Antoniod TFM1223 Memoria
Antoniod TFM1223 Memoria
Enero de 2023
Esta obra está sujeta a una licencia de
Reconocimiento-NoComercial-
SinObraDerivada 3.0 España de Creative
Commons
i
Abstract
Because of this, cybersecurity has become a priority and a necessity for all
organizations, which is why they are increasingly demanding solutions that
take care of all the tactical, technical and operational aspects of protecting their
digital information. In fact, they often opt for the implementation of a SOC to
fulfil these functions, since it is an operational and centralized cybersecurity
area that works for the protection of this information.
ii
Índice
1. Introducción .................................................................................................... 1
1.1 Contexto y justificación del Trabajo ........................................................... 1
1.1.1 Escenario y estado del arte............................................................... 1
1.1.2 Motivaciones ..................................................................................... 3
1.2 Objetivos del Trabajo................................................................................. 4
1.2.1 Objetivo principal .............................................................................. 4
1.2.1.1 Documento guía ........................................................................ 4
1.2.2 Objetivos específicos ........................................................................ 4
1.2.2.1 Análisis del marco preliminar y conceptual de un SOC ............. 4
1.2.2.2 Análisis del marco metodológico y legal de SOC ...................... 4
1.2.2.3 Análisis del marco teórico de un SOC ....................................... 5
1.2.2.4 Análisis de los requisitos para la implantación de un SOC ........ 5
1.2.2.5 Análisis de las funciones de un SOC ......................................... 5
1.2.2.6 Análisis de servicios y procesos de un SOC.............................. 5
1.2.2.7 Análisis de los roles de un SOC ................................................ 5
1.2.2.8 Análisis de las tecnologías necesarias para un SOC ................ 5
1.2.2.9 Análisis de la implementación de un SOC ................................. 6
1.3 Impacto en sostenibilidad, ético-social y de diversidad ............................. 6
1.3.1 Impacto en Sostenibilidad ................................................................. 6
1.3.2 Impacto en responsabilidad social y comportamiento ético .............. 6
1.3.3 Impacto en derechos humanos, género y diversidad ........................ 7
1.4 Enfoque y método seguido ........................................................................ 8
1.4.1 Metodología para la de creación del Plan de implementación .......... 8
1.4.1.1 Uso de conceptos DevOps ........................................................ 8
1.4.1.2 Uso de premisas de Kanban...................................................... 9
1.4.1.3 Uso del complemento DevOps y Kanban .................................. 9
1.4.2 Metodología para el análisis de objetivos específicos .................... 10
1.4.2.1 Uso de metodología de investigación exploratoria-descriptiva 10
1.5 Planificación del Trabajo ......................................................................... 10
1.5.1 Hito 1: Plan de trabajo (PEC1) ........................................................ 11
1.5.2 Hito 2: Primera fase de ejecución del Plan de trabajo (PEC2) ........ 11
1.5.3 Hito 3: Segunda fase de ejecución del Plan de trabajo (PEC3) ...... 13
1.5.4 Hito 4: Entrega de la memoria del Trabajo...................................... 14
1.5.5 Hito 5: Presentación en vídeo ......................................................... 15
1.5.6 Hito 6: Defensa virtual ..................................................................... 16
1.5.7 Diagrama de Gantt completo del Trabajo Final de Máster .............. 16
1.6 Breve sumario de productos obtenidos ................................................... 18
1.7 Breve descripción de los otros capítulos de la memoria.......................... 18
1.7.1 Capítulo 2: Análisis del marco teórico de un SOC .......................... 19
1.7.2 Capítulo 3: Resultados .................................................................... 19
1.7.3 Capítulo 4: Conclusiones y trabajos futuros .................................... 19
1.7.4 Capítulo 5: Glosario ........................................................................ 19
1.7.5 Capítulo 6: Bibliografía .................................................................... 19
1.7.6 Capítulo 7: Anexos .......................................................................... 19
iii
1.7.6.1 Anexo 1: Análisis del marco preliminar y conceptual de un SOC
............................................................................................................. 19
1.7.6.2 Anexo 2: Análisis del marco metodológico y legal de un SOC 20
1.7.6.3 Anexo 3: Análisis del marco característico de un SOC ............ 20
1.7.6.4 Anexo 4: Hoja de seguimiento de la primera fase de ejecución
del Plan de Trabajo del TFM................................................................ 20
1.7.6.5 Anexo 5: Hoja de seguimiento de la segunda fase de ejecución
del Plan de Trabajo del TFM................................................................ 20
2. Análisis del marco teórico y funcional de la implementación de un SOC ..... 21
2.1 Definición y objetivos de un SOC ............................................................ 21
2.2 Dominios fundamentales de un SOC ...................................................... 22
2.3 Justificación y razón de un SOC ............................................................. 23
2.4 Aportaciones y beneficios de un SOC ..................................................... 24
2.5 Modelos de SOC ..................................................................................... 26
2.6 Desafíos y riesgos de un SOC ................................................................ 27
2.7 Funciones que realiza un SOC ................................................................ 31
2.8 Áreas centrales de servicios de un SOC ................................................. 33
2.9 Estrategias para definir un SOC .............................................................. 35
2.10 Tipos de implementaciones de un SOC ................................................ 36
2.10.1 Implementación de un SOC interno .............................................. 36
2.10.2 Implementación por contratación de un SOC externo .................. 37
2.11 Cuestiones previas a la implementación de un SOC ............................ 37
2.12 Requisitos mínimos para definir un SOC............................................... 39
2.13 Fases para la implementación de un SOC ............................................ 42
3. Resultados ................................................................................................... 44
1. Introducción ............................................................................................... 46
2. Hoja de ruta para la implementación de un SOC ...................................... 47
2.1 Fase 1: Preparación ........................................................................... 47
2.1.1 Justificación y razón del SOC ..................................................... 47
2.1.2 Normativas y alineación de procesos con el SOC ...................... 48
2.1.3 Características estratégicas para la implementación del SOC ... 48
2.1.4 Alcance, objetivos y responsabilidades del SOC ........................ 49
2.1.5 Requisitos mínimos, presupuesto inicial y cronograma del SOC 49
2.2 Fase 2: Diseño ................................................................................... 51
2.2.1 Nombre y definición del SOC y de su estructura ........................ 51
2.2.2 Servicios del SOC y sus procesos y flujos de trabajo ................. 51
2.2.3 Plan de formación del SOC ........................................................ 52
2.2.4 Instalaciones del SOC ................................................................ 53
2.2.5 Plan de buenas prácticas para la tecnología del SOC ................ 53
2.2.6 Plan de buenas prácticas para la protección de la organización 54
2.3 Fase 3: Aplicación .............................................................................. 55
2.3.1 Aprobación de los Planes diseñados para la creación del SOC . 55
2.3.2 Cubrimiento de las carencias para la aplicación del SOC .......... 56
2.3.3 Batería de pruebas y puesta en funcionamiento inicial del SOC 57
2.4 Fase 4: Operaciones .......................................................................... 57
2.4.1 Puesta en funcionamiento formal del SOC ................................. 57
2.4.2 Seguimiento del funcionamiento del SOC .................................. 58
2.5 Fase 5: Mejora continua .................................................................... 59
2.5.1 Iniciativas de mejora para el SOC .............................................. 59
4. Conclusiones y trabajos futuros ................................................................... 60
iv
4.1 Consecución de objetivos y conclusiones ............................................... 60
4.2 Seguimiento de la planificación, la metodología y el impacto ético-social,
de sostenibilidad y de diversidad ................................................................... 61
4.3 Trabajos futuros ...................................................................................... 61
5. Glosario ........................................................................................................ 62
6. Bibliografía ................................................................................................... 65
7. Anexos ......................................................................................................... 71
7.1 Anexo 1: Análisis del marco preliminar y conceptual de un SOC ............ 71
7.1.1 Seguridad de la Información ........................................................... 71
7.1.1.1 Definición y objetivos de la Seguridad de la Información ......... 71
7.1.1.2 Propiedades de la información ................................................ 72
7.1.1.3 Gestión de la Seguridad de la información .............................. 73
7.1.1.4 Modelos de Gestión de la Seguridad de la información ........... 74
7.1.1.5 Sistema de Gestión de la Seguridad de la información (SGSI) 76
7.1.1.6 Equipos de Seguridad de la Información ................................. 77
7.1.2 Gestión de riesgos, de vulnerabilidades y de amenazas ................ 79
7.1.2.1 Definición de conceptos y su relación ...................................... 79
7.1.2.2 Gestión de Riesgos ................................................................. 80
7.1.2.2.1 Fases de la Gestión de Riesgos ....................................... 80
7.1.2.2.2 Análisis de Riesgos .......................................................... 81
7.1.2.3 Gestión de vulnerabilidades..................................................... 81
7.1.2.3.1 Posibles motivos de una vulnerabilidad ............................ 82
7.1.2.3.2 Repositorios de información de vulnerabilidades ............. 82
7.1.2.3.3 Clasificación de vulnerabilidades ...................................... 84
7.1.2.4 Gestión de las ciberamenazas................................................. 85
7.1.2.4.1 Clasificación de las ciberamenazas .................................. 85
7.1.2.4.2 Ejemplos de ciberamenazas............................................. 86
7.1.3 Ataques informáticos e incidentes de seguridad ............................. 87
7.1.3.1 Fases de un ataque informático y de la gestión de un incidente
de seguridad ........................................................................................ 87
7.1.3.2 Taxonomía de incidentes de seguridad o ciberincidentes ....... 88
7.1.3.3 Ciberataques más comunes .................................................... 90
7.1.4 Sistemas de protección, prevención y detección y respuesta ......... 91
7.1.4.1 Mecanismos de protección ...................................................... 91
7.1.4.1.1 Principales medidas de protección ................................... 91
7.1.4.1.2 Ejemplos de medidas de protección ................................. 92
7.1.4.2 Mecanismos de prevención ..................................................... 92
7.1.4.2.1 Principales medidas de prevención .................................. 93
7.1.4.3 Mecanismos de detección y respuesta .................................... 93
7.1.4.3.1 Principales herramientas de detección y respuesta ......... 94
7.2 Anexo 2: Análisis del marco metodológico y legal de un SOC ................ 95
7.2.1 Normativas ISO ............................................................................... 95
7.2.1.1 ISO/IEC 27000 ......................................................................... 96
7.2.1.2 ISO/IEC 27001 e ISO/IEC 27002 ............................................. 96
7.2.1.3 Resto de normativas de la familia ISO/IEC 27000 ................... 98
7.2.1.4 ISO 22301.............................................................................. 101
7.2.1.5 ISO 31000.............................................................................. 101
7.2.2 CobIT ............................................................................................ 101
7.2.3 PCI DSS........................................................................................ 102
7.2.4 CMM ............................................................................................. 103
v
7.2.5 SSE-CMM ..................................................................................... 104
7.2.6 ITIL ................................................................................................ 104
7.2.7 DevSecOps ................................................................................... 108
7.2.8 Marco de Ciberseguridad del NIST ............................................... 109
7.2.9 Marco de MITRE ATT&CK ............................................................ 110
7.2.10 Estrategia Nacional de Ciberseguridad de ENISA ...................... 112
7.2.11 MAGERIT.................................................................................... 113
7.2.12 Esquema Nacional de Seguridad (ENS) ..................................... 114
7.2.13 STIX y TAXII ............................................................................... 116
7.2.14 RFC............................................................................................. 117
7.2.14.1 RFC 2350 ............................................................................ 117
7.2.14.2 RFC 3227 ............................................................................ 117
7.2.15 Disposiciones legales para un SOC en el Estado español ......... 118
7.2.15.1 Ley de Seguridad Nacional .................................................. 118
7.2.15.2 Ley de Secretos Oficiales .................................................... 118
7.2.15.3 Ley de Secretos Empresariales (LSE) ................................. 118
7.2.15.4 Leyes de Protección de Infraestructuras Críticas (LPIC) ..... 118
7.2.15.5 Leyes de Seguridad de las redes y sistemas de información
........................................................................................................... 119
7.2.15.6 Ley de Servicios de la Sociedad de la Información y de
Comercio Electrónico (LSSICE)......................................................... 119
7.2.15.7 Leyes de Telecomunicaciones ............................................. 119
7.2.15.8 Ley del Esquema Nacional de Seguridad (ENS) ................. 120
7.2.15.9 Ley de Firma electrónica...................................................... 120
7.2.15.10 Leyes de Protección de Datos Personales (RGPD y
LOPDGDD) ........................................................................................ 120
7.2.15.11 Ley de Propiedad Intelectual (TRLPI) ................................ 121
7.3 Anexo 3: Análisis del marco característico de un SOC ......................... 122
7.3.1 Procesos de un SOC .................................................................... 122
7.3.2 Tecnologías necesarias para un SOC .......................................... 126
7.3.2.1 Cortafuegos (Firewall) ........................................................... 126
7.3.2.2 Sistemas de detección de intrusos (IDS) ............................... 129
7.3.2.3 Sistemas de prevención de intrusos (IPS) ............................. 130
7.3.2.4 Sistemas de gestión de información y eventos de seguridad
(SIEM) ............................................................................................... 131
7.3.2.5 Sistemas de orquestación, automatización y respuesta de
seguridad (SOAR) ............................................................................. 133
7.3.2.6 Herramientas de protección de puntos finales (EEP) ............ 134
7.3.2.7 Herramientas de detección y respuesta ................................ 135
7.3.2.8 Cortafuegos de Aplicaciones web (WAF) .............................. 136
7.3.2.9 Sistemas de protección del correo electrónico ...................... 138
7.3.2.10 Herramientas de inventario de activos de información ........ 138
7.3.2.11 Herramientas de gestión de ticketing ................................... 139
7.3.2.12 Sistemas de gestión de vulnerabilidades ............................. 140
7.3.2.13 Herramientas de monitorización de disponibilidad ............... 140
7.3.2.14 Otras tecnologías de interés para un SOC .......................... 141
7.3.2.15 Herramientas más recomendadas ....................................... 142
7.3.3 Personal y roles de un SOC.......................................................... 143
7.3.3.1 Nivel 1: Operadores del SOC ................................................ 144
7.3.3.2 Nivel 2: Analistas del SOC ..................................................... 145
vi
7.3.3.3 Nivel 3: Arquitectos del SOC ................................................. 147
7.3.3.4 Nivel 4: Director del SOC ....................................................... 148
7.3.3.5 Estimación económica del personal del SOC ........................ 150
7.3.4 Servicios de ejemplo para un SOC ............................................... 150
7.3.4.1 Servicio de Gestión de Incidentes de Ciberseguridad ........... 151
7.3.5.2 Servicio de Alerta Temprana ................................................. 154
7.4 Anexo 4: Seguimiento de la PEC2 del TFM .......................................... 157
7.4.1 Revisión de los objetivos y alcance del proyecto .......................... 157
7.4.2 Revisión de la planificación ........................................................... 157
7.4.3 Revisión de los riesgos ................................................................. 157
7.4.4 Valoración del trabajo realizado hasta el momento ...................... 157
7.5 Anexo 5: Seguimiento de la PEC3 del TFM .......................................... 158
7.5.1 Revisión de los objetivos y alcance del proyecto .......................... 158
7.5.2 Revisión de la planificación ........................................................... 158
7.5.3 Revisión de los riesgos ................................................................. 158
7.5.4 Valoración del trabajo realizado hasta el momento ...................... 158
vii
Lista de ilustraciones
viii
Lista de tablas
ix
Tabla 46 - Habilidades y conocimientos de los Analistas del SOC. ............... 146
Tabla 47 - Funciones y competencias de los Analistas del SOC. .................. 146
Tabla 48 - Habilidades y conocimientos de los Arquitectos del SOC. ............ 147
Tabla 49 - Funciones y competencias de los Arquitectos del SOC. ............... 148
Tabla 50 - Habilidades y conocimientos del Director del SOC. ...................... 149
Tabla 51 - Funciones y competencias del Director del SOC. ......................... 149
Tabla 52 - Valoración económica anual estimada del personal de un SOC. .. 150
Tabla 53 - Dominios del Servicio de Gestión de Ciberincidentes. .................. 153
Tabla 54 - Dominios del Servicio de Alerta Temprana. .................................. 156
Tabla 55 - Planificación cumplida en el hito 2. ............................................... 157
Tabla 56 - Planificación cumplida en el hito 3. ............................................... 158
1. Introducción
Asimismo, tras la aparición de los sistemas de información digitales, que resuelven los
problemas de la información en materiales físicos, como de espacio, transporte o
ubicación, entre otros, cada vez son más las entidades que utilizan la tecnología
digital, a través de sistemas digitales o, incluso, de procesos de transformación digital,
para satisfacer sus necesidades de negocio sobre la gestión de sus datos, su
información y su conocimiento. En consecuencia, la información pasa a convertirse en
uno de los activos más importantes y valiosos a nivel estratégico empresarial y, por
tanto, su seguridad y protección, a una necesidad básica y fundamental para su
negocio.
Por otra parte, a la vez que aumenta el uso de tecnologías y sistemas de información a
través de entornos digitales, también aumentan los ataques informáticos hacia las
entidades corporativas que las usan. Estos ataques tienen como fin, el hallazgo de sus
vulnerabilidades existentes para intentar explotarlas y transgredir o quebrantar sus
sistemas. Por tanto, las amenazas a la información de valor de las organizaciones han
crecido al mismo tiempo y en la misma medida que su desarrollo digital, lo que ha
provocado que se preste mayor importancia y atención a la seguridad informática.
Del mismo modo, las propias entidades han necesitado una reinvención y adecuación
constante para mitigar y dar solución a la aparición de las nuevas vulnerabilidades y
de los problemas técnicos detectados. Los términos y condiciones de estos ataques
varían constantemente y cada vez se desarrollan más sofisticados y elaborados, por lo
que también se necesitan soluciones más difíciles y complejas de aplicar. En
consecuencia, esto provoca que la seguridad de las tecnologías y sistemas de
información se contemple como un elemento fundamental en toda organización y que
se empleen recursos en minimizar y manejar los riesgos de seguridad para el negocio.
1
Tal y como indican el CCN-CERT1 y la norma establecida UNE-EN ISO/IEC 27001 del
año 2022, la Seguridad de la Información 2 se define como la salvaguarda o
protección de todas las propiedades de la información, como son la confidencialidad,
la integridad y la disponibilidad, como pilares fundamentales, y la autenticidad, la
responsabilidad, la trazabilidad, la fiabilidad y la precaución del repudio, como
características importantes. Asimismo, se describe como el conjunto de medidas
preventivas y mitigadoras para defender y proteger todas las cualidades de los datos
que componen la información.
Por otra parte, en la actualidad, tras los eventos de más relevantes del panorama
internacional de los últimos años, como son, entre otros, la pandemia por el Covid-19,
que derivó en la interconexión forzosa de las empresas, o la guerra entre Rusia y
Ucrania, que precedió y se impulsó con una ciberguerra, la ciberseguridad ha tomado
un papel muy importante para Estados, gobiernos y organizaciones, que requieren de
la protección de su información ante el aumento de los ataques informáticos
(ciberataques) y las amenazas informáticas (ciberamenazas). De hecho, la mayor
preocupación de los propietarios de la información se centra, sobre todo, en las
ciberamenazas orientadas a eliminar, modificar o robar su información y a destruir o
parar sus servicios.
1 https://www.ccn-cert.cni.es/
2 https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n
3 https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security
2
La Política de seguridad de la información.
El Plan operativo y funcional de seguridad de la información.
El Plan de gestión de seguridad de los usuarios, de los clientes y del personal.
La Política de clasificación de los datos, de la información y del conocimiento.
El Plan de gestión de indicadores de seguridad de la información.
El Plan de continuidad del negocio.
El Plan de auditorías y activos de sistemas de información.
El Plan de respuesta ante eventos e incidentes de seguridad.
1.1.2 Motivaciones
3
Debido a esto, como propuesta de Trabajo de Final de Máster, se propone elaborar
una guía para la implementación de un SOC que facilite su creación y desarrollo a
toda aquella organización que lo requiera. De esta forma, se ofrece un manual
orientativo para la creación de un servicio de seguridad de la información,
especializado en la ciberseguridad, que centralice los eventos e incidentes de
seguridad, satisfaga las necesidades de protección de activos corporativos y la
respuesta de estos incidentes y se ampare en buenas prácticas que culminen en un
servicio de calidad y en el éxito del proyecto de su implantación.
4
1.2.2.3 Análisis del marco teórico de un SOC
Esta finalidad específica describe el estudio de los diferentes servicios y procesos que,
como mínimo, deben formar parte de un SOC para poder alcanzar el cumplimiento con
sus funciones. Su objetivo se asienta en la definición del alcance de los servicios
básicos que debe ofrecer este equipo y el análisis de sus requisitos específicos y
exigibles para garantizar la seguridad de la información de una entidad y las bases
para su guía de implementación.
Este punto específico detalla el análisis de los diferentes roles que se deben
estructurar en un SOC y de las funciones que se desempeñan en cada uno de los
servicios que ofrece. Su objetivo se centra en la descripción de los diferentes niveles
de especialización y en las características que debe tener su personal para gestionar
cada uno de los servicios que ofrece un SOC.
5
1.2.2.9 Análisis de la implementación de un SOC
4 https://www.un.org/sustainabledevelopment/es/development-agenda/
5 https://www.un.org/sustainabledevelopment/es/infrastructure/
6
y comprensible y estructurarse bajo el amparo de los reglamentos y normativas
legales. Por ello, un buen comportamiento social se fundamenta en la responsabilidad
y los valores éticos de su sociedad.
6 https://www.un.org/sustainabledevelopment/es/economic-growth/
7 https://www.un.org/sustainabledevelopment/es/peace-justice/
8 https://www.un.org/sustainabledevelopment/es/gender-equality/
9 https://www.un.org/sustainabledevelopment/es/inequality/
7
1.4 Enfoque y método seguido
Este Trabajo Final, que se compone de la creación de un Plan para la implementación
de un SOC y del estudio y análisis de diferentes objetivos específicos para desarrollar
este Plan, se debe realizar en base a estándares, paradigmas y procedimientos que
respalden su diseño, desarrollo y ejecución con garantías de éxito y sin dependencia
de la entidad que lo desee instaurar. Por tanto, dado su propósito basado en acciones
activas y reactivas en entornos de incertidumbre, se considera, como opción más
eficiente, sustentarse en el uso de las premisas y buenas prácticas de metodologías
ágiles de reconocimiento internacional que den resultados eficaces a nivel tecnológico
y de negocio.
DevOps se describe como una cultura o filosofía colaborativa basada en los principios
de Lean y de las metodologías ágiles para la generación de servicios y productos que
se adaptan a las necesidades y plazos de los clientes y con el objetivo de
complementar las funciones de desarrollo de software (Dev) y de
producción/operación (Ops) en un único proceso integrado y continuo. De hecho, su
ciclo de vida persigue la verificación, la automatización, la mejora continua y la
innovación, por lo que sus iteraciones y entregas no deben sufrir pausas ni retrasos y
su conjunto de actividades debe automatizarse. Además, se fundamenta en el proceso
continuo y entrega continua, en base a las siguientes etapas: desarrollo, prueba,
integración, despliegue y monitorización.
8
Atender la satisfacción de los equipos de TI para favorecer el compromiso, la
productividad y la creatividad de su trabajo.
Kanban se describe como una metodología o estrategia de trabajo ágil que potencia la
productividad y efectividad del área de trabajo con la entrega de conocimiento a partir
de la gestión, descripción y optimización de los servicios. Además, se basa en ideales
de eficiencia y transparencia que se reflejan con la elaboración de un diagrama o tabla
que señala el estado en el que se encuentran las diferentes actividades (activadas, en
proceso, pendientes y finalizadas, entre otras), por lo que, además de indicar las
tareas del equipo, agiliza su priorización, favorece la comunicación, la colaboración y
la independencia y mejora la comprensión de los objetivos y de la estrategia del
negocio.
Asimismo, Kanban cuenta con varias prácticas fundamentales que se centran en los
requisitos y las necesidades de los proyectos, por lo que pueden facilitar la gestión de
las diferentes tareas y estudios de cada uno de los objetivos específicos de este
Trabajo Final para llegar al éxito en el objetivo principal:
Lograr un ritmo de trabajo sostenible y enfocado hacia la mejora.
Orientar sus actividades hacia el rendimiento necesario con el que obtener la
satisfacción del cliente.
Conseguir la competitividad, adaptabilidad y supervivencia de los equipos de
trabajo.
La unión entre DevOps y Kanban forma un bloque metodológico ágil y sólido que
favorece la gestión de este Trabajo en lo referente a la creación de un plan para la
implementación de un SOC. De hecho, gracias a esta unión, el beneficio destaca por
las siguientes premisas resultantes:
Permitir la unión de varios flujos de trabajo y mejorar su comunicación visual
por el equipo.
Poder rechazar tareas sin repercusiones negativas sobre el resultado final.
Determinar los límites en donde la saturación de las tareas puede afectar a la
productividad (límites WIP).
Permitir la flexibilidad, comodidad y discreción de la gestión de problemas.
Favorecer la implementación de productos y servicios que se adapten a
cualquier necesidad de cambio.
9
Potenciar la transformación cultural.
Aligerar las entregas a través de la automatización y agilidad de los procesos.
Debido a esto, se realizará un estudio exploratorio que se relacione con los marcos de
referencia teóricos y las buenas prácticas de la actualidad, en lo referente a la
Seguridad de la Información y los equipos de ciberseguridad, y se complementará con
el estudio descriptivo de la observación de los resultados de diferentes casos de
creación de SOC. De esta manera, se obtendrán resultados más fiables que se
plasmarán como base del entregable final.
10
1.5.1 Hito 1: Plan de trabajo (PEC1)
El hito 1 de este Trabajo Final de Máster consiste en la realización del Plan de trabajo
del proyecto y se sustenta en la siguiente planificación temporal de tareas parciales:
11
Fecha de Duración Fecha de
inicio (horas) entrega
Hito 2: Primera fase de ejecución del Plan de
12/10/2022 90 08/11/2022
Trabajo (PEC2).
Análisis del marco preliminar para un SOC. 12/10/2022 10 15/10/2022
Estudio de Riesgos, Amenazas y
15/10/2022 10 19/10/2022
Vulnerabilidades.
Análisis del marco conceptual de un SOC. 19/10/2022 12 22/10/2022
Sistemas de protección, prevención y detección. 22/10/2022 8 24/10/2022
Estudio de los ataques y los incidentes de
24/10/2022 8 26/10/2022
seguridad.
Análisis del marco metodológico, estándares y
26/10/2022 10 31/10/2022
buenas prácticas para un SOC.
Reunión de seguimiento con el tutor del TFM (I). 27/10/2022 1 27/10/2022
Definición de un SOC y justificación de su
31/10/2022 10 03/11/2022
necesidad.
Análisis de los estándares y normativas legales
03/11/2022 8 05/11/2022
para un SOC.
Análisis de los riesgos de este hito. 05/11/2022 4 06/11/2022
Redacción y revisión de este entregable. 06/11/2022 10 08/11/2022
Tabla 2 - Planificación temporal del hito 2.
Adicionalmente, se indica que, durante esta etapa del desarrollo del Trabajo, el
contenido se encuentra prácticamente orientado al análisis de los marcos preliminar y
conceptual, normativo y legal para la gestión y el correcto funcionamiento de un SOC y
a la investigación exploratoria y descriptiva de este tipo de implantaciones en
organizaciones reales, por lo que se ha previsto un tiempo adecuado para poder
completar las diferentes tareas. Debido a esto, se prevé como posible riesgo
fundamental, la necesidad de restructurar los resultados de los estudios e
investigaciones, dado que las conclusiones deben condensarse para no superar la
extensión indicada para este documento.
12
Por consiguiente, se establece una tabla, a modo de resumen, de los riesgos y las
acciones mitigadores que se han considerado para este hito:
13
Ilustración 5 - Diagrama de Gantt del Hito 3.
Al igual que en el hito anterior, esta etapa del Trabajo alberga una fuerte carga de
elaboración y análisis de elementos importantes para la implementación de un SOC,
como son sus funciones, servicios y procesos, roles y tecnologías. Por tanto, como
posibles riesgos fundamentales que pueden dificultar el cumplimiento de los objetivos
específicos de este hito, se identifican las posibles demoras en la obtención de
conclusiones y síntesis de los resultados de los análisis de los diferentes apartados.
Igualmente, seguidamente, se establece una tabla, a modo de resumen, de los riesgos
y las acciones mitigadores que se han considerado para este hito:
14
Fecha de Duración Fecha de
inicio (horas) entrega
Hito 4: Entrega de la memoria del Trabajo. 07/12/2022 84 10/01/2023
Análisis y desarrollo de la guía de implementación
07/12/2022 20 16/12/2022
para el SOC.
Completar las conclusiones y el glosario del TFM. 16/12/2022 8 20/12/2022
Corrección de la memoria del Trabajo. 20/12/2022 18 27/12/2022
Reunión de seguimiento con el tutor del TFM (III). 21/12/2022 1 21/12/2022
Revisión final de la memoria del trabajo. 27/12/2022 16 02/01/2023
Creación de la presentación en diapositivas. 02/01/2023 20 09/01/2023
Entrega de la memoria de trabajo. 09/01/2023 1 10/01/2023
Tabla 6 - Planificación temporal del hito 4.
Del mismo modo que en los casos anteriores, a continuación, se indica el diagrama de
Gantt para este hito:
15
Ilustración 7 - Diagrama de Gantt del Hito 5.
16
Ilustración 9 - Diagrama de Gantt del TFM.
17
Además, la planificación temporal completa para el proyecto es la siguiente:
18
1.7.1 Capítulo 2: Análisis del marco teórico de un SOC
En este capítulo se realizará un análisis de todo lo relacionado con el concepto de
SOC y establecerá una explicación de su definición, sus tipos, sus beneficios y su
razón de ser. Además, se realizará un análisis y estudio de las buenas prácticas para
su diseño, de cara a su implementación. Por ello, se recopilarán y ordenarán todas las
acciones que se necesiten para crear la guía final de implementación de este servicio,
así como sus estrategias, planteamientos, requisitos mínimos y tipos de
implementación, entre otros.
19
1.7.6.2 Anexo 2: Análisis del marco metodológico y legal de un SOC
20
2. Análisis del marco teórico y funcional de
la implementación de un SOC
Tras realizar un análisis y estudio del marco preliminar y conceptual de un SOC10, en
donde se resumen los conceptos necesarios para la comprensión de la gestión de la
Seguridad de la Información y de la ciberseguridad aplicables al funcionamiento diario
de un SOC, y otro análisis y estudio del marco metodológico y legal aplicable a un
SOC 11 , en donde se citan y definen los estándares, normativas, metodologías
internacionales y las disposiciones legales vigentes más importantes y relevantes para
este equipo de ciberseguridad, a continuación, se explica y describe el significado que
tiene el propio SOC, así como sus objetivos, beneficios, tipos, posibles equipos que lo
integran y resto de conceptos y particularidades obtenidos del análisis y estudio de su
marco teórico, con el fin de dar a entender los criterios utilizados para su guía básica
de implementación.
Seguridad de la Información.
13 Ver el punto 7.1.1.2 del Anexo 1 para más información sobre las propiedades de la
información.
14 Ver el punto 7.1.3 del Anexo 1 para más información sobre incidentes de ciberseguridad.
21
Implantar y administrar las tecnologías de ciberseguridad, gestionar su
monitorización en tiempo real y actualizar y optimizar sus configuraciones.
Gestionar la Seguridad de la Información de los equipos de los puestos de
trabajo de los usuarios, de los entornos de servidores y de todos los elementos
interconectados en la red de la organización para la que desempeñen sus
funciones.
Analizar las situaciones críticas de Seguridad de la Información realizadas por
auditores o por los propios equipos de ciberseguridad y contener, mitigar y/o
remediar los eventos e incidentes de ciberseguridad resultantes.
Gestionar los riesgos, las vulnerabilidades y las amenazas 15 a la
ciberseguridad, en donde se debe ser capaz de minimizar la ventana de
exposición de los activos de información y de permitir la detección de aquellos
elementos que suponen un riesgo para la organización.
Respetar y cumplir con todos los estándares y requisitos normativos 16
adoptados por la organización, las políticas de negocio decretadas por su alta
dirección y las disposiciones legales 17 vigentes en todos sus ámbitos de
aplicación, así como en la implementación de todos sus procesos y
procedimientos.
Dominios
Descripción
fundamentales
Se trata del dominio que se enfoca en el detalle de los
procedimientos y protocolos que se deben ejecutar para
Procesos19
proteger, prevenir, detectar y reaccionar ante los incidentes
de ciberseguridad.
Se trata del dominio que se enfoca en las herramientas y
soluciones que se deben usar para ejecutar los procesos de
Tecnologías20
monitorización y gestión de ciberamenazas, brechas e
incidentes de ciberseguridad.
15 Ver el punto 7.1.2 del Anexo 1 para más información sobre la gestión de riesgos, de
vulnerabilidades y de amenazas.
16 Ver los puntos del 7.2.1 al 7.2.14 del Anexo 2 para más información sobre las normativas y
un SOC.
22
Se trata del dominio que se enfoca en el talento humano que
debe ejecutar los procesos del SOC mediante el uso de sus
Personas21
tecnologías, así como de definir sus competencias y su
conocimiento y experiencia requerida.
Tabla 10 - Dominios fundamentales de un SOC.
21Ver el punto 7.3.3 del Anexo 3 para más información sobre el personal y los roles de un
SOC.
22
https://es.wikipedia.org/wiki/Falso_positivo_(inform%C3%A1tica)#:~:text=Un%20falso%20positi
vo%20en%20inform%C3%A1tica,es%20ning%C3%BAn%20virus%20o%20malware.
23
En consecuencia, esta necesidad de supervisar el comportamiento de los sistemas de
protección de la información justifica la necesidad de disponer de personal
especializado en materia de ciberseguridad, que se organice operativamente en un
equipo que vele por la seguridad de sus activos de información interconectados, los
proteja de todo atacante, interno o externo, y realice una buena gestión de sus
funciones para minimizar los incidentes y brechas de seguridad, así como de evitar las
pérdidas económicas y de reputación que éstos puedan causar. Este equipo operativo
de ciberseguridad dentro de la organización se llama SOC y cumple con todas las
necesidades descritas anteriormente para justificar totalmente la inversión que una
organización debe hacer para su implementación y explotación. Al fin y al cabo,
realizar una buena gestión de la ciberseguridad se considera esencial para el correcto
funcionamiento del negocio de toda organización y plantear la implementación de un
SOC, la consecuencia de su estado avanzado de madurez en el ámbito de la
ciberseguridad.
Aportación Beneficios
24
Mejora de las herramientas y tecnologías de
ciberseguridad.
Conocimiento y experiencia de tecnologías en materia de
ciberseguridad.
Eficacia tecnológica
Mejora de las configuraciones y reglas de detección.
Mejora de los recursos tecnológicos.
Mejora de la visibilidad del tráfico de red a nivel de
ciberseguridad.
Paso de actitud reactiva a una proactiva.
Reacción ante
Implantación de estrategias de defensa anticipada.
amenazas, brechas e
incidentes de Disminución de esfuerzos para perseguir las amenazas
ciberseguridad. por detecciones tempranas.
Respuesta ante incidentes en tiempo real.
25
2.5 Modelos de SOC
Las organizaciones que deseen implantar un SOC entre sus diferentes áreas
operativas de su gestión, deben tener en consideración los diferentes modelos de
SOC existentes para, en base a su tipo negocio, estructura y tamaño, entre otros
factores de interés, poder diseñar e implementar el que más de adecúe a sus intereses
estratégicos. Por tanto, entre otros posibles, existen los diferentes modelos:
23 https://secuora.es/blog/que-es-un-mssp-o-proveedor-de-servicios-de-seguridad-gestionados/
26
Se trata del SOC que se gestiona a través de una
suscripción a un proveedor externo de servicios de
SOC como Servicio seguridad gestionados (MSSP) o a un programa software
(SOCaaS) contratado en la nube, que cuenta con sus propios recursos
y opera con las funciones acordadas para prestar el servicio
en el intervalo pactado.
Tabla 12 - Modelos de SOC.
Debido a esto, como en todos los proyectos y servicios operativos, los SOC se
enfrentan a desafíos comunes en las organizaciones que les afectan y pueden
llevarles al fracaso parcial o total del cumplimiento de sus funciones. Algunos de estos
riesgos pueden ser los siguientes:
Carencia de compromiso de la dirección de la organización y/o del SOC.
Errores en la gestión del propio SOC.
Carencia de implicación de los usuarios.
Ausencia de conocimiento técnico por parte del personal del SOC.
Errores de configuración o estabilidad de la tecnología.
Relaciones deficientes con otros departamentos operativos.
Carencia de supervisión del equipo del SOC.
Ausencia de dedicación del responsable del SOC.
Reuniones de seguimiento y control largas y tediosas.
Documentación insuficiente de progreso y seguimiento.
Errores de dimensionamiento de los recursos y del tiempo.
Errores en la gestión de roles y responsabilidades del personal del SOC.
Ambientes de trabajo tóxico.
Ausencia de comunicación en el propio SOC o con los clientes.
Errores en la identificación y análisis de los riesgos.
Errores en la definición del alcance y complejidad del SOC.
27
Igualmente, a continuación, se indican los desafíos más importantes a los que se
enfrentan los diferentes SOC de manera generalizada junto a algunas de sus posibles
soluciones:
28
Riesgo principal:
Debido al incremento de las amenazas de ciberseguridad y
la complejidad de los ciberataques, las organizaciones cada
vez incluyen más herramientas y sistemas que las protejan
en sus diferentes vectores de ataque24, por lo que los SOC
cada vez se encuentran con más fuentes de análisis y más
eventos que monitorizar y analizar, lo que puede provocar
que su personal no sea capaz de abarcar la supervisión de
Gestión de múltiples todas estas tecnologías y se puedan escapar eventos e
tecnologías de incidentes de ciberseguridad graves.
ciberseguridad Posibles soluciones:
Determinar una priorización de las tecnologías a
supervisar.
Centralizar los eventos de todas las tecnologías en un
único visor que los correlacione y priorice.
Asumir el riesgo de no atender los eventos de todas las
tecnologías.
Redimensionar el personal del SOC para asumir la carga.
Riesgo principal:
Debido a las necesidades de protección, prevención,
detección y respuesta ante amenazas e incidentes de
ciberseguridad y a la evolución de las ciberamenazas y sus
ciberataques, las organizaciones intentan destinar cada vez
más personal a las actividades y tareas que realizan los
SOC, así como añadir nuevos servicios, actividades y tareas
más complejas que las que ya se realizan. Sin embargo, la
experiencia en ciberseguridad no se encuentra con facilidad
en el personal de la organización que no se haya dedicado a
Escasez de esta materia y las nuevas habilidades tampoco se adquieren
sin formación y práctica, por lo que puede suponer un
experiencia en
materia de problema de crecimiento y mejora continua en materia de
ciberseguridad ciberseguridad para las organizaciones.
Posibles soluciones:
Formar y capacitar al personal a destinar al SOC antes
de asignarle actividades de ciberseguridad y al personal
existente en el SOC sobre aquellas tareas complejas que
se quieran añadir.
Automatizar procesos para facilitar la integración de
nuevo personal y nuevas tareas.
Contratar personal formado en las actividades complejas
que se quieran añadir al SOC o subcontratar el servicio a
MSSP.
24 https://keepcoding.io/blog/que-es-un-vector-de-ataque-en-ciberseguridad/
29
Riesgo principal:
Debido al confinamiento mundial por la COVID-19 en el año
2020, las organizaciones se han adaptado a nuevas formas
de trabajo, en donde se destacan el trabajo en remoto y las
reuniones virtuales. Sin embargo, de manera genérica, estas
organizaciones no han desarrollado ni actualizado los
procesos de gestión y balanceo de cargas de trabajo del
personal de los SOC, sino que han sobrevivido a las
circunstancias y han medido los resultados obtenidos de
manera grupal sin observar individualmente al personal. Por
Control de las cargas tanto, existe la posibilidad de que provoque que una parte
de trabajo del del equipo se sature con el trabajo que asume y la otra se
personal desmotive por no recibir el suficiente trabajo.
Posibles soluciones:
Atender a las actividades y tareas que realiza cada
recurso humano del SOC.
Realizar una tarea de reparto (dispatcher) de actividades
para balancear la carga de trabajo y las propias
actividades entre el personal del equipo.
Vigilar la salud mental del personal del SOC (estrés,
agonía, aburrimiento, motivación…) y remediar cualquier
inconveniente que se detecte.
Riesgo principal:
Debido al aumento de las alertas de ciberseguridad, los
analistas de los SOC necesitan más tiempo para poder
analizar los eventos alertados y determinar los diferentes
tipos de casos que se detecten, entre los que se destacan
los más repetitivos, que requieren siempre de las mismas
acciones de contención, mitigación o solución. Esto puede
provocar que, por una parte, el personal se aburre y
desmotive por realizar tareas repetitivas y, por otra, que se
dejen de atender casos críticos por saturación de tareas
Automatización de monótonas.
tareas y actividades Posibles soluciones:
básicas y comunes Analizar las diferentes alertas de ciberseguridad y
automatizar todas aquellas que sean repetitivas en
cuanto a las acciones a realizar.
Automatizar una priorización de las alertas de
ciberseguridad que se base en el análisis dinámico de los
eventos alertados.
Automatizar las tareas más administrativas del análisis de
los eventos alertados, como la obtención de la
información de contexto de los IoC o la escritura de esta
información obtenida en las herramientas de gestión de
ticketing.
30
Riesgo principal:
Debido a la aparición del trabajo en remoto como una nueva
forma de trabajo masivo en las organizaciones, el personal
del SOC y de cualquier ámbito, entre otros factores, tiene la
facilidad de encontrar proyectos más enriquecedores para su
desarrollo profesional y/o mejores condiciones en otras
entidades en las que puede desarrollar sus actividades
desde el mismo lugar en el que lo realiza actualmente (en
remoto), por lo que retener al personal y su talento puede
resultar bastante complicado.
Retención del talento Posibles soluciones:
Mejora de las condiciones al personal, en donde no sólo
se valoren los factores económicos, sino también
motivacionales, con horarios flexibles y personales.
Formación en ámbitos de la informática, las
telecomunicaciones, la ingeniería en general, la
ciberseguridad y los idiomas con certificaciones o
formación reglada, en donde se puedan crear contratos
de permanencia.
Atender a las necesidades de crecimiento profesional del
personal del SOC.
Tabla 13 - Desafíos a los que se enfrenta un SOC.
25 Ver el punto 7.1.2.4 del Anexo 1 para más información sobre la gestión de las
ciberamenazas.
26 Ver el punto 7.1.3 del Anexo 1 para más información sobre incidentes de ciberseguridad.
31
Se trata de la verificación continua, identificación y el análisis
Gestión de las sistemático de las debilidades y errores de los diferentes
vulnerabilidades activos de información de una organización, con el fin de
parchearlos y mitigarlos o solventarlos.
Se trata del almacenamiento de todo el historial de
Mantenimiento de los comunicaciones y actividades que realizan los diferentes
registros logs de los activos de información de una organización para localizar las
activos acciones que han podido ser el origen de un suceso
sospechoso o una anomalía.
Se trata de la clasificación de la criticidad de las alertas que
se detecten por eventos o incidentes de ciberseguridad en
Categorización de las
base a su potencial impacto y gravedad en los activos de
alertas
información, con el fin de tratar las más críticas y urgentes
antes que las demás.
Se trata de la implementación, administración, supervisión y
mantenimiento de las herramientas, sistemas y aplicaciones
Gestión de la
de Seguridad de la Información con las que se protegen los
tecnología de
activos de información de una organización, se previenen,
ciberseguridad
detectan y reaccionan ante las amenazas de ciberseguridad
para su correcto uso y funcionamiento.
Se trata de la administración, mantenimiento, almacenaje y
ejecución de las copias de seguridad de los datos más
importantes de los activos de información de una
Gestión de copias de
organización, con el fin de poder recuperar cualquier activo
seguridad
afectado por un incidente de seguridad mediante la
información correcta que ha sido almacenada cuando no se
encontraba afectado.
Se trata del control y seguimiento del cumplimiento de los
Gestión del
estándares y requisitos normativos y legales adoptados por
cumplimiento
la organización, sus políticas de negocio y la implementación
normativo
de todos sus procesos y procedimientos al respecto
Tabla 14 - Funciones básicas de un SOC.
Asimismo, con el paso del tiempo y el trabajo diario, la organización y los diferentes
Equipos de Seguridad de la Información 27 adquieren más experiencia y, por
consiguiente, mayor grado de madurez. Por tanto, además de las funciones básicas,
los diferentes SOC también pasan a realizar funciones más avanzadas que le
conceden más responsabilidades, mayor criterio y más reputación dentro de la propia
organización. Por tanto, entre las funciones avanzadas más importantes para un SOC,
se pueden señalar las siguientes:
27Ver el punto 7.1.1.6 del Anexo 1 para más información sobre los diferentes equipos de
Seguridad de la Información
32
Se trata de la supervisión continua del comportamiento de
todos los elementos interconectados en la red de la
organización para establecer medidas reactivas o proactivas
Monitorización del
ante sucesos extraños o no deseados. Debido a esto, se
comportamiento de
debe realizar un estudio previo de las actividades que
los activos
realizan esos activos de información para controlar sus
actividades y valorar las que se puedan considerar
sospechosas.
Se trata de la enseñanza y concienciación en materia de
Formación interna en ciberseguridad a los usuarios internos y externos
materia de intervinientes de una organización ante las diferentes
ciberseguridad situaciones que pueden poner en peligro su información y la
de la propia organización.
Se trata de la identificación, monitorización y rastreo de
Inteligencia de indicadores de compromiso (IoC)28 que pueden indicar una
ciberamenazas potencial amenaza de ciberseguridad en alguno de los
activos de información de una organización.
Se trata de la detección, alerta y comunicación de
debilidades e indicadores de compromiso (IoC) que pueden
Notificación precoz
indicar una potencial amenaza de ciberseguridad en un
de vulnerabilidades y
estado inicial, antes de que se pueda producir una amenaza
amenazas
o suceso no deseado, en alguno de los activos de
información de una organización.
Se trata del conjunto de recursos, herramientas y personal
humano que realiza las tareas de recepción y diagnóstico
Service Desk de inicial de los problemas de ciberseguridad notificados por los
ciberseguridad usuarios a la organización para su tramitación con el SOC u
otro departamento operativo de Seguridad de la Información
de la organización.
Se trata de la monitorización continua de información de los
Cibervigilancia de
activos y datos de una organización en las redes interna (por
activos de
segmentación) y externa (Internet) para detectar fugas de
información digitales
información y brechas de ciberseguridad.
Se trata de la identificación, recuperación y estudio de los
Análisis forense de
datos de los activos de información de una organización para
Seguridad de la
obtener algún tipo de información desconocida, dañada,
Información
perdida o que puede haber constituido algún tipo de delito.
Tabla 15 - Funciones avanzadas de un SOC.
28 https://www.cronup.com/la-importancia-de-los-indicadores-de-compromiso-ioc-en-la-
ciberseguridad/
33
Áreas centrales de
Descripción
SOC
29 Ver el punto 7.1.4.3 del Anexo 1 para más información sobre los mecanismos de detección y
respuesta.
30 Ver el punto 7.1.4.2 del Anexo 1 para más información sobre los mecanismos de prevención.
34
Área de gestión del Se trata del área del SOC que engloba los mecanismos de
Estado actual notificación y alerta y los servicios de obtención y análisis de
datos. Sus principales procesos pueden ser:
(Situational Adquisición y recolección de datos e información.
Awareness Análisis y síntesis de datos e información
Management Area) Comunicación y reporte de la actualidad de la
ciberseguridad de la organización.
Tabla 16 - Áreas centrales de un SOC.
Por consiguiente, en base a estas áreas centrales de servicios, de acuerdo con la alta
dirección de la organización en la que se desee implementar un SOC y en
consideración con los recursos con los que se cuente, la persona responsable del
SOC debe decidir, definir y validar los servicios se deben prestar para cumplir con los
objetivos de ciberseguridad del negocio en la organización. Además, estos servicios se
deben cumplir según los acuerdos de nivel de servicio (ANS o SLA)31 y se deben
mejorar continuamente según los reportes de actualidad detectados en auditorías y
avances de las amenazas, la tecnología y las investigaciones.
Estrategias Descripción
Estrategia que permite el acceso y uso de los recursos,
Promiscua
pero que apenas los registra.
Estrategia que permite el acceso y uso de los recursos,
Permisiva salvo los bloqueados manualmente, y que los registra
todos.
Estrategia que no permite todos los accesos ni uso de los
Prudente
recursos, pero que conoce y registra todo lo que sucede.
Estrategia que bloquea todos los accesos y usos de los
Paranoica recursos, salvo los permitidos manualmente, y que los
registra todos.
Tabla 17 - Estrategias de ciberseguridad por permisos y registros.
31 https://es.wikipedia.org/wiki/Acuerdo_de_nivel_de_servicio
35
Estrategias de ciberseguridad por aceptación/denegación:
Estrategias Descripción
Aceptación Estrategia que permite todo lo que no se prohíbe
por defecto explícitamente.
Denegación Estrategia que prohíbe todo lo que no se permite
por defecto explícitamente.
Tabla 18 - Estrategias de ciberseguridad por defecto.
32Ver el punto 7.1.1.4 del Anexo 1 para más información sobre los tipos de Gestión de la
Seguridad de la información.
36
Contratación de personal capacitado y experimentado en materia de
ciberseguridad para los diferentes niveles del SOC.
Definición del marco metodológico y de la estrategia por el que se rige el
funcionamiento del SOC.
Asignación presupuestaria para la implementación, mantenimiento y mejora
continua del SOC, sus herramientas y personal humano.
Definición de los servicios y procesos de negocio del SOC.
Definición de los protocolos de asignación, clasificación y respuesta ante
incidentes de ciberseguridad.
37
Cuestiones previas
Descripción
para crear un SOC
Se necesita que se responda a las preocupaciones de la
¿Cuáles son las
organización por la que desea la implementación de un SOC
prioridades en
y se indique si su objetivo principal se centra en la protección
materia de
de los activos de información, en el cumplimiento normativo
ciberseguridad?
y legal, en su propio modelo de negocio o en otro aspecto.
Se necesita que se responda a las condiciones
presupuestarias, tecnológicas, de personal y de
¿Con qué
infraestructura de las que dispone la organización para
condiciones cuenta la
invertir en ciberseguridad. Por tanto, se requiere que se
organización para
indique si dispone de suficiente presupuesto para acometer
destinar a la
el proyecto de implementación de un SOC, si cuenta ya con
ciberseguridad?
tecnología actual de ciberseguridad para su uso y si dispone
de personal especializado en esta materia.
Se necesita que se responda a los requisitos más
¿Qué necesidades importantes de la organización y se indique, en base a las
del ámbito de la condiciones con las que ya cuenta, si necesita algún
ciberseguridad tiene equipamiento tecnológico concreto, algún un tipo de rol
la organización? específico para su personal o realizar pruebas de
penetración33, por ejemplo.
Se necesita que se responda a si se desea implementar un
¿Qué tipo de
SOC interno34, con toda la información en la infraestructura
implementación y
corporativa, o un SOC externo35, con la información en un
formato de SOC se
proveedor de servicios, así como que se indique el modelo
quiere desarrollar?
de SOC36 que se quiere desarrollar.
¿Qué disponibilidad y Se necesita que se responda al tipo de servicio que se
horarios de actividad requiere para la protección de los activos de información de
se requieren para la una organización y se indique si se requiere 24x7, 8x5 u otro
ciberseguridad? formato en horas x días de la semana.
Se necesita que se responda al tipo de activos de
¿Qué activos de
información que se necesita proteger para garantizar la
información debo
seguridad y continuidad de los procesos de negocio durante
proteger?
toda su actividad.
¿Qué activos de Se necesita que se responda al tipo de activos de
información información que se encuentran desactualizados o con
presentan debilidades para valorar el coste de sus actualizaciones y
vulnerabilidades? remediaciones.
Se necesita que se responda al tipo de ataques que más se
¿Qué tipos de ataque
reciben en la organización para balancear correctamente los
reciben los activos de
procesos y recursos tecnológicos y humanos de protección,
información?
prevención, detección y respuesta.
Tabla 19 - Cuestiones previas a la implantación de un SOC.
Además, este ejercicio requiere que sus diseñadores sean lo más objetivos y realistas
posibles para poder contestar adecuadamente y realizar, entre otros, un correcto
dimensionamiento del equipo de trabajo, una asignación presupuestaria adecuada de
la tecnología y una elección eficiente de los procesos, roles y servicios.
33 Ver el punto 7.1.4.2.1 del Anexo 1 para más información sobre las Principales medidas de
prevención, como las pruebas de penetración.
34 Ver el punto 2.10.1 para más información sobre la implementación de SOC internos.
35 Ver el punto 2.10.2 para más información sobre la implementación de SOC externos.
36 Ver el punto 2.5 para más información sobre los Modelos de SOC.
38
2.12 Requisitos mínimos para definir un SOC
La definición de un SOC necesita tener en consideración todos los aspectos técnicos y
funcionales de la organización en la que se desee implementar para conseguir alinear
todos sus procesos de negocio con los de ciberseguridad en sus diferentes áreas y
estructuras funcionales para proteger sus objetivos empresariales y organizativos. Por
ello, también se necesitan tener en consideración todos los aspectos relacionados con
la gestión interna, como son la publicitación de la nueva área de ciberseguridad a todo
el personal de la organización, el conocimiento de sus labores y la comunicación de
sus Planes de acción para su correcto funcionamiento. Por tanto, a continuación, se
indican algunos de los principales requisitos básicos que toda organización necesita
para definir un SOC:
Requisitos mínimos
para la definición de Descripción
un SOC
Toda organización necesita que se realice una supervisión
continua y exhaustiva de todas las actividades que se
ejecutan para el correcto funcionamiento de los diferentes
procesos de negocio, por lo que, en materia de
Área de Seguridad de
ciberseguridad, también se necesita que exista un área
la Información
responsable que se encargue de diseñar, implementar y
supervisar el correcto funcionamiento del SOC y que, por
ejemplo, puede estar situado en la alta dirección de la
organización.
Toda organización necesita que se minimicen los riesgos de
Seguridad de la Información a los que se encuentran
Control de riesgos y
expuestos y las interrupciones de disponibilidad que atentan
disponibilidad
contra su negocio, por lo que requiere que el SOC se diseñe
para que cumpla con estas necesidades.
Toda organización necesita que se designen y atribuyan los
roles y responsabilidades de los diferentes procesos de
Asignación de negocio, entre los que se encuentran los de ciberseguridad,
responsabilidades por lo que se requiere que se determinen, documenten y
notifiquen la atribución de competencias del SOC y su
personal.
Toda organización precisa que se controlen, prevengan y
gestionen todas las amenazas a la seguridad de sus activos
de información que puedan afectar a sus procesos de
Registro de las
negocio, sus clientes, su reputación y, entre otros, su
amenazas
economía, por lo que requiere que el SOC se construya para
alertar y reaccionar con rapidez, con el fin de protegerla de
todos esos posibles sucesos negativos.
Toda organización necesita que sus diferentes áreas y
equipos se coordinen y se integren para generar la menor
sobrecarga administrativa al personal humano, con el fin de
Disminución de la que puedan cumplir con sus funciones y procesos de
sobrecarga negocio de manera ágil. Por tanto, se requiere que el SOC y
administrativa sus procesos de ciberseguridad se diseñen con los
suficientes permisos, privilegios y controles para que no
requieran de trámites administrativos que retrasen su
operatividad y protección.
39
Toda organización precisa de procedimientos, manuales y
documentación específica sobre los servicios y procesos de
negocio, entre los que entran los de ciberseguridad, del
Creación de funcionamiento interno del SOC y de su integración con las
documentación demás áreas de la organización, por lo que se requiere que
se genere, mantenga y gestione el ciclo de vida de toda la
documentación necesaria para el establecimiento del SOC
en la organización y su interrelación con las demás áreas.
Toda organización necesita que se verifique el estado de sus
controles en materia de ciberseguridad para cumplir con las
disposiciones normativas, regulaciones legales vigentes y
Auditorías de
políticas internas, con el fin de plantear la posibilidad de
Seguridad de la
buscar certificaciones y reconocimiento por reputación, por lo
Información
que requiere que el SOC se diseñe para que cumpla y
verifique el cumplimiento de todas estas características por
todas las partes.
Toda organización necesita que registren y comuniquen
todos los sucesos, eventos e incidentes de seguridad con
mayor criticidad localizados en su red y se responda y
Notificación y recuperen los servicios que puedan verse afectados, por lo
recuperación de que se requiere que el SOC se diseñe con las herramientas
problemas necesarias para poder garantizar el registro y la
recuperación de todos los sucesos negativos de los
diferentes servicios y procesos de negocio de la
organización.
Toda organización necesita que sus herramientas soporten
diferentes roles y niveles de actividad para cumplir con las
Herramientas distintas responsabilidades y separar la información para que
basadas en roles sólo la vea el personal autorizado, por lo que se requiere que
se diseñen el SOC y sus herramientas para que puedan
soportar y visualizar diferentes vistas de información.
Toda organización necesita que se alimente una base de
datos de conocimiento con la información de todos los
problemas ocurridos en sus procesos de negocio para evitar
Aprendizaje de los que vuelvan a ocurrir o actuar lo más rápido posible para su
problemas e solución, por lo que, en materia de ciberseguridad, se
incidentes necesita que se diseñe el SOC con personal capacitado para
realizar acciones forenses sobre los incidentes de seguridad
detectados y anotar todas sus características, acciones
realizadas y soluciones aplicadas.
Toda organización necesita que sus alertas y sucesos de
ciberseguridad se correlacionen y se centralicen en una
única vista para entender el comportamiento de los eventos
e incidentes de seguridad en sus diferentes etapas, así como
Gestión de registros que se verifique su impacto, criticidad y veracidad, por lo que
de ciberseguridad se requiere que el SOC se diseñe para que configure la
ingesta de los registros de logs de los sistemas de
información en un único punto y su posible relación en las
diferentes partes del reconocimiento y, además, gestione
estos eventos resultantes y actúe en consecuencia.
40
Toda organización necesita que sus tecnologías y
herramientas cumplan con todas las necesidades de la
organización para garantizar un buen funcionamiento de sus
Tecnología y
procesos de negocio, por lo que se requiere que, para el
herramientas
diseño de un SOC, se utilicen y actualicen las herramientas
potentes
en materia de Seguridad de la Información que ya están
disponibles en la organización y se integren todas aquellas
que sean necesarias para mejorar los procesos de negocio.
Toda organización precisa que se monitorice la actividad de
todos sus activos y sistemas de información para generar
valor en materia de ciberseguridad, por lo que se requiere
Rango de cobertura que el SOC se diseñe para que, en su implantación y
mantenimiento diario, dé soporte y cobertura a todos los
dispositivos de red de la organización, desde el perímetro
hasta los servidores y puestos de usuario.
Toda organización necesita que se actúe en tiempo real o lo
antes posible ante un cualquier ciberincidente de seguridad
Respuestas rápidas que le afecte, por lo que se necesita que se configuren el
ante problemas de SOC y todas sus herramientas para que se detecten las
ciberseguridad alertas en tiempo real y se reaccione ante ellas lo antes
posible para solucionar o mitigar el problema que éstos
puedan causar en la mayor celeridad posible.
Toda organización requiere que la gestión de su
ciberseguridad se realice durante todo el tiempo que
desarrolla sus actividades de negocio y se expone ante
posibles riesgos y amenazas, por lo que se necesita que se
Intervalo de actividad
diseñe el SOC para que realice sus funciones durante todo
el intervalo de tiempo en el que se desarrolla el negocio, sea
24x7 (24 horas de los 7 días de la semana), 16x5 (16 horas
diarias durante 5 días) o cualquier otro intervalo.
Toda organización necesita combinar sus diferentes áreas
funcionales y operativas con el área de ciberseguridad para
garantizar su correcta protección, por lo que se necesita que
se diseñen los procesos de negocio que desarrolle el SOC
Integración de la
junto con los demás procesos de negocio y el propio SOC
ciberseguridad en la
junto a las demás áreas funcionales, como puede ser un
organización
NOC 37 (Centro de Operaciones de Red), para facilitar la
prevención, detección y reacción ante incidentes y brechas
de ciberseguridad y maximizar la eficacia de los procesos de
negocio.
Toda organización necesita de personal experto y
capacitado para ejecutar las funciones que se le hayan
asignado para los diferentes procesos de negocio, por lo
que, en materia de ciberseguridad, también se requiere de
Talento Humano
personal especializado en este ámbito para realizar un
correcto análisis y reacción ante los diferentes sucesos
negativos a los que se pueda ver expuesta la organización
para la que trabaja.
37 https://es.wikipedia.org/wiki/Centro_de_Control_de_la_Red
41
Las organizaciones deben comunicar internamente a todo su
personal la estrategia en materia de ciberseguridad que
supone la inclusión de un SOC en sus áreas de negocio y
asegurarse de que comprenden su funcionamiento y su
ámbito de actuación intrusivo para que, entre otros:
Publicación interna No se sientan vigilados ni bloqueados en su trabajo
de la existencia del diario, sino respaldados y protegidos digitalmente, en
SOC y de sus cuanto a la información que procesan y las amenazas a
funciones la ciberseguridad que reciben.
No confundan el SOC como un servicio de asistencia de
TI, sino que conozcan que se trata de un área que
verifica los eventos y problemas de ciberseguridad de los
activos de información de manera horizontal en toda la
organización.
Las organizaciones deben proporcionar una infraestructura
tecnológica en materia de ciberseguridad que cubra las
necesidades de protección, prevención, detección y
respuesta ante las amenazas e incidentes de ciberseguridad
que puedan sufrir. No sólo se puede considerar suficiente
Suministro de la con las tecnologías y herramientas ya disponibles por la
infraestructura y las organización e integradas en la fase de diseño, sino que
tecnologías en también se requiere que se evalúe y se invierta en los
materia de sistemas o mecanismos mínimos que cubran todos los
ciberseguridad posibles vectores de ataque y sean lo suficientemente
apropiados para la experiencia y el respaldo de las funciones
de un SOC. Además, como mínimo, debe de suministrarse e
integrarse un SIEM para correlacionar todos los eventos de
ciberseguridad y emitir alertas ante sucesos no deseados o
anómalos.
Tabla 20 - Requisitos mínimos para diseñar un SOC.
38 https://www.enisa.europa.eu/
39 Ver el Capítulo 6 en relación sobre la bibliografía de consulta sobre ENISA.
42
Fases para la
implementación de Descripción
un SOC
Se trata del punto de partida de la implementación de un
SOC, que se centra en indicar las razones, los requisitos y la
Fase 1: necesidad de su implementación, en aprobar el presupuesto
Preparación inicial y en establecer las características necesarias para la
definición del SOC en la siguiente fase, entre otros factores
importantes.
Se trata de la etapa que se centra en la definición del SOC,
Fase 2: en la preparación de las diferentes políticas y planes de
Diseño ejecución del SOC y en su implantación en la organización,
entre otros factores importantes.
Se trata de la etapa que se centra en la elaboración y
estructura del equipo de trabajo del SOC y su asignación de
Fase 3: roles, en la implantación de su tecnología de trabajo, en la
Aplicación creación de los procesos que debe seguir y en el
establecimiento de los servicios que se desean ofrecer
desde el SOC, entre otros factores importantes.
Se trata de la etapa que se centra en la prestación de los
servicios de ciberseguridad por parte del SOC a la
Fase 4:
organización, a través de los procesos creados que ejecuta
Operaciones
su equipo de trabajo y mediante las herramientas
funcionales integradas, entre otros factores importantes.
Se trata de la etapa que se centra en el seguimiento y la
revisión del funcionamiento del SOC para su crecimiento y
Fase 5: mejora, a través de estudios de rendimiento, iniciativas de
Mejora continua mejora y aprobación de nuevo presupuesto para volver a la
fase de Diseño (fase 2) de manera cíclica, entre otros
factores importantes.
Tabla 21 - Fases para la implementación de un SOC.
43
3. Resultados
Enero de 2023
44
Índice
1. Introducción ............................................................................................... 1
2. Hoja de ruta para la implementación de un SOC ...................................... 2
2.1 Fase 1: Preparación ............................................................................. 2
2.1.1 Justificación y razón del SOC ....................................................... 2
2.1.2 Normativas y alineación de procesos con el SOC ........................ 3
2.1.3 Características estratégicas para la implementación del SOC ..... 3
2.1.4 Alcance, objetivos y responsabilidades del SOC .......................... 4
2.1.5 Requisitos mínimos, presupuesto inicial y cronograma del SOC .. 4
2.2 Fase 2: Diseño ..................................................................................... 6
2.2.1 Nombre y definición del SOC y su estructura ............................... 6
2.2.2 Servicios del SOC y sus procesos y flujos de trabajo ................... 6
2.2.3 Plan de formación del SOC ........................................................... 7
2.2.4 Instalaciones del SOC ................................................................... 8
2.2.5 Plan de buenas prácticas para la tecnología del SOC .................. 8
2.2.6 Plan de buenas prácticas para la protección de la organización .. 9
2.3 Fase 3: Aplicación ................................................................................ 10
2.3.1 Aprobación de los Planes diseñados para la creación del SOC ... 10
2.3.2 Cubrimiento de las carencias para la aplicación del SOC ............ 11
2.3.3 Batería de pruebas y puesta en funcionamiento inicial del SOC .. 12
2.4 Fase 4: Operaciones ............................................................................ 12
2.4.1 Puesta en funcionamiento formal del SOC ................................... 12
2.4.2 Seguimiento del funcionamiento del SOC ..................................... 13
2.5 Fase 5: Mejora continua ...................................................................... 14
2.5.1 Iniciativas de mejora para el SOC ................................................. 14
45
1. Introducción
El presente documento ofrece una guía genérica práctica y simple para el
establecimiento de un SOC a cualquier organización que se encuentre interesada en
su implementación, por lo que, básicamente, resume los diferentes análisis y estudios
realizados y abordados en todos los capítulos y anexos de este Trabajo Final de
Máster y ofrece una orientación práctica para su ejecución.
Página 1
46
2. Hoja de ruta para la implementación de un SOC
La implementación de un SOC requiere del diseño previo de una hoja de ruta que
sitúe cronológicamente la evolución del SOC en sus diferentes fases de madurez. Por
tanto, se deben desarrollar un conjunto de normas e instrucciones, llamadas
directrices de buenas prácticas, para la orientación de su puesta en funcionamiento
con las suficientes garantías de éxito. Debido a esto, a continuación, se desarrollan las
directrices necesarias, constituidas en sus diferentes fases, para satisfacer todas las
necesidades organizativas de planificación y ejecución del desarrollo continuo, diseño,
implementación y puesta en marcha de un SOC:
# Acciones Descripción
Identificar a los clientes de la organización, a los
usuarios y a las partes intervinientes para
comprender, evaluar y planificar la satisfacción de
Comprensión de
1 sus expectativas y necesidades en materia de
las necesidades
ciberseguridad (gestión de incidentes de
ciberseguridad, cumplimiento normativo,
concienciación…) a través del diseño de un SOC.
Documentar la idea inicial y las razones por las que
se requiere un SOC y mostrar a la alta dirección de
Justificación de
2 la organización el valor real que puede aportar, con
un SOC
el fin de justificar su implementación y su
presupuesto inicial.
Mantener reuniones de concienciación en materia
Concienciación
de ciberseguridad con los intervinientes y la alta
3 sobre
dirección de la organización en busca de apoyos
ciberseguridad
para la creación e implementación de un SOC.
Elaborar un documento formal con las aportaciones
Aportaciones y y los beneficios que aporta un SOC a la
4 beneficios de un organización para la mejora de la seguridad de sus
SOC procesos estratégicos y de su estabilidad funcional y
firmeza en el negocio.
Tabla 1 - Definición y justificación del SOC.
Página 2
47
2.1.2 Normativas y alineación de procesos con el SOC
# Acciones Descripción
Seleccionar la metodología y las normativas40 que
Selección de la se consideren más óptimas y beneficiosas para el
1 metodología y establecimiento del SOC en la organización y para
las normativas la alineación de sus procesos de negocio con los de
la ciberseguridad.
Estudiar las disposiciones y normativas legales41 en
Análisis de las
materia de Seguridad de la Información para
2 disposiciones
garantizar el cumplimiento de una correcta definición
legales
e implementación del SOC.
Establecer las directrices necesarias para alinear los
procesos de negocio de la organización con los de
Alineación de
3 ciberseguridad que desarrollará el SOC, con el fin
procesos
de integrar los servicios que ofrezca y mejorar su
protección de la información.
Tabla 2 - Normativas y alineación de procesos de negocio con el SOC.
# Acciones Descripción
Definir el paradigma estratégico42 de Seguridad de
la información para definir el SOC y que confluyan
Definición de la las estrategias de negocio de la organización con la
1
estrategia inclusión de la ciberseguridad y se diseñen la
Política de Seguridad de la Información y todos sus
Planes de gestión.
Elección del tipo Seleccionar el tipo43 y modelo44 de implementación
de del SOC que se desea implantar en la organización
2
implementación para realizar una definición del SOC que se adecúe
y modelo de SOC a las necesidades de la organización.
Página 3
40 Ver los puntos del 7.2.1 al 7.2.14 del Anexo 2 para más información sobre las metodologías
y normativas más usuales para el establecimiento de un SOC.
41 Ver el punto 7.2.15 del Anexo 2 para más información sobre las disposiciones legales para
48
Analizar y escoger el rango de operatividad del
SOC para que su definición se ajuste a todo el
Selección del tiempo en el que la organización desarrolla sus
3 intervalo de actividades de negocio y se expone ante posibles
actividad riesgos y amenazas. Estos intervalos pueden ser
24x7 (24 horas de los 7 días de la semana), 16x5
(16 horas diarias durante 5 días) o cualquier otro.
Plantear y responder una serie de cuestiones
previas 45 relacionadas, entre otros, con las
prioridades y condiciones de la organización, los
Cuestionario
activos a proteger, las vulnerabilidades actuales y
4 previo al diseño
los ataques que más se reciben recibidos, con el fin
del SOC
de poder definir su alcance y conocer su nivel actual
de ciberseguridad para guiar en el diseño y la
implementación del SOC.
Tabla 3 - Características estratégicas para la implementación del SOC.
# Acciones Descripción
Documentar de manera formal el alcance del SOC y
Denotación del los objetivos que se desean alcanzar para la
alcance y los detección y protección de los activos y sistemas de
1
objetivos a información en tiempo real y al análisis y respuesta
alcanzar de los eventos e incidentes de seguridad de la
organización.
Documentar de manera formal las
Definición de las responsabilidades que debe asumir el SOC en
2 responsabilidades materia de ciberseguridad para con la
del SOC organización, con el fin de que se cumplan todas
sus funciones46 y los ANS pactados.
Tabla 4 - Alcance, objetivos y responsabilidades del SOC.
Una vez se han definido el SOC y su estructura, se deben planificar y responder a los
requisitos mínimos que se necesitan para definir y diseñar un SOC, así como
desarrollar un cronograma aproximado de alto nivel con sus diferentes etapas de
implantación y, en base a ello, solicitar el presupuesto inicial para su implementación a
la alta dirección. Por tanto, se recomienda que se realicen las siguientes acciones:
Página 4
45 Ver el punto 2.11 para más información sobre cuestiones previas para el diseño de un SOC.
46 Ver el punto 2.7 para más información sobre las funciones que realiza un SOC.
49
# Acciones Descripción
Considerar todos los aspectos técnicos y
funcionales de la organización, como
requisitos mínimos para definir el SOC47, para
conseguir un diseño que alinee todos sus
procesos de ciberseguridad con los de negocio
desde cada una de sus áreas funcionales y
Planificación de con el fin de proteger sus objetivos
1 requisitos mínimos organizativos y empresariales, así como
previos planificar todos los aspectos relacionados con
la gestión interna, como son la publicitación de
la nueva área de ciberseguridad a todo el
personal de la organización, el conocimiento
de sus labores y la comunicación de sus
Planes de acción necesarios para el correcto
funcionamiento SOC, entre otros.
Desarrollar un cronograma aproximado de alto
nivel requiere de calcular el tiempo y los
recursos necesarios para poder abordar todas
Desarrollo del
y cada una de las actividades de las diferentes
cronograma
etapas de implantación de un SOC, como el
que se ilustra a continuación en base al
tiempo:
2
Página 5
47 Ver el punto 2.12 para más información sobre los requisitos mínimos para definir un SOC.
50
2.2 Fase 2: Diseño
Se trata de la etapa que se centra en la definición del SOC, en la preparación de las
diferentes políticas y planes de ejecución del SOC y en su implantación en la
organización, entre otros factores importantes. Normalmente, esta fase dura entre 3 y 6
meses y requiere de las siguientes actividades:
# Acciones Descripción
Tras la definición formal del SOC, en donde se indican los servicios que desea ofrecer
el SOC, se debe diseñar y desarrollar el catálogo de servicios indicados junto a sus
procesos, actividades y flujos de trabajo. Por consiguiente, se recomienda que se
realicen las siguientes acciones:
Página 6
48 Ver el punto 7.2.14.1 del Anexo 2 para más información sobre el RFC 2350.
51
# Acciones Descripción
Realizar un estudio de los servicios incluidos en la
Análisis de los
definición del SOC y catalogarlos en las áreas
1 servicios del
centrales de servicios 49 para especificar sus
SOC
procesos y describir sus flujos de trabajo.
Crear un documento formal con cada uno de los
procesos50 que conforman los diferentes servicios
Descripción de incluidos en el SOC y su definición detallada con su
2 los procesos del descripción, su responsable, su propósito, su
SOC disparador o activador, su prestación en los
servicios en los que actúe, sus directrices y sus
actividades, entre otros.
Incluir en el documento formal de la descripción de
Diseño de los
los procesos del SOC, un diagrama por cada
flujos de trabajo
3 proceso que describa gráficamente el
de los procesos
funcionamiento de las actividades que realizan junto
del SOC
a sus disparadores o activadores y camino a seguir.
Redacción del Crear un documento formal con el conjunto de
catálogo de servicios que se desean ofrecer desde el SOC, su
4
servicios del descripción, sus características, sus procesos y
SOC flujos de trabajo.
Tabla 7 - Servicios del SOC y sus procesos y flujos de trabajo.
Tras la redacción del catálogo de servicios que ofrece el SOC y su selección del
intervalo de actividad en la fase de Preparación, se recomienda que se diseñe y
establezca un Plan de formación inicial de las actividades que debe realizar el SOC.
De esta manera, si el intervalo de actividad se basa en un 24x7, siempre será el
personal del SOC el que realiza las actividades relacionadas con la ciberseguridad y
necesita conocer cómo actuar internamente en la organización en la que presta el
nuevo servicio. Sin embargo, si se basa en 8x5, el resto del tiempo en el que el
personal del SOC no presta servicio, posiblemente, se encargue de atender la
recepción del evento o incidente de ciberseguridad, un operador o alguien relacionado
con las operaciones funcionales de la organización que no tiene por qué conocer cómo
actuar en esos casos. Por tanto, se aconseja que se realicen las siguientes acciones:
# Acciones Descripción
Organizar y estructurar un Plan de formación inicial
con diferentes seminarios, talleres, laboratorios y
Planificación de cursos que cubran las actividades operativas y
1 la formación técnicas que debe realizar el SOC, así como sus
inicial del SOC disposiciones legales, sus normativas de
cooperación y de orientación sobre los servicios y
sus procesos, flujos de trabajo y metodologías.
Página 7
49 Ver el punto 2.8 para más información sobre las Áreas centrales de servicios de un SOC.
50 Ver el punto 7.3.1 del Anexo 3 para más información sobre los Procesos de un SOC.
52
Organizar y estructurar un Plan de formación para el
desarrollo de habilidades necesarias para el
Planificación de personal del SOC y su crecimiento interno en el
la formación área, como pueden ser las competencias
2 para el profesionales (gestión de conflictos, pensamiento
desarrollo de crítico, comunicación, protección de datos, control
habilidades de procesos…) y las competencias de liderazgo
(gestión del personal, gestión de proyectos,
planificación estratégica…).
Tabla 8 - Plan de formación del SOC.
Una vez establecido el Plan de formación que debe realizar el SOC, se tienen que
diseñar unas instalaciones para la prestación de los servicios que ofrece el SOC con
espacios de trabajo separados y con reglamentos y normativas claras para el correcto
funcionamiento del SOC. Por tanto, se aconsejan las siguientes actividades:
# Acciones Descripción
Acondicionar las instalaciones para la prestación de
servicios del SOC que incluya, como mínimo, una
Preparación de
sala para el procesamiento de datos de las
1 las instalaciones
tecnologías, una sala de oficinas para el trabajo
del SOC
diario del personal del SOC y una sala para las
reuniones y recepción de los invitados.
Reformar las políticas de seguridad física de las
Adecuación de
instalaciones del SOC para garantizar un control de
la seguridad
acceso, una supervisión, una evaluación de riesgos
2 física de las
y un impacto sostenible adecuados, así como un
instalaciones
entorno laboral cómodo y apropiado para el
del SOC
funcionamiento diario del personal del SOC.
Tabla 9 - Instalaciones del SOC.
# Acciones Descripción
Página 8
53
Provisión de Automatizar el almacenamiento de copias de
copias de seguridad de la información crítica para facilitar su
2
seguridad de la recuperación y disponibilidad temprana en caso de
información desastre.
Dividir las redes de la organización en diferentes
Segmentación
áreas (producción, DMZ, pruebas…) protegidas por
3 de la red de la
cortafuegos51 para dar mayor seguridad al acceso a
organización
los servicios y sistemas de información.
Elegir correctamente los servicios que se prestan
desde las instalaciones físicas de la organización y
Selección de la
desde la nube a través del estudio y valoración de
ubicación de
4 los riesgos en contra de la disponibilidad y sus
servicios del
costes para garantizar lo máximo posible la
SOC
seguridad de la información confidencial, secreta o
privada.
Automatizar todos los posibles procesos de gestión
tecnológica para mejorar la eficiencia de la
prestación de servicios del SOC, entre los que se
Automatización recomiendan encarecidamente los de los gestión de
5
de los procesos ticketing52, los de gestión de información y eventos
de seguridad 53 para correlacionar y centralizar la
información y los de publicación de alertas y
vulnerabilidades54.
Tabla 10 - Plan de buenas prácticas para la tecnología del SOC.
# Acciones Descripción
Diseñar un programa para realizar una gestión de
Gestión de los los riesgos a la ciberseguridad de la organización,
1 desafíos y basado en sus diferentes fases 56 , y combatir los
riesgos55 desafíos a los que se enfrente la implementación del
SOC, con el fin de minimizar sus amenazas.
Página 9
51 Ver el punto 7.3.2.1 del Anexo 3 para más información sobre Cortafuegos (Firewall).
52 Ver el punto 7.3.2.11 del Anexo 3 para más información sobre herramientas de gestión de
ticketing.
53 Ver el punto 7.3.2.4 del Anexo 3 para más información sobre los sistemas de gestión de
Riesgos.
54
Firmar acuerdos de colaboración para compartir
información sobre vulnerabilidades y amenazas de
ciberseguridad con otros SOC y equipos de
Creación de
respuesta ante incidentes de ciberseguridad y
2 alianzas de
diseñar los procedimientos y protocolos de
colaboración
cooperación para unificar conocimientos y combatir
juntos contra los atacantes de la seguridad de los
activos de información.
Diseñar la implementación de un Sistema de
Gestión de la Seguridad de la información (SGSI) en
la organización para que adopte una postura
favorable ante las tareas en materia de
Implantación de
3 ciberseguridad que debe realizar un SOC. En el
un SGSI57
caso de que se encuentre ya implementado, se
recomienda que se realice una evaluación y se
compare con las buenas prácticas y directrices
indicados en la norma ISO/IEC 2700158.
Tabla 11 - Plan de buenas prácticas para la protección de la organización.
Una vez realizadas las actividades de la fase de diseño, se deben aprobar todos los
Planes trazados para su aplicación e implantación en el SOC. Por tanto, se
recomienda que se realicen las siguientes actividades:
# Acciones Descripción
Aprobación de Aprobar y aplicar la estructura organizativa diseñada
1 la estructura del para el SOC y definir los diferentes puestos y roles
SOC de su personal.
Aprobación de Aprobar y fundar las instalaciones diseñadas y
2 las instalaciones acondicionadas para el SOC y difundir internamente
del SOC y controlar sus políticas de seguridad física.
Aplicación de Aprobar y aplicar los documentos formales de cada
3 los procesos y uno de los procesos y flujos de trabajo para
flujos de trabajo formalizar la prestación de servicios del SOC.
Página 10
57 Ver el punto 7.1.1.5 del Anexo 1 para más información sobre los sistemas de Gestión de la
Seguridad de la información (SGSI).
58 Ver el punto 7.2.1.2 del Anexo 2 para más información sobre la normativa ISO/IEC 27001 en
su última versión.
55
Aprobar, aplicar y ejecutar la implementación del
Aprobación de Sistema de Gestión de la Seguridad de la
la información (SGSI) diseñado para la organización o,
4
documentación en su caso, aprobar y ejecutar los resultados de su
del SGSI evaluación, así como la ejecución y capacitación de
sus procedimientos de gestión detallados.
Aprobar y ejecutar el Plan de formación diseñado
Aprobación del para el aprendizaje de conocimientos teórico-
5 Plan de prácticos del personal del SOC y para el desarrollo
formación de las habilidades necesarias para el cumplimiento
de sus funciones.
Aprobar, difundir y capacitar internamente los
Aprobación de
procedimientos y protocolos de cooperación
los protocolos
6 diseñados para compartir los conocimientos
para las alianzas
relacionados con las amenazas de ciberseguridad y
de colaboración
combatir en conjunto a sus atacantes.
Aprobar y ejecutar el programa para de gestión de
Aprobación de los riesgos a la ciberseguridad de la organización
7 la gestión de los diseñado para proteger a la organización mediante
riesgos la prevención temprana de las amenazas que pueda
sufrir.
Tabla 12 - Aprobación de los Planes diseñados para la creación del SOC.
Una vez aprobados los Planes diseñados para la aplicación e implantación del SOC,
se deben cubrir las carencias de personal y tecnologías para el correcto
funcionamiento de los servicios diseñados y aprobados que presta el SOC. Por tanto,
se aconseja que se realicen las siguientes actividades:
# Acciones Descripción
Página 11
59Ver el punto 7.3.3 del Anexo 3 para más información sobre Personal y estructura de roles de
un SOC.
56
2.3.3 Batería de pruebas y puesta en funcionamiento inicial del SOC
Tras cubrir las carencias de diseño tecnológico y personal del SOC, se deben realizar
las pruebas necesarias para comprobar su correcto funcionamiento y poner en marcha
los servicios que debe prestar el SOC a modo de aprendizaje y evaluación, por lo que
se recomienda que se ejecuten las siguientes acciones:
# Acciones Descripción
Ejecutar una batería de pruebas del funcionamiento
Ejecución de del SOC resultante para notificar las deficiencias de
1 una batería de sus tecnologías, procesos y flujos de trabajo, con el
pruebas fin de verificar sus carencias y realizar los ajustes
necesarios para su integración en la organización.
Implantación de Implantar e integrar nueva tecnología en la
2 nueva organización para cubrir todas las necesidades de
tecnología automatización de procesos tecnológicos diseñados.
Poner en funcionamiento los servicios que debe
prestar el SOC durante un tiempo limitado, a modo
Puesta en
de aprendizaje y de evaluación, con el fin de
3 funcionamiento
garantizar su correcto dimensionamiento tecnológico
inicial del SOC
y humano y la adecuada ejecución de sus
operaciones y actividades diarias.
Tabla 14 - Batería de pruebas y puesta en funcionamiento inicial del SOC.
# Acciones Descripción
Formalización
Inaugurar y comunicar formalmente la puesta en
del
1 funcionamiento del SOC para ejecutar sus
funcionamiento
operaciones y actividades diarias.
del SOC
Página 12
57
Contratar el personal e integrar la tecnología
Cubrimiento de necesaria aún no cubierta para completar la
2 las carencias ejecución de los procesos, los flujos de trabajo y la
residuales prestación de los servicios diseñados para el SOC y
aceptados por la organización.
Tabla 15 - Puesta en funcionamiento formal del SOC.
# Acciones Descripción
Realizar una verificación y seguimiento del
rendimiento general del SOC y de los acuerdos de
nivel de servicio (ANS) para gestionar la calidad de
las operaciones y del servicio prestado a la
Gestión de la organización, mediante mediciones mensuales de
1
calidad los indicadores clave de rendimiento (KPI)60 que se
asocian a los procesos y flujos de trabajo y al
cumplimiento de los objetivos de los servicios, de los
análisis estadísticos y de las acciones para la
mejora de su calidad.
Realizar una verificación y seguimiento del
Gestión del rendimiento individual del personal del SOC para
2 rendimiento del identificar sus casos de éxito y sus aspectos de
personal mejora, con el fin de maximizar su rendimiento
individual y generalizado.
Realizar una verificación y seguimiento del
rendimiento de los procesos, flujos de trabajo, KPI,
Gestión del
sistemas, herramientas y automatización en materia
3 rendimiento
de ciberseguridad que utiliza el SOC en su
tecnológico
funcionamiento diario para identificar sus aspectos
de mejora y buscarles solución.
Realizar una verificación y seguimiento de la
subsanación de las necesidades de las partes
Gestión de la
4 intervinientes del SOC y la alta dirección de la
satisfacción
organización, con el fin de valorar sus expectativas e
identificar aspectos de mejora.
Identificar todos aquellos recursos que provocan un
Cálculo de los coste para el cálculo del presupuesto anual
5 costes para el relacionado con el funcionamiento diario del SOC en
presupuesto la organización, en concordancia con las normativas
legales y propias de la organización.
Página 13
60 https://es.wikipedia.org/wiki/Indicador_clave_de_rendimiento
58
Crear un documento formal en una tabla con las
iniciativas de mejora a valorar cada año con su
descripción y justificación, a partir del estudio de la
Documento de satisfacción de las partes intervinientes del SOC y la
6 iniciativas de alta dirección de la organización, las actividades y
mejoras anuales operaciones del equipo de trabajo, los procesos y la
tecnología utilizada, con el fin de presentarlo cuando
se active la fase de Mejora continua en el desarrollo
continuo del SOC.
Tabla 16 - Seguimiento del funcionamiento del SOC.
# Acciones Descripción
Selección y Realizar un estudio de las iniciativas de mejora
aprobación de presentadas en la fase de Operaciones, en base a
1
las iniciativas de sus necesidades y justificación, para generar un
mejora listado con las iniciativas aprobadas.
Realizar un documento formal con la planificación
Preparación de de las iniciativas de mejora aprobadas para
los planes de las enviarlas a la fase de Diseño, con toda la
2
iniciativas de información de relevancia, como su justificación, sus
mejora objetivos, sus expectativas, su asignación de tiempo
y de recursos y sus procedimientos, entre otros.
Identificar todos aquellos recursos que provocan un
coste para el cálculo del presupuesto relacionado
Cálculo de los con el listado de mejoras del SOC en la
costes para el organización, ya sea por procesos, personal,
3
presupuesto de tecnología o cualquier otro recurso como pueden ser
mejoras las instalaciones, los contratos con proveedores, los
acuerdos con otras organizaciones o la formación,
entre otros.
Tabla 17 - Iniciativas de mejora para el SOC.
Página 14
59
4. Conclusiones y trabajos futuros
60
Las organizaciones que deseen implementar un SOC necesitan de una guía
que les asista y les oriente para realizar un diseño y una integración de éxito,
pero requieren de la implicación de todas las partes interesadas para alinear
sus procesos de negocio con los de ciberseguridad y cubrir todas las
necesidades de protección de sus activos de información.
61
5. Glosario
ACTIVO DE INFORMACIÓN: Recurso con un valor potencial en la información y los
datos que procesa para el funcionamiento diario de una organización.
ALERTA DE CIBERSEGURIDAD: Notificación de un posible suceso anómalo, no
deseado o con impacto negativo en la Seguridad de la Información interconectada
digitalmente de los servicios de una organización o en sus activos de información, sus
operaciones o sus objetivos del negocio.
AMENAZA DE CIBERSEGURIDAD (CIBERAMENAZA): Situación adversa para la
seguridad de la información interconectada digitalmente que puede tener un impacto
negativo en los activos de información de una organización y en cualquiera de las
propiedades de la información.
ANONIMATO: Propiedad de la seguridad de la información que protege del
reconocimiento de un sujeto en cualquier acción que realice sobre la información para
de salvaguardar su identidad.
ANTIMALWARE: Programa software de ciberseguridad creado para detectar,
proteger y eliminar software malicioso en puntos finales en tiempo real.
AUDITABILIDAD o RESPONSABILIDAD: Propiedad de la seguridad de la
información que garantiza el registro y la monitorización del uso de la información por
parte de usuarios, aplicaciones o procesos conectados y autorizados.
AUTENTICIDAD: Propiedad de la seguridad de la información que garantiza la
identidad del suministrador de la información; es decir, que certifica que el autor de la
comunicación de la información es quien dice ser.
BOE (BOLETIN OFICIAL DEL ESTADO): Diario oficial del Estado español
dedicado a la publicación de las normativas legales, como Leyes, Reales Decretos y
Reglamentos, entre otros.
CCN (CENTRO CRIPTOLÓGICO NACIONAL): Organismo oficial nacional español
que se responsabiliza de coordinar la acción de los diferentes organismos de la
Administración Pública para garantizar la seguridad de las Tecnologías de la
Información, coordinar la obtención de material Criptológico e instruir al personal
técnico de TI de la Administración.
CCN-CERT: Equipo de Respuesta de Emergencias Informáticas e Incidentes de
Seguridad de la Información del Centro Criptológico Nacional.
CENTRO DE OPERACIONES DE SEGURIDAD (SOC): Equipo o área centralizada
para las operaciones tácticas, técnicas y procedimentales relacionados con la
ciberseguridad de una organización.
CERT/CSIRT: Equipo de Respuesta ante Emergencias Informáticas e Incidentes de
Seguridad de la Información.
CHECKLISTS: Lista de control de tareas de una actividad que reduce los olvidos y
errores de coherencia e integridad en su realización.
CIBERSEGURIDAD: Práctica de protección de la información que se encuentra en
formato digital y se ubica en los activos de información interconectados de una
organización con medidas preventivas, defensivas y ofensivas.
CIFRADO: Proceso que transforma datos legibles en ilegibles para proteger la
lectura no deseada de su información.
62
CISO: Máximo responsable de la Seguridad de la Información de una organización.
CONFIDENCIALIDAD: Propiedad de la seguridad de la información que protege a
la información para que sólo sea accesible por quien tiene autorización (lo tiene
permitido), ya sea persona, entidad, aplicación o proceso.
CONFIABILIDAD: Propiedad de la seguridad de la información que garantiza el
correcto cumplimiento de todas las propiedades de la información.
DIAGRAMA DE GANTT: Estructura gráfica que muestra el cronograma de las
tareas que se planifican para la ejecución de un proyecto.
DIGITALIZACIÓN: Proceso que transforma datos físicos o analógicos en digitales.
DISPONIBILIDAD: Propiedad de la seguridad de la información que respalda que la
información se encuentra a disposición de quien tenga autorización cuando la
necesite; es decir, que siempre esté dispuesta para el autorizado que la requiera.
EFICACIA: Facultad para lograr los objetivos y metas propuestas sin importar los
recursos usados.
EFICIENCIA: Facultad para lograr los objetivos y metas propuestas con los mínimos
recursos posibles.
EVENTO DE CIBERSEGURIDAD: Suceso que supone un riesgo de ciberseguridad
para un activo de información de una organización, pero sin perjuicio en los objetivos
ni las operaciones del negocio.
EXFILTRACIÓN: Robo, movimiento o publicación de información confidencial,
secreta o privada de una organización para usarse sin autorización de su propietario.
FALSO POSITIVO: Alerta de ciberseguridad que, tras su análisis, no debería
notificarse como amenaza de ciberseguridad, ya que no se corresponde con ninguna o
se ha ejecutado a conciencia por el área de ciberseguridad para prevenir o detectar
vulnerabilidades o errores de ciberseguridad.
IMPACTO: Consecuencia de que una amenaza de ciberseguridad se materialice
sobre un activo de información con la explotación de una vulnerabilidad.
INCIDENTE DE CIBERSEGURIDAD (CIBERINCIDENTE): Materialización de una
amenaza con o sin impacto sobre cualquiera de los activos de información de una
organización.
INFORMACIÓN: Conjunto de datos asociados y procesados que, en un contexto
determinado, tienen significado y se comprenden e interpretan.
ISO (ORGANIZACIÓN INTERNACIONAL DE NORMALIZACIÓN: Organización
centralizada y formada por diferentes entidades nacionales de normalización y que se
responsabiliza de la creación y mantenimiento de los estándares internacionales.
INTEGRIDAD: Propiedad de la seguridad de la información que ampara a la
información para que no pueda ser alterada en ninguna de sus formas y que asegura
la veracidad de sus datos.
REGISTRO LOG: Fichero que almacena los sucesos, las actividades ejecutadas y
los eventos detectados que se producen de manera cronológica en un activo
tecnológico de información.
MALWARE: Software o artefacto malicioso que se instala en un sistema objetivo sin
consentimiento del propietario para realizar acciones dañinas sobre sus datos, su
propietario o su propiedad intelectual de manera intencionada.
METADATOS: Datos que identifican y aportan información única de otros datos.
63
METODOLOGÍA: Conjunto de definiciones, conocimientos, métodos,
procedimientos y mecanismos que se utilizan para garantizar el éxito de la ejecución
de una actividad o proyecto, así como de sus objetivos.
METODOLOGÍA ÁGIL: Método para el desarrollo de proyectos que se desarrollan a
través de la creación de pequeños incrementos de actividades para facilitar su
flexibilidad y rapidez y del suministro entregas parciales que muestren su evolución.
MONITORIZACIÓN: Supervisión y análisis en tiempo real del rendimiento, la
situación y el estado de los activos de información de una organización para alertar y
responder ante los sucesos anómalos o no deseados.
NO REPUDIO: Propiedad de la seguridad de la información que avala que el
ejecutor de una acción no pueda negar que la ha realizado.
PARTES INTERESADAS o INTERVINIENTES: Conjunto de recursos humanos,
internos y externos, o de organizaciones que intervienen, influyen y se interesan por
las actividades de proyectos y negocios de una organización.
PENETRACIÓN: Ataque de ciberseguridad que consiste en la intrusión y
explotación de las vulnerabilidades de los activos tecnológicos de información de una
organización.
PRIVACIDAD: Propiedad de la seguridad de la información que protege al sujeto
que realiza acciones sobre la información de ser observado y de tener restricciones
sobre su propia identidad.
PROCESO DE NEGOCIO: Conjunto de actividades y operaciones estructuradas
sucesivamente que producen un producto o servicio vital para el negocio de una
organización.
RIESGO DE CIBERSEGURIDAD: Probabilidad de que se materialice una amenaza
de ciberseguridad en cualquiera de los activos tecnológicos de una organización y
pueda causar un incidente de ciberseguridad.
SEGURIDAD DE LA INFORMACIÓN: Práctica de protección de la información que
se encuentra en cualquiera de sus formatos y estados y se ubica en los activos de
información interconectados o no de una organización con medidas preventivas,
defensivas y ofensivas. Además, se considera un súper conjunto de la Seguridad
Informática y la Ciberseguridad.
SEGURIDAD INFORMÁTICA: Práctica de protección de la información que se
encuentra en formato digital y se ubica contenida en los activos de información digital
de una organización con medidas preventivas y defensivas.
SISTEMA DE INFORMACIÓN (SI): Conjunto ordenado de componentes y datos
que interactúan entre sí con un fin común.
TECNOLOGÍA DE LA INFORMACIÓN (TI): Conjunto ordenado de sistemas,
herramientas, aplicaciones, infraestructuras y resto de activos relacionados con el
aprovisionamiento, el tratamiento y la transferencia de los componentes y datos de los
Sistemas de Información (SI).
TRAZABILIDAD: Propiedad de la seguridad de la información que asegura el
histórico, la ubicación y la trayectoria de origen a destino de la información.
TRIAJE: Protocolo o método de selección, verificación, priorización y clasificación
de las alertas, los eventos y los incidentes de ciberseguridad.
VULNERABILIDAD: Debilidad, fallo o deficiencia en cualquiera de los activos
tecnológicos de una organización que se puede convertir en un incidente de
ciberseguridad con o sin impacto.
64
6. Bibliografía
Aarons, Michelle (2020, febrero). “Colorful cybersecurity: Know what red, blue,
and yellow mean” [artículo en línea]. Medium [Fecha de consulta: 21 de noviembre de
2022]. <https://ww1.medium.com/colorful-cybersecurity-know-what-red-blue-and-
yellow-mean-6a895865fd5>
Acosta, David (2018, agosto). “¿Qué es PCI DSS?” [artículo en línea]. PCI
Hispano [Fecha de consulta: 15 de octubre de 2022].
<https://www.pcihispano.com/que-es-pci-dss/>
AFS Informática (s.f.). “Tácticas, Técnicas y Procedimientos (TTP)” [artículo
en línea]. AFS Informática [Fecha de consulta: 15 de octubre de 2022].
<https://www.afsinformatica.com/tacticas-tecnicas-y-procedimientos-ttp/>
Agencia Española de Protección de Datos (2019, octubre). “Guía de
Privacidad desde el Diseño” [artículo en línea]. AEPD [Fecha de consulta: 28 de
octubre de 2022]. <https://www.aepd.es/es/documento/guia-privacidad-desde-
diseno.pdf>
Agencia Estatal Boletín Oficial del Estado (s.f.). <<Todas las Leyes, Leyes
Orgánicas, Reales Decretos, Reales Decretos Ley y Reglamentos indicados en este
documento>>. [artículos en línea]. Agencia Estatal del Boletín Oficial del Estado.
Ministerio de la Presidencia, Relaciones con las Cortes y Memoria Democrática.
Gobierno de España [Fecha de consulta: 9 de octubre de 2022].
<https://www.boe.es/buscar/>
Anomali (s.f.). “¿Qué son STIX y TAXII?” [artículo en línea]. Anomali [Fecha de
consulta: 12 de octubre de 2022]. <https://www.anomali.com/es/resources/what-are-
stix-taxii>
Asociación Española de Normalización (2017, mayo). “Norma Española
UNE-EN ISO/IEC 27002” [artículo en línea]. Publicado por AENOR Internacional,
S.A.U. bajo licencia de la Asociación Española de Normalización (UNE). Obtenido en
la biblioteca de Universitat Oberta de Catalunya (UOC). Asociación Española de
Normalización (UNE) [Fecha de consulta: 10 de octubre de 2022].
<https://ra.biblioteca.uoc.edu/prestatgeries/articles/protegits/B2627/027002NEII100_E
S.pdf>
Briskinfosec (junio, 2022). “Red vs Blue vs Purple vs Orange vs Yellow vs
Green vs White Cybersecurity Team” [artículo en línea]. Briskinfosec [Fecha de
consulta: 1 de noviembre de 2022].
<https://www.briskinfosec.com/blogs/blogsdetail/Red-vs-Blue-vs-Purple-vs-Orange-vs-
Yellow-vs-Green-vs-White-Cybersecurity-Team>
Brownlee, N. & Guttman, E. (1998, junio). “Expectations for Computer Security
Incident Response” [artículo en línea]. IETF [Fecha de consulta: 18 de octubre de
2022]. <https://datatracker.ietf.org/doc/html/rfc2350>
65
CCN (2019, marzo). “Guía de seguridad (CCN-STIC-801). Esquema Nacional
de Seguridad. Responsabilidades Y Funciones” [artículo en línea]. Fundació
Universitat Oberta de Catalunya (FUOC). UOC [Fecha de consulta: 24 de septiembre
de 2022]. <https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-
Esquema_Nacional_de_Seguridad/801-Responsabilidades_en_el_ENS/801_ENS-
responsabilidades_feb-11.pdf>
CCN (2020, abril). “Guía de Seguridad de las TIC CCN-STIC 817. Esquema
Nacional de Seguridad. Gestión de ciberincidentes” [artículo en línea]. CCN-Cert.
Centro Criptológico Nacional (CCN) [Fecha de consulta: 4 de junio de 2022].
<https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-
seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html>
CCN (s.f.). “ENS” [artículo en línea]. CCN [Fecha de consulta: 17 de octubre de
2022]. <https://ens.ccn.cni.es/es/esquema-nacional-de-seguridad-ens>
Ciberseguridad (s.f.). “QUÉ ES EL MARCO MITRE ATT&CK Y CÓMO
IMPLEMENTARLO” [artículo en línea]. Ciberseguridad [Fecha de consulta: 15 de
octubre de 2022]. <https://ciberseguridad.com/herramientas/marco-mitre-att-ck/>
Comité Europeo de Protección de Datos (2020, enero). “Directrices 3/2019
sobre el tratamiento de datos personales mediante dispositivos de vídeo” [artículo en
línea]. Versión 2. EDPB. [Fecha de consulta: 9 de octubre de 2022].
<https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_de
vices_es.pdf>
Cruz Allende, Daniel & Tortajada Gallego, Arsenio & Segovia Henares,
Antonio José (2020, septiembre). “Planes de continuidad de negocio” [artículo en
línea]. Fundació Universitat Oberta de Catalunya (FUOC). UOC [Fecha de consulta: 4
de diciembre de 2021].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00275347/pdf/PID_00275347.p
df>
CSIRT-KIT (s.f.). “CSIRT TOOLS KIT” [artículo en línea]. CSIRT-KIT [Fecha de
consulta: 28 de marzo de 2022]. <https://csirt-kit.org/#services>
Diario Oficial de la Unión Europea (2016, abril). “Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección
de las personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos)” [artículo en línea]. Publicado en el BOE.
Parlamento Europeo y Consejo de la Unión Europea [Fecha de consulta: 1 de octubre
de 2021]. <https://www.boe.es/doue/2016/119/L00001-00088.pdf>
Díaz Pérez, Antonio (2021, junio). “Diseño de la implementación de un Centro
de Operaciones de Seguridad (SOC) basado en ITIL” [artículo en línea]. Gallifa Roca,
Joan & Daradoumis Haralabus, Atanasi. Trabajo Final de Grado de Ingeniería
Informática. UOC. [Fecha de consulta: 15 de diciembre de 2022].
<https://openaccess.uoc.edu/bitstream/10609/132246/6/antoniodTFG0621memoria.pdf
>
ENISA (s.f.). “Acerca de la ENISA - Agencia de la Unión Europea para la
Ciberseguridad” [artículo en línea]. ENISA [Fecha de consulta: 30 de octubre de 2022].
<https://www.enisa.europa.eu/about-enisa/about/es>
ENISA (2020, diciembre). “How to set up CSIRT and SOC” [artículo en línea].
ENISA [Fecha de consulta: 01 de octubre de 2022].
<https://www.enisa.europa.eu/publications/how-to-set-up-csirt-and-soc>
66
Estevan de Quesada, Rafael (2022, febrero). “Auditoría técnica de seguridad
de sistemas de información y comunicaciones” [artículo en línea]. Coordinador:
Garrigues Olivella, Carles. Fundació Universitat Oberta de Catalunya (FUOC). UOC
[Fecha de consulta: 14 de octubre de 2022].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00285945/pdf/PID_00285945.p
df>
Filipkowski, Ben (s.f.). “What is the difference between MDR, XDR, and EDR?”
[artículo en línea]. Field Effect [Fecha de consulta: 21 de noviembre de 2022].
<https://fieldeffect.com/blog/mdr-xdr-edr/>
Flores Terrón, Miguel Ángel (2022, febrero). “Fundamentos de DevSecOps”
[artículo en línea]. Coordinador: Jorba Esteve, Josep. Fundació Universitat Oberta de
Catalunya (FUOC). UOC [Fecha de consulta: 20 de octubre de 2022].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00286171/pdf/PID_00286171.p
df>
Fouz, Carlos (2021, febrero). “Introducción a las vulnerabilidades” [artículo en
línea]. Coord: Rifà Pous, Helena. Fundació Universitat Oberta de Catalunya (FUOC).
UOC [Fecha de consulta: 29 de septiembre de 2022].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00274038/pdf/PID_00274038.p
df>
Frayssinet, Maurice (2022, febrero). “Implementación del Centro de
operaciones de seguridad (SOC)” [multimedia en línea]. Youtube [Fecha de consulta:
15 de diciembre de 2022]. <https://www.youtube.com/watch?v=QyEGELTFkvU>
Garre Gui, Silvia & Segovia Henares, Antonio José & Tortajada Gallego,
Arsenio (2020, septiembre). “Implantación de un sistema de gestión de la seguridad
de la información (SGSI)” [artículo en línea]. Fundació Universitat Oberta de Catalunya
(FUOC). UOC [Fecha de consulta: 7 de noviembre de 2022].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00275348/pdf/PID_00275348.p
df>
Garre Gui, Silvia & Segovia Henares, Antonio José & Tortajada Gallego,
Arsenio (2020, septiembre). “Introducción a la seguridad de la información” [artículo
en línea]. Fundació Universitat Oberta de Catalunya (FUOC). UOC [Fecha de consulta:
30 de septiembre de 2022].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00275350/pdf/PID_00275350.p
df>
Grupo Atico34 (s.f.). “Los 10 mejores Firewall o cortafuegos para Windows”
[artículo en línea]. Grupo Atico34 [Fecha de consulta: 21 de noviembre de 2022].
<https://protecciondatos-lopd.com/empresas/mejores-firewall-windows/>
Guijarro Olivares, Jordi (2022, febrero). “Introducción a la seguridad en cloud
computing” [artículo en línea]. Coordinador: Jorba Esteve, Josep. Fundació Universitat
Oberta de Catalunya (FUOC). UOC [Fecha de consulta: 01 de marzo de 2022].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00285949/pdf/PID_00285949.p
df>
Hartmans, Avery (2022, marzo). “5 de los ciberataques más comunes, desde
las inyecciones de código a los de fuerza bruta, y cómo han sido usados en conflictos
anteriores” [artículo en línea]. Business Insider [Fecha de consulta: 21 de noviembre
de 2022]. <https://www.businessinsider.es/5-ciberataques-comunes-han-visto-otros-
conflictos-1024341>
67
INCIBE (2016, noviembre). “CEO, CISO, CIO… ¿Roles en ciberseguridad?”
[artículo en línea]. INCIBE [Fecha de consulta: 17 de septiembre de 2021].
<https://www.incibe.es/protege-tu-empresa/blog/ceo-ciso-cio-roles-ciberseguridad>
INGERTEC (s.f.). “Nueva Versión ISO 27001:2022” [artículo en línea].
INGERTEC [Fecha de consulta: 30 de octubre de 2022]. <https://ingertec.com/nueva-
version-iso-27001-2022/>
Infofive (2021, marzo). “Cuál es la diferencia entre seguridad informática y
ciberseguridad en una empresa” [artículo en línea]. Infofive [Fecha de consulta: 3 de
octubre de 2022]. <https://infofive.com/cual-es-la-diferencia-entre-seguridad-
informatica-y-ciberseguridad-en-una-empresa/>
InvGate (2021, mayo). “Gestión de seguridad de la información en un mundo
ITIL 4” [artículo en línea]. InvGate [Fecha de consulta: 15 de octubre de 2022].
<https://blog.invgate.com/es/gesti%C3%B3n-de-seguridad-de-la-informaci%C3%B3n-
en-un-mundo-itil-4>
ISO Tools (2022, junio). “ISO/IEC 27002:2022 Controles Organizacionales.
Todo lo que necesita saber” [artículo en línea]. ISO Tools [Fecha de consulta: 30 de
octubre de 2022]. https://www.isotools.org/2022/07/29/iso-iec-270022022-controles-
organizacionales-todo-lo-que-necesitas-saber/
ISO Tools (2022, septiembre). “Transición a ISO/IEC 27001:2022. Requisitos”
[artículo en línea]. ISO Tools [Fecha de consulta: 30 de octubre de 2022].
<https://www.isotools.org/2022/09/09/transicion-a-iso-iec-270012022-requisitos/>
Kaspersky (s.f.). “Las 7 principales ciberamenazas a las que hay que prestar
atención” [artículo en línea]. Kaspersky [Fecha de consulta: 21 de noviembre de 2022].
<https://www.kaspersky.es/resource-center/threats/top-7-cyberthreats>
KeepCoding (2022, agosto). “¿Qué es un vector de ataque en
ciberseguridad?” [artículo en línea]. KeepCoding [Fecha de consulta: 8 de octubre de
2022]. <https://keepcoding.io/blog/que-es-un-vector-de-ataque-en-ciberseguridad/>
LISA Institute (2021, marzo). “Diferencia entre Ciberseguridad, Seguridad
Informática y Seguridad de la Información” [artículo en línea]. LISA Institute [Fecha de
consulta: 3 de octubre de 2022]. <https://www.lisainstitute.com/blogs/blog/diferencia-
ciberseguridad-seguridad-informatica-seguridad-informacion>
Mahn, Amy & Marron, Jeffrey & Quinn, Stephen & Topper, Daniel (2021,
agosto). “Primeros pasos de NIST. Marco de ciberseguridad: Guía de inicio rápido”
[artículo en línea]. NIST [Fecha de consulta: 12 de octubre de 2022].
<https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1271es.pdf>
Martínez Gómez, Mònica (2021, septiembre). “Implementación de un centro
de operaciones de seguridad (SOC) de código abierto con elementos de red para
sistemas industriales.” [artículo en línea]. López Patiño, José Enrique. Trabajo Final de
Grado de Ingeniería de Tecnologías y Servicios de Telecomunicación. Escuela
Técnica Superior de Ingeniería de Telecomunicación. Universitat Politècnica de
València. [Fecha de consulta: 15 de diciembre de 2022].
<https://riunet.upv.es/bitstream/handle/10251/174344/Martinez%20-
%20Implementacion%20de%20un%20centro%20de%20operaciones%20de%20seguri
dad%20SOC%20de%20codigo%20abierto%20con%20elem....pdf>
Martínez, Roger & Fouz, Carlos (2021, febrero). “Introducción a las
ciberamenazas” [artículo en línea]. Coord: Rifà Pous, Helena. Fundació Universitat
Oberta de Catalunya (FUOC). UOC [Fecha de consulta: 30 de septiembre de 2022].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00274039/pdf/PID_00274039.p
df>
68
Mir Rubio, Joan (2020, septiembre). “Riesgos, vulnerabilidades y amenazas”
[artículo en línea]. Coord: Rifà Pous, Helena. Fundació Universitat Oberta de
Catalunya (FUOC). UOC [Fecha de consulta: 29 de septiembre de 2022].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00276303/pdf/PID_00276303.p
df>
Mir Rubio, Joan (2020, septiembre). “Ataques” [artículo en línea]. Coord: Rifà
Pous, Helena. Fundació Universitat Oberta de Catalunya (FUOC). UOC [Fecha de
consulta: 15 de noviembre de 2022].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00276300/pdf/PID_00276300.p
df>
Mir Rubio, Joan (2020, septiembre). “Sistemas de protección, prevención y
detección” [artículo en línea]. Coord: Rifà Pous, Helena. Fundació Universitat Oberta
de Catalunya (FUOC). UOC [Fecha de consulta: 16 de noviembre de 2022].
<https://materials.campus.uoc.edu/daisy/Materials/PID_00276302/pdf/PID_00276302.p
df>
Mitre (2022, abril). “Enterprise Matrix” [artículo en línea]. Mitre [Fecha de
consulta: 12 de octubre de 2022]. <https://attack.mitre.org/matrices/enterprise/>
Molina Caza, Christian Rubén (2020, diciembre). “Desarrollo e
implementación de un SOC en el Consejo de Aseguramiento de la Calidad de la
Educación Superior.” [artículo en línea]. Brande Hernández, Daniel & García Font,
Víctor. Trabajo Final de Máster de Seguridad de las Tecnologías de la Información y
las Comunicaciones. UOC. [Fecha de consulta: 15 de diciembre de 2022].
<https://openaccess.uoc.edu/bitstream/10609/126988/7/cmolinacazTFM220memoria.p
df>
Naciones Unidas (s.f.). “17 objetivos para transformar nuestro mundo” [artículo
en línea]. Naciones Unidas [Fecha de consulta: 29 de septiembre de 2022].
<https://www.un.org/sustainabledevelopment/es/infrastructure/>
Naciones Unidas (s.f.). “La Agenda para el Desarrollo Sostenible” [artículo en
línea]. Naciones Unidas [Fecha de consulta: 29 de septiembre de 2022].
<https://www.un.org/sustainabledevelopment/es/development-agenda/>
NIST (s.f.). “CYBERSECURITY FRAMEWORK” [artículo en línea]. NIST [Fecha
de consulta: 12 de octubre de 2022]. <https://www.nist.gov/cyberframework>
Noticias Tech (2022, enero). “Actualízate: 4 desafíos para el SOC en el futuro”
[artículo en línea]. Noticias Tech [Fecha de consulta: 17 de octubre de 2022].
<https://intelectoweb.com/web/tech/2022/01/24/actualizate-4-desafios-para-el-soc-en-
el-futuro/>
Oodrive (2021, marzo). “Los 10 principales tipos de ciberataques” [artículo en
línea]. Oodrive [Fecha de consulta: 7 de octubre de 2022].
<https://www.oodrive.com/es/blog/seguridad/top-10-principales-tipos-de-
ciberataques/>
Peña Juárez, Juan (2021, junio). “Desarrollo e implementación de un SOC en
una organización” [artículo en línea]. Brande Hernández, Daniel & García Font, Víctor.
Trabajo Final de Máster de Seguridad de las Tecnologías de la Información y las
Comunicaciones. UOC, URV y UAB. [Fecha de consulta: 15 de diciembre de 2022].
<https://openaccess.uoc.edu/bitstream/10609/133128/6/juapejuaTFM0621memoria.pdf
>
PMG SSI (2017, febrero). “¿Cómo realizar un inventario de activos de
información?” [artículo en línea]. PMG SSI [Fecha de consulta: 24 de septiembre de
2021]. <https://www.pmg-ssi.com/2017/02/realizar-inventario-activos-de-informacion/>
69
Privasec (2021, junio). “Red, Blue, Purple, White, Black & Gold Team” [artículo
en línea]. Privasec [Fecha de consulta: 1 de noviembre de 2022].
<https://privasec.com/blog/coloredteams/>
QuestionPro (s.f.). “¿Qué es la Investigación Exploratoria?” [artículo en línea].
QuestionPro [Fecha de consulta: 30 de septiembre de 2022].
<https://www.questionpro.com/blog/es/investigacion-exploratoria/>
QuestionPro (s.f.). “¿Qué es la investigación descriptiva?” [artículo en línea].
QuestionPro [Fecha de consulta: 30 de septiembre de 2022].
<https://www.questionpro.com/blog/es/investigacion-descriptiva/>
Román Torres, María José (2019, enero). “Proceso para definir y establecer
un Centro de Operaciones de Seguridad (SOC) en una organización financiera”
[artículo en línea]. Rubio Blanco, José Antonio. Trabajo Final de Máster. Universidad
Internacional de la Rioja. Guayaquil. [Fecha de consulta: 17 de noviembre de 2022].
<https://reunir.unir.net/bitstream/handle/123456789/8169/ROMAN%20TORRES%2C%
20MARIA%20JOSE.pdf?sequence=1&isAllowed=y>
Rodríguez, José Ramón (s.f.). “La gestión de proyectos. Conceptos básicos.”
[artículo en línea]. Coordinador: Jorba Esteve, Josep. Fundació Universitat Oberta de
Catalunya (FUOC). UOC [Fecha de consulta: 02 de diciembre de 2022].
<http://cv.uoc.edu/annotation/ebc1adfc61836d7205ad7dde343367b5/603266/PID_001
53570/PID_00153570.html>
Salas Piñón, Julián (2020, septiembre). “Introducción a la privacidad” [artículo
en línea]. Coordinadora: Pérez Solà, Cristina. Fundació Universitat Oberta de
Catalunya (FUOC). UOC [Fecha de consulta: 25 de febrero de 2022].
<http://cvapp.uoc.edu/autors/MostraPDFMaterialAction.do?id=274691>
Smartekh (2021, julio). “¿Qué es SOAR y qué beneficios tiene para tu
organización?” [artículo en línea]. Smartekh [Fecha de consulta: 21 de noviembre de
2022]. <https://blog.smartekh.com/que-es-soar-y-que-beneficios-tiene-para-tu-
organizacion>
TI América (2022, marzo). “Conoce los 5 tipos de firewall más importantes que
existen” [artículo en línea]. TI América [Fecha de consulta: 27 de octubre de 2022].
<https://www.ti-america.com/tipos-de-firewall-que-pueden-integrar-en-su-arquitectura-
de-ti/>
Toledo, Rogelio (s.f.). “Características de un SOC de ciberseguridad
completo” [artículo en línea]. Cibernos [Fecha de consulta: 30 de octubre de 2022].
<https://www.grupocibernos.com/blog/caracteristicas-de-un-soc-de-ciberseguridad-
completo>
UOC (2022, septiembre). “Guía transversal para el estudiantado de TF de los
Estudios de Informática, Multimedia y Telecomunicación. ¿Cómo incorporar la
competencia "Comportamiento ético y global" al Trabajo Final (TF)?” [artículo en línea].
FUOC - Fundación para la Universitat Oberta de Catalunya [Fecha de consulta: 10 de
octubre de 2022].
<https://campus.uoc.edu/webapps/classroom/download.do?nav=activitats&sub-
nav=descarregar-
adjunt&id=904645&serial=false&s=203d94519019eaf71b70501c051dcff94a760504465
4ff4d7693f7afc566f2d824a0e0a040d6a88085c23834e1022ce1ed13a8227f300824d6f5
43402dcab1bd&domainId=896030&proposedFilename=04.+Guia+transversal+sobre+l
a+CCEG+dirigida+a+estudiantado+de+TFx-
EIMT_vPublicada.pdf&idLang=&javascriptDisabled=false&subjectId=896030&domainC
ode=221_m1_887_01&classroomId=901115>
70
7. Anexos
Por otra parte, el objetivo principal de esta disciplina, como proceso de negocio de
una organización, se basa en la protección de la información en todas sus propiedades
y de todos sus activos de las posibles amenazas que puedan afectar de alguna
manera a las operaciones de negocio de la propia organización. Igualmente, con el fin
de lograr el éxito en este objetivo principal, se requiere de, entre otros, los diferentes
propósitos específicos:
Garantizar el uso responsable de los activos de información de la organización.
Gestionar y minimizar los posibles riesgos en los procesos de negocio de la
organización.
Identificar, prevenir y combatir las amenazas a la Seguridad de la Información.
Gestionar los eventos e incidentes de seguridad detectados en la organización.
71
Asegurar la continuidad del negocio y la recuperación inmediata de las
operaciones.
Cumplir con los requerimientos, normativas y disposiciones legales aplicables a
la organización.
72
Ilustración 12 - Propiedades de la Información.
73
o Controles técnicos: Actividades que engloban todos los recursos
digitales para instaurar sistemas seguros, con el fin de proteger la
información y todos sus activos.
o Controles legales: Actividades que engloban todos los recursos
normativos y legales, con el fin de proteger la información y el
cumplimiento de cláusulas, normativas y leyes.
Según su actuación: Se trata de las actividades y controles que aplican sobre
la reducción del impacto o de su probabilidad:
o Controles que reducen el impacto: Actividades que engloban todos
los recursos para minimizar el impacto en el negocio si se materializa
una amenaza, con el fin de proteger la información.
o Controles que reducen su probabilidad: Actividades que engloban
todos los recursos para minimizar la probabilidad de la materialización
de una amenaza, con el fin de proteger la información.
Según su finalidad: Se trata de las actividades y controles que actúan en base
al ciclo de vida de un posible incidente de seguridad:
o Controles de prevención: Actividades que engloban todos los recursos
que minimizan la ocurrencia de un riesgo para que no se materialice,
con el fin de proteger la información.
o Controles de monitorización: Actividades que engloban todos los
recursos que visualizan eventos para evidenciar y rastrear anomalías,
con el fin de proteger la información.
o Controles de detección: Actividades que engloban todos los recursos
que localizan los posibles incidentes de seguridad con celeridad.
o Controles de corrección: Actividades que engloban todos los recursos
que reducen la afección y recuperan la estabilidad tras un incidente.
74
Se involucra al personal en todos los procesos.
Se conforma un equipo para la seguridad de la información con
un responsable y con dimensiones acordes con el tamaño de la
organización.
o Inconvenientes:
Se puede realizar una vulneración de la seguridad de la
información por parte del personal interno.
Se elevan los gastos de la organización en la contratación de
personal especializado interno.
Se incurre en costes extra por la capacitación del personal en
seguridad de la información.
Se detecta poca flexibilidad para dimensionar los equipos de
trabajo en relación con las necesidades de seguridad de la
información de las organizaciones.
Gestión externalizada de la seguridad de la información: Este modelo
fortalece la seguridad con la combinación de la experiencia de la
especialización del personal de gestión externo con el conocimiento del
negocio de los equipos de gestión de la seguridad interna. Además, la fortaleza
de la implementación de un SOC favorece la gestión interna de la seguridad.
Ambas características son aportes para el modelo de gestión mixto. Entre
otras, algunas ventajas y desventajas pueden ser:
o Ventajas:
Se contrata empresas externas especializadas en seguridad de
la información, que puede trabajar físicamente en la
organización o vía remota, según los acuerdos de contratación
de los servicios.
Se trabaja con personal altamente especializado, calificado y con
gran experiencia en seguridad de la información.
Se define un contrato y un acuerdo de nivel de servicios con la
empresa externa para que se establezcan todas
responsabilidades de todas las partes involucradas.
Se define el SOC para centralizar las operaciones externas de
seguridad de la información, como el uso de herramientas de
gestión y monitorización.
Se centralizan las herramientas de gestión de incidentes de
seguridad de la información.
o Inconvenientes:
Se debe tener en cuenta la credibilidad de la empresa a
subcontratar para las labores de seguridad de la información,
con el fin de no incurrir en problemas de confidencialidad a
futuro.
Se carece de los conocimientos requeridos de los procesos de
negocio de la organización, dado que el personal responsable
de la seguridad de la información es externo.
Se puede carecer de confianza en la relación con el personal
interno de la organización.
Gestión mixta de la seguridad de la información: En este modelo se
eliminan las debilidades de los modelos de gestión interna y externa y se
combinan sus fortalezas, por lo que se trata de un modelo que contiene todas
las ventajas de los modelos anteriores:
75
o Ventajas:
Se orienta en la organización del equipo interno de seguridad de
la información y en la colaboración de un equipo externo
especializado.
Se enfoca en los puntos fuertes de los modelos de la gestión de
seguridad interna y de la gestión de seguridad externa.
Se posee el conocimiento y competencias de los procesos de
negocio de la organización por parte del personal interno.
Se posee el conocimiento y competencias de la parte técnica
especializada de los procesos de seguridad de la información
por parte del personal externo.
o Inconvenientes:
Se pueden generar conflictos de interés si no se establecen bien
las responsabilidades de todas las partes involucradas.
Se requiere de equipos altamente coordinados por ambas
partes, tanto de la organización como del equipo de apoyo
externo.
61 https://normaiso27001.es/
62 https://www.unir.net/ingenieria/revista/ciclo-de-deming-pdca/
76
Fase de Verificar (Check): Fase que cuantifica los nuevos procesos y
contrasta los resultados obtenidos con los deseados. Consta de las siguientes
etapas:
o CI. Desarrollo de los procedimientos de monitorización.
o CII. Revisión regular del SGSI.
o C.III. Auditoría interna del SGSI.
Fase de Actuar (Act): Fase que estudia las diferencias entre los resultados
esperados y los obtenidos, con el fin de comprender las causas y proponer
mejoras. Consta de las siguientes etapas:
o AI. Implanta las mejoras y las acciones correctivas y preventivas.
o AII. Mantenimiento de los registros y gestión de las evidencias.
63 https://www.blackhat.com/us-17/speakers/April-C-Wright.html
64 https://www.blackhat.com/us-17/briefings.html#orange-is-the-new-purple-how-and-why-to-
integrate-development-teams-with-red-blue-teams-to-build-more-secure-software
77
Equipo Azul (Blue Team): Se trata del equipo o grupo responsable de la
ciberseguridad defensiva en tiempo real. Se denomina “The Defenders” y se
encarga de la administración diaria y su fortalecimiento, bastionado 65 ,
monitorización y mantenimiento de la ciberseguridad de los activos de
información de una organización, así como de su protección, prevención,
detección y respuesta ante incidentes y brechas de seguridad.
Equipo Rojo (Red Team): Se trata del equipo o grupo responsable de la
ciberseguridad ofensiva en tiempo real. Se denomina “The Breakers”, se
comporta como un atacante real y se encarga de hacking ético, la detección y
explotación de vulnerabilidades, las pruebas de penetración 66 y caja negra
(black box), la ingeniería social y el escaneo de aplicaciones web para detectar
todas las posibles debilidades y brechas de seguridad de los activos de
información de una organización.
Equipo Amarillo (Yellow Team): Se trata del equipo o grupo responsable de
la ciberseguridad del software. Se denomina “The Builders” y se encarga de
diseñar aplicaciones y programas sin fallos ni brechas de seguridad, se nutren
de la información sobre vulnerabilidades y errores de ciberseguridad de los
equipos Azul (Blue Team) y Rojo (Red Team) y colaboran con los equipos de
I+D+i para mejorar la Seguridad de la Información de la organización.
Equipo Púrpura (Purple Team): Se trata del equipo o grupo mixto que une los
equipos Azul (Blue Team) y Rojo (Red Team) y que se responsabiliza de
alinear la ciberseguridad defensiva y la ofensiva en tiempo real. Se encarga de
perfeccionar las capacidades de los mecanismos de protección, prevención,
detección y respuesta ante ciberincidentes, optimizar las capacidades de los
equipos Azul y Rojo, de mejorar el rendimiento y funcionamiento de los
ciberataques y su defensa y de maximizar sus objetivos a través de la
integración de controles y tácticas del equipo defensivo con la detección de
vulnerabilidades y amenazas por parte del equipo ofensivo. Además, en caso
de ausencia de los equipos Azul y Rojo, se encarga de todas sus funciones.
Equipo Naranja (Orange Team): Se trata del equipo o grupo mixto que une los
equipos Rojo (Red Team) y Amarillo (Yellow Team) y que se responsabiliza de
alinear la ciberseguridad ofensiva y el desarrollo de aplicaciones y programas
seguros en tiempo real. Se encarga de perfeccionar el diseño de código
seguro, protegido y sin errores ni debilidades, gracias a la perspectiva de los
posibles atacantes, optimizar las capacidades de los equipos Rojo y Amarillo y
capacitar al equipo Amarillo en la construcción de código a través de la
información en tiempo real que recibe del equipo Rojo. Además, en caso de
ausencia de los equipos que lo forman, se encarga de todas sus funciones.
Equipo Verde (Green Team): Se trata del equipo o grupo mixto que une los
equipos Azul (Blue Team) y Amarillo (Yellow Team) y que se responsabiliza de
alinear la ciberseguridad defensiva y el desarrollo de aplicaciones y programas
seguros en tiempo real. Se encarga de perfeccionar la automatización de la
ciberseguridad con el diseño de código seguro, optimizar las capacidades de
los equipos Azul y Amarillo y capacitar al equipo Amarillo en la construcción de
código a través de la información en tiempo real que recibe del equipo Azul.
Además, en caso de ausencia de los equipos que lo forman, se encarga de
todas sus funciones.
65 https://protecciondatos-lopd.com/empresas/bastionado-de-sistemas/
66 Ver el punto 7.1.4.2.1 del Anexo 1 para más información sobre las Principales medidas de
prevención, como las pruebas de penetración.
78
Equipo Blanco (White Team): Se trata del equipo o grupo responsable de
mediar las acciones realizadas entre los equipos Azul (Blue Team) y Rojo (Red
Team) en el uso de sus funciones para alinearlos con las estrategias de
negocio de la organización. Por tanto, se encarga del control de las acciones
realizadas por ambos equipos, de la evaluación y documentación de los
resultados de esas acciones, de la seguridad operacional y del cumplimiento
normativo y logístico la ciberseguridad de una organización.
Con el fin de entender mejor las nociones y relaciones más importantes de las
gestiones de riesgos, vulnerabilidades y amenazas, seguidamente, se establecen
algunos de sus conceptos:
79
Riesgo: Probabilidad de que se materialice una amenaza en cualquiera de los
activos tecnológicos de una organización y pueda causar un incidente de
seguridad.
Amenaza: Acción que aprovecha una vulnerabilidad para producir acciones
negativas sobre los activos de una organización.
Ciberamenaza: Amenaza que se produce en un entorno digital e
interconectado.
Vulnerabilidad: Debilidad, fallo o deficiencia en cualquiera de los activos
tecnológicos de una organización que se puede convertir en un incidente de
seguridad con o sin impacto.
Impacto: Consecuencia de que una amenaza se materialice sobre un activo de
información con la explotación de una vulnerabilidad.
80
Seguimiento de los riesgos: Etapa en donde se monitorizan de manera
continua todos los activos de información que tengan riesgos para detectar
anomalías significativas en su tratamiento.
Revisión de riesgos: Etapa en donde se examinan continuamente los riesgos
para verificar su estado y evolución en los activos de información de una
organización.
Por otra parte, en base a los propósitos que se requieran y a la perspectiva utilizada
en un análisis de riesgo, se pueden realizar dos tipos de análisis de riesgos:
Análisis de riesgos intrínseco: Se trata del estudio de los riesgos que no
tiene en cuenta las protecciones de seguridad ya implantadas en una
organización y que obtiene un riesgo intrínseco como resultado.
Análisis de riesgos residual: Se trata del estudio de los riesgos que sí tiene
en cuenta las protecciones de seguridad ya implantadas en una organización y
que obtiene un riesgo real como resultado.
81
7.1.2.3.1 Posibles motivos de una vulnerabilidad
82
Common Vulnerability Scoring System (CVSS): Se trata de la base de datos
de vulnerabilidades creada para normalizar la puntuación de la gravedad de las
vulnerabilidades a nivel internacional y que indica las principales características
y debilidades técnicas de los activos y productos de información. Además, este
estándar se compone de tres conjuntos de métricas:
o Puntuación base: Puntuación de entre 0 y 10 que representa las
características técnicas, objetivas, constantes e intrínsecas de una
vulnerabilidad a través de las siguientes métricas:
Métricas de explotabilidad: Medidas donde se encuentran las
propias características del componente vulnerable:
Vector de acceso.
Complejidad del acceso.
Privilegios de acceso requeridos.
Interacción del usuario.
Métrica de alcance: Medida que valora los límites del ataque
sobre el componente vulnerable en el entorno de computación:
Alcance.
Métricas de impacto: Medidas que verifican la forma en la que
se altera la seguridad:
Integridad.
Confidencialidad.
Disponibilidad.
o Puntuación temporal: Puntuación de entre 0 y 10 que representa las
características propias de una vulnerabilidad que se pueden desarrollar
con el paso del tiempo, como actualizaciones o soluciones temporales,
a través de las siguientes métricas:
Métricas de Temporalidad: Medidas donde se analizan
únicamente las características propias del desarrollo temporal:
Madurez del código de explotación.
Confianza.
Remedio a la vulnerabilidad.
o Puntuación del entorno: Puntuación de entre 0 y 10 que representa
las características de una vulnerabilidad en base a la criticidad del
activo de información de la organización que pueda verse afectado, a
través de las siguientes métricas:
Mismas métricas que en la Puntuación base.
Requisitos de confidencialidad, disponibilidad e integridad.
Common Vulnerabilities and Exposures (CVE): Se trata de un listado de
datos de las vulnerabilidades conocidas con una codificación única (número
identificativo, descripción y referencia) para cada vulnerabilidad conocida.
Además, se gestiona por MITRE Corporation67, previene de duplicidades en su
registro y facilita el intercambio de su información entre las bases de datos de
vulnerabilidades y sus herramientas de gestión.
Common Weakness Enumeration (CWE): Se trata de un listado de datos que
estandariza las referencias de las vulnerabilidades, su prevención y su
mitigación entre los diferentes fabricantes de software y hardware.
Common Platform Enumeration (CPE): Se trata de un esquema estructurado
de datos de plataformas con vulnerabilidades que les añade un nombre formal,
un método para verificarlos y una descripción formateada.
67 https://www.mitre.org/
83
Ilustración 16 - CVSS de un CVE de ejemplo según NVD del NIST.
68 https://es.wikipedia.org/wiki/Equipo_de_Respuesta_ante_Emergencias_Inform%C3%A1ticas
84
o Vulnerabilidades de hardware: Se trata de aquellas vulnerabilidades
producidas por debilidades en los componentes físicos de los sistemas
de una organización.
o Vulnerabilidades de software: Se trata de aquellas vulnerabilidades
producidas por deficiencias en programas o aplicaciones de una
organización.
o Vulnerabilidades de red: Se trata de aquellas vulnerabilidades
producidas por debilidades en los protocolos y elementos de red de una
organización.
Por otra parte, la metodología MAGERIT69, tipifica las ciberamenazas en cuatro tipos,
en base a su origen:
De origen natural: Amenaza causada por accidentes naturales, como
terremotos, que afectan a activos de información de una organización.
De origen industrial: Amenaza causada por accidentes en el entorno, como
fallos eléctricos, que afectan a activos de información de una organización.
69
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_
Magerit.html
85
Causadas por las personas de manera accidental: Amenaza causada por
errores no deliberados de personas con acceso a los activos de información de
una organización.
Causadas por las personas de manera deliberada: Amenaza causada por
acciones deliberados de personas con acceso a los activos de información de
una organización para obtener un beneficio no corporativo.
La extensión del uso de información digital por las organizaciones a nivel mundial ha
traído consigo el aumento del número de amenazas hacia la Seguridad de la
Información. Por tanto, a continuación, se presentan algunos tipos de ciberamenazas:
Violación de datos: Se trata de una amenaza muy conocida, que se extiende
por todos los ámbitos y contextos, como puede ser el financiero con los datos
económicos. Su impacto puede ocasionar pérdidas innumerables en las
organizaciones, pero no sólo económicas, sino también relacionadas con su
reputación y posible existencia.
Configuración incorrecta y control inadecuado de los cambios: Se trata de
una amenaza muy latente, ya que los clientes suelen ser quienes hacen sus
configuraciones y quienes llevan un control de cambio que suele ser muy poco
adecuado. Por tanto, puede repercutir en malas configuraciones accidentales
que pueden violar la seguridad de la información e, incluso, su pérdida.
Falta de arquitectura y estrategia de seguridad en la nube: Se trata de una
amenaza ocasionada por la ausencia de consideración, un estudio incorrecto
de la arquitectura para sus servicios de negocio o un contrato de
infraestructuras inadecuado, por lo que puede ocasionar altos riesgos en la
seguridad de sus sistemas.
Identidad insuficiente, credencial, acceso y gestión de claves: Se trata de
una amenaza relacionada con la falta de identidad que poseen las
organizaciones cuando establecen la conexión con los servicios internos y
externos, por lo que cabe la posibilidad de que tengan una administración y
seguridad inadecuadas para este cambio de escenario.
Secuestro de cuentas: Se trata de una amenaza donde un atacante obtiene
las credenciales de acceso de cuentas que no le pertenecen de manera no
legítima. De hecho, debido a la frecuencia de los intentos de phishing cada vez
más preparados, entre otros casos, un atacante se puede apoderar de las
credenciales de acceso de otros clientes y obtener privilegios donde acceder a
la información.
Amenazas internas: Se trata de amenazas donde su origen son empleados
de las propias empresas (insiders), que, entre otras acciones, o bien, no
fortalecen sus claves de acceso o las comparten por desconocimiento o
inocencia o bien, tienen algún tipo de resentimiento y atacan a la propia
empresa, lo que pone en riesgo los servicios corporativos.
Plano de control débil: Se trata de una amenaza que se da cuando hay
debilidad en los procesos de duplicación de datos, almacenamiento o
migración de los mismos. Esta situación se produce cuando hay personal
humano que no tienen la suficiente capacidad de controlar la lógica, la
seguridad y la infraestructura de los datos de la empresa.
86
Fallos en la metaestructura y la estructura de aplicaciones: Se trata de
amenazas provocadas por las vulnerabilidades y/o la mala implementación de
las API con las que se obtiene la información de las metaestructuras. De
hecho, éstas poseen toda la información de seguridad de cómo se deben
proteger los datos y se consume a través de las API para, entre otras, detectar
accesos no autorizados.
Abuso y mal uso de los servicios públicos: Se trata de amenazas donde los
atacantes utilizan los propios servicios públicos de una organización para
realizar sus ataques o alojar sus artefactos maliciosos con los que atacar. Así,
como los servicios de alojamiento público resultan de utilidad para las
organizaciones responsables y productivas, también lo resultan para los
atacantes, que, sin que los proveedores de servicio conozcan sus intenciones,
hagan un abuso del servicio y planifiquen sus acciones delictivas desde este
tipo de infraestructuras.
70 https://www.incibe-cert.es/blog/cyber-kill-chain-sistemas-control-industrial
87
3. Entrega (delivery): Fase en la que se entrega el arma desarrollada en la fase
de armamentización a través de un vector de ataque como puede ser un
fichero adjunto en un correo o un dispositivo USB.
4. Explotación o acceso inicial (exploitation): Fase en la que se utilizan
diferentes técnicas, como phishing o la explotación de vulnerabilidades, a
través de los diferentes vectores de ataque, para conseguir acceso inicial al
objetivo e intentar crear persistencia.
5. Instalación o ejecución (installation): Fase en la que se garantiza el acceso
persistente al objetivo, mediante una puerta trasera, la creación de una cuenta
de administración o el acceso remoto, por ejemplo.
6. Dominio y control (command and control): Fase en la que se obtiene el
acceso persistente al objetivo y se intentan conseguir todos los privilegios
necesarios para tener su control.
7. Acciones para el objetivo (actions on objective): Fase en la que, tras
garantizar los privilegios y la persistencia, se ejecuta el ataque sobre el
objetivo.
Tal y como define la guía STIC 81771, sobre la gestión de ciberincidentes, del CCN-
CERT, los incidentes de seguridad se pueden clasificar y tipificar de la siguiente
manera:
71https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/988-
ccn-stic-817-gestion-de-ciberincidentes/file.html
88
Conexiones para el descubrimiento de
Escaneo de redes
posibles debilidades y recolección de
(scanning)
información.
Obtención de
Análisis de
información Captura y estudio del tráfico de redes.
paquetes (sniffing)
Recolección de información sin el uso de la
Ingeniería social
tecnología.
Explotación de Intento de comprometer o interrumpir el
vulnerabilidades servicio de un activo tecnológico por la
conocidas explotación de vulnerabilidades conocidas.
Intento de Intento de acceso
intrusión con vulneración de Intento reiterado de descubrir credenciales.
credenciales
Ataque Cualquier ataque que use métodos o
desconocido herramientas desconocidas.
Compromiso de Compromiso de un activo tecnológico con
cuenta con credenciales con privilegios obtenidos por el
privilegios atacante.
Compromiso de
Compromiso de un activo tecnológico con
cuenta sin
Intrusión credenciales sin privilegios.
privilegios
Compromiso de Compromiso de una aplicación mediante un
aplicaciones ataque hacia su software.
Sustracción de un activo físico sin acceso
Robo
autorizado.
DoS (Denegación
Ataque de denegación de servicio.
de servicio)
DDoS (Denegación
Ataque de denegación de servicio
distribuida de
distribuido.
servicio)
Disponibilidad Indisponibilidad por configuración errónea un
Mala configuración
servicio.
Sabotaje Indisponibilidad por sabotaje físico.
Indisponibilidad por interrupciones ajenas a
Interrupciones
la organización.
Acceso no
autorizado a Acceso a la información sin autorización.
información
Compromiso Modificación no
de la autorizada de Modificación de información sin autorización.
información información
Pérdida de datos Pérdida de información.
89
Uso no autorizado Uso inadecuado de los recursos para
de recursos propósitos no legítimos.
Uso de programas o material sin licencia o
Derechos de autor
sin derechos de autor.
Fraude Usurpación de una persona o entidad para
Suplantación
obtener provechos no legítimos.
90
o Spyware: Tipo de malware que se emplea para robar información
confidencial, secreta o privada de un sistema y de su propietario sin su
consentimiento y con fines maliciosos. Por tanto, además de incidentes
de seguridad de tipo “Sistema infectado”, también puede producir
incidentes de seguridad “Acceso no autorizado a información”
(categoría “Compromiso de la información”).
Denegación de servicio distribuido (DDoS): Ataque que consiste en el envío
de peticiones de tráfico repartido entre múltiples orígenes con el objetivo de
saturar un recurso objetivo y afectar a su disponibilidad y produce, entre otros,
incidentes de seguridad de tipo “DDoS” (categoría “Disponibilidad”).
Vulnerabilidades: Debilidades o fallos de un sistema digital que pueden
suponer una amenaza y un riesgo para su seguridad y la de una organización y
produce, entre otros, incidentes de seguridad de tipo “Sistema vulnerable”
(categoría “Vulnerable”).
Filtración de información (exfiltración): Robo o publicación de información
confidencial, secreta o privada de una organización para usarse sin
autorización de su propietario y produce, entre otros, incidentes de seguridad
“Acceso no autorizado a información” (categoría “Compromiso de la
información”).
Entre las principales medidas de protección que puede implementar una organización,
se pueden encontrar las siguientes:
Protección a nivel físico: Protección que garantiza que un atacante no pueda
interferir en los dispositivos de comunicación ni de transmisión.
Protección a nivel de enlace: Protección que garantiza que las tramas de
comunicación de bajo nivel no se puedan interceptar ni modificar.
Protección a nivel de red: Protección que garantiza que los datos propagados
a través de los protocolos de red y los enviados a los protocolos de nivel de
transporte se transmiten protegidos.
91
Protección a nivel de transporte: Protección que garantiza que la
comunicación se establece de manera protegida a través de los protocolos de
transporte y mediante la configuración o actualización de los nodos extremos
de la comunicación.
Protección a nivel de aplicación: Protección que garantiza que la información
se encuentra protegida y es legítima, tanto en su transmisión como en su
almacenamiento.
72 Ver el punto 7.3.2.1 del Anexo 3 para más información sobre Cortafuegos (Firewall).
73 https://www.tecnologia-informatica.com/que-es-la-criptografia/
92
7.1.4.2.1 Principales medidas de prevención
Entre las principales medidas de prevención que puede aplicar una organización, se
pueden encontrar las siguientes:
Uso de leyes y estándares: Se trata del mecanismo de prevención que
consiste en aplicar la legislación vigente, los procedimientos internos, los
controles de seguridad y los estándares de buenas prácticas a la gestión de los
sistemas de información de una organización para anticipase a posibles
ataques.
Uso de sistemas trampa: Se trata del mecanismo de prevención que consiste
en incluir sistemas, como pueden ser los honeypots74, que simulan servicios
con fallos de seguridad para engañar a un atacante y hacerle pensar que se
puede aprovechar de una vulnerabilidad cuando realmente se registra toda su
actividad para mitigarla o bloquearla antes de que consiga realizar un incidente
de seguridad.
Uso de pruebas de penetración: Se trata del mecanismo de prevención que
consiste en evaluar la seguridad de un servicio o un activo de información
mediante un ciberataque simulado y controlado en donde no sólo se verifica
una vulnerabilidad, sino que también se intenta explotar para mitigarlo o
bloquearlo antes de que se pueda producir un incidente de seguridad real.
Asimismo, este tipo de pruebas, usadas en auditorías, pueden ser de
diferentes tipos:
o Pruebas de caja negra (black box): Pruebas de penetración que
consiste en, a penas, conocer información sobre la organización, tal y
como lo realizaría un posible atacante real, por lo que se descubren
debilidades en la arquitectura que se pueden prevenir con medidas de
mitigación o bloqueo.
o Pruebas de caja blanca (white box): Pruebas de penetración que
consiste en analizar íntegramente toda la infraestructura con toda la
información disponible de la organización, por lo que se realizan todas
las pruebas de penetración posibles y se descubren las debilidades en
la arquitectura y en los servicios y configuraciones internas de la
organización, que se pueden prevenir con medidas de mitigación o
bloqueo o reconfiguración de los servicios, entre otros.
o Pruebas de caja gris (grey box): Pruebas de penetración más
equilibrada, que mezcla las pruebas de caja blanca y caja negra y se
basa en conocer algo de información específica de la organización para
detectar debilidades en sus servicios, tal y como lo realizaría un
atacante que hubiese vulnerado y estudiado su arquitectura y
perímetro, por lo que, aunque requeriría tiempo y recursos, se
descubren debilidades, que se pueden prevenir con medidas de
mitigación o bloqueo o reconfiguración de los servicios, entre otros.
74 https://latam.kaspersky.com/resource-center/threats/what-is-a-honeypot
93
equipos de seguridad, como puede ser un SOC, junto a herramientas de seguridad,
como puede ser un SIEM, para predecir, detectar, estudiar, responder y restablecer los
servicios y activos de información ante los posibles incidentes de seguridad.
Aunque este tipo de tecnologías viene definido en el apartado 7.3.2 del Anexo 375,
entre los principales sistemas de detección y respuesta que se pueden implantar en
una organización, se encuentran los siguientes:
Sistema de gestión de eventos e información de seguridad (SIEM): Se trata
de una herramienta que identifica, realiza seguimiento, registra, agrupa y
analiza los eventos de seguridad dentro de un entorno de red en tiempo real,
mediante la recepción de registros de logs de diferentes fuentes, para detectar
posibles incidentes de seguridad.
Sistema de detección y respuesta de puntos finales (EDR): Se trata de una
herramienta que detecta y combate las amenazas y ataques más avanzadas
de los puntos finales de la red de una organización, como los equipos de
usuario o los servidores, para responder a los incidentes de seguridad
resultantes.
Sistema de orquestación, automatización y respuesta de seguridad
(SOAR): Se trata de una herramienta que recolecta y agrupa datos de los
diferentes eventos de seguridad que se detecten en los registros de logs que
se reciban de las diferentes fuentes, para dar respuesta automática a las
posibles amenazas e incidentes de seguridad sin interacción humana.
Sistema de detección de intrusiones (IDS): Se trata de una herramienta que
supervisa las comunicaciones de red de una organización para detectar
movimientos sospechosos, actividades maliciosas o vulneraciones en sus
políticas de seguridad.
75 Ver el punto 7.3.2 del Anexo 3 para más información sobre las Tecnologías de un SOC.
94
7.2 Anexo 2: Análisis del marco metodológico y legal de un
SOC
Con el fin de comprender el marco metodológico y las diferentes disposiciones legales
que aplican a la gestión de la Seguridad de la Información y, por su interconexión en la
red, también a la gestión de la Ciberseguridad, a continuación, se resume el análisis y
estudio de algunos de los estándares, normativas y metodologías internacionales más
importantes y relevantes, así como de las disposiciones legales vigentes que se
aplican a este equipo de seguridad y a su implementación, tal y como se han
estudiado en diferentes asignaturas del máster universitario de Ciberseguridad y
Privacidad de la UOC.
76 https://es.wikipedia.org/wiki/Equipo_de_Respuesta_ante_Emergencias_Inform%C3%A1ticas
77 https://www.enisa.europa.eu/publications/csirt-setting-up-guide
95
7.2.1.1 ISO/IEC 27000
Entre las normas más importantes de la familia de la ISO/IEC 27000 se encuentran las
normativas ISO/IEC 27001 y la ISO/IEC 27002 que se describen a continuación:
ISO/IEC 27001: Normativa principal de la serie 27000 que determina los
requerimientos necesarios para la implantación y gestión de un SGSI que se
basa en asegurar las propiedades de la información de una organización, sus
tecnologías y los activos que la gestionan. Además, se trata de una norma
certificable y se estructura desde su versión de 2013 de la siguiente forma:
1. Alcance y objeto de aplicación: Guía acerca de su utilidad, finalidad y
aplicación de la norma.
2. Terminología: Define los conceptos y términos de la norma.
3. Referencias Normativas: Menciona y relaciona otras normas y
documentos necesarios para aplicar esta norma.
4. Contexto organizativo: Estudia la organización, su entorno,
necesidades, aspiraciones y alcance de un SGSI.
5. Liderazgo: Indica que la alta dirección debe mostrar liderazgo en el
compromiso de la norma y crear una política de seguridad, capacitar a
toda la organización y establecer responsabilidades, roles y
autoridades, ya que ésta necesita de todos los activos humanos de la
organización para su funcionamiento.
6. Planificación: Determina la necesidad de gestionar los riesgos y las
oportunidades y de establecer los objetivos y su forma de lograrlos.
7. Soporte: Manifiesta la necesidad de usar recursos, documentación,
capacitación y competencias para el funcionamiento de un SGSI
basado en la norma.
8. Operación: Establece la necesidad de realizar la planificación,
implementación y control de los procesos de negocio de la organización
y valorar y tratar sus riesgos.
9. Desempeño: Determina la manera de realizar el seguimiento, evaluar,
analizar, ponderar, auditar y revisar un SGSI en base a la planificación
realizada según la norma.
10. Mejora: Determina la importancia de la mejora continua de la eficacia, el
beneficio y la conveniencia de un SGSI.
96
vida y de los negocios ocasionados, por ejemplo, por la pandemia de la
COVID-19 o el avance de las tecnologías, en donde el teletrabajo y el uso de
recursos en la nube obtienen mayor relevancia y generan nuevos riesgos que
se deben considerar en un SGSI. De hecho, aunque no se encuentran
demasiados cambios significativos, se pueden encontrar los siguientes:
o Se reestructura la numeración con mayor visión de alto nivel.
o Se referencian y describen los controles del Anexo A en ISO/IEC
27002:2022.
o Se sustituye los objetivos de control por los “atributos” y “propósitos” de
los controles.
o Se cambia la definición de “control de seguridad de la información” por
“control” (cláusula 1.3 c).
o Se definen los procesos junto con sus interacciones para alinearlo con
las buenas prácticas (cláusula 4.4).
o Se manifiesta la importancia de informar los roles en seguridad de la
información en toda la organización (cláusula 5.3).
o Se expresa la importancia de la monitorización de los objetivos de
Seguridad de la Información (cláusula 6.2).
o Se indica la necesidad de planificar y controlar los cambios del SGSI y
documentar sus pasos y formas de implementación (cláusula 6.3).
o Se reitera la importancia de gestionar por procesos el SGSI y de
establecer pautas para definir criterios y aplicar sus controles (sección 8
y cláusula 8.1).
97
Asimismo, su estructura de controles se realiza mediante atributos, utiliza
conceptos más relevantes y actuales como los tipos de control, mayor número
de propiedades de Seguridad de la Información y términos de ciberseguridad,
entre otros. Además, también orienta su perspectiva hacia mecanismos de
prevención contra los posibles incidentes de seguridad que surjan en las
organizaciones.
98
ISO/IEC 27013: Normativa que facilita las directrices para la integración de las
normas ISO/IEC 27001 (SGSI) e ISO/IEC 20000-1 (Sistema de Gestión de
Servicios o SGS) de forma conjunta y que se centra en guiar la implementación
integrada de ambas ISO.
ISO/IEC 27014: Normativa que facilita las directrices y principios para gobernar
la seguridad de la información y que se centra en que las organizaciones
puedan evaluar, controlar e informar las actividades relacionadas con la
seguridad de la información.
ISO/IEC TR 27016: Normativa que proporciona la orientación para el análisis
económico y financiero de los sistemas y procedimientos de la seguridad de la
información y que se basa en facilitar la toma de decisiones económicas
relacionadas con los SGSI.
ISO/IEC 27017: Normativa que indica los requerimientos para crear una guía
para los controles de seguridad de la información que se atribuyen al
suministro y aplicación de servicios en la nube y que se centra en facilitar la
implementación de nuevos controles y de los controles relevantes de la
ISO/IEC 27002 para la puesta en marcha de los servicios en la nube. Además,
se trata de una norma certificable, pero como ampliación y en conjunto con la
ISO/IEC 27001.
ISO/IEC 27018: Normativa que indica los requerimientos para para poner en
funcionamiento acciones para salvaguardar la información de identificación
personal (PII) en base a los principios de privacidad de la normativa ISO/IEC
29100 en entornos de computación en la nube pública. Además, se trata de
una norma certificable, pero como ampliación y en conjunto con la ISO/IEC
27001.
ISO/IEC 27019: Normativa que indica los requerimientos para crear un
estándar para gobernar y monitorizar el tratamiento y conservación de la
energía eléctrica, el gas, el petróleo y el calor de los sistemas de control de
procesos usados por la industria de servicios públicos de energía y sus
procesos de soporte.
ISO/IEC 27021: Normativa que indica los requerimientos para establecer la
atribución de los profesionales de ISMS que establecen, implementan,
mantienen y mejoran de forma continua los procesos del sistema de gestión de
seguridad de la información indicados en la norma ISO/IEC 27001.
ISO/IEC 27022: Normativa que indica los requerimientos para establecer un
modelo de referencia para los procesos (PRM) de dominio de la gestión de la
seguridad de la información.
ISO/IEC 27023: Normativa que indica los requerimientos para migrar de las
versiones de 2005 a 2013 de las normas ISO/IEC 27001 e ISO/IEC 27002.
ISO/IEC 27031: Normativa que establece los requisitos para la creación de un
plan de Continuidad de las tecnologías de la información y comunicaciones y
que se enfoca en guiar las bases para generar continuidad de negocio en las
organizaciones de TIC.
ISO/IEC 27032: Normativa que establece las directrices para fortalecer el
estado de la ciberseguridad de las organizaciones en base a la seguridad de la
información, así como de las redes, de las Infraestructuras Críticas para la
Información y en internet y que se basa en proporcionar una guía sobre
ciberseguridad para las organizaciones.
99
ISO/IEC 27033: Normativa parcialmente desarrollada, pero con partes
publicadas, que establece las directrices para fortalecer el estado de la
seguridad de las redes de comunicaciones de las organizaciones.
ISO/IEC 27034: Normativa parcialmente desarrollada, pero con partes
publicadas, que establece las directrices para fortalecer el estado de la
seguridad de las aplicaciones informáticas de las organizaciones.
ISO/IEC 27035: Normativa que establece las buenas prácticas para la gestión
de incidentes de seguridad de la información y que se focaliza en proporcionar
las directrices necesarias para ejecutar un plan de gestión de incidentes
estratégico que tenga en cuenta la respuesta ante incidentes de seguridad de
la información.
ISO/IEC 27036: Normativa que establece las directrices para fortalecer el
estado de la seguridad de las relaciones con proveedores de las
organizaciones.
ISO/IEC 27037: Normativa que establece las guías para el reconocimiento,
recolección, la adquisición y la preservación de pruebas digitales que se
pueden utilizar con valor probatorio y en el intercambio entre las diferentes
jurisdicciones
ISO/IEC 27038: Normativa que establece las guías para la seguridad en la
redacción digital de documentos.
ISO/IEC 27039: Normativa que establece las directrices para la elección,
despliegue y tratamiento operativo de sistemas de detección (IDS) y
prevención de intrusiones (IPS).
ISO/IEC 27040: Normativa que establece las directrices para la seguridad de
los dispositivos de almacenamiento.
ISO/IEC 27041: Normativa que establece las directrices para la certificar la
adecuación y conveniencia de los métodos de investigación.
ISO/IEC 27042: Normativa que establece las bases y los procesos de
investigación de incidentes relacionados con la recolección de evidencias
digitales.
ISO/IEC 27050: Normativa que establece los conceptos, las buenas prácticas y
las directrices para identificar, preservar, recolectar, procesar, revisar, analizar
y gestionar la información recogida en dispositivos electrónicos.
ISO/IEC 27100: Normativa que establece una definición del concepto de
ciberseguridad y su contexto en diferencia con la seguridad de la información.
ISO/IEC 27102: Normativa que establece los requerimientos para valorar la
contratación de un ciberseguro como opción para el tratamiento de los riesgos
y la gestión del impacto de un ciberincidente en una organización.
ISO/IEC TR 27103: Normativa que facilita una guía sobre la manera de utilizar
las normativas existentes en el ámbito de la ciberseguridad.
ISO/IEC TS 27110: Normativa que establece los conceptos básicos del ámbito
de la ciberseguridad para el desarrollo de marcos de ciberseguridad.
ISO/IEC TR 27550: Normativa que establece conceptos del ámbito de la
privacidad en ingeniería de Sistemas de Tecnologías de la Información y
Comunicaciones.
100
ISO/IEC TR 27555: Normativa que establece las directrices para el desarrollo y
establecimiento de políticas y procedimientos para la eliminación de PII en una
organización.
ISO/IEC TS 27570: Normativa que establece las guías sobre la privacidad de
los ciudadanos para el desarrollo de ecosistemas para las smart cities
(ciudades inteligentes).
ISO/IEC 27701: Normativa que establece los requerimientos y las guías para el
tratamiento continuo de Sistemas de gestión de información de privacidad
(PIMS) dentro del contexto de una organización y como ampliación de las
normas ISO/IEC 27001 e ISO/IEC 27002.
Se trata de una normativa de Continuidad del Negocio que establece los requisitos
para la creación de un Sistema de Gestión de la Continuidad de negocio en donde se
establecen las directrices, los procesos y los conceptos necesarios para su gestión. Su
alcance es mucho mayor que la seguridad de la información, pero tiene relación con
este ámbito y su objetivo principal se enfoca en guiar las bases para generar la
continuidad de negocio en cualquier organización.
Se trata de una normativa de Gestión de Riesgos que determina las bases, el ámbito
y un proceso para la gestión de cualquier tipo de riesgo. Su alcance también es mucho
mayor que la seguridad de la información, pero tiene relación con este ámbito.
Además, su objetivo principal se basa en facilitar los principios y directrices para la
gestión de riesgos a nivel estratégico y operativo en las organizaciones.
7.2.2 CobIT
Se trata de una normativa que establece una lista de controles y buenas prácticas para
la dirección y gestión de la información y de sistemas empresariales. Además, facilita
un marco de referencia para que las organizaciones lo ajusten a sus objetivos de
negocio y determinen la manera de obtener la información, la forma de conseguir sus
objetivos del negocio a través de las tecnologías de información, el modo de gestionar
sus riesgos, proteger sus recursos y medir sus controles. Asimismo, su nombre
proviene de las siglas de Control objectives for Information and related Technology, su
última versión se define como Cobit 2019 y bajo esta norma se definen cinco áreas de
trabajo:
La alineación estratégica.
La entrega de valor.
La gestión de los riesgos.
La gestión de los recursos.
El cómputo del desempeño.
101
Por tanto, CobIT puede facilitar el análisis de los controles que se implanten en un
SOC con la inclusión de métricas y valoraciones obtenidas, según su Modelo de
Madurez, y la incorporación de diagramas, flujos y gráficas que guíen a los procesos
internos para la gestión de las diferentes áreas y la toma de decisiones en la
implantación de un SOC y en el tratamiento de los eventos e incidentes de seguridad
que se produzcan.
102
5. Monitorización y comprobación regular de las redes:
o Control 10: Monitorización y rastreo de los accesos a los recursos de
red y de datos de los titulares de las tarjetas.
o Control 11: Comprobación regular de los sistemas y sus procesos de
seguridad.
6. Mantenimiento de una Política de Seguridad de la Información:
o Control 12: Mantenimiento de una política que respalde de la Seguridad
de la Información de la organización.
7.2.4 CMM
Se trata de un modelo que proporciona las directrices para el desarrollo de procesos
eficientes y de calidad en las organizaciones, que se desarrolló, en sus comienzos,
para los procesos de desarrollo de software, pero que se ha ampliado al resto de
procesos de negocio, por lo que su objetivo se focaliza en la mejora de los procesos.
Además, su nombre proviene de Capability Maturity Model (Modelo de Madurez de
Capacidades, en español) y determina una serie procesos clave o buenas prácticas
que se agrupan en KPA (Key Process Area o Áreas Clave de Procesos, en español) y
se caracterizan por definirse en procesos documentados, proveer a la organización de
formación y medios, ejecutarse sistemática, uniforme y universalmente y medirse y
verificarse.
103
7.2.5 SSE-CMM
Se trata de un modelo, derivado del CMM, que describe las principales características
de los procesos necesarios para garantizar la creación y el desarrollo seguro de los
sistemas de las organizaciones, por lo que, además de medir los diferentes procesos y
servicios de un SOC, también puede describir el estado de madurez de sus controles y
de los controles de Seguridad de la Información de la organización para la que trabaja.
Su nombre proviene de System Security Engineering Capability Maturity Model
(Modelo de Madurez de Capacidades en la Ingeniería de Seguridad de Sistemas, en
español) y fue desarrollado por la organización sin ánimo de lucro International
Systems Security Engineering Association (ISSEA). Asimismo, este modelo define 22
áreas, 11 de procesos de ingeniería y otras 11 de procesos de organización y gestión
de proyectos, que se miden y cuantifican con los niveles de madurez del modelo CMM
y según las denominadas Características Comunes:
1. Responsabilidad de ejecución.
2. Suficiencia para la ejecución.
3. Tareas ejecutadas.
4. Métricas, estudio y análisis.
5. Comprobación de la puesta en funcionamiento.
7.2.6 ITIL
Los servicios de Sistemas y Tecnologías de la Información determinan la relación
entre las personas, las tecnologías y los procesos en una organización. Por tanto, la
gestión de servicios entiende a la organización como un sistema interconectado de
recursos organizativos y prácticas con el objetivo de mejorar y maximizar la
satisfacción del cliente. Esto tiene como consecuencia que se recorra la organización
desde su perspectiva en los productos, donde no haya procesos coordinados ni
administrados, hacia una perspectiva donde prime la libertad en el diseño de los
procesos a medida y su mejora continua, por parte de los proveedores de servicios,
para que se desempeñen en su organización y generen siempre valor.
ITIL se define como una biblioteca, un marco de referencia, que contiene una serie de
recomendaciones y buenas prácticas descritas para la administración y gestión de
servicios de Tecnologías de la Información. Asimismo, este modelo contiene la
información necesaria de los objetivos y propósitos a alcanzar, de las actividades y
tareas generales y de las entradas y salidas de los procesos que se pueden añadir a
las áreas de las Tecnologías de la Información. Además, su objetivo principal se centra
en generar valor en la entrega de servicios mediante la provisión de las mejores
prácticas para la Gestión de Servicios de Tecnologías de la Información. De hecho, a
continuación, se muestra el modelo de Sistema de Valor del Servicio propuesto por
ITIL:
104
Ilustración 22 - Sistema Valor del Servicio ITIL (https://www.axelos.com/).
105
Ilustración 23 - Prácticas de ITIL versión 4.
106
Ilustración 24 - Cuatro dimensiones de ITIL v.4 (https://www.axelos.com/).
107
7.2.7 DevSecOps
DevOps se describe como una cultura o filosofía colaborativa basada en los principios
de Lean y de las metodologías ágiles para la generación de servicios y productos que
se adaptan a las necesidades y plazos de los clientes. Sin embargo, dado que la
Seguridad de la Información se considera un factor que se debe tener en cuenta como
un elemento integral y automatizable en todos los procesos del ciclo de vida de un
producto, debe considerar la Seguridad como un proceso de la misma importancia que
el Desarrollo y las Operaciones para romper con la barrera que los separa. Por ello, su
responsabilidad se debe encontrar distribuida por todos sus equipos y se necesitan
incorporar herramientas de seguridad en cada uno de los procesos de su pipeline de
principio a fin. Por tanto, a partir de la seguridad en DevOps, se ha establecido el
concepto de DevSecOps,
108
Ilustración 25 - Ciclo de vida DevSecOps.
109
3. Detección: Proceso que desarrolla y pone en funcionamiento las tareas
necesarias para reconocer y tratar los incidentes de ciberseguridad. Engloba,
entre otras, algunas de las siguientes actividades:
o Verificación y actualización de los procesos de detección.
o Mantenimiento y monitorización de los registros de logs.
o Conocimiento de los flujos de datos de la organización.
o Comprensión de las consecuencias de los incidentes de ciberseguridad.
4. Respuesta: Proceso que desarrolla y pone en funcionamiento las tareas
convenientes para actuar ante un incidente de ciberseguridad detectado.
Además, abarca, entre otras, algunas de las siguientes actividades:
o Comprobación de los planes de respuesta.
o Actualización de los planes de respuesta.
o Coordinación de los intervinientes internos y externos.
5. Recuperación: Proceso que desarrolla y pone en funcionamiento las tareas
oportunas para preservar los planes de resiliencia y subsanar los servicios
afectados por un incidente de ciberseguridad. Asimismo, incorpora, entre otras,
algunas de las siguientes actividades:
o Comunicación entre intervinientes internos y externos.
o Actualización de los planes de recuperación.
o Gestión de la reputación y las relaciones públicas de las organizaciones.
78 https://www.afsinformatica.com/tacticas-tecnicas-y-procedimientos-ttp/
110
o Táctica: Se trata del método que se centra en el objetivo táctico o vector de
ataque de un atacante para desarrollar su actividad y conseguir sus objetivos.
Actualmente, existen las siguientes 14 tácticas:
o Reconocimiento.
o Desarrollo de recursos.
o Acceso inicial.
o Ejecución.
o Persistencia.
o Escalada de privilegios.
o Evasión de defensa.
o Acceso a Credenciales.
o Descubrimiento.
o Movimiento lateral.
o Recopilación.
o Comando y control.
o Exfiltración.
o Impacto.
o Técnica: Se trata de la acción o destreza que explica la manera con la que un
atacante realiza una táctica para desarrollar su actividad y conseguir sus
objetivos. Actualmente, el número de técnicas se corresponde con 224 y se
engloban de la siguiente forma:
o 10 técnicas para la táctica de Reconocimiento.
o 7 técnicas para la táctica de Desarrollo de recursos.
o 9 técnicas para la táctica de Acceso inicial.
o 13 técnicas para la táctica de Ejecución.
o 19 técnicas para la táctica de Persistencia.
o 13 técnicas para la táctica de Escalada de privilegios.
o 42 técnicas para la táctica de Evasión de defensa.
o 17 técnicas para la táctica de Acceso a Credenciales.
o 30 técnicas para la táctica de Descubrimiento.
o 9 técnicas para la táctica de Movimiento lateral.
o 17 técnicas para la táctica de Recopilación.
o 16 técnicas para la táctica de Comando y control.
o 9 técnicas para la táctica de Exfiltración.
o 13 técnicas para la táctica de Impacto.
o Procedimiento: Se trata la documentación del conocimiento común de las
acciones y pasos que realizan los ciberatacantes para ejecutar las técnicas con
las que buscan desarrollar su actividad y conseguir sus objetivos.
111
7.2.10 Estrategia Nacional de Ciberseguridad de ENISA
La Estrategia Nacional de Ciberseguridad (NCSS o National Cybersecurity
Strategies, en inglés) de ENISA consiste en una guía de buenas prácticas, pasos y
objetivos para orientar una estrategia común de ciberseguridad para
los funcionarios públicos y su personal político de la Unión Europea y del área EFTA79.
Además, facilita información de interés para los intervinientes en el ciclo de vida de
esta estrategia común y las partes interesadas externas a través de 6 directrices para
realizar su diseño y desarrollo y 15 objetivos para su implementación:
Las directrices para su diseño y desarrollo se exponen a continuación:
1. Determinar la perspectiva, alcance, prioridades y objetivos.
2. Evaluar los riesgos.
3. Analizar las regulaciones y las políticas.
4. Implementar una estructura de dirección sólida.
5. Reconocer e implicar a los intervinientes interesados.
6. Determinar procedimientos y procesos de compartición de información.
Los propósitos para su implementación se muestran a continuación:
1. Desarrollo de planes de contingencia en materia de ciberseguridad.
2. Protección de las infraestructuras críticas.
3. Planificación de ejercicios de ciberseguridad.
4. Establecimiento de medidas y controles de ciberseguridad.
5. Establecimiento de herramientas y procedimientos de reporte de
incidentes de seguridad.
6. Concienciación a los usuarios.
7. Uso de herramientas de educación y capacitación.
8. Establecimiento de procesos de respuesta ante incidentes de seguridad.
9. Tratamiento de ciberdelitos.
10. Participación y cooperación internacional.
11. Establecimiento de asociación de intervinientes.
12. Fortalecimiento de la privacidad en la seguridad de la información.
13. Cooperación entre instituciones públicas.
14. Fortalecimiento del I+D+i.
15. Facilitar ayudas para fomentar la inversión del sector privado en materia
de ciberseguridad.
79 https://es.wikipedia.org/wiki/Asociaci%C3%B3n_Europea_de_Libre_Comercio
112
7.2.11 MAGERIT
Tal y como su propio nombre indica, se trata de una Metodología de análisis y gestión
de riesgos de las tecnologías de información) que se define como el método o
instrumento con el que analizar y gestionar los riesgos ocasionados por el uso y la
implantación de Sistemas y Tecnologías de la Información, con el fin de eliminarlos o
minimizarlos todo lo posible. Además, se compone de las siguientes diez fases:
1. Toma de datos y procesos de información: Se trata de la fase donde se
define el alcance y la granularidad de lo que se desea analizar. Además,
también es la fase donde se evalúan todos los procesos organizacionales,
dado que sus posibles riesgos puedan afectar en los procesos críticos del
negocio.
2. Dimensionamiento y establecimiento de parámetros: Se trata de la fase
donde se determina el valor de los parámetros que se deben identificar y usar
durante todo el proceso de aplicación de la metodología, que son el valor de
los activos, las vulnerabilidades, el impacto y la efectividad del control de
seguridad. Además, debido a su importancia, se deben utilizar en todo el
proceso sin modificarse para evitar que el análisis de riesgos proporcione
resultados equivocados.
3. Análisis de activos: Se trata de la fase donde se identifican y valoran todos
los activos de la organización que se encuentren dentro del alcance del análisis
de riesgos, es decir, los elementos necesarios físicos, lógicos, humanos e
intangibles que se requieren para el desarrollo del negocio y que abarcan el
alcance fijado. Asimismo, con el fin de poder hacer el análisis de activos
correcto, se requiere que la organización proporcione unos rangos de
valoración para cada activo en donde tenga en cuenta la reposición, la
configuración o puesta a punto, el uso del activo y la pérdida de oportunidad,
entre otros.
4. Análisis de amenazas: Se trata de la fase donde se estudian las posibles
amenazas, que son las circunstancias que puedan desembocar en un
problema para la organización. Además, aunque las amenazas se analizan
individualmente, se clasifican en cuatro grupos para un mejor entendimiento
sobre su afección a los activos: accidentes, errores, amenazas intencionales
presenciales y amenazas intencionales remotas.
5. Establecimiento de las vulnerabilidades: Se trata de la fase donde se
estudian y clasifican las vulnerabilidades de los activos que pueden permitir
que una amenaza pueda ocasionar un problema en la organización.
6. Valoración de impactos: Se trata de la fase donde se evalúa el efecto que se
produce cuando una amenaza aprovecha una vulnerabilidad y afecta a un
activo de la organización. Se deben tener en cuenta el resultado de una
amenaza, la consecuencia sobre los activos, el valor económico de las
pérdidas, sean cuantitativas o cualitativas.
7. Análisis de riesgos intrínsecos: Se trata de la fase donde se valoran los
riesgos actuales de la organización sin tener en cuenta ninguna medida de
seguridad y se obtiene de la multiplicación del valor del activo por el valor de su
vulnerabilidad y por el de su impacto; datos obtenidos en las fases anteriores.
8. Influencia de las salvaguardas: Se trata de la fase donde se selecciona la
solución más adecuada para prevenir o reducir los riesgos y solventar sus
consecuencias, ya sea de forma preventiva o correctiva.
113
9. Análisis de riesgos efectivos: Se trata de la fase donde se valoran los riesgos
reales de la organización tras aplicar las medidas de seguridad; es decir, donde
se estudia cómo las salvaguardas pueden minimizar significativamente los
riesgos. Por ello, estos valores se obtienen de la multiplicación del valor del
riesgo intrínseco por el porcentaje de disminución de la vulnerabilidad y por el
porcentaje de disminución del impacto.
10. Evaluación de riesgos: Se trata de la última fase donde, finalmente, se
deciden las medidas de seguridad para minimizar los riesgos intrínsecos,
donde se toman las decisiones más adecuadas para su gestión (reducirlos,
transferirlos o aceptarlos) y donde se establece el plan de acción con sus
prioridades, estudio del coste sobre el beneficio, la elección de los controles, la
atribución de las responsabilidades y la instauración de los controles elegidos.
114
Medidas de seguridad: se estructuran en 3 marcos:
o Marco Organizativo: Marco que se constituye por medidas
relacionadas con la organización global de la seguridad.
o Marco Operacional: Marco que se constituye por medidas para
proteger las operaciones de los sistemas globales.
o Medidas de protección: Marco que se constituye por medidas para
proteger los activos de información según su naturaleza y criticidad.
Todo este trabajo, a su vez, se ha realizado a través de los órganos colegiados con
competencias en materia de administración electrónica. De hecho, entre estos
órganos, se encuentran el Consejo Superior de Administración Electrónica, el Comité
Sectorial de Administración Electrónica y la Comisión Nacional de Administración
Local, e incluye todos los informes preceptivos del Ministerio de Política Territorial, del
Ministerio de la Presidencia, de la Agencia Española de Protección de Datos y del
Consejo de Estado, donde también se tiene presente la opinión de las asociaciones de
la Industria del sector TIC y su colaboración, tras la publicación de su borrador en la
web del Consejo Superior de Administración Electrónica.
115
7.2.13 STIX y TAXII
STIX y TAXII son dos estándares creados para facilitar la prevención y defensa de los
ciberataques:
STIX (Structured Threat Information eXpression): Se define como un lenguaje
común estandarizado que se desarrolló por MITRE y el CTI de OASIS80 para
facilitar la recopilación, el intercambio, el análisis, el uso y la automatización de
la información de las amenazas a la Seguridad de la Información y que se
estructura para describir la ciberamenaza según los siguientes criterios:
o Motivaciones.
o Habilidades.
o Capacidades.
o Respuesta.
TAXII (Trusted Automated eXchange of Indicator Information): Se define como
un estándar que define los servicios y mensajes con los que se intercambia la
información sobre las ciberamenazas y que admite el estándar STIX como
fuente. Además, entre sus modelos principales se encuentran:
o Hub and Spoke: Se trata de un almacén de información
o Fuente/suscriptor: Se trata una fuente única para la entrada de
información.
o Peer-to-peer: Se trata de un conjunto de equipos que intercambian
información.
Asimismo, este estándar describe cuatro servicios:
o Descubrimiento de los servicios admitidos.
o Gestión de recopilación de la información.
o Bandeja de entrada para recibir la información.
o Encuesta para solicitar la información.
80 https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=cti
116
7.2.14 RFC
Los RFC (Request for Comments) se definen como un conjunto de estándares o
documentos numerados y gestionados por IETF81, que definen, explican y exponen
comentarios de los diferentes conceptos, aspectos de funcionamiento, características,
métodos y protocolos de Internet, entre otras propiedades de las redes de
computadores y los sistemas interconectados. Por tanto, aunque no existe un RFC
concreto para la descripción y funcionamiento de un SOC, existe el RFC 2350, que
define un CSIRT y puede ser un buen punto de partida para un SOC y el RFC 3227,
que recoge los criterios para el almacenamiento y recogida de evidencias ante
incidentes de seguridad, entre otros.
El RFC 2350 se define como el estándar que describe las diferentes características
para la respuesta ante incidentes de Seguridad de la Información, que puede
aprovecharse para definir el SOC que se desea implementar y consta de 7 puntos
específicos para su presentación:
1. Información del documento y su difusión.
2. Información del contacto.
3. Información de su constitución junto con su misión, alcance y autoridad.
4. Políticas junto con los tipos de incidentes y la comunicación, entre otros.
5. Servicios del equipo de respuesta.
6. Notificación de incidentes.
7. Descargo de responsabilidad.
El RFC 3227 se define como el estándar que describe los diferentes criterios para
almacenar y recopilar la información en forma de evidencias encontradas en los
eventos e incidentes de seguridad. Además, consta de 4 puntos importantes que
contienen los diferentes procesos:
1. Principios de recolección de evidencias.
1.1. Orden de volatilidad.
1.2. Acciones a evitar.
1.3. Observaciones sobre la privacidad.
2. Procedimiento de recolección.
2.1. Transparencia.
2.2. Diferentes pasos.
3. El procedimiento de almacenamiento.
3.1. Cadena de custodia.
3.2. Lugar y forma de almacenarlo.
4. Herramientas necesarias.
81 https://es.wikipedia.org/wiki/Grupo_de_Trabajo_de_Ingenier%C3%ADa_de_Internet
117
7.2.15 Disposiciones legales para un SOC en el Estado español
Las principales leyes y normativas legales que regulan la gestión y el tratamiento de la
información y de sus activos y, por extensión, la implementación, coordinación y
funcionamiento de un equipo de ciberseguridad, como puede ser un SOC, se
describen a continuación:
82 https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-10389
83 https://www.boe.es/buscar/act.php?id=BOE-A-1968-444
84 https://www.boe.es/buscar/doc.php?id=BOE-A-2019-2364
85 https://www.boe.es/buscar/act.php?id=BOE-A-2011-7630
118
7.2.15.5 Leyes de Seguridad de las redes y sistemas de información
86 https://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-12257
87 https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-1192
88 https://www.boe.es/buscar/act.php?id=BOE-A-2002-13758
89 https://www.boe.es/buscar/doc.php?id=BOE-A-2022-10757
90 https://www.boe.es/buscar/act.php?id=BOE-A-2007-18243
119
7.2.15.8 Ley del Esquema Nacional de Seguridad (ENS)
Por una parte, el “Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos y por el que se deroga la Directiva 95/46/CE (RGPD)”93 se define
como el instrumento legal europeo que regula el tratamiento y la gestión de los datos
personales relacionados con personas en la Unión Europea (UE) por parte de las
entidades, organizaciones y personas. Por otra parte, la “Ley Orgánica 3/2018, de 5
de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales (LOPDGDD)”94 se define como el instrumento legal español que regula el
ordenamiento jurídico español para que se adapte a la RGPD europea, asegurar el
derecho digital de las personas y completar sus disposiciones. Por tanto, ambos
recursos legales se aplican a todos los intervinientes del tratamiento de datos
personales, con el fin de determinar su responsabilidad y de garantizar los derechos
de las personas físicas y su actividad, aunque, en el caso de proveedores de servicios,
no se encuentren dentro de la Unión Europea.
91 https://www.boe.es/diario_boe/txt.php?id=BOE-A-2022-7191
92 https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-14046
93 https://www.boe.es/doue/2016/119/L00001-00088.pdf
94 https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673
120
7.2.15.11 Ley de Propiedad Intelectual (TRLPI)
95 https://www.boe.es/buscar/act.php?id=BOE-A-1996-8930
121
7.3 Anexo 3: Análisis del marco característico de un SOC
Con el fin de comprender el marco característico utilizado para la guía de
implementación de un SOC y los dominios principales en los que se basa para su
estructura y funcionamiento diario, a continuación, se resume el análisis y estudio de
los procesos, de las tecnologías y del personal y sus roles, con el que se construyen
los servicios mínimos que debe de prestar esta área de ciberseguridad para la
protección y prevención de los activos de información de una organización y para la
detección y respuesta ante sus incidentes y brechas de ciberseguridad.
Asimismo, como el primero de los tres dominios principales definidos en los que se
fundamenta un SOC, se enfoca en el detalle de los procedimientos y protocolos que se
deben ejecutar para proteger, prevenir, detectar y reaccionar ante los incidentes de
ciberseguridad. Por tanto, a continuación, se presentan los procesos mínimos que
forman parte de sus actividades y tareas diarias:
122
Integración de Se trata de la incorporación de todas las tecnologías de
dispositivos fuente Seguridad de la Información de la organización posibles en
emisores de registros el envío de sus registros logs para su recolección,
logs almacenamiento, custodia y análisis.
Se trata de la verificación continua de los diferentes sucesos
Monitorización de no deseados en una organización, a través de los registros
eventos de logs de las actividades que realizan las diferentes fuentes
ciberseguridad provenientes de las tecnologías de Seguridad de la
Información de una organización.
Se trata de la unificación de la sucesión de eventos de
Correlación de
ciberseguridad relacionados entre sí que se han registrado a
eventos de
través de los diferentes registros logs obtenidos y
ciberseguridad
almacenados.
Clasificación de
Se trata de la categorización de los eventos e incidentes de
eventos e incidentes
ciberseguridad que se detecten en una organización.
de ciberseguridad
Triaje de eventos e
Se trata del diagnóstico inicial de los eventos e incidentes de
incidentes de
ciberseguridad que se detecten en una organización.
ciberseguridad
Identificación de
Se trata del reconocimiento de amenazas de ciberseguridad
ciberamenazas e
que se detecten en la correlación de los registros logs de los
incidentes de
activos de información de una organización.
ciberseguridad
Se trata del análisis y estudio en profundidad de los eventos
Investigación de
e incidentes de ciberseguridad que se detecten en una
eventos e incidentes
organización, una vez se haya realizado el diagnóstico inicial
de ciberseguridad
y aún sigan activos.
Se trata de la anotación de los incidentes de ciberseguridad
Registro de los
que se detecten en una organización y de todas sus
incidentes de
consecuencias, actividades, vías de entrada y problemas
ciberseguridad
causados.
Tratamiento y
escalado de los Se trata de la gestión y el escalado de los incidentes de
incidentes de ciberseguridad que se detecten en una organización.
ciberseguridad
123
Seguimiento de los Se trata del rastreo y persecución de las acciones y
incidentes de soluciones aplicadas a los incidentes de ciberseguridad que
ciberseguridad se detecten en una organización.
124
Reacción ante alertas
Se trata de la respuesta que se dé ante las alertas de
de ciberseguridad y
ciberseguridad y vulnerabilidades de activos de información
vulnerabilidades de
que se traten, registren y notifiquen en una organización.
activos
Actualización de
Se trata del refresco y renovación de la información de las
alertas de
alertas de ciberseguridad y de las vulnerabilidades de
ciberseguridad y
activos de información que se traten, registren y notifiquen
vulnerabilidades de
en una organización.
activos
Seguimiento de
Se trata del rastreo y persecución de las acciones y
alertas de
soluciones aplicadas a las alertas de ciberseguridad y
ciberseguridad y
vulnerabilidades de activos de información que se traten,
vulnerabilidades de
registren y notifiquen en una organización.
activos
Vigilancia de
Se trata del rastreo y detección del robo o publicación de la
filtraciones de
información confidencial, secreta o privada de una
información
organización para usarse sin su autorización.
corporativa
Vigilancia de
Se trata del rastreo y detección de la publicación de
exposición de
documentos corporativos con información confidencial,
metadatos de
secreta o privada en sus metadatos, que pueden ser
documentación
utilizados para obtener información corporativa.
corporativa
Se trata del rastreo y detección de la publicación de
Vigilancia de foros
información sobre brechas de seguridad y compromiso de la
relacionados con la
información de una organización en foros relacionados con
ciberseguridad.
la ciberseguridad.
125
Identificación y Se trata del reconocimiento, la validación y la propuesta de
propuesta de nuevos nuevos indicadores de ciberseguridad en una organización
indicadores de para monitorizar más datos de sus diferentes activos de
ciberseguridad información.
96 https://tfig.itcilo.org/SP/contents/interoperability.htm
126
Asimismo, dada su evolución y en base a sus necesidades del momento, existen
diferentes tipos de cortafuegos, entre los que se destacan los siguientes:
97 https://es.wikipedia.org/wiki/Modelo_OSI
98 Ver el punto 7.3.2.3 del Anexo 3 para más información sobre IPS.
127
Se trata del firewall que se instala en un dispositivo en local y
toma decisiones de procesamiento en base a las
necesidades de protección en profundidad de los puntos
Cortafuegos de finales ubicados en diferentes segmentos de red. Se trata de
software una solución costosa de mantener por su gestión aislada en
los puntos finales y que no siempre favorece la
interoperabilidad entre los diferentes activos de una
organización.
Se trata del firewall que se integra en la red organizativa
como un dispositivo más y toma decisiones de
Cortafuegos de procesamiento de la misma manera que un enrutador de
hardware tráfico de red para interponerse en los paquetes de datos y
las solicitudes de tráfico enviadas entre dos puntos finales o
activos de una organización.
Se trata del firewall que se sitúa en la nube y toma
decisiones de procesamiento al igual que un firewall de tipo
Cortafuegos en la proxy, dado que su funcionamiento suele ser idéntico.
nube Igualmente, dada su naturaleza, se integran con facilidad en
las organizaciones, aunque delegan todo el tráfico de red
perimetral fuera de sus sistemas.
Tabla 24 - Tipos de firewalls.
En la actualidad, los cortafuegos más utilizados por las grandes organizaciones son
los cortafuegos de próxima generación. Además, en el mercado existen grandes
empresas que se dedican a la fabricación de estos cortafuegos y lideran su venta de
productos, por lo que, a continuación, se presentan algunos de los mejores para que
las organizaciones los valoren y decidan sobre su integración e interoperabilidad:
99 https://www.fortinet.com/lat/products/next-generation-firewall
100 https://www.paloaltonetworks.es/network-security/next-generation-firewall-hardware
101 https://resources.checkpoint.com/next-generation-firewall/quantum-security-appliance-
brochure
102 https://www.cisco.com/c/es_es/products/security/firewalls/index.html
103 https://www.forcepoint.com/es/appliance/forcepoint-ngfw-appliances
104 https://www.sophos.com/es-es/products/next-gen-firewall/tech-specs#Overview
128
7.3.2.2 Sistemas de detección de intrusos (IDS)
Asimismo, los IDS pueden ser de tipo hardware, que se instalan entre las
comunicaciones de red de las organizaciones, o tipo software, que se incluyen como
módulos o sensores en otras soluciones de seguridad, como pueden ser los
cortafuegos NGFW o antivirus. Además, en base a su arquitectura de red, estos
sistemas pueden ser de diferentes tipos:
Por otra parte, en el mercado existen diferentes modelos de IDS, por lo que, para su
valoración y decisión de integración e interoperabilidad en la organización que lo
requiera, a continuación, se presentan algunos de los más utilizados:
105 https://www.solarwinds.com/security-event-manager/use-cases/intrusion-detection-
software?CMP=BIZ-RVW-SWTH-SEM
106 https://www.snort.org/
107 https://suricata.io/
129
Trend Micro108 Trend Micro DDI.
Wazuh109 Wazuh.
OSSEC110 OSSEC.
Tabla 27 - Ejemplos de modelos de IDS.
Asimismo, los IPS pueden ser de tipo hardware, que se suelen instalar tras los
cortafuegos para bloquear todo tráfico no legítimo entrante y saliente de la red de las
organizaciones, o tipo software, que se incluyen como módulos o sensores en otras
soluciones de seguridad, como pueden ser los propios cortafuegos NGFW o los
antivirus. Además, estos sistemas se consideran como una prolongación de los IDS,
pero realizan un tipo de control del tráfico de red diferente y se asemejan más a los
cortafuegos, ya que monitorizan el tráfico de red y lo permiten o lo bloquean.
Por otra parte, en base a su arquitectura de red, estos sistemas pueden ser de
diferentes tipos:
108 https://www.trendmicro.com/es_es/business/products/network/advanced-threat-
protection/inspector.html
109 https://wazuh.com/
110 https://www.ossec.net/
130
Se trata del IPS que monitoriza todo el tráfico entrante y
IPS basado en saliente de un segmento de red y lo compara con una línea
análisis de base predefinida para detectar anomalías o conductas
comportamiento extrañas (Network Behaviour Analysis, en inglés), reacciona
(NBA) ante los sucesos no deseados y notifica las alertas que
detecte y las acciones realizadas para su remediación.
Se trata del IPS que, además de realizar las propias labores
de detección, prevención, protección y notificación de las
IPS de próxima
amenazas localizadas en la red de una organización, ofrece
generación (NGIPS)
inteligencia avanzada en su funcionamiento y proporciona
mayor visibilidad.
Tabla 28 - Tipos de IPS.
111 https://www.paloaltonetworks.es/network-security/next-generation-firewall-hardware
112 https://www.fortinet.com/lat/products/next-generation-firewall
113 https://www.mcafee.com/enterprise/es-es/assets/data-sheets/ds-virtual-network-security-
platform.pdf
114 https://www.trendmicro.com/es_es/business/products/network/intrusion-prevention/tipping-
point-threat-protection-system.html
115 https://www.cisco.com/c/en/us/products/security/ngips/index.html
131
Asimismo, se trata de la herramienta central del ecosistema tecnológico de la
ciberseguridad de una organización y del funcionamiento de todo SOC, ya que
proporciona la recopilación, agregación y análisis de múltiples datos en tiempo real,
agiliza sus flujos de trabajo y favorece sus capacidades operativas sobre gestión de
incidentes y generación de informes, entre otros. Además, los SIEM son el resultado
de la conjunción de dos tecnologías diferentes que se complementan:
Sistema de gestión de eventos de seguridad (SEM o Security Event
Management, en inglés): Sistema que correlaciona, centraliza, procesa y
monitoriza los eventos de seguridad en tiempo real para notificar las alertas de
amenazas de ciberseguridad.
Sistema de gestión de información de seguridad (SIM o Security
Information Management, en inglés): Sistema que almacena los registros logs
recibidos y los eventos de seguridad correlacionados para mantener un
histórico, permitir el análisis forense de los eventos e incidentes de
ciberseguridad y generar conocimiento sobre los ciberataques.
Por otra parte, en el mercado existen diferentes herramientas o modelos SIEM con el
que mejorar las capacidades de los procesos de negocio de una organización en
materia de ciberseguridad y la agilidad de reacción de los SOC ante las
ciberamenazas detectadas, por lo que, para su valoración y decisión de integración e
interoperabilidad en una organización, a continuación, se muestran algunos de los más
usados a nivel empresarial:
Fortinet116 FortiSIEM.
IBM117 IBM Security QRadar.
McAfee118 McAfee Enterprise Security Manager.
LogRhythm119 LogRhythm SIEM.
Splunk120 Splunk Enterprise Security.
Alien Vault121 Alien Vault OSSIM.
Tabla 30 - Ejemplos de modelos SIEM.
116 https://www.fortinet.com/lat/products/siem/fortisiem
117 https://www.ibm.com/products/qradar-siem
118 https://www.mcafee.com/enterprise/es-mx/assets/data-sheets/ds-enterprise-security-
manager.pdf
119 https://logrhythm.com/products/logrhythm-siem/
120 https://www.splunk.com/en_us/products/enterprise-security.html?301=/en_us/cyber-
security/siem.html
121 https://cybersecurity.att.com/products/ossim
132
7.3.2.5 Sistemas de orquestación, automatización y respuesta de
seguridad (SOAR)
Asimismo, los sistemas SOAR proporcionan una rápida y mejor comprensión del
contexto de las amenazas e incidentes de ciberseguridad y facilita a los SOC las
herramientas para realizar una mejora continua de los procedimientos y flujos de
trabajo de la Seguridad de la Información en las organizaciones. Además,
proporcionan múltiples beneficios, entre los que se destacan:
Mejora de los tiempos de respuesta: Reacciona de manera instantánea
gracias a la automatización.
Minimiza el impacto de las ciberamenazas: Detecta con mayor agilidad y
responde instantáneamente.
Mejora de la inteligencia de ciberamenazas: Incorpora y correlaciona la
información de diferentes fuentes para actualizar su inteligencia.
Aumenta la perspectiva de ciberseguridad: Facilita a los equipos de
ciberseguridad, como los SOC, comprensión del alcance y la naturaleza de las
ciberamenazas más allá de sólo su definición.
Optimiza sus operaciones: Facilita la automatización de la correlación de los
datos, del manejo de las ciberamenazas y de las respuestas a los
ciberincidentes.
Perfecciona el rendimiento y la productividad: Facilita la clasificación y
priorización de las tareas y la agilidad de las respuestas a más incidentes de
ciberseguridad en tiempos más reducidos.
Minimiza los costes: Agiliza y simplifica el tratamiento de las ciberamenazas
de manera automatizada, por lo que reduce los costes de reacción por
impactos y recursos de personal.
133
Por otra parte, en el mercado existen diferentes modelos de SOAR que pueden
facilitar las operaciones de seguridad de los SOC y demás equipos de ciberseguridad
de las organizaciones, por lo que, a continuación, se presentan algunos de los más
publicitados a nivel empresarial, con el fin de que se pueda valorar de cara a su
integración e interoperabilidad:
Por otra parte, en el mercado existen diferentes soluciones para la protección de los
puntos finales, por lo que, a continuación, se presentan algunos de los más utilizados
a nivel empresarial para su valoración por parte de las organizaciones:
122 https://www.paloaltonetworks.es/cortex/cortex-xsoar
123 https://www.ibm.com/es-es/products/qradar-soar
124 https://www.rapid7.com/products/insightconnect/
125 https://www.fortinet.com/lat/products/fortisoar
126 https://www.splunk.com/en_us/products/splunk-security-orchestration-and-automation.html
127 https://es.wikipedia.org/wiki/Lista_negra_(inform%C3%A1tica)
134
Fabricante Modelos de ejemplo
Tipos de Sistemas de
detección y Descripción
respuesta
128 https://www.trendmicro.com/es_es/business/products/user-protection/sps/endpoint.html
129 https://www.kaspersky.es/small-to-medium-business-security/endpoint-select
130 https://www.gdatasoftware.com/business/endpoint-security
131 https://www.avast.com/es-es/business#pc
132 https://www.eset.com/es/empresas/proteccion-de-endpoints/
133 https://www.bitdefender.com/business/solutions/endpoint-security.html
134 https://www.checkpoint.com/es/solutions/endpoint-security/
135 https://esgeeks.com/que-es-lista-blanca/
135
Se trata del Sistema software de detección y respuesta que
Sistema de detección se encarga de proteger toda la infraestructura de una
y respuesta organización de ciberamenazas y comportamientos
extendida anómalos (XDR o eXtended Detection and Response, en
inglés).
Se trata del Sistema de detección y respuesta que se
administra como servicio por un proveedor externo
experimentado, gracias a la ayuda de cualquiera de los
Sistema de detección sistemas software de detección y respuesta nombrados
y respuesta anteriormente (EDR, NDR y/o XDR), para proteger la parte
gestionada de la organización contratada en los acuerdos de nivel de
servicio (SLA) de ciberamenazas y comportamientos
anómalos (MDR o Manage Detection and Response, en
inglés).
Tabla 33 - Tipos de Sistemas de detección y respuesta.
136 https://www.trendmicro.com/es_es/business/products/detection-response.html
137 https://www.cynet.com/platform/
138 https://www.watchguard.com/es/wgrd-products/watchguard-endpoint-edr
139 https://www.paloaltonetworks.com/cortex/cortex-xdr
140 https://www.fortinet.com/lat/products/endpoint-security/fortiedr
136
Inteligencia artificial y aprendizaje automático.
Creación de diferentes perfiles de actuación.
Motor de reglas personalizables.
Motor de correlación
Protección contra los DDoS141.
Red de entrega de contenido (CDN142).
Tipos de
implementación de Descripción
WAF
Fortinet143 Fortiweb.
Imperva144 Imperva SecureSphere.
Barracuda145 Barracuda Networks WAF.
Monitorapp146 Monitorapp AIWAF.
F5147 Advanced Web Application Firewall
Tabla 36 - Ejemplos de WAF.
141 Ver el punto 7.1.3.3 del Anexo 1 para más información sobre DDoS y los Ciberataques más
comunes.
142 https://es.wikipedia.org/wiki/Red_de_distribuci%C3%B3n_de_contenidos
143 https://www.fortinet.com/lat/products/web-application-firewall/fortiweb
144 https://www.imperva.com/products/web-application-firewall-waf/
145 https://www.barracuda.com/products/webapplicationfirewall
146 https://www.monitorapp.com/waf/
147 https://www.f5.com/es_es/products/security/advanced-waf
137
7.3.2.9 Sistemas de protección del correo electrónico
148 https://www.mdirector.com/blog/que-es-el-spf/
149 https://www.dmarcanalyzer.com/es/dkim-3/
150 https://www.dmarcanalyzer.com/es/dmarc-3/
151 https://www.trendmicro.com/es_es/business/products/user-protection/sps/email-and-
collaboration.html
152 https://www.sophos.com/en-us/products/sophos-email
153 https://www.barracuda.com/products/email-protection
154 https://www.cisco.com/c/m/es_es/products/security/email-security/setup-guide.html
155 https://www.fortinet.com/lat/products/email-security
138
Por otra parte, algunos de las herramientas de inventario de activos de información
pueden ser:
156 https://www.atlassian.com/software/jira/service-management
157 https://glpi-project.org/es/
158 https://otrs.com/es/home/
159 https://ocsinventory-ng.org/?lang=en
160 https://invgate.com/assets/
161 https://www.atlassian.com/software/jira/service-management
162 https://glpi-project.org/es/
163 https://otrs.com/es/home/
164 https://www.bmcsoftware.es/it-solutions/remedy-itsm.html
139
7.3.2.12 Sistemas de gestión de vulnerabilidades
Tenable165 Nessus.
Qualys166 Qualys VMDR.
GFI 167
GFI LanGuard.
Greenbone168 OpenVas.
CIR169 Nikto2.
Retina CS.
Beyond Trust170
Retina Network Security Scanner.
Tabla 40 - Ejemplos de Sistemas de gestión de vulnerabilidades.
165 https://es-la.tenable.com/products/nessus?tns_redirect=true
166 https://www.qualys.com/apps/vulnerability-management-detection-response/
167 https://www.gfi.com/products-and-solutions/network-security-solutions/languard
168 https://www.openvas.org/
169 https://cirt.net/Nikto2
170 https://www.beyondtrust.com/vulnerability-management
140
Fabricante Modelos de ejemplo
Nagios171 Nagios.
Pandora FMS 172
Pandora FMS.
Solucions IM173 ITRS OP5 Monitor.
Paessler174 Paessler PRTG.
Tabla 41 - Ejemplos de Sistemas de monitorización de disponibilidad.
171 https://www.nagios.org/
172 https://pandorafms.com/es/
173 https://www.solucions-im.com/es/op5-monitor
174 https://www.paessler.com/es/prtg
141
Se definen como las herramientas de ciberseguridad que
identifican, recuperan y estudian los datos de los activos de
Herramientas de información de una organización para obtener algún tipo de
análisis forense información desconocida, dañada, perdida o que haya
podido haber constituido algún tipo de delito, con el fin de
proporcionar información y evidencias de esos activos.
Se definen como los sistemas que almacenan la información
Sistemas de copias y
de los activos de información de una organización de
respaldo de
manera periódica para tener un respaldo que restaurar en
seguridad
caso de pérdida de información.
Se definen como los sistemas que simulan ser un servicio
Sistemas trampa o de vulnerable para registrar los intentos de intrusión que
señuelo reciban, con el fin de obtener información sobre los ataques
y adquirir inteligencia sobre las ciberamenazas.
Se definen como los sistemas de infraestructura de clave
pública que permiten la creación, gestión, distribución, uso,
Sistemas PKI almacenaje y revocación de certificados digitales y cifrado de
clave pública, mediante la conjunción de roles,
procedimientos y políticas.
Se definen como los sistemas que almacenan, custodian y
Sistemas HSM protegen las claves privadas de los certificados digitales y el
cifrado de la clave pública, mediante criptografía.
Se definen como las herramientas de ciberseguridad de
dispositivos móviles que protege sus datos, los de sus
Herramientas MDM
aplicaciones, almacenamiento en la nube, movimiento de
redes corporativas y repositorios de almacenamiento.
Herramientas de Se definen como las herramientas de inteligencia de datos
inteligencia de con las que obtener información útil a partir de la
fuentes abiertas recolección, procesamiento, análisis y toma de decisiones de
(OSINT) los datos obtenidos de diferentes fuentes públicas.
Tabla 42 - Más tecnologías de interés para un SOC.
Asimismo, una vez instalados los sistemas de ciberseguridad, entre los que se destaca
el SIEM, entre las herramientas más recomendadas para todo SOC, tal y como se
observa en la web de CSIRT KIT175 (s.f.), se pueden localizar las siguientes:
Herramientas
Descripción
recomendadas
Herramienta software de inteligencia de amenazas que
MISP176 facilita el intercambio y la centralización de información de
amenazas y de indicadores de compromiso.
175 https://csirt-kit.org/#services
176 https://www.misp-project.org/
142
Herramienta software de manejo de incidentes de seguridad
177 mediante la recopilación y el procesamiento de fuentes de
IntelMQ
seguridad abiertas y registros de logs obtenidos a partir del
protocolo de cola de mensajes.
Herramienta software de respuesta a incidentes de
The Hive178 ciberseguridad que centraliza las alertas provenientes de
diferentes fuentes.
Herramienta software de consulta y análisis de muestras
Cortex179
para la respuesta ante incidentes de ciberseguridad.
Herramienta software de análisis forense de la red que
Nfsen180 permite ejecución de comandos y facilita descripciones
gráficas de los flujos de red de la organización.
Herramienta software de inteligencia operativa para localizar,
Elastic181 verificar, visualizar y analizar los datos de los activos de
información a través de la recepción de sus registros logs.
Herramienta software de monitorización de ciberseguridad
para detectar amenazas, verificar continuamente la
Wazuh182
integridad de los sistemas, reaccionar ante los
ciberincidentes y verificar el cumplimiento.
Herramienta software de análisis de paquetes de datos de
Packetbeat183
red que se integra con servidores Elastic.
Herramienta software de gestión de registros que facilita la
184 combinación, correlación, centralización y visualización de
Graylog
información útil sobre ciberseguridad, las aplicaciones, los
activos y la infraestructura de una organización.
Herramienta software de automatización de flujos de trabajo
N8N185 que moviliza y transforma los datos de las bases de datos y
de las aplicaciones.
Tabla 43 - Herramientas recomendadas para un SOC (CSIRT-KIT).
177 https://github.com/certtools/intelmq
178 https://thehive-project.org/
179 https://thehive-project.org/
180 https://nfsen.sourceforge.net/
181 https://www.elastic.co/es/
182 https://wazuh.com/
183 https://www.elastic.co/es/beats/packetbeat
184 https://www.graylog.org/
185 https://n8n.io/
143
Asimismo, toda organización debe entender que un SOC debe ser un servicio o equipo
independiente del resto de áreas de la organización, con el fin de separarse y aislarse
de los aspectos más funcionales de los servicios para centrarse plenamente en su
protección y seguridad. Igualmente, la relación con el resto de equipos y
departamentos de su organización se considera necesaria y fundamental para el
cumplimiento de sus funciones, ya que, entre otras se encuentra la de supervisar y
monitorizar la actividad de estas otras áreas en materia de ciberseguridad. Por tanto, a
continuación, se propone la siguiente relación de roles que, de forma genérica, se
consideran imprescindibles dentro de todo SOC en una organización:
Los operadores del SOC componen el rol técnico inicial y más básico de la
ciberseguridad en una organización. Se trata de personal técnico del SOC que se
responsabiliza de registrar los eventos e incidentes de ciberseguridad en tickets, de
tramitar, clasificar y realizar el triaje de las amenazas y vulnerabilidades de
ciberseguridad detectadas y de monitorizar los activos de información de la
organización. Además, se encargan de la gestión de las tecnologías suministradas
para el uso de sus funciones y de la remediación ágil y rápida de los incidentes de
ciberseguridad que cuenten con un procedimiento definido, verificado y aprobado.
Las organizaciones, por lo general, procesan un volumen de datos muy elevado, por lo
que los operadores del SOC se encargan de realizar una distribución balanceada de
las actividades destinadas para su rol, como son la verificación continua, el escrutinio y
el procesado de la información de la organización. Por tanto, entre los conocimientos y
las habilidades que debe tener un técnico de ciberseguridad asignado al Nivel 1 del
SOC (Tier 1) se pueden encontrar los siguientes:
144
Conocimientos y habilidades (skills) del nivel 1
Asimismo, entre las funciones y responsabilidades que debe asumir este rol, se
pueden encontrar las siguientes:
186Ver el punto 7.1.2.3.2 del Anexo 1 para más información sobre Repositorios de información
de vulnerabilidades y definición de CVE.
145
Conocimientos y habilidades (skills) del nivel 2
Asimismo, entre las funciones y responsabilidades que debe asumir este rol, se
pueden encontrar las siguientes:
146
7.3.3.3 Nivel 3: Arquitectos del SOC
Minuciosidad en la realización de
Liderazgo e iniciativa.
actividades y tareas.
Arquetipo y constancia. Capacidad de mejora continua.
Conocimiento experto en ingeniería y
Proactividad e implicación.
arquitectura de ciberseguridad.
Conocimiento en ingeniería de los activos Conocimiento en ingeniería, ciencia y
tecnológicos de información. arquitectura de software.
Capacidad analítica, seriedad e inquietud Comprensión y conocimiento del negocio
para la investigación avanzada. y de su relación con la ciberseguridad.
Capacidad para gestionar con efectividad Capacidad para gestionar equipos con
el tiempo y los recursos. efectividad.
Capacidad de trabajo en equipo y bajo Capacidad de comprensión,
presión. capacitación y aprendizaje.
Capacidad y experiencia para la
Capacidades comunicativas, de síntesis
resolución de problemas de
de información y de enseñanza.
ciberseguridad.
Tabla 48 - Habilidades y conocimientos de los Arquitectos del SOC.
Por otra parte, entre las funciones y responsabilidades que debe asumir este rol, se
pueden encontrar las siguientes:
147
Gestión del análisis de malware y el
Gestión de la caza e inteligencia de
análisis forense de los incidentes de
amenazas a la ciberseguridad.
ciberseguridad.
Diseño, desarrollo e implementación de
Apoyo y formación a los analistas del
respuesta ante las alertas y problemas de
nivel 2 del SOC.
ciberseguridad sin resolución.
Generación de estadísticas e informes de
Enlace y conexión de comunicación entre
los ANS y de las funciones diarias del
el Director (posible CISO) y el resto del
SOC para el reporte al Director (posible
SOC.
CISO).
Creación y diseño de los requisitos de Documentar y capacitar al resto del
ciberseguridad indicados Director del equipo sobre los procesos y las
SOC (posible CISO) y los procesos de tecnologías usadas para los servicios que
negocio de la organización. presta el SOC.
Soporte y asistencia en materia de Documentar y poner en funcionamiento
ciberseguridad a la dirección y los Planes diseñados por el Director del
responsables técnicos de la organización. SOC (posible CISO).
Auditar y supervisar el cumplimiento de la
Soporte al Director (posible CISO) en
ciberseguridad en todas las áreas de
todo lo relacionado con el funcionamiento
organización (tanto internas como
diario del SOC.
externas y de proveedores).
Tabla 49 - Funciones y competencias de los Arquitectos del SOC.
187 https://www.incibe.es/protege-tu-empresa/blog/ceo-ciso-cio-roles-ciberseguridad
188 https://www.incibe.es/protege-tu-empresa/blog/ceo-ciso-cio-roles-ciberseguridad
148
Capacidad comunicativa, de
Comprensión y conocimiento del negocio
comprensión, capacitación y
y de su relación con la ciberseguridad.
aprendizaje.
Conocimientos técnicos y de análisis,
Capacidad de manipulación e inteligencia
ingeniería y arquitectura de
emocional.
ciberseguridad.
Tabla 50 - Habilidades y conocimientos del Director del SOC.
Por otra parte, entre las funciones y responsabilidades que debe asumir este rol, se
pueden encontrar las siguientes:
149
7.3.3.5 Estimación económica del personal del SOC
Asimismo, aunque los costes en salario de personal pueden variar en dependencia del
emplazamiento en el que se encuentre la organización y en base a los cambios de
demanda del mercado, en las diferentes ofertas de trabajo localizadas en diferentes
portales de búsqueda de empleo entre los años 2020 y 2022 (tras la pandemia por la
COVID-19), las organizaciones estiman, de media, la siguiente valoración económica
para cada miembro del personal del SOC:
150
7.3.4.1 Servicio de Gestión de Incidentes de Ciberseguridad
189 Ver el punto 7.1.3.1 del Anexo 1 para más información sobre las fases de un ataque
informático y de la cadena Cyber Kill Chain.
151
Asimismo, este servicio debe definir sus actividades en base a la premisa de que, en
caso de incidente de ciberseguridad real con impacto en alguno de los activos de
información de la organización, el personal del SOC conozca sus responsabilidades y
atribuciones en todo momento para reaccionar adecuadamente y bajo las políticas y
metodologías implantadas por la organización. Además, por una parte, se deben
definir tareas programadas periódicamente con sus checklists190 y sus modelos de
informes, entre otros, para garantizar los acuerdos a nivel de servicio y las reacciones
rápidas del personal; y, por otra, se deben utilizar las herramientas y sistemas
aprovisionadas por el cliente durante el ciclo de vida del incidente de ciberseguridad,
por lo que deben proporcionar los accesos y permisos para todos los miembros del
SOC.
Finalmente, los dominios en los que se basa este servicio se definen a continuación:
190 https://www.isotools.org/2018/03/08/que-es-un-checklist-y-como-se-debe-utilizar/
152
Dominios del servicio
de gestión de Descripción
ciberincidentes
Monitorización de eventos de ciberseguridad.
Correlación de eventos de ciberseguridad.
Clasificación de eventos y ciberincidentes.
Triaje de eventos e incidentes de ciberseguridad.
Identificación de ciberamenazas y ciberincidentes.
Investigación de eventos y ciberincidentes.
Procesos principales Registro de los ciberincidentes.
del servicio Tratamiento y escalado de los y ciberincidentes.
Recogida de evidencias de las ciberamenazas.
Reacción ante ciberamenazas y ciberincidentes.
Notificación de los ciberincidentes.
Seguimiento de los ciberincidentes.
Análisis posterior a los ciberincidentes
Desarrollo de flujos de trabajo ante ciberincidentes.
Sistemas de gestión de información y eventos de
seguridad (SIEM).
Tecnologías Sistemas de orquestación, automatización y respuesta de
principales para la seguridad (SOAR).
gestión del servicio Herramientas de gestión de ticketing.
Herramientas de inteligencia de amenazas.
Herramientas de análisis forense.
Cortafuegos (Firewall).
Sistemas de detección de intrusos (IDS).
Sistemas de prevención de intrusos (IPS).
Tecnologías Herramientas de protección de puntos finales (EEP).
secundarias para la Herramientas de detección y respuesta.
gestión del servicio Cortafuegos de Aplicaciones web (WAF).
Sistemas de protección del correo electrónico.
Herramientas de inventario de activos de información.
Herramientas de monitorización de disponibilidad.
Nivel 1: Equipo técnico de operadores del SOC que
realizan, entre otras, las siguientes acciones:
o Registro y triaje de eventos e incidentes.
o Remediación ágil y rápida a través de procedimientos
definidos y aprobados.
o Asignación y escalado, en su caso, al nivel 2.
Nivel 2: Equipo técnico de analistas del SOC que
realizan, entre otras, las siguientes acciones:
o Tratamiento y resolución de incidencias más complejas.
Personas y roles o Asignación y escalado, en su caso, al nivel 3.
Nivel 3: Equipo de arquitectos del SOC que se encargan
de, entre otras, las siguientes actividades:
o Análisis avanzado de amenazas e incidentes.
o Cazadores de amenazas proactivos.
o Análisis forense avanzado.
o Control del cumplimiento normativo del servicio.
Nivel 4: Director del SOC (posible CISO), que se encarga
de la dirección y las responsabilidades del servicio y de
su alineación con la alta dirección de la organización.
Tabla 53 - Dominios del Servicio de Gestión de Ciberincidentes.
153
7.3.5.2 Servicio de Alerta Temprana
En relación con las tecnologías aplicables en cada momento, el personal del SOC
debe consensuar un listado de activos tecnológicos de información, tanto software
como hardware, con el cliente para definir un alcance. Por ello, para el descubrimiento
del inventario se recomienda utilizar herramientas de inventario de activos de
información, aunque, en dependencia del tamaño de la organización, también se
pueden utilizar procedimientos manuales para la creación de un listado detallado.
Además, en base a la posibilidad de obtener con precisión las versiones desplegadas
en cada activo de información de la infraestructura de la organización, el SOC actuará
con mayor eficacia, pero, para ello, el cliente y los responsables de estos activos
deben suministrar los accesos y permisos al personal del SOC y a las herramientas de
inventario para poder disponer de la información requerida.
Por otra parte, este servicio debe prestarse diariamente en las franjas laborales que
requiera la organización, según la periodicidad de cambios en los activos de
información que realice y a la publicación de las nuevas vulnerabilidades descubiertas.
Por tanto, el Director del SOC asignará periódicamente un analista del SOC (o, a lo
sumo, un operador) como gestor de este servicio para que realice los procesos para
identificar, validar, clasificar, realizar el triaje, registrar y notificar las debilidades de los
activos tecnológicos, para depurar la información para comunicar la actualidad de la
154
ciberseguridad y de las vulnerabilidades y para realizar un seguimiento de las
vulnerabilidades activas.
El flujo de trabajo ante una nueva vulnerabilidad en alguno de los activos de
información tecnológicos de información se define, como ejemplo, a continuación:
Al mismo tiempo, este servicio debe definir sus actividades con la idea de permitir la
transición de las actividades en diferentes horarios y turnos, por lo que el personal del
SOC debe conocer sus responsabilidades y atribuciones en todo momento para
reaccionar adecuadamente y bajo las políticas y metodologías implantadas por la
organización. Además, por una parte, se deben definir tareas programadas
periódicamente con sus checklists y sus modelos de informes, entre otros, para
garantizar los acuerdos a nivel de servicio y las reacciones rápidas del personal; y, por
otra, se deben utilizar las herramientas y sistemas aprovisionadas por el cliente
durante el ciclo de vida de las vulnerabilidades, por lo que deben proporcionar los
accesos a los activos tecnológicos de información, junto a sus permisos, para todo el
personal del SOC.
Finalmente, los dominios en los que se basa este servicio se definen a continuación:
155
Dominios del Servicio
Descripción
de Alerta Temprana
Identificación de alertas y vulnerabilidades.
Validación de alertas y vulnerabilidades.
Clasificación de alertas y vulnerabilidades.
Triaje de alertas y vulnerabilidades.
Procesos principales Registro de alertas y vulnerabilidades.
del servicio Tratamiento y escalado de alertas y vulnerabilidades.
Notificación de alertas y vulnerabilidades.
Reacción ante alertas y vulnerabilidades.
Actualización de alertas y vulnerabilidades.
Seguimiento de alertas y vulnerabilidades.
Sistemas de gestión de vulnerabilidades.
Herramientas de inventario de activos de información.
Tecnologías Sistemas de gestión de información y eventos de
principales para la seguridad (SIEM).
gestión del servicio Sistemas de orquestación, automatización y respuesta de
seguridad (SOAR).
Herramientas de gestión de ticketing.
Cortafuegos (Firewall).
Sistemas de detección de intrusos (IDS).
Sistemas de prevención de intrusos (IPS).
Tecnologías
Herramientas de protección de puntos finales (EEP).
secundarias para la
gestión del servicio Herramientas de detección y respuesta.
Cortafuegos de Aplicaciones web (WAF).
Sistemas de protección del correo electrónico.
Herramientas de monitorización de disponibilidad.
Nivel 1: Equipo técnico de operadores del SOC que
realizan, entre otras, las siguientes acciones:
o Notificación y alerta de las vulnerabilidades en base a la
información recibida del Nivel 2.
o Remediación ágil y rápida a través de procedimientos
definidos y aprobados.
Nivel 2: Equipo técnico de analistas del SOC que
realizan, entre otras, las siguientes acciones:
o Análisis, tratamiento y resolución de las vulnerabilidades
detectadas.
o Realización de pruebas de penetración en los activos
Personas y roles
tecnológicos de información.
o Asignación de la notificación al nivel 1.
o Asignación y escalado, en su caso, al nivel 3.
Nivel 3: Equipo de arquitectos del SOC que se encargan
de, entre otras, las siguientes actividades:
o Verificación de las alertas y vulnerabilidades complejas.
o Reporte, en su caso, al nivel 4.
Nivel 4: Director del SOC (posible CISO), que se encarga
de la dirección y asignación de responsabilidades al
personal del servicio y de enlazarlo con la alta dirección
de la organización.
Tabla 54 - Dominios del Servicio de Alerta Temprana.
156
7.4 Anexo 4: Seguimiento de la PEC2 del TFM
Fecha de Fecha de
Ejecución
inicio entrega
Hito 2: Primera fase de ejecución del Plan de
12/10/2022 08/11/2022
Trabajo (PEC2).
Análisis del marco preliminar para un SOC. 12/10/2022 15/10/2022
Estudio de Riesgos, Amenazas y
15/10/2022 19/10/2022
Vulnerabilidades.
Análisis del marco conceptual de un SOC. 19/10/2022 22/10/2022
Sistemas de protección, prevención y detección. 22/10/2022 24/10/2022
Estudio de los ataques y los incidentes de
24/10/2022 26/10/2022
seguridad.
Análisis del marco metodológico, estándares y
26/10/2022 31/10/2022
buenas prácticas para un SOC.
Reunión de seguimiento con el tutor del TFM (I). 27/10/2022 27/10/2022
Definición de un SOC y justificación de su
31/10/2022 03/11/2022
necesidad.
Análisis de las normativas legales para un SOC. 03/11/2022 05/11/2022
Análisis de los riesgos de este hito. 05/11/2022 06/11/2022
Redacción y revisión de este entregable. 06/11/2022 08/11/2022
Tabla 55 - Planificación cumplida en el hito 2.
157
7.5 Anexo 5: Seguimiento de la PEC3 del TFM
Fecha de Fecha de
Ejecución
inicio entrega
Hito 3: Segunda fase de ejecución del Plan de
12/10/2022 08/11/2022
Trabajo (PEC3).
Análisis del marco teórico y requisitos de un
09/11/2022 13/11/2022
SOC.
Definición de tipos de servicios y procesos de un
13/11/2022 18/11/2022
SOC.
Análisis de los requisitos de cada servicio. 18/11/2022 21/11/2022
Análisis de las métricas para cada proceso. 21/11/2022 24/11/2022
Definición de los flujos de trabajo de cada
24/11/2022 27/11/2022
servicio.
Análisis de las tecnologías necesarias para un
27/11/2022 30/11/2022
SOC.
Reunión de seguimiento con el tutor del TFM (II). 29/11/2022 29/11/2022
Análisis de los roles que gestionan un SOC. 30/11/2022 03/12/2022
Análisis de los riesgos de este hito. 03/12/2022 04/12/2022
Redacción y revisión de este entregable. 04/12/2022 06/12/2022
Tabla 56 - Planificación cumplida en el hito 3.
158
159