CENTRO DE ALTOS ESTUDIOS NACIONALES ESCUELA DE POST GRADO

MAESTRÍA EN CIBERSEGURIDAD Y CIBERDEFENSA CON MENCIÓN EN

TRANSFORMACIÓN DIGITAL

CURSO: Gestión del SOC (I-MCC-IIIS-2023)

Implementación de SOC: Presentación Final

Aybar Paredes Andrés

Cabrera Jáuregui Lizeth
Cárdenas Aldoradin Gian Marco
Cano Meza Nimrod
Huerta Fernández Karla
Horque Juan Carlos
Suyón Paniccia Carlos

Docente: Mg. Arthur C. Huamaní Cuba

LIMA – PERÚ
2023
 Índice

1. Introducción ...................................................................................................................................... 3
2. Identificación de riesgos a través del Business Impact Analysis (BIA) ......................................... 4
3. Implementación del Centro de Operaciones de Seguridad (SOC) ................................................ 7
4. Potenciales escenarios de amenazas que requieren fortalecer capacidades de resistencia: ....... 11
5. Tecnologías para controlar el riesgo frente a los escenarios de amenazas identificados ........... 16
6. Conclusiones .................................................................................................................................... 18
1. Introducción

Revisar las estadísticas de ciberdelincuencia del año siempre es un ejercicio aleccionador, y 2022
no es una excepción. Los actores de las amenazas siguen subiendo la apuesta, y las violaciones de
datos crecieron significativamente en el tercer trimestre de 2022, con un aumento del 70%
intertrimestral. De cara a 2023, los expertos predicen que las presiones asociadas a la incertidumbre
económica y la inflación crearán el entorno perfecto para los ciberdelincuentes. Según
Cybersecurity Ventures, se prevé que la ciberdelincuencia cueste al mundo 8 billones de dólares
en 2023.

Ante la inminente recesión, los responsables de seguridad se enfrentan al doble reto de recortar
gastos y optimizar sus actuales enfoques de seguridad en el próximo año. En este clima, la
importancia de contar con un Centro de Operaciones de Seguridad (SOC) bien diseñado y con
capacidad de respuesta para mejorar la detección de amenazas y reducir la probabilidad de brechas
de seguridad se amplifica.
2. Identificación de riesgos a través del Business Impact Analysis (BIA)

Las iniciativas empresariales digitales presentan más riesgos y oportunidades de crisis que las que
experimentan las empresas hoy en día. Los responsables de seguridad, desde el CISO a los
diferentes especialistas de seguridad, y gestión de riesgos deben utilizar un BIA interfuncional
como herramienta esencial para desarrollar procedimientos de colaboración en respuesta a una
interrupción importante del negocio.

En nuestro caso, se nos presentaron los siguientes retos:

Retos clave

▪ Las empresas digitales o digitalizadas a necesidad cultural y/o del negocio, son complejas
y dinámicas, y puede haber presión para recuperar todas las aplicaciones y cargas de trabajo
en una interrupción a menos que haya prioridades de recuperación claramente definidas.
▪ Los líderes de las empresas digitales no ven el valor del análisis del impacto en el negocio
(BIA) a menos que los resultados sean claros y estén vinculados a los objetivos estratégicos
de la organización.
▪ Un BIA incompleto o débilmente socializado a los líderes en la organización provocaría
una respuesta descoordinada a una interrupción y retrasarán la recuperación.
▪ El enfoque nos lleva a centrarnos en TI para recuperar las aplicaciones, a menos que haya
habido un enfoque de toda la organización en la realización de un BIA. Para nuestro caso
nos hemos centrado en la respuesta de TI a fin de responder satisfactoriamente a una
respuesta de impacto en la organización.

Los negocios digitales están formados por una compleja red de actividades e infraestructuras de
apoyo que incluye socios empresariales, dependencias internas y socios de TI en la prestación de
su usuario final. Las interrupciones inesperadas pueden hacer que no se presten los servicios a los
clientes, con el consiguiente impacto en los ingresos, la reputación, la vida/seguridad y los
objetivos estratégicos. con el consiguiente impacto en los ingresos, la reputación, la vida/seguridad
y los objetivos estratégicos.

Un BIA bien realizado es la forma más eficaz de medir el impacto de las interrupciones en la
prestación de servicios, ya sean digitales o tradicionales. la prestación de servicios, ya sean
digitales o tradicionales. El BIA ayudará al negocio digital a determinar las actividades críticas,
sus objetivos de tiempo de recuperación (RTO) y las interrupciones máximas aceptables (MAO).
Una vez Una vez establecidos, podremos desarrollar estrategias, soluciones y planes de
recuperación para las actividades críticas.
Estas acciones están representadas en la Fase 1 del ciclo de vida de BIA que se muestra en la
Figura 1.

Para su realización se identificaron las actividades correspondientes, así como una priorización
que facilite la estrategia de los tiempos de respuesta del RTO (Recovery Time Objective - Objetivo
de Tiempo de Recuperación) así como del RPO (Recovery Point Objective - Objetivo de Punto de
Recuperación) acordes con las necesidades del negocio. También se identificaron necesidades de
aseguramiento sobre la infraestructura. Teniendo como resultado:
Es importante considerar que la estimación de horas fue considerada basados en las necesidades
iniciales del SOC. De acuerdo a las necesidades del negocio, así como del riesgo asumido
(cumplimientos contractuales, legales o regulatorios), los cambios en la segmentación de las
actividades, así como la reducción del RTO y RPO pueden ser más que necesarios.
 3. Implementación del Centro de Operaciones de Seguridad (SOC)

Nuestra organización ha decidido iniciar actividades para la implementación del Centro de

Operaciones de Seguridad (SOC) de nuestra organización. El informe tiene como objetivo
proporcionar una visión general del proyecto del SOC, destacando su importancia estratégica, los
beneficios que aportará a nuestra organización y la necesidad de recursos financieros para su
implementación.

El entorno actual de amenazas cibernéticas en constante evolución y la creciente sofisticación de

los ataques representan una seria preocupación para nuestra organización. La implementación de
un SOC es una medida integral para fortalecer nuestra postura de seguridad y salvar nuestros
activos digitales.

La implementación de un SOC fortalecerá nuestra capacidad para identificar y mitigar rápidamente

las amenazas cibernéticas, reduciendo el tiempo de respuesta frente a incidentes y minimizando el
impacto en nuestras operaciones. Además, nos permitirá cumplir con los requisitos regulatorios y
las mejores prácticas de seguridad, aumentando la confianza de nuestros clientes y socios
comerciales.

En base a las actividades detectadas a través del BIA realizado las expectativas del SOC son:

▪ Mejora de la detección de amenazas: El SOC empleará tecnologías avanzadas de detección

de amenazas y análisis de comportamiento para identificar y alertar sobre actividades
sospechosas en tiempo real.
▪ Respuesta y recuperación más rápidas: Contar con un equipo dedicado de expertos en
seguridad nos permitirá responder de manera ágil y eficiente a incidentes, minimizando el
tiempo de inactividad y reduciendo el impacto en nuestras operaciones.
▪ Mejor visibilidad y control: El SOC proporcionará una visión integral de nuestro panorama
de seguridad, permitiéndonos tomar decisiones informadas y establecer estrategias de
mitigación de riesgos más efectivas.
▪ Cumplimiento normativo: La implementación del SOC nos ayudará a cumplir con los
requisitos regulatorios y las normativas de seguridad, evitando sanciones y protegiendo
nuestra reputación.

Como hallazgos claves recomendados por la industria1 tenemos que:

▪ Un SOC perderá su capacidad de rendimiento con el tiempo a menos que tenga un plan de
crecimiento incorporado que mantenga a su personal, procesos y tecnología alineados con
el panorama de amenazas en constante cambio.

1
Gartner Security & Risk Management Summit 2023. National Harbor
 ▪ Un SOC moderno debe incluir capacidades de detección que, en lugar de basarse
únicamente en alertas, puedan aprovechar el análisis avanzado de una amplia gama de
telemetría para detectar amenazas.
▪ Un SOC moderno debe incluir capacidades de análisis de datos para detectar ataques, en
lugar de depender únicamente de las alertas de las tecnologías de generación de informes.
▪ Utilizar proveedores de servicios con madurez en operaciones de seguridad e integraciones
de herramientas puede ser un camino rápido hacia un SOC de mejor rendimiento con
capacidades maduras.
▪ No es posible crear un SOC basado únicamente en la automatización, y los que lo intentan
se llevan una decepción.

Plan de implementación:

Detallaremos un plan de implementación en fases, que incluirá la adquisición de tecnología, la

contratación y capacitación de personal, la integración de sistemas y la realización de pruebas
exhaustivas antes de la puesta en marcha del SOC a pleno rendimiento. Iniciando con un SOC
Virtual en una etapa temprana a la par se integran los nuevos controles de seguridad en la
organización. Asimismo, se irá fortaleciendo la cultura por la seguridad tanto en conocimiento de
la importancia como con entrenamientos de sensibilidad (awareness training).

En cuanto a los servicios de seguridad pensando para el SOC se tomará en cuenta:

▪ Centrar los programas de capacitación de ventas en el valor empresarial que se ofrece a los
clientes a través de grados de control progresivamente mayores.
▪ Ayudar a los clientes a elegir entre las opciones disponibles, reforzando al mismo tiempo
el mensaje de que adoptar un enfoque completo de "hágalo usted mismo" es prácticamente
imposible para la mayoría de las organizaciones.
▪ Permitir a los compradores planificar presupuestos para proyectos SOC alineando los
precios y los catálogos de servicios con la madurez del comprador, con el objetivo último
de hacer crecer la madurez SOC para el comprador de forma estructurada.
▪ Obtener una ventaja competitiva centrándose en casos de uso específicos del sector para
los SOC y ayudando a los clientes a desarrollar métricas de SOC que sean exclusivas de su
organización.

Recursos financieros necesarios:

Es importante considerar que actualmente los costos en servicios de seguridad de la información

han sido relativamente bajos. Considerando el riesgo asumido por la organización así como los
servicios, tenemos que tener en consideración que:
Según Gartner2 un promedio del 4.9% del presupuesto invertido en TI es gastado en seguridad,
siendo en otras industrias el 8.7%.

Para la implementación exitosa del SOC, se requerirá una inversión financiera en los siguientes
aspectos:

▪ Adquisición de tecnología y herramientas de seguridad avanzadas.

▪ Contratación de expertos en seguridad y personal adicional para el funcionamiento del
SOC.
▪ Capacitación y formación continua del personal del SOC.
▪ Integración de sistemas y actualización de infraestructuras existentes.

2
Measure the real cost of cybersecurity Report 2022 GARTNER
La implementación del SOC representa una necesidad crítica para garantizar la seguridad
cibernética de nuestra organización en un entorno cada vez más hostil. Los beneficios que se
obtendrán en términos de detección temprana de amenazas, respuesta rápida a incidentes y
cumplimiento normativo justifican la inversión necesaria.

Es importante considerar que las inversiones en ciberseguridad no responden a ser solo un gasto
específico, pues tanto el SOC como otras herramientas requieren un nivel de inversión anual a fin
de mantener niveles aceptables de seguridad basados en las necesidades del negocio, así como con
los resultados del BIA definidos.

Consideramos que la asignación de los recursos financieros necesarios para llevar a cabo este
proyecto sea bajo un esquema CAPEX en la cartera de seguridad a través de un SOC virtual en la
modalidad de Global Business Services (GBS) o Shared Services, que asegure un equilibrio
financiero y una transferencia del riesgo considerando las evaluaciones presentadas.
 4. Potenciales escenarios de amenazas que requieren fortalecer capacidades de
resistencia:

Gartner recomienda que los líderes de ciberseguridad construyan las siguientes suposiciones de
planificación estratégica en sus estrategias de seguridad para los próximos dos años, a través de su
última investigación3 tenemos que:

a. Hasta 2027, el 50% de los CISOs adoptará formalmente prácticas de diseño centrado en
el ser humano en sus programas de ciberseguridad para minimizar la fricción operativa y
maximizar la adopción del control. El diseño de seguridad centrado en el ser humano se
modela con el individuo, no la tecnología, la amenaza o la ubicación, como el enfoque
del diseño y la implementación de controles para minimizar la fricción.

b. Para 2024, la regulación moderna de la privacidad cubrirá la mayoría de los datos del
consumidor, pero menos del 10% de las organizaciones habrán utilizado con éxito la
privacidad como una ventaja competitiva. Las organizaciones están empezando a
reconocer que un programa de privacidad puede permitirles utilizar los datos de manera
más amplia, diferenciarse de sus competidores y generar confianza con los clientes,
socios, inversores y reguladores. Se recomienda que los líderes de seguridad impongan
un estándar de privacidad completo de acuerdo con GDPR para diferenciarse en un
mercado cada vez más competitivo y crecer sin obstáculos.

c. Para el 2026, el 10% de las grandes empresas tendrán implementado un programa de

confianza cero integral, maduro y medible, en comparación con menos del 1%
actualmente. Una implementación madura y ampliamente desplegada de confianza cero
requiere la integración y configuración de múltiples componentes diferentes, lo que puede
volverse bastante técnico y complejo. El éxito depende en gran medida de la traducción
al valor comercial. Comenzando pequeño, una mentalidad de confianza cero en constante
evolución hace más fácil comprender los beneficios de un programa y manejar parte de
la complejidad paso a paso.

d. Para el 2027, el 75% de los empleados adquirirán, modificarán o crearán tecnología fuera
de la visibilidad de TI, un aumento del 41% en 2022. El papel del CISO y el alcance de
su responsabilidad se está desplazando de ser propietarios de control a facilitadores de
decisiones de riesgo. Repensar el modelo operativo de ciberseguridad es clave para los
cambios que se avecinan. Gartner recomienda pensar más allá de la tecnología y la

3
Predicciones de Ciberseguridad 2023-2024, GARTNER.
 automatización para involucrar profundamente a los empleados y influir en la toma de
decisiones y garantizar que tengan el conocimiento adecuado para hacerlo de manera
informada.

e. Para el 2025, el 50% de los líderes de ciberseguridad habrán intentado sin éxito utilizar
la cuantificación del riesgo cibernético para impulsar la toma de decisiones empresariales.
La investigación de Gartner indica que el 62% de los adoptantes de la cuantificación del
riesgo cibernético citan ganancias suaves en credibilidad y conciencia del riesgo
cibernético, pero solo el 36% ha logrado resultados basados en acciones, incluida la
reducción de riesgos, el ahorro de dinero o la influencia real en la toma de decisiones. Los
líderes de seguridad deben enfocar su energía en la cuantificación que los tomadores de
decisiones solicitan, en lugar de producir análisis autodirigidos que tengan que persuadir
a la empresa a tener en cuenta.
f. Para el 2025, casi la mitad de los líderes de ciberseguridad cambiarán de trabajo, el 25%
por roles diferentes debido a múltiples factores estresantes relacionados con el trabajo.
Acelerado por la pandemia y la escasez de personal en toda la industria, los factores
estresantes laborales de los profesionales de la ciberseguridad están aumentando y
resultando insostenibles. Gartner sugiere que aunque eliminar el estrés es poco realista,
las personas pueden manejar trabajos desafiantes y estresantes en culturas donde reciben
apoyo. Cambiar las reglas de compromiso para fomentar cambios culturales ayudará.

g. Para el 2026, se espera que el 70% de las juntas directivas incluyan al menos un miembro
con experiencia en ciberseguridad. Para que los líderes de ciberseguridad sean
reconocidos como socios comerciales, necesitan reconocer el apetito por el riesgo de la
junta y la empresa. Esto significa no solo mostrar cómo el programa de ciberseguridad
evita que sucedan cosas desfavorables, sino también cómo mejora la capacidad de la
empresa para tomar riesgos de manera efectiva. Gartner recomienda que los CISO se
adelanten al cambio para promover y respaldar la ciberseguridad ante la junta directiva y
establecer una relación más cercana para mejorar la confianza y el apoyo.

h. Hasta 2026, más del 60% de las capacidades de detección, investigación y respuesta a
amenazas (TDIR) aprovecharán los datos de gestión de exposición para validar y priorizar
las amenazas detectadas, en comparación con menos del 5% actual. A medida que las
superficies de ataque organizacionales se expanden debido al aumento de la conectividad,
el uso de aplicaciones SaaS y la nube, las empresas requieren una gama más amplia de
visibilidad y un lugar central para monitorear constantemente las amenazas y la
exposición. Las capacidades de TDIR proporcionan una plataforma unificada o un
ecosistema de plataformas donde se pueden gestionar la detección, investigación y
respuesta, brindando a los equipos de operaciones de seguridad una imagen completa del
riesgo y el impacto potencial.
Frente a ello podemos identificamos que debemos establecer un punto de partida con algunos
escenarios específicos como:

Escenario 1 - Ataque a la Infraestructura de Cloud

La organización tiene sus recursos y servicios a la nube de Amazon. Por lo tanto, la infraestructura
puede estar comprometida al robo de datos sensible u operaciones maliciosas.

1. Acceso Inicial: Spear Phishing (T1192 y T1193)

2. Persistencia: Creación de tareas programadas (T1053)
3. Escalamiento de Privilegios: Uso de credenciales robadas (T1078)
4. Defensa Evasión: Ofuscación de comandos (T1027)
5. Descubrimiento: Escaneo de red (T1046)
6. Escalamiento de Privilegios: Utilización de credenciales de red robadas (T1078)
7. Exfiltración: Exfiltración de datos a través de protocolos de aplicación (T1041)
8. Comandos y Control: Uso de canales de comunicación no documentados (T1102)
Escenario 2: Ataque de Ransomware

La organización no está libre de ataques de Ransomware.

1. Acceso Inicial: Spear Phishing (T1192 y T1193)

2. Persistencia: Creación de tareas programadas (T1053)
3. Ejecución: Ejecución de código malicioso (T1059)
4. Movimiento Lateral: Uso de credenciales de administrador (T1078)
5. Impacto: Cifrado de archivos (T1486)
6. Evasión: Limpiar Historial (T1146)
Después de llevar a cabo ambas simulaciones de escenarios con el equipo Red, es evidente que en
ambas situaciones, la organización mostró vulnerabilidades. En primer lugar, resalta la carencia
de capacitación y concientización entre nuestros empleados. Por otro lado, el equipo Azul
identificó deficiencias en las medidas de seguridad operativas y técnicas durante la simulación, lo
que permitió al equipo Rojo alcanzar sus objetivos.

Es crucial tener en cuenta que las amenazas cibernéticas evolucionan constantemente. Por lo tanto,
es imperativo que realicemos inversiones tanto en tecnología como en capacitación y
concientización del personal para fortalecer nuestra postura de seguridad.
5. Tecnologías para controlar el riesgo frente a los escenarios de amenazas identificados

Para mitigar los dos escenarios de amenazas, Attack Infrastructure Cloud y Attack Ransomware,
se pueden utilizar varias tecnologías como Elastic segurity proporciona protección contra ataques
complejos con aprendizaje automático y análisis de comportamiento. Puede bloquear ransomware
y malware desde cualquier infraestructura y centros de comando de seguridad en la nube que
ofrecen detección de amenazas de eventos que produce resultados de seguridad al hacer coincidir
eventos en Cloud Logging con indicadores de compromiso (IoC) conocidos.

Además el marco MITRE ATT&CK puede mejorar la seguridad en la nube proporcionando una
estructura para identificar las fortalezas y debilidades de los programas de seguridad. Incluye
tácticas y técnicas específicas para proveedores de la nube como AWS, GCP, Azure, Azure AD,
Microsoft 365 y plataformas SaaS. Anomali proporcionando inteligencia sobre ciberamenazas y
ayuda a comprender dónde están las fortalezas y debilidades de las defensas. Pudiendo validar los
controles de mitigación y detección y descubrir configuraciones erróneas y otros problemas
operativos.

Para formular un plan de respuesta para el tratamiento de riesgos, se puede utilizar el marco
MITRE ATT&CK para identificar y analizar el comportamiento del adversario. Se pueden utilizar
las siguientes estrategias:

Evitar o eliminar el riesgo: Esta estrategia implica implementar controles de seguridad para evitar
que se produzca el riesgo. Elastic segurity puede ayudar a prevenir ataques complejos con
aprendizaje automático y análisis de comportamiento y el centro de comando de seguridad en la
nube puede identificar vulnerabilidades y posibles ataques con IoC.

Reducir o mitigar: esta estrategia implica implementar controles de seguridad para reducir la
probabilidad o el impacto del riesgo. El marco MITRE ATT&CK puede ayudar a identificar
brechas defensivas, evaluar las capacidades de las herramientas de seguridad, organizar
detecciones, buscar amenazas, participar en actividades del equipo rojo o validar controles de
mitigación. Anomali puede ayudar a validar los controles de mitigación y detección.
Transferir o compartir: esta estrategia implica transferir el riesgo financiero del riesgo a otra parte,
como a través de un seguro cibernético. Anomali puede ayudar a proporcionar inteligencia sobre
ciberamenazas y validar los controles de mitigación y detección.

Aceptar el riesgo: esta estrategia implica aceptar el riesgo y no implementar ningún control de
seguridad adicional. Sin embargo, no se recomienda aceptar el riesgo de sufrir un ataque de
ransomware.

A continuación, se presenta una matriz que muestra algunas técnicas utilizadas por los atacantes
en ataques a la infraestructura cloud y ataques de ransomware, junto con las tecnologías que
podrían ayudar a mitigar estos riesgos y formar parte de un plan de respuesta:

Técnicas de ataque Tecnologías de Mitigación

Autenticación multifactorial (MFA)

Bloqueo automático de cuentas después

de intentos fallidos
Ataque de fuerza bruta
Uso de contraseñas seguras y políticas de
cambio regulares

Filtros de correo electrónico y spam

Concienciación y formación en seguridad

Autenticación multifactorial (MFA)

Suplantación de identidad
Análisis de reputación de sitios web

Verificación de enlaces y remitentes

Actualizaciones y parches regulares

Escaneo de vulnerabilidades y evaluación
de riesgos
Explotación de vulnerabilidades
Seguridad en capas (Firewalls, IPS/IDS)

Monitoreo de eventos y registros

 Copias de seguridad regulares y
verificadas
Segmentación de la red y aislamiento de
sistemas críticos

Uso de soluciones de seguridad y antivirus

actualizadas
Ataque de ransomware
Monitoreo de comportamiento anómalo
de archivos

Políticas de acceso y privilegios mínimos

Educación y concienciación en
ciberseguridad

6. Conclusiones

a) Después el punto de vista del negocio (LoB), el proceso más importante y el primero que se
debe tener en cuenta durante la implementación del SOC es el modelado de amenazas. El
modelado de amenazas implica responder a las siguientes preguntas:
▪ ¿Qué amenazas preocupan a mi organización?
▪ ¿Qué aspecto tiene una amenaza?
▪ ¿Cómo bloquea/detecta el SOC la amenaza?

b) La tecnología para la ciberdefensa puede dividirse en tres partes: La primera es identificar las
fuentes de datos a utilizar. Por lo general, estos son impulsados por los libros de jugadas en la
parte de detección. Las fuentes de datos más comunes son la actividad de la red/eventos de
seguridad (cortafuegos, IDS/IPS, netflow, escáneres de vulnerabilidad), inteligencia de
amenazas (fuentes internas y externas), actividad de puntos finales (ETDR, DNS, DHCP, AV,
registros de SO) y, por último, autorización (LDAP, Active directory, VPN, SSO).

La segunda parte es una plataforma de inteligencia de seguridad (incluye un SIEM). Una

plataforma de inteligencia de seguridad no sólo es responsable de traer los datos de todas las
 fuentes de datos enumeradas anteriormente, sino que también correlaciona, identifica y alerta
a un ingeniero del SOC cuando se detecta una amenaza.

La tercera y última parte es un sistema de gestión de casos o ticketing que se utiliza para
realizar un seguimiento de los eventos a lo largo de su historia, así como un punto de
comunicación entre la parte afectada y el SOC.
c) Un elemento clave para gestionar un SOC es asegurarse de que la tecnología y las plataformas
utilizadas se sincronizan bien con los sistemas de información de otros países y son fácilmente
reparables en el extranjero. Ha habido ocasiones en las que los sistemas integrados de control
de acceso y vídeo que se desplegaron en todo el mundo estaban excesivamente diseñados y
tenían parámetros estrechos de compatibilidad con otros sistemas. Si se produjera una avería,
por ejemplo, en Turquía, el único técnico disponible para repararla tendría que volar desde
Texas.
d) La construcción de un Centro de Operaciones de Seguridad tiene muchas partes móviles, pero
pensar en ellas por secciones y abordar cada una mediante un ejercicio de modelo de amenazas
hace que el reto sea alcanzable.