Red Nacional de SOC: colaboración para combatir el cibercrimen

El Centro Criptográfico Nacional (CCN) comenzó a desplegar el año pasado la Red Nacional de Centros de Operaciones de Ciberseguridad (SOC, por sus siglas en inglés), con el fin de la facilitar la colaboración y el intercambio de información entre los SOC del sector público y entre éstos y los proveedores tecnológicos, mejorando así las capacidades de defensa, detección y respuesta a posibles ciberincidentes.

La puesta en marcha de esta red responde a la Estrategia de Ciberseguridad para la Década Digital de la UE (2020), que señala la necesidad de crear una red europea de SOC que permita mejorar la detección de ciberamenazas. De este modo, la Red Nacional de SOC no sólo coordina el intercambio de información entre los SOC nacionales, sino que también actúa como nexo de unión entre los diferentes SOC europeos.

Los SOC juegan un papel central en la ciberseguridad. “El incremento de los ciberataques que están sufriendo las empresas en todo el mundo supone grandes riesgos para su competitividad, viabilidad económica y reputación corporativa. Es una prioridad contar con un servicio que les ayude a prevenir, monitorizar, vigilar y dar respuesta a los incidentes que se produzcan. Es aquí donde entran en juego los SOC”, afirma Ricardo Sanz, director de la unidad de negocio de Ciberseguridad de Evolutio.

“Gracias a los SOC, las organizaciones pueden beneficiarse de un mayor servicio de protección, con detección de incidentes de seguridad mejorados, y de la monitorización y el análisis continuo de la actividad de los datos, 24×7. Estas características permiten identificar amenazas o movimientos sospechosos de manera proactiva, rompiendo la brecha entre el tiempo que tardan los atacantes en lograr su objetivo y el tiempo de respuesta de la empresa”, detalla.

Xabier Mitxelena, managing director de Accenture Security en España, Portugal e Israel, también hace hincapié en la protección continua que aportan los SOC. “Los atacantes nunca descansan. Y eso ya es motivo suficiente para preocuparnos por la monitorización continua de nuestra ciberseguridad, la gestión de vulnerabilidades y, en general, por nuestras capacidades para responder y recuperarnos de un incidente que pueda tener impacto sobre la continuidad de nuestro negocio. Un SOC, ya sea con medios propios o de terceros, nos aporta justamente ese grado de protección continua y nos permite gestionar el riesgo mediante la securización de las operaciones, monitorizando nuestra huella constantemente y proporcionándonos la capacidad de actuar 24×7″.

Además, indica que los SOC se basan en “una combinación de personas organizadas en distintos niveles y equipos multidisciplinares, tecnologías y procesos a medida”. Al hilo de ello, cabe recordar que en los SOC suelen convivir profesionales de tres niveles —monitorización y análisis,  análisis profundo y respuesta, y  hunters—, así como un coordinador.

Por otra parte, Óscar Riaño, responsable de GMV-CERT, destaca que “contar con un SOC o contratar servicios SOC demuestra el compromiso de una organización con el tratamiento de los aspectos operativos de ciberseguridad, entendiendo la ciberseguridad como una parte ineludible y central de la calidad y continuidad de los servicios prestados, ya sean internos o externos”. Asimismo, Iñaki Paracuellos, Manager del SOC de S21sec en España, señala que “identificar la necesidad y dotarse con un SOC refleja haber llegado a la conclusión de la necesidad de la ciberseguridad como un elemento continuo e indivisible asociado al análisis de los riesgos del mismo”.

Incipiente crecimiento de los SOC

En este sentido, la Administración española está demostrando su responsabilidad. “En el caso de la Administración pública, tal como se define en el eje 4 del Plan España Digital 2025, un elemento esencial en su estrategia será el desarrollo e impulso del SOC de la Administración General del Estado, que coordine la respuesta ante incidentes, unifique la gestión de las alertas de seguridad, las informaciones de inteligencia sobre amenazas y, por último, contribuya a minimizar el impacto de potenciales ataques dirigidos contra ella”, declara Javier Jarauta, head of Strategic Demand Generation de SIA, compañía de ciberseguridad de Indra.

De este modo, considera que “se está avanzando de forma ágil en este sentido, y ya es un hecho la reciente creación de un Centro de Operaciones de Ciberseguridad específico para la Administración General del Estado (AGE) y sus organismos públicos”; así como la puesta en marcha de la Red Nacional de SOC de la que hablamos en este reportaje.

Asimismo, Mitxelena afirma que “se observa una tendencia creciente en los últimos 2-3 años” en cuanto al número de empresas y organismos de las Administraciones públicas que cuentan con un SOC, aunque advierte que seguimos “por debajo de las expectativas”.

Si nos centramos en el ámbito empresarial, parece que todavía hay mucho camino por recorrer. “Según el informe ‘Ascendant sobre Madurez Digital en Ciberseguridad 2021’ de SIA y Minsait —compañía de Indra especializada en la digitalización de empresas e instituciones—, sólo el 55% de las organizaciones dispone de un SOC propio o subcontratado para realizar las actividades de detección y respuesta”, puntualiza Jarauta.

Aunque la penetración de los SOC varía dependiendo del sector de actividad. “El sector financiero es el que siempre ha ido por delante, invirtiendo por sus necesidades en la implantación o contratación de servicios gestionados de ciberseguridad. Además, actualmente vivimos un periodo en donde el sector público está invirtiendo de forma notable en este tipo de servicios, alentados por líneas de financiación específicas de los fondos Next Generation EU. Sin embargo, otros sectores se encuentran menos avanzados, especialmente pymes e industria, donde la ciberseguridad debe incluir aspectos más concretos relacionados con la protección de infraestructuras OT que empiezan a convivir con el mundo tradicional de IT”, puntualiza el responsable de GMV-CERT.

Igualmente, el manager del SOC de S21sec en España afirma que “sectores con mayor nivel de regulación, como el financiero, y empresas más sujetas a normativas y con gran visibilidad en el mercado, como las cotizadas en Bolsa, cuentan con servicios de SOC”. Asimismo, el responsable de SIA subraya que “nos encontramos con ámbitos más maduros, como energía y telecomunicaciones y medios de comunicación“. Por el contrario, cree que hay otros sectores “que necesitan aún un mayor recorrido, como son los servicios financieros e industria”.

El tamaño de las empresas también es un aspecto determinante. “Cualquier gran empresa dispone de su propio SOC con recursos internos o mixtos, acompañados de alguna empresa tercera. Pero es en el tejido empresarial más pequeño, por debajo de 2.500 empleados, donde hay menor grado de penetración, ya que estimamos que menos del 30% de este tipo de compañías disponen de un servicio de SOC”, especifica el director de la unidad de negocio de Ciberseguridad de Evolutio.

El experto de Accenture apunta en la misma dirección. “En pymes y Administración pública local, proliferan aún los SOC poco maduros y con capacidades básicas, debido a las limitaciones del propio negocio para contar con personal en plantilla e incluso para contratarlo a terceros. En el otro extremo están las empresas de mayor tamaño y facturación, que suelen contar al menos con un SOC de madurez media-alta, pero con un catálogo de servicios fundamentalmente centrado en la monitorización y respuesta reactivas, optando por la externalización de servicios más avanzados y proactivos, tales como la inteligencia de amenazas o threat hunting”, aclara.

En cualquier caso, Paracuellos apunta que la iniciativa de contar con un SOC no depende tanto del sector de actividad o del tamaño de la empresa, sino de su nivel de madurez. “Existen empresas no tan grandes, no tan conocidas, no cotizadas en Bolsa y que no tienen tantos requisitos de cumplimiento normativo que, por su madurez interna y de sus procesos, tienen servicios SOC de alta calidad y siguen en la mejora de los mismos”, asegura.

Beneficios para  empresas y ciudadanos

La puesta en marcha de la Red Nacional de SOC mejorará la seguridad de la Administración, redundando en beneficio tanto del tejido empresarial como de la ciudadanía. “Es una iniciativa ejemplar promovida por el Gobierno de España, pionera en Europa y que seguro tendrá un gran impacto. Estamos muy orgullosos de ser miembros, aportando nuestro conocimiento sobre las amenazas que detectamos para que otras compañías y organismos públicos puedan beneficiarse de este conocimiento y que ellos mismos puedan detectar también si están afectados por esas amenazas. Los ciudadanos estarán mejor protegidos gracias a esta iniciativa”, declara Alejandro Ramos, director de Operaciones de Ciberseguridad de Telefónica Tech.

De igual modo, Mara Fernández, Cybersecurity Service manager de Seresco, expone que “la Red Nacional de SOC realiza una labor inestimable para mejorar la seguridad de los organismos públicos y privados a través del intercambio de información efectivo y una colaboración ágil y eficiente entre los agentes involucrados”. “Apostamos por la colaboración y somos conscientes de que el intercambio de datos e información con otras organizaciones es una de las vías más eficientes para favorecer al tejido empresarial en su conjunto, lo que permite anticiparse ante ciberamenazas y actuar de forma ágil en caso de que se produzca un ciberataque”, añade.

Asimismo, Paracuellos anota que “la posibilidad de compartir herramientas e información, así como la misma existencia de un foro para la colaboración entre organismos y las empresas que prestamos servicios en los mismos, deben tener, en el medio y largo plazo, claros beneficios para todos los participantes y, por extensión, para los ciudadanos”. Además, indica que “detectar antes las amenazas y los ciberataques, responder mejor y coordinadamente debe ayudar a minimizar fugas de información o problemas de disponibilidad de sistemas importantes para los ciudadanos como los que hemos vivido en los últimos meses”

Al hilo de ello, Sanz recuerda que “los datos personales que manejan las organizaciones tienen un valor incalculable para los ciberatacantes”. De este modo, remarca que la creación de esta red y la participación de los proveedores tecnológicos “no sólo protege estos activos, sino también a los ciudadanos”.

Más de un centenar de miembros

Esta red está formada por SOC nacionales del sector público español (de ayuntamientos, diputaciones provinciales, gobiernos autonómicos, servicios de salud, Casa Real, Banco de España, etc.) y empresas proveedoras de seguridad gestionada que ofrezcan servicios a este tipo de centros y que hayan solicitado formar parte de la red. En total, son más de un centenar de entidades públicas y empresas privadas, de las que 36 son miembros ‘gold’.

Evolutio, GMV, S21sec, Seresco, SIA o Telefónica Tech son algunos de estos colaboradores ‘gold’. “Implica una participación activa en la que intercambiamos indicadores en tiempo real de las empresas y participamos en investigaciones conjuntas con el resto de organizaciones involucradas en la red, con el objetivo de mejorar las capacidades de anticipación ante posibles ciberataques”, especifica la Cybersecurity Service manager de Seresco.

“Gracias a la ayuda que nos prestan nuestros clientes, compartimos con la red información no confidencial y anónima de lo que ocurre en el ciberespacio. Si identificamos alguna actividad maliciosa, notificamos los incidentes a través de la herramienta LUCÍA del CCN-CERT, para que el resto de los implicados los reciban y puedan actuar en consecuencia”, agrega el responsable de Evolutio.

Riaño indica que esta información compartida consiste en “datos identificados por parte de los equipos de ciberseguridad relacionados con infraestructura localizada en el ciberespacio, que está siendo utilizada por la industria del cibercrimen para desarrollar sus actividades ilícitas, como robo de información, inutilización de sistemas, prácticas relacionadas con la extorsión, etc.”.

Por su parte, Ramos destaca que Telefónica Tech es el “primer proveedor de amenazas de la Red Nacional de SOC”, gracias a su posición como “principal proveedor de servicios de ciberseguridad de España” y por su la visibilidad de las amenazas.

Asimismo, Paracuellos reseña que “S21Sec, como empresa dentro del grupo Thales, aporta el conocimiento y la experiencia adquiridos durante años en los distintos segmentos de la ciberseguridad, el conocimiento y experiencia específicos en la gestión de estos servicios en entornos de los sectores de defensa, infraestructuras críticas y Administración pública”.

Accenture es otro de los integrantes de la red. “Compartimos con otros miembros información en tiempo real sobre investigaciones propias e incidentes que se están gestionando por parte de Accenture, para que otros puedan bloquearlos igualmente y ayudar así a contener la propagación. Consideramos vital nuestra experiencia como un actor relevante a nivel global en el ámbito de la ciberseguridad, con más de 20 años de experiencia, 17.000 profesionales en todo el mundo y más de 1.500 clientes que nos dan una visibilidad única sobre una gran cantidad de datos y tendencias que compartimos proactivamente para enriquecer el ecosistema”, apunta Mitxelena.