Revista trendTIC Edición N°12
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
ESPECIAL<br />
Un SOC<br />
para el nuevo<br />
panorama de<br />
amenazas<br />
Por Juan Pablo Beltrán<br />
Gerente Cyberseguridad Cybertrust Center<br />
Las empresas exitosas necesitan innovar,<br />
crecer y ser sustentables en el<br />
tiempo. Para ello, una adecuada preparación,<br />
protección, detección, respuesta<br />
y recuperación ante el nuevo panorama<br />
de amenazas de ciberseguridad<br />
es clave.<br />
La amplia gama de aspectos a considerar<br />
en la ciberseguridad hace necesaria<br />
una estrecha relación de la estrategia<br />
de ciberseguridad y los procesos empresariales<br />
hacen que la tarea de diseñar<br />
y gestionar un Centro de Operaciones<br />
de Seguridad (SOC por sus siglas<br />
en inglés) como un ejemplo paradigmático<br />
de un proceso integral, aplicado<br />
y holístico.<br />
Varios estudios nos señalan que para<br />
el año 2020, el 50% de las operaciones<br />
de seguridad se realizarán a través de<br />
un SOC. Un SOC no es una tecnología<br />
en específico, sino que es una progresión<br />
de madurez y de distintas capacidades<br />
dentro de una organización.<br />
Un SOC es un organismo altamente<br />
calificado cuya misión principal es monitorear<br />
y mejorar continuamente las<br />
capacidades de ciberseguridad de una<br />
organización previniendo, monitoreando,<br />
detectando, analizando y respondiendo<br />
a incidentes de seguridad en<br />
base a tecnologías innovadoras, personal<br />
capacitado y procesos bien definidos.<br />
El desafío de contar y establecer un<br />
SOC en las organizaciones no es menor.<br />
Habitualmente nos encontramos<br />
con una oferta variada de proveedores<br />
de servicios de seguridad orientados a<br />
una operación hibrida entre SOC y NOC<br />
junto a una administración de servicios<br />
de seguridad, lo que suele no ser suficiente<br />
en el nuevo panorama de amenazas.<br />
En mi visión, un SOC debe tener dedicación<br />
exclusiva a la seguridad, a<br />
través de la entrega de una serie de<br />
servicios preventivos, reactivos y de<br />
aseguramiento de la calidad de gestión<br />
en ciberseguridad. El SOC es parte integral<br />
del (Equipo de Respuesta a Incidentes<br />
de Seguridad) CSIRT y debe<br />
colaborar estrechamente aprovechando<br />
todas las herramientas y procedimientos<br />
disponibles desde la detección<br />
de un incidente hasta el cierre del caso.<br />
El desafío no es menor para lograr llevar<br />
a cabo esta misión y requiere ciertos<br />
componentes a considerar:<br />
• Una planificación y diseño cuidadoso,<br />
desde contar con el “facilities” necesario<br />
incluyendo una sala de operaciones,<br />
una “sala de guerra” y oficinas de los<br />
supervisores necesarios para soportar<br />
una operación 24x7 los 365 días del<br />
año.<br />
• Personal altamente calificado con un<br />
set de skills, certificaciones, experiencia<br />
y conocimientos necesarios del ac-<br />
tual panorama de amenazas siempre<br />
con una vista de equipo de trabajo integral.<br />
Desde el liderazgo, analistas de<br />
seguridad, roles de ingeniería y soporte<br />
conviven en un ecosistema de tensión<br />
constante donde la selección adecuada<br />
de profesionales es clave.<br />
• Un set de tecnologías de vanguardia,<br />
herramientas propietarias y desarrollos<br />
a la medida en función del entorno tecnológico<br />
de la organización que permite<br />
analizar los flujos de datos, telemetría,<br />
captura de paquetes, syslog y varios<br />
tipos de eventos que deben ser recopilados,<br />
correlacionados y analizados<br />
desde una perspectiva de seguridad.<br />
• Finalmente, y uno de los componentes<br />
más importantes, es contar con<br />
un marco de gobernabilidad, roles y<br />
responsabilidades, procesos y procedimientos<br />
SOC bien definidos y documentados<br />
permitiendo así gobernar,<br />
gestionar, normar y entregar un modelo<br />
operacional medible de acuerdo a los<br />
objetivos y necesidades de seguridad<br />
del negocio.<br />
Construir y operar un SOC es una misión<br />
muy exigente, en la cual el uso de<br />
buenas prácticas, marcos metodológicos<br />
y estándares de seguridad pueden<br />
resultar muy útiles (por ejemplo: NISF<br />
CSF, ITILv3 y COBIT 5.0) y otros podrían<br />
ser obligatorios de cumplir (por<br />
ejemplo: PCI DSS e ISO / IEC 27001:<br />
2013).<br />
De acuerdo a diversos estudios, el sector<br />
Salud, debe ser una de las industrias<br />
más atacas por los ciberdelicuentes.<br />
Con el aumento de los registros clínicos<br />
digitales, los datos privados de cada<br />
persona que es atendida en los sistemas<br />
de salud, se ha converitido desde<br />
hace algunos años, en un blanco predilecto<br />
de los ciberdelincuentes.<br />
El robo de información de los pacientes<br />
en los sitemas de salud, no sólo sustrae<br />
antecedentes médicos, es frecuente<br />
que también incluya, dirección, teléfonos<br />
de contacto y una diversidad de<br />
datos personales sensibles, que puede<br />
ser utilizada por delincuentes para tener<br />
acceso a cuentas bancarias, robar<br />
identidades u obtener recetas médicas<br />
de manera ilegal.<br />
Como señala Rodrigo López, gerente<br />
salud y gobierno de Seidor: “Hoy la<br />
información ha pasado a ser el activo<br />
principal de las organizaciones, por varias<br />
razones, pero en el caso de las organizaciones<br />
de salud, la información<br />
La importancia de la<br />
Ciberseguridad en<br />
SALUD<br />
de sus pacientes es la médula de sus<br />
servicios, la historia clínica no es solamente<br />
información central, sino que<br />
además es personal y reservada de los<br />
pacientes, entonces se transforma en<br />
un bien a preservar, proteger y resguardar.<br />
Esto resulta ser una realidad y necesidad<br />
que se sobre entiende básica de<br />
cualquier sistema de información de salud.<br />
Por lo tanto, las políticas de seguridad<br />
de la información tienen que ser<br />
parte de la documentación y presentación<br />
de cualquier software del ámbito<br />
clínico, y sobre todo si es un software<br />
que interopera con otros y se expone<br />
a redes públicas o privadas. Por ello, la<br />
implementación de estándares de seguridad<br />
y de controles de calidad y certificaciones<br />
es mandatorio en las instituciones<br />
y debe ser parte de cualquier<br />
acreditación que se desee adquirir.”<br />
Los ciberdelincuentes siempre buscarán<br />
el eslabón más débil para acceder a<br />
la información, por lo que la existencia<br />
de muchos actores en la Salud, hacen<br />
que existan una gran variedad de flancos<br />
por lo cual exista la posibilidad de<br />
ataque.<br />
Aquí es donde no basta con que una<br />
institución o un proveedor tome todas<br />
las medidas de seguridad posibles,<br />
como lo destaca, Diego Battista, security<br />
servirces leader de IBM: “Si un<br />
tercero no utiliza las medidas de seguridad,<br />
que la misma prestadora de<br />
salud pudiese tener, este proveedor<br />
se convierte en el eslabón más débil,<br />
entonces por ahí es donde están aprovechando<br />
los ciberdelincuentes para<br />
entrar a las instituciones de salud y<br />
así lo demuestran varios casos a nivel<br />
mundial que han sucedido”<br />
Ya no hay discusión sobre la importancia<br />
de la seguridad de la información y<br />
por ende, la necesidad de tomar acciones<br />
en beneficio de la ciberseguridad.<br />
Reflejo de lo anterior, son las recomendaciones<br />
que la Asociación Médica<br />
del Mundo (AMM), posterior a su 67ª<br />
asamblea general realizada en Taiwán<br />
en octubre 2016. Recomendaciones<br />
26 www.<strong>trendTIC</strong>.cl<br />
Julio - Agosto 2017 Julio - Agosto 2017 27<br />
www.<strong>trendTIC</strong>.cl