Saltar a contenido

Definiciones

Este documento contiene definiciones clave relacionadas con el diseño e implementación de un centro de operaciones de ciberseguridad (SOC).

SOC (Security Operations Center)

Un SOC es una unidad especializada dentro de una organización que se encarga de la monitorización, el análisis, la detección de amenazas y la respuesta ante incidentes de ciberseguridad. Su objetivo es proteger los activos digitales y la información crítica de la empresa.

SIEM (Security Information and Event Management)

El SIEM es una solución que centraliza la recopilación, almacenamiento, análisis y correlación de eventos de seguridad de distintas fuentes. Facilita la normalización de eventos, permitiendo comparar y analizar datos de distintas tecnologías para detectar y responder a amenazas de manera eficaz.

WAF (Web Application Firewall)

El WAF es un mecanismo diseñado para monitorizar, filtrar y bloquear el tráfico HTTP/HTTPS entrante y saliente hacia y desde una aplicación web. Actúa como un escudo entre la aplicación web e Internet, protegiendo las aplicaciones contra una variedad de ataques web sin comprometer la accesibilidad para los usuarios legítimos.

IDS (Intrusion Detection System)

El IDS es un sistema que monitoriza la red y los sistemas informáticos en busca de actividades maliciosas o violaciones de políticas. Utiliza métodos de detección basados en firmas, anomalías y comportamientos para distinguir entre actividades legítimas y potencialmente peligrosas, generando alertas para una posterior investigación.

IPS (Intrusion Prevention System)

El IPS, a diferencia del IDS, no solo detecta actividades sospechosas sino que también juega un papel activo en prevenir daños al bloquear dichas actividades. Se integra más profundamente en la red para analizar el tráfico y actuar sobre él en tiempo real, deshabilitando cuentas comprometidas o aislando dispositivos afectados.

SOAR (Security Orchestration, Automation, and Response)

El SOAR permite la integración y automatización de herramientas y procesos de seguridad, mejorando la eficiencia y efectividad de los equipos de seguridad. Facilita una respuesta más rápida y coordinada a incidentes de seguridad mediante la orquestación de distintas herramientas y la automatización de respuestas.

Monitorización

Es el proceso de recoger y analizar datos para identificar posibles anomalías o actividades sospechosas dentro de la red o sistemas de una organización.

Análisis de Eventos

La correlación y evaluación de eventos de seguridad para determinar su importancia y si representan una amenaza para la organización.

Detección de Amenazas

El proceso de identificar patrones de ataques, comportamientos anómalos y cualquier actividad que podría pasar desapercibida y representar una amenaza para la seguridad de la información.

Respuesta a Incidentes

Incluye todas las acciones tomadas para contener, mitigar y recuperarse de un incidente de seguridad, así como la documentación y análisis posterior para prevenir futuros incidentes.

Estas definiciones son esenciales para comprender los componentes y funciones de un SOC, así como las herramientas y procesos involucrados en la gestión efectiva de la ciberseguridad.