¿Qué es la seguridad informática o ciberseguridad?

La seguridad informática o ciberseguridad son las acciones necesarias para proteger la información y/o evitar la manipulación informática de los datos de una infraestructura que se quiera proteger.

Tipos de seguridad informática

Existe varias ramas con respecto a la seguridad informática que se demanda en una empresa o pyme.

Seguridad de redes informáticas

Es la seguridad informática que se encarga de proteger los datos que vienen de fuera de la infraestructura como los que circulan por dentro. Por tanto, se encargarán de analizar la red en busca de accesos indebidos, virus, ramsonware, etc...

En esta rama de seguridad informática es importante detectar las amenazas ante posibles ciberdelincuentes tanto dentro como fuera de la empresa. Para ello, se disponen varias alternativas dentro de la seguridad de software como en la seguridad de hardware, que son destinados a la detección y eliminación de vulnerabilidades.

Otras herramientas para enfrentarse a los ciberdelincuentes son los llamados cortafuegos para no permitir accesos indebidos, redes privadas para asegurar la información o sistemas de prevención de intrusos para detectar esas amenazas de acceso indebido.

Seguridad de hardware

Es la seguridad encargada de proteger el sistema físico de la infraestructura, mediante dispositivos como los mejores router de Redes Linksys CISCO y SonicWall que es un firewall por hardware en vez de por software.

Todo ello con el objetico de proteger los ordenadores, servidores y dispositivos que puedan ser objeto de alteración o sustracción de la información que contienen.

Seguridad de software

Seguridad encargada de proteger las aplicaciones y sistema operativo de los ordenadores o de los propios servidores ante amenazas exteriores. Las alteraciones por software pueden iniciarse desde conectar un pendrive, hasta entrar en una web en la que creas que es tu banco de siempre.

Las alternativas ante este tipo de amenazas pueden ser gratuitas o de pago, pero siempre tienen el mismo objetivo, desvelar al atacante y eliminar la amenaza. Las herramientas más utilizas son los simples antivirus como el más sofisticado mecanismos de detección, como es la de disponer de un Centro Operacional de Seguridad.

Centro Operacional de Seguridad o SoC

¿Qué es un Centro Operacional de Seguridad o SoC?

Es un equipo de especialistas destinado a la seguridad informática de una organización, donde el proceso es totalmente trasparente para el usuario.

El equipo se dedicará a monitorizar y analizar continuamente el sistema, detectar y resolver las incidencias encontradas, tanto en un centro de datos, redes, aplicaciones, servidores u ordenadores. El objetivo de este centro es garantizar la protección de la organización frente a ciberataques.

¿Cómo funciona el Centro operacional de Seguridad o SoC?

El sistema estará en continuo análisis en busca de un intruso, virus que pueda llegar a la organización. Una vez detectado la incidencia, se evalúa el ataque y resolverá las más sencillas. Las complejas pasarán a un nivel de triaje y resolución escalable. En el triaje, se dispondrá de expertos analistas, donde pasarán las incidencias a forenses expertos en ciberataques, los cuales darán soporte online sobre el problema.

Las incidencias se clasificarán por el criterio de leve, cuando la incidencia es aislada y contenida, media, si la incidencia es aislada en un equipo o servicio y no haya riesgo de propagación, y crítica si la incidencia ha afectado a varios equipos, o aislada con riesgo de propagación, o que la incidencia afecte a servicios críticos.

Con tan solo instalar un programa en los distintos dispositivos a proteger, tendrás un equipo informático monitorizando 24/7.

Alcance del Centro de Operaciones de Seguridad

  • Prevención mediante alertas y análisis de vulnerabilidades continuo
  • Vigilancia con la monitorización y corrección de eventos.
  • Resoluciones de incidentes y notificación de acciones.
  • Dashboards en tiempo real e informes mensuales del servicio, así como recomendaciones.
  • Reducción del tiempo medio en resolver amenazas
  • Disminuye el impacto de los ataques

Al contratar un Centro de Operaciones de Seguridad estás incorporando un servicio reactivo de detección de amenazas/incidentes de seguridad con notificación en 24x7x365 para alertas críticas, un servicio proactivo de detección de amenazas/incidentes de seguridad con notificación en 8x5 para el resto de las alertas e informes periódicos de los incidentes detectados y resueltos.

Puesta en marca de un Centro de Operaciones de Seguridad

El Centro de Operaciones de Seguridad deberá de iniciarse con la instalación de un servicio en cada equipo, con le que monitorizará el sistema, y con la instalación de un antivirus de nueva generación. Este último servicio dispone de un sistema que bloquea el uso de unidades USB para proteger los datos del sistema.

El proceso puede durar unos varios días, dependiendo de cómo sea la infraestructura.

En la instalación también se incluye un agente capaz de recolectar información, configuración de parámetros para optimizar el sistema de monitoreo y detección de amenazas, así como un colector para integrar fuentes de información con el que el SoC conecte con la organización.

Tecnologías que usa un Centro de Operaciones de Seguridad.

Se dispone de las mejores tecnologías añadidas al SoC, disponiendo de una constante evolución de las mismas, actualizando y ampliando el sistema para resolver y afrontar amenazas. Se dispone de:

  • Tecnología EDR (Endpoint Detection & Response): Combinación de varios elementos de detección y tecnologías, IA y Big Data para la detección y prevención de amenazas complejas, eliminación o mitigación de incidencias. Incluye entre otros un antivirus tradicional, herramientas de aprendizaje automático, un sistema virtual y aislado para posibles amenazas, escaneos de IOCs y reglas YARA para analizar y detectar amenazas complejas en tiempo real, uso de listas blancas y negras, SIEM, IPS/IDS...
  • Tecnología XDR (Detección y Respuesta Extendidas): Con la que recogerá y almacenará de forma automática datos de email, endpoint, servidores, workload en la nube y la red... Detectando la amenaza y dar respuesta más rápido. El grupo analistas informáticos detrás, estarán clasificando e investigando los ataques, haciendo que la tecnología XDR localice el riesgo utilizando un enfoque holístico para la detección y respuesta.
  • Google Chronicle (SIEM): Diseñado para trabajar con datos en petabytes, con el que el sistema podrá analizar, retener y buscar amenazas dentro de grandes cantidades de información. El servicio Chronicle incluyen investigación de amenazas (amplia base de datos de inteligencia), búsqueda y detección de amenazas gracias al triaje, reduciendo el análisis de seguridad y asegurando el sistema y análisis de seguridad ( indexar, correlacionar y proporcionar análisis de seguridad en segundos).