Centro de Operaciones de Seguridad, COS/SOC

Un Centro de Operaciones de Seguridad, COS, aunque más conocido, por sus iniciales en inglés, SOC (Security Operation Center), es un término acuñado hace ya más de 20 años y viene a complementar a un CERT/CSIRT. Frente a estos últimos, tiene un ámbito de actuación más amplio dentro de una organización y está centrado en su funcionamiento diario. Son equipos internos y entre sus funciones, además de incluir la respuesta al incidente, se encuentran la prevención, detección, respuesta y recuperación de los sistemas tras un ciberataque.

Dicho de otro modo, los SOC vienen a ser un centro de mando para los equipos de ciberseguridad IT de una organización. Son responsables de supervisar y proteger la tecnología, la red, servidores, aplicaciones y hardware.

Los esfuerzos de monitorización de un SOC se extienden más allá de la respuesta a un incidente. Deben vigilar y analizar de forma constante las redes y los sistemas para detectar intrusiones y anomalías en tiempo real, parametrizar al atacante (mediante IOCs) e implantar medidas concretas para su mitigación. Todo ello compartiéndolo con su CERT/CSIRT de referencia para evitar la propagación a otras entidades similares a la suya.

A su vez, pueden recibir información del CERT y complementarla con información interna de su despliegue y, de esta forma, detectar nuevas relaciones.