Está en la página 1de 2

Por qu su SOC y NOC debe correr

juntos, pero por separado


22 de septiembre 2014 / En Automatizacin de Procesos IT, Red de Centro de Operaciones,
Seguridad de Respuesta a Incidentes de automatizacin /
Las similitudes entre el papel del Centro de Operaciones de Red (NOC) y el Centro de
Operaciones de Seguridad (SOC) a menudo conducen a la idea errnea de que uno puede
manejar fcilmente las funciones del otro. Adems, una vez que el sistema de informacin
de seguridad y gestin de eventos de la empresa est en su lugar, puede parecer intil gastar
dinero en un SOC. Por qu no puede el CON MANGO ambas funciones? Por qu cada
uno por separado, pero trabajar en conjunto con los otros? Echemos un vistazo a algunas de
las razones a continuacin.
En primer lugar, sus funciones son sutilmente pero fundamentalmente diferente. Si bien es
cierto que ambos grupos son responsables de identificar, investigar, priorizar y escalada /
solucin de los problemas, los tipos de problemas y el impacto que tienen son
considerablemente diferentes. En concreto, el CON es responsable del manejo de incidentes
que afectan al rendimiento o la disponibilidad, mientras que el SOC se encarga de esos
incidentes que afectan a la seguridad de los activos de informacin. El objetivo de cada uno
es de gestionar el riesgo, sin embargo, la forma en que logran este objetivo es muy
diferente.
El trabajo del NOC es cumplir con los acuerdos de nivel de servicio (SLA) y gestionar los
incidentes de una manera que reduce el tiempo de inactividad - en otras palabras, un
enfoque en la disponibilidad y el rendimiento. El SOC se mide en su capacidad para
proteger la propiedad intelectual y los datos sensibles del cliente - un enfoque en la
seguridad. Mientras que estas dos cosas son de importancia crtica para el xito de una
organizacin, tener uno manejar los deberes del otros pueden significar un desastre, sobre
todo porque sus planteamientos son tan diferentes.
Otra razn el CON y SOC no deben ser combinados se debe a que el conjunto de
habilidades requeridos para los miembros de cada grupo es muy diferente. Un analista NOC
deben ser competentes en la red, la aplicacin y la ingeniera de sistemas, mientras que los
analistas del SOC requieren habilidades de ingeniera de seguridad. Adems, la propia
naturaleza de los adversarios que cada grupo batallas difiere, con el SOC se centra en
"adversarios inteligentes" y el NOC tratar con los eventos del sistema de origen natural.
Estas direcciones completamente diferentes resultan en contraste soluciones que pueden ser
extremadamente difcil para cada grupo para adaptarse a.
Por ltimo, la tasa de rotacin en un SOC es mucho mayor que la de un NOC. Tal vez es la
propia naturaleza de la funcin, pero el promedio de tiempo de empleo para un analista
SOC nivel 1 es alrededor de 2 aos o menos. Tenencia de un analista de NOC es mucho
ms largo. Slo lgico pensar, entonces, que pedirle a un analista de NOC para manejar sus

propios deberes y asumir las del SOC probablemente resultar en una tasa de desgaste
mucho mayor en general.
La mejor solucin es la de respetar las diferencias sutiles pero fundamentales entre estos
dos grupos y aprovechar un producto de automatizacin de calidad para vincular los dos, lo
que les permite colaborar para obtener resultados ptimos. El sistema ideal es aquel en el
que el NOC tiene acceso al SIEM, para que puedan trabajar en estrecha colaboracin con el
SOC y cada uno puede complementar deberes del otro. Los SOC identifica y analiza los
problemas, entonces recomienda correcciones a la NOC, que analiza el impacto esas
correcciones tendrn sobre la organizacin y luego modifica y aplica en consecuencia.