Participantes:

• Tapia, Johan
• Pinales, Gina
 Universidad del Caribe

UNICARIBE
Escuela de Ingeniería y Tecnología

Carrera
Facilitador@:
Maestría en Ciberseguridad

Piero Giuliano Alvigini Eizenberg Asignatura:

GESTIÓN DE LAS OPERACIONES DE CIBERSEGURIDAD

Santo Domingo, República Dominicana
202203-17118
Marzo 2022
Participante:

Johan Manuel Tapia Bueno

Tema:

Trabajo final
 Índice

• Introducción
• Desarrollo
• Realiza una investigación sobre el funcionamiento de los centros de operaciones de
seguridad en la República Dominicana y en la región del Caribe
• Detalla ampliamente sobre las ventajas y desventajas de la utilización de SOCs en la
región y contextualiza tu respuesta a la República Dominicana
• Conclusión
• Referencias:
• Anexos
Los centros de operaciones ( SOCs)de seguridad en la República Dominicana y en la región del Caribe

● Un Centro de operaciones de seguridad (SOC) es una unidad centralizada dentro de una

organización que emplea personas, procesos y tecnología para monitorear y mejorar
continuamente la postura de seguridad de una organización mientras previene, detecta,
analiza y responde a incidentes de ciberseguridad, actualmente el funcionamiento de
estos centros de operaciones de ciberseguridad con la próxima llegada de la ley de
ciberseguridad en república dominicana estos Socs, adquieren mucha importancia, ya
que un SOC actúa como el centro o puesto de comando central, tomando la telemetría de
toda la infraestructura de TI de una organización, incluidas sus redes, dispositivos,
dispositivos y almacenes de información, dondequiera que residan esos activos, La
proliferación de amenazas avanzadas otorga una gran importancia a la recopilación de
contexto de varias fuentes, Esencialmente, el SOC es el punto de correlación para cada
evento registrado dentro de la organización que se está monitoreando, Para cada uno de
estos eventos, el SOC debe decidir cómo se gestionarán y actuarán en consecuencia
(Oracle, 2019).
Características
Características del SOC:
del SOC
Tecnologías de defensa
avanzadas Tecnologías
basadas en inteligencia de
seguridad líder y aprendizaje
automático avanzado para
ayudar a su equipo de
seguridad a descubrir,
identificar y enfrentar con
éxito ataques complejos
Análisis de malware y análisis
forense digital Acceda a
conocimientos de alto nivel
para comprender el
comportamiento y la
funcionalidad de muestras
específicas de malware,
revele una imagen completa
de un incidente y aplique de
manera efectiva las lecciones
aprendidas.
Inteligencia de amenazas Amenaza Caza Detección en tiempo Capacitación en
globales Información real de ciberdelincuentes nuevos y Ciberseguridad Programas
procesable de inmediato existentes, ciberespionaje y de capacitación en
que proporciona campañas patrocinadas por el seguridad diseñados para
información y contexto estado dirigidas a sus sistemas de ayudar a aumentar la
invaluables, disponible en información críticos experiencia interna de su
una variedad de formatos y organización en temas
métodos de entrega avanzados de
ciberseguridad
Incidente Respuesta Evaluacion de seguridad Análisis de Pruebas de penetración y
Especialistas bien seguridad de nivel experto e Red Teaming Demostración
informados, armados con investigación de vanguardia práctica basada en
una amplia experiencia trabajando juntos para probar inteligencia de amenazas
práctica en la lucha contra sistemas de información, de posibles escenarios de
las ciberamenazas, están a independientemente de su ataque para evaluar la
su servicio para identificar, complejidad, en entornos del mundo preparación actual para
aislar y bloquear real. incidentes y las
rápidamente cualquier capacidades defensivas
actividad maliciosa. existentes
 Automatizar la detección y
respuesta de amenazas superiores
Se debe de proporcionar un flujo de trabajo de
gestión de incidentes completamente
automatizado, desde la detección de amenazas
hasta la investigación y respuesta. Para
proporcionar información sobre el origen del
malware y sus posibles autores, lo que ayuda a
ver la amenaza de alto riesgo entre los
incidentes menos graves y a tomar medidas de
protección oportunas. Estas tecnologías
permiten que su SOC realice las tareas diarias de
manera más eficiente
 Informe todos los aspectos de sus operaciones
de seguridad
Con la superficie de ataque en expansión y la creciente sofisticación de las amenazas, no basta con reaccionar ante un incidente. Los entornos
cada vez más complejos brindan a los atacantes una multitud de formas de ejecutar sus ataques. Para protegerse, las empresas necesitan
adaptarse constantemente. La inteligencia de amenazas proactiva proporciona las capacidades necesarias para detectar, priorizar, investigar y
responder a las amenazas dirigidas a su organización:

• Triaje de alertas, análisis y respuesta inicial

• Investigación de incidentes, respuesta y búsqueda de amenazas

• Informar decisiones estratégicas

 ● Se debe realizar el análisis del tráfico de red y proporcionar un flujo
Poner en marcha de trabajo de gestión de incidentes completamente automatizado,
los sistemas y desde la detección de amenazas hasta la investigación y respuesta.
Asi misma proporcionar información sobre el origen del malware y
operaciones sus posibles autores, lo que ayuda a ver la amenaza de alto riesgo
entre los incidentes menos graves y a tomar medidas de protección
comerciales oportunas. Estas tecnologías permiten que su SOC realice tareas
diarias de manera más efectiva y eficiente.
  
Cerrar las brechas de seguridad antes de
que puedan ser explotadas

Para estar seguro de que su infraestructura de TI y

plicaciones específicas están protegidas contra
taques cibernéticos: No hay dos infraestructuras de
I iguales, y las amenazas cibernéticas más
oderosas están diseñadas para explotar las
ulnerabilidades específicas de la organización
ndividual. Las pruebas de penetración regulares y los
ompromisos de equipos rojos, junto con las
valuaciones de seguridad regulares de su
nfraestructura, brindan una comprensión clara de
us capacidades defensivas e identifican los puntos
ébiles que deben abordarse.
 Características del SOC

● El SOC también debe tener una comprensión completa de todas las herramientas de ciberseguridad disponibles y todos los
flujos de trabajo en uso dentro del SOC, Esto aumenta la agilidad y permite que el SOC funcione con la máxima eficiencia, el
funcionamiento de estos centros se puede observar desde varias perspectivas:

Preparación y Mantenimiento Preventivo

● Incluso los procesos de respuesta mejor equipados y ágiles no son rival para evitar que ocurran problemas en primer lugar,
Para ayudar a mantener a raya a los atacantes, el SOC implementa medidas preventivas, que se pueden dividir en dos
categorías principales. 

Preparación

● Los miembros del equipo deben mantenerse informados sobre las innovaciones de seguridad más recientes, las últimas
tendencias en ciberdelincuencia y el desarrollo de nuevas amenazas en el horizonte, Esta investigación puede ayudar a
informar la creación de una hoja de ruta de seguridad que proporcionará dirección para los esfuerzos de seguridad cibernética
de la empresa en el futuro, y un plan de recuperación ante desastres que servirá como guía lista en el peor de los casos,
 Características del SOC
● Monitoreo Proactivo Continuo
● Las herramientas utilizadas por el SOC escanean la red las 24 horas del día, los 7 días de la semana para señalar cualquier anomalía o actividad
sospechosa, El monitoreo de la red las 24 horas del día permite que el SOC sea notificado de inmediato sobre amenazas emergentes, lo que les
brinda la mejor oportunidad de prevenir o mitigar el daño, Las herramientas de monitoreo pueden incluir un SIEM o un EDR, el más avanzado de los
cuales puede usar el análisis de comportamiento para "enseñar" a los sistemas la diferencia entre las operaciones diarias regulares y el
comportamiento real de la amenaza, minimizando la cantidad de clasificación asi como el análisis que se debe realizar durante la existencia de la
amenaza. 
● Clasificación y gestión de alertas
● Cuando las herramientas de monitoreo emiten alertas, es responsabilidad del SOC observar de cerca cada una, descartar cualquier falso positivo y
determinar qué tan agresivas son las amenazas reales y a qué podrían estar apuntando, Esto les permite clasificar adecuadamente las amenazas
emergentes, manejando primero los problemas más urgentes,
● Respuesta a amenazas
● Estas son las acciones en las que piensa la mayoría de la gente cuando piensa en el SOC, Tan pronto como se confirma un incidente, el SOC actúa
como el primer respondedor, realizando acciones como cerrar o aislar puntos finales, finalizar procesos dañinos (o evitar que se ejecuten), eliminar
archivos y más, El objetivo es responder en la medida necesaria y tener el menor impacto posible en la continuidad del negocio,
● 
 Características del SOC

Gestión de registros
● El SOC es responsable de recopilar, mantener y revisar regularmente el registro de todas las actividades y comunicaciones de la red para toda la organización, estos datos
ayudan a definir una línea de base para la actividad de red "normal", pueden revelar la existencia de amenazas y pueden usarse para remediación y análisis forense
después de un incidente, Muchos SOC usan un SIEM para agregar y correlacionar las fuentes de datos de aplicaciones, firewalls, sistemas operativos y terminales, todos
los cuales producen sus propios registros internos y previenen las amenazas.
Investigación de causa raíz
● Después de un incidente, el SOC es responsable de averiguar exactamente qué sucedió, cuándo, cómo y por qué, Durante esta investigación, el SOC utiliza datos de
registro y otra información para rastrear el problema hasta su origen, lo que les ayudará a evitar que ocurran problemas similares en el futuro 
Refinamiento y mejora de la seguridad
● Los ciberdelincuentes están refinando constantemente sus herramientas y tácticas, y para mantenerse por delante de ellos, el SOC necesita implementar mejoras de
manera continua, Durante este paso, los planes descritos en la hoja de ruta de seguridad cobran vida, pero este refinamiento también puede incluir prácticas como la
formación de equipos rojos y púrpura. 
Gestión de cumplimiento
● Muchos de los procesos del SOC están guiados por las mejores prácticas establecidas, pero algunos se rigen por los requisitos de cumplimiento, El SOC es responsable
de auditar regularmente sus sistemas para garantizar el cumplimiento de dichas regulaciones, que pueden ser emitidas por su organización, por su industria o por los
órganos de gobierno, Ejemplos de estas regulaciones incluyen:
● 
 Ventajas y desventajas del SOC

VENTAJAS DESVENTAJAS
 

 Formado por un equipo de empleados de la  Largo tiempo de implementación

empresa.
 Infraestructura y tecnología altamente especializada
 Conocimientos para adaptarse al entorno y
 Mayor inversión, tanto económica como humana
necesidades
 tiempo suficiente para ver el ROI
 almacenamiento de registros locales
 Contratar expertos es difícil
 visión a largo plazo
 Es difícil mantener un equipo fuerte.(Nist, 2020)
Figura 1, Los planes de gestión de amenazas integran y estructuran muchos procesos en las operaciones de seguridad y TI, (Mcafee, 2019)
 DevSecOps

● DevSecOps integra el equipo de seguridad de una organización en la organización

tradicional de DevOps, Si bien DevOps integra equipos de desarrollo y producción
de software para producir aplicaciones libres de errores, DevSecOps da el paso
adicional de garantizar que esas aplicaciones sean seguras, El objetivo de
DevSecOps es incorporar controles de seguridad en todos los aspectos del
desarrollo y la producción de software, agregando otra capa de prevención contra
las filtraciones de datos y los ataques cibernéticos,
 Conclusión

La pandemia de COVID-19 y la guerra en Ucrania en 2022 nos brindan

la oportunidad de reflexionar sobre los avances logrados en el
hemisferio occidental en términos de TIC, conectividad a Internet y
ciberseguridad. Nuestra creciente dependencia del ciberespacio
durante las crisis subraya la necesidad de aprender lecciones sobre la
transformación en curso de nuestras sociedades y economías y el
futuro de asegurar la ciberseguridad global y, en términos más
generales, la frecuencia y el ingenio de los ataques cibernéticos en la
última década. La población ha aumentado y el bajo costo y el mínimo
riesgo que implican estos delitos han sido factores clave en su crianza.
  Referencias/Citaciones
●  IADB. (2019). Reporte Ciberseguridad 2020: riesgos, avances y el camino a seguir en América Latina y el Caribe |
Publications. https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-
avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf
● Iadb. (2019). Reporte Ciberseguridad 2020: riesgos, avances y el camino a seguir en América Latina y el Caribe |
Publications. https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-
avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf
● Iadb. (2020). 2020 Cybersecurity Report: Risks, Progress, and the Way Forward in Latin America and the Caribbean |
Publications. https://publications.iadb.org/publications/english/document/2020-Cybersecurity-Report-Risks-Progress-and-
the-Way-Forward-in-Latin-America-and-the-Caribbean.pdf
● isnca. (2019). Qué es un centro de operaciones de seguridad (SOC)? | ISNCA. https://isnca.org/es/qu%C3%A9-es-un-centro-
de-operaciones-de-seguridad-soc//
● Mcafee. (2019). What Is a Security Operations Center (SOC)? https://www.mcafee.com/enterprise/en-us/security-
awareness/operations/what-is-soc.html
● Nist. (2020). SOC interno VS SOC externo: ventajas y desventajas - Nsit. https://www.nsit.com.co/soc-interno-vs-soc-
externo-ventajas-y-desventajas/
● Oracle. (2019). ¿Qué es un SOC? Definición de Security Operations Center | Oracle España.
https://www.oracle.com/es/database/security/que-es-un-soc.html