Cybersecurity Team Roles and Responsibilities

Un Centro de Operaciones de Seguridad, o SOC, es un equipo que está constantemente trabajando para eliminar las infinitas amenazas cibernéticas potenciales que se lanzan contra una organización. Comprender la estructura y los procesos dentro de un equipo de ciberseguridad permite una gestión de la seguridad mucho más efectiva, pero no siempre sigue una jerarquía rígida.

Informe SOC de IDC SOC Demo

Cybersecurity Team Roles and Responsibilities

Introducción al marco de ciberseguridad del NIST

El Marco de Ciberseguridad del NIST establece un conjunto estable de estándares y procesos que abordan adecuadamente el riesgo cibernético. Su flexibilidad significa que, si bien no existe una fórmula explícita para la estructura de un equipo de ciberseguridad , cada gestión de amenazas debe cubrir estos cinco pilares clave:

  1. Identificar: se centra en identificar los sistemas críticos de una organización y los riesgos de seguridad que enfrentan. Esto incluye comprender los activos, los sistemas, los datos y el entorno empresarial general.
  2. Proteger: implica determinar el impacto de posibles violaciones de seguridad y desarrollar estrategias para mitigar estos riesgos, garantizando que existan medidas de seguridad para salvaguardar los servicios y datos críticos.
  3. Detectar: se centra en permitir la detección oportuna de incidentes de ciberseguridad. Esto significa contar con sistemas y procesos implementados para monitorear continuamente posibles infracciones o actividades sospechosas.
  4. Responder: enfatiza la preparación para una respuesta rápida y efectiva a los incidentes de ciberseguridad, limitando la propagación y el impacto de la violación.
  5. Recuperar: se centra en permitir que la organización vuelva a sus operaciones normales lo más rápido posible luego de un incidente.

La composición de un equipo de ciberseguridad: funciones y responsabilidades clave

Para lograr el Marco de Ciberseguridad del NIST, muchos SOC se segmentan en equipos que aprovechan mejor la experiencia y el campo de experiencia de cada empleado, como los siguientes:

#1: Analistas de seguridad

Los analistas de ciberseguridad son miembros del equipo de seguridad sobre el terreno que, la mayoría de las veces, tienen la nariz firmemente presionada contra el olor de las amenazas de seguridad dentro de una red.

Pero, dada la cantidad de datos de red, la gama de sistemas que deben proteger y la naturaleza variable de los niveles de alerta, es común que el rol de analista de seguridad se divida en tres o cuatro tipos clave.

Nivel 1: Controlador de alertas

Este es generalmente el rol que requiere menos experiencia pero igualmente crítico para la misión.

Los analistas de seguridad de nivel 1 son responsables de monitorear las herramientas de seguridad para detectar alertas y configuraciones incorrectas. Cuando llegan nuevas alertas, son los primeros en gestionarlas, ya que eligen qué se prioriza y cómo se clasifican.

Nivel 2: Respondedor

Este nivel recibe los incidentes identificados por los analistas de nivel 1 y comienza un análisis más profundo sobre su origen e participaciones más amplias. Debido a la amplia variedad de alertas que son únicas para cada entorno, los detalles diarios pueden cambiar significativamente. Estos investigadores en profundidad son expertos en análisis complejos y pueden dedicar más tiempo a cotejar las alertas que reciben.

Forman la mayor parte de las capacidades de respuesta a incidentes de una compañía y, gracias a su experiencia en el puesto de nivel 1, generalmente están muy familiarizados con los procesos normales de la red de una compañía.

Esta capacidad de comprender de forma rápida y concisa las complejidades de un incidente potencial significa que los analistas de nivel 2 también están bien posicionados para responder: ayudan a construir una estrategia de seguridad para la contención, la remediación y la recuperación.

Nivel 3: Experto en campo o cazador de amenazas

Las investigaciones de incidentes de amplio alcance que realizan los analistas de nivel 2 cuentan con el apoyo de sus colegas de nivel 3: son analistas altamente experimentados que se especializaron en determinados campos.

Pueden ser:

  • Especialistas en infraestructura
  • Especialistas en técnicas de ciberseguridad,

A menudo se les asignan los elementos más proactivos de la ciberseguridad, como la búsqueda de amenazas. Cuando se lleva a cabo una prueba de penetración , son los niveles 1 y 2 los que actúan como el equipo azul, y los de nivel 3 los que generalmente actúan como atacantes falsos, lo que permite que toda la postura de seguridad de la organización se beneficie de su experiencia avanzada.

Independientemente del nivel, los turnos de la mayoría de los analistas comienzan de la misma manera: 

La primera tarea es evaluar la información obtenida del turno anterior, en individuo en un SOC que funciona 24 horas al día, 7 días a la semana, y comenzar con una sesión informativa sobre los incidentes o eventos en curso que necesitan un mayor seguimiento.

Analista de nivel 4: Gerente de SOC

El gerente de SOC es responsable de los analistas; como son esencialmente la última evolución de la carrera de analista tradicional, a veces el rol se denomina analista de nivel 4. Dirigen las operaciones del SOC y son responsables de sincronizar a los analistas con DevOps y estrategias más amplias a través de políticas de seguridad.

Así es como construyen y ayudan a ejecutar la estrategia de ciberseguridad.

Las responsabilidades diarias de un gerente de SOC voltean en torno a apoyar al equipo y cerciorar de que todo funcione sin problemas, lo que incluye:

  • Proporcionar sesiones de formación
  • Contratación de nuevos miembros
  • Contratación de servicios y herramientas externas que el equipo necesita

#2: Ingenieros de seguridad

Si bien no siempre son miembros integrales del SOC, los ingenieros de seguridad merecen una mención debido a su papel en la gestión del riesgo de la organización. Suelen tener una amplia experiencia en software o hardware y generalmente son responsables del diseño de sistemas de información seguros.

Esto a menudo significa que tienen un pie en el SOC y otro en el equipo DevOps ; También se encargan de la documentación de los protocolos de seguridad de las aplicaciones.

#3: Director de Respuesta a Incidentes

El Director de Respuesta a Incidentes se encarga de todo el proceso de respuesta a incidentes: coordina y dirige cada faceta del esfuerzo de respuesta.

El Director de IR asume la plena responsabilidad de todos los roles dentro del equipo de respuesta y está autorizado a crear y asignar roles adicionales según sea necesario para abordar las demandas de un incidente, como asignar múltiples analistas para manejar flujos de información específicos.

Este enfoque dinámico les permite adaptar la estructura del equipo en tiempo real.

#4: CISO

Un paso por encima del gerente del SOC se encuentra el Director de Seguridad de la Información (CISO). Sin las distracciones que supone gestionar a los analistas individuales, estos pueden centrar casi exclusivamente en decisiones estratégicas que alejen a la organización de las amenazas que afectan a toda la industria.

Dependiendo del CEO, equilibran las demandas de seguridad con los objetivos y cotizaciones comerciales más amplias.

¿No tienes un equipo interno completo? Check Point puede ayudar

Cuando dependes de un equipo reducido, o incluso de uno totalmente subcontratado, puede resultar difícil sentir totalmente sincronizado con tu postura de seguridad. Con un modelo de seguridad nativo en la nube, Check Point ofrece una vista totalmente centralizada de cada componente de la infraestructura de la aplicación.

En todo el tráfico, las configuraciones y los componentes, identifique sus activos y protéjalos con funciones avanzadas como la macro y microsegmentación, el firewall de última generación, la protección de API y la inspección SSL/TLS. Esta visibilidad de última generación constituye la base del servicio Check Point Infinity : si necesita un mayor grado de protección práctica, explore los servicios gestionados integrales que le dan un buen uso. Esto incluye:

  • Monitoreo de pila completa
  • Ajuste estricto de políticas
  • Gestión de incidentes

Todo esto se integra perfectamente con sus operaciones de TI y de seguridad de la información preexistentes. Para obtener más información, explora la gama completa de servicios de Check Point Infinity aquí.

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing. Al seguir usando este sitio web, usted acepta el uso de cookies. Para obtener más información, lea nuestro Aviso de cookies.
Aceptar