienden como una solución global y se tratan de desvincular de un Sistema de Gestión de Seguridad de la Información. La Seguridad Lógica si bien es un aspecto clave de los SGSI, así se refleja en la norma ISO 27001, no es el único aspecto a proteger.

Un SOC bien entendido puede ser altamente favorable en ciertas situaciones dadas sus innumerables ventajas, con una evaluación de aquello que es necesario contratar y para qué elementos a partir de los resultados del análisis de riesgos. Contratando estos servicios la empresa podría recibir informes detallados del estado de su seguridad lógica evitando contratar personal especializado y en ocasiones, dependiendo de la infraestructura existente y la necesaria, con importantes ahorros de costes.

Salu2!

No hay comentarios: