Descrito de manera sencilla, un Centro de Operaciones Seguras (Security Operations Center, SOC) es un equipo interno o externo de profesionales de ciberseguridad. Se enfoca en monitorear la infraestructura de TIC de una organización, las 24 horas del día, los siete días de la semana. Su tarea consiste en detectar en tiempo real los eventos de ciberseguridad y abordarlos de la manera más rápida y efectiva posible.
La pertinencia de un Centro de Operaciones Seguras queda en relieve ante los importantes desafíos de ciberseguridad que enfrenta hoy la industria de la salud. Entre otros, se cuenta el gran volumen de alertas de ciberamenazas que resultan en falsos positivos. Eso se complica por la falta de visibilidad de todos los dispositivos conectados a las redes, incluidos los entornos en la nube. Para rematar, el personal de TIC suele tener una carga excesiva de trabajo por la administración manual de numerosas herramientas ubicadas en silos.
Seguridad on premise y en la nube
Entre las herramientas que potencian el alcance de los SOC se cuenta Cortex XSIAM, de Palo Alto Networks. Consiste en una plataforma autónoma que optimiza el uso de datos, su análisis y la automatización de las operaciones de seguridad empresarial. Funciona tanto para servicios on premise como en la nube.
A principios de 2022, la herramienta fue puesta disposición de los miembros del Programa de Socios de Diseño de XSIAM, que incluye a la vertical de salud, entre otras. La plataforma se basa en el uso de la inteligencia artificial y la automatización.
La respuesta a la plataforma ha sido positiva. Los socios de diseño informaron de forma constante una mejor visibilidad, menos incidentes, menos falsos positivos y un tiempo medio de respuesta reducido. En promedio, un Centro de Operaciones Seguras con Cortex XSIAM detecta las amenazas en 10 segundos y responde a las prioritarias en un minuto. Gracias a la plataforma, se reduce el 80% en las alertas que los analistas del Centro de Operaciones Seguras deben analizar.
Centro de Operaciones Seguras de próxima generación
A decir de Lee Klarich, director de productos de Palo Alto Network, su plataforma crea «un SOC autónomo, capaz de responder a las amenazas en una fracción del tiempo que toma hoy. Así, los analistas pueden concentrarse en los incidentes de mayor prioridad». De hecho, la firma opera su propio SOC en Cortex XSIAM. En él se procesan más de un billón de eventos por mes, la mayoría de ellos solventados automáticamente.
La plataforma puede recopilar e integrar la telemetría empleada por las soluciones de SIEM (Security Information and Event Management). Ello facilita la transición de las implementaciones heredadas hacia un Centro de Operaciones Seguras autónomo y de próxima generación.