Seguridad en tiempo real: SOC/CSIRT en la era de la automatización

Por: Isaías Tagle, Subgerente de SOC, Ondú.

La seguridad en tiempo real combina monitoreo continuo, automatización y análisis para gestionar eventos en entornos de alta complejidad. La operación del SOC y CSIRT se apoya en la capacidad de priorizar alertas, coordinar la respuesta y mantener control sobre cada acción dentro de la infraestructura.

Contenido

• Automatización y control en la respuesta

Operar un SOC en tiempo real implica articular tecnología, procesos y personal especializado para sostener una operación continua y coordinada. La gestión requiere acceso permanente a las fuentes de información que alimentan la detección, disponibilidad de las plataformas y ejecución de procesos de análisis y respuesta bajo protocolos definidos. El objetivo es identificar y atender eventos en tiempos acotados, con trazabilidad sobre cada acción dentro del ciclo operativo.

La operación convive con un volumen de alertas que no siempre corresponde a incidentes reales. La base de casos de uso se revisa de forma periódica para diferenciar aquellos que requieren análisis manual de los que pueden automatizarse. Las alertas asociadas a procesos repetitivos, como validación de riesgo o enriquecimiento de información, se integran en flujos orquestados mediante SOAR, reduciendo la carga operativa y los tiempos de detección.

La visibilidad se amplía más allá de las alertas. Incluye cacería de amenazas, análisis de tendencias y exploración de datos en crudo. Este conjunto de prácticas permite identificar nuevos escenarios de riesgo, ajustar los mecanismos de detección y sostener procesos de triage sobre los eventos que ingresan al SOC.

La automatización se incorpora en procesos de investigación y respuesta mediante la orquestación de herramientas que ejecutan acciones de contención y contextualización de eventos. Estos playbooks se desarrollan bajo metodologías definidas, asegurando su consistencia dentro de la operación. La intervención humana se mantiene en etapas donde se requiere validación posterior, análisis forense, identificación de patrones e interpretación del contexto, así como en la comunicación de los hallazgos.

Automatización y control en la respuesta

La respuesta a incidentes involucra acciones que impactan directamente en la operación. Sin procesos claros, la automatización puede ejecutarse sin visibilidad para los equipos responsables de la infraestructura. La falta de comunicación con administradores y usuarios limita la coordinación y reduce la efectividad del servicio frente al negocio.

La integración de múltiples herramientas forma parte de la operación. La unificación de la información se apoya en el desarrollo de casos de uso bajo criterios agnósticos. Desde la experiencia de Ondú, la alineación con marcos como MITRE ATT&CK permite estandarizar la detección y analizar los eventos bajo un mismo criterio, independientemente de la tecnología que los origine. Esto facilita adaptar los casos de uso a las condiciones de cada organización sin perder consistencia.

La efectividad del SOC se gestiona sobre información medible y auditable. El seguimiento se realiza mediante métricas como el cumplimiento de SLA de detección y los tiempos de detección y respuesta (MTTD y MTTR). Estas métricas se sostienen en el registro de cada estado dentro del ciclo de detección, lo que permite analizar la operación y dar continuidad a su mejora. La medición forma parte del servicio y se apoya en herramientas y capacidades de análisis de datos.

Desde la experiencia de Ondú, uno de los errores más comunes al implementar o tercerizar un SOC es no definir adecuadamente las fuentes de información necesarias para la detección. A esto se suma la ausencia de una contraparte técnica que valide la criticidad de los eventos y dé seguimiento a los hallazgos. Sin esa interacción, la relación con administradores y usuarios se limita, afectando la evolución y efectividad del servicio.

“La operación en tiempo real exige visibilidad, criterios de priorización y control sobre cada acción de respuesta”.

La incorporación de estos servicios también exige una preparación previa dentro de la organización.

Debe evaluar su gestión de ciberriesgo, considerando la coordinación entre procesos, tecnología y personas, apoyándose en estándares como NIST para preparar la operación y aprovechar la gestión de un SOC.

También requiere contar con capacidades de gestión y seguimiento de los hallazgos, donde intervienen de forma estratégica los responsables de ciberseguridad —internos o externos, como CISO, CTO o CIO— junto con el equipo técnico o servicios gestionados que permitan operar la infraestructura de forma continua.