Qué es un SOC en ciberseguridad, para qué sirve y qué funciones tiene

Dentro de los muchos términos y abreviaturas relacionados con la ciberseguridad, encontramos uno importante que se repite a menudo: El SOC. Hoy explicamos qué es el SOC en cuanto a seguridad informática, qué funciones tiene, qué tipos de SOC hay y qué es necesario para armar un buen SOC en nuestra organización.

Así que comencemos por lo más básico.

Qué es un SOC en seguridad informática

El SOC, abreviatura en inglés de Security Operation Center, es literalmente el Centro de Operaciones de Seguridad (COS en español), es decir, el centro de mando y ejecución de la ciberseguridad en una organización.

De esta manera, el SOC lleva a cabo las actividades de monitorización, identificación y respuesta coordinada ante amenazas informáticas.

Cuál es el objetivo del SOC

El objetivo principal del SOC es proteger la infraestructura tecnológica de una organización, así como sus datos, frente a ataques cibernéticos.

Para ello, el SOC está equipado con las herramientas y el personal necesarios para detectar, analizar e investigar amenazas informáticas, así como para coordinar la respuesta ante estas, supervisando y organizando las actividades de otros departamentos de ciberseguridad si existen.

El SOC, el CERT y el CSIRT

En las organizaciones más grandes, que tienen una estructura de ciberseguridad amplia y bien diseñada, el SOC, cuando se produce una emergencia, se coordina con el CERT (Equipo de Respuesta ante Emergencias Informáticas) y con el CSIRT (Equipo de Respuesta a Incidentes Informáticos o de ciberseguridad) para ejecutar posibles contramedidas de manera unificada y optimizada.

Así, el SOC es como la tienda del general en la batalla, mientras que el CERT y el CSIRT serían como suboficiales especializados en aspectos concretos, bajo coordinación de ese “general”.

Eso, claro, es lo que ocurre en un mundo ideal o en el caso de organizaciones grandes que se juegan mucho en ciberseguridad.

En la práctica, muchas veces, el SOC hace de CSIRT o CERT cuando ocurre algo. O la falta de personal hace que analistas e ingenieros realicen labores de SOC, CSRIT, CERT y las abreviaturas que hagan falta.

¿De qué se ocupa un SOC?

Las principales funciones del SOC en seguridad informática son una labora continua de:

  • Monitorización: el SOC sondea constantemente la red de la organización en busca de amenazas informáticas.
  • Identificación: cuando se detecta una ciberamenaza, el SOC la analiza para determinar su nivel de riesgo y su origen.
  • Investigación: una vez identificado el peligro, el SOC investiga para obtener más información sobre el mismo y determinar la mejor manera de responder.
  • Respuesta: el SOC coordina la respuesta ante las amenazas informáticas, ya sea para bloquearlas, eliminarlas o neutralizarlas.

Esquema de las funciones principales de un SOC en ciberseguridad

Además de eso, el SOC debe asegurarse de que las políticas de seguridad de la organización se ejecutan en la práctica, de que todo funciona correctamente y de la operativa diaria en cuanto a prevención y respuesta (si fuera necesaria) en ciberdefensa.

De hecho, el SOC no diseña dicha estrategia de ciberdefensa, ni establece necesariamente esas políticas, sino que se encarga de ejecutar en el día a día.

Eso sí, sus conclusiones ante incidentes, documentación de los mismos, etc sí que informan e influencian esa estrategia de cara a mejorarla.

Tipos de SOC: interno y externo

Comentar que un SOC no tiene por qué ser un departamento interno dentro de una organización. También puede contratarse una empresa de ciberseguridad que haga de SOC externo, habiendo muchas que ofrecen este servicio.

¿Qué conviene más? Pues la verdad es que depende de las necesidades de ciberseguridad. Al final, nunca hay una respuesta absoluta para todos los casos, ya que cada opción tiene sus ventajas y sus desventajas.

Eso es lo que debemos valorar en nuestro caso, junto con el coste que representa contratar una empresa, en contraposición a crear un SOC propio interno.

Ventajas de tener una empresa de ciberseguridad externa contratada como SOC

Al final, contar con expertos siempre tiene ventajas, como por ejemplo:

  • La empresa externa de ciberseguridad estará más familiarizada con el panorama general de las amenazas informáticas y, por lo tanto, podrá detectar mejor los ataques.
  • La empresa de ciberseguridad tendrá un mayor número de herramientas y recursos a su disposición para detectar y responder a las amenazas informáticas.
  • La empresa de ciberseguridad podrá proporcionar una respuesta más rápida y eficiente ante las amenazas informáticas.

Si somos una organización modesta, que no tiene una infraestructura de ciberseguridad y debe montarla desde cero, es posible que convenga mirar la posibilidad de que una empresa de ciberseguridad solvente y con experiencia haga de SOC.

Desventajas de tener una empresa de ciberseguridad externa contratada como SOC

Como todo en la vida, recurrir a un SOC externo no implica que todo vaya a ser maravilloso siempre. Así, algunos de los inconvenientes pueden ser:

  • La empresa de ciberseguridad tendrá acceso a todos los datos y sistemas de la organización, lo que puede representar un riesgo para la seguridad de la información. De ahí lo de solvencia y experiencia.
  • En caso de respuesta a incidentes globales, como un malware que afecte a muchas entidades (al estilo de aquel famoso Wannacry), si un gran número de esas organizaciones son todas clientes del SOC externo contratado, puede ponernos a la cola de la resolución del problema en favor de clientes más grandes.
  • En la misma línea, la empresa externa siempre tendrá clientes que paguen más y, si no tiene los medios adecuados, puede desatender a los pequeños en favor de los grandes.

Ventajas de tener un SOC interno en nuestra organización

Si optamos por montar un SOC interno, estas son las ventajas en cuanto a ciberseguridad:

  • Se estará más familiarizado con los sistemas y datos de la organización, lo que permite una mejor identificación de las amenazas.
  • Se podrá establecer una mejor coordinación entre el SOC y el resto de departamentos de la organización.
  • Nuestro Centro de Operaciones de Seguridad estará 100% centrado en nosotros en los momentos delicados, al no ocuparse de nadie más.

Desventajas de tener un SOC interno en nuestra organización

Crear un SOC dentro de nuestra entidad también puede tener inconvenientes:

  • Si no se cuenta con el personal adecuado y las herramientas necesarias, con insuficiente inversión el SOC puede ser fácilmente menos efectivo que expertos externos. Así, no podrá detectar o responder adecuadamente a las amenazas informáticas.
  • Montar un SOC no es rápido ni barato. Querer que sea así y que aporte seguridad real es un ejercicio de pensamiento mágico. Y no, nombrar al encargado del departamento informático como responsable de SOC no implica que tengamos un SOC. Mientras estás arreglando la impresora, no estás monitorizando amenazas ni mejorando la seguridad de las “murallas”.
  • Un SOC precisa de actualización continua ante nuevas amenazas, una labor que también requiere una inversión continua.
  • Si el SOC no está bien coordinado con el resto de departamentos de la organización, pueden surgir problemas a la hora de responder a las amenazas informáticas.

Qué es necesario para crear un SOC dentro de una organización

Un SOC en acción

Si nos inclinamos por poner la ciberseguridad en orden y crear un SOC dentro de nuestra organización, hemos de tener en cuenta que un Centro de Operaciones de Seguridad eficiente requiere tanto de un buen personal como de buenas herramientas.

Y ninguna de esas dos cosas salen baratas o son fáciles de encontrar, especialmente en España, donde el estado de la ciberseguridad es el que es (aunque, la verdad, fuera de nuestras fronteras, la situación tampoco es que sea mucho mejor).

Requisitos de personal para crear un SOC

En cuanto a la parte humana, si es que los encargados de la ciberseguridad se pueden considerar así, precisaríamos lo siguiente para armar un SOC eficaz.

  • Un responsable del SOC: la persona encargada de coordinar las actividades. Es decir, “el general” del que hablábamos antes.
  • Analistas de seguridad: los analistas de seguridad son las personas encargadas de detectar y responder a amenazas informáticas.
  • Técnicos de soporte: las personas que se ocupan de mantener el funcionamiento correcto de los equipos y software utilizados por el SOC.

El número de analistas o técnicos dependerá de la dimensión de la organización y el trabajo. En demasiadas ocasiones, la ciberseguridad es patrimonio de hombres orquesta que hacen todo.

Requisitos en cuanto a herramientas para crear un SOC

No se puede mandar a la gente a la batalla sin armas. O mejor dicho, no se puede pedir a los técnicos y analistas que defiendan nuestras murallas y coordinen todo sin las herramientas adecuadas.

Si vienen con un tanque, poco podrás hacer con un palo, así que las principales herramientas básicas para el buen funcionamiento de un SOC serían:

  • Sistemas de detección y prevención de intrusiones (IDS/IPS): esenciales para detectar y bloquear ataques informáticos.
  • Sistema de gestión de seguridad (SMS): una herramienta que se utiliza para administrar las políticas y procedimientos de seguridad de la empresa.
  • Firewall: el cortafuegos es una herramienta que se utiliza para proteger la red contra ataques externos y establecer una buena defensa perimetral.
  • Herramientas de análisis de vulnerabilidades: que se usan para identificar y evaluar las vulnerabilidades de seguridad de la red.
  • Herramientas de gestión de incidentes: empleadas para coordinar la respuesta ante un ataque informático.
  • Herramientas anti-malware: para detectar y eliminar software malicioso antes de que nos haga daño o, si tenemos mala suerte, cuando ya lo ha hecho y hay que limpiar.
  • Otras herramientas: según la actividad de la organización (que puede tener necesidades específicas) y las amenazas a las que se enfrente habitualmente.

Para que un SOC sea eficiente es necesario que esté bien coordinado con el resto de departamentos de la empresa.

  • El departamento de TI: porque resulta que el SOC no es el departamento de informática. O no debería serlo si nuestro tamaño es mínimamente grande. El departamento de TI es responsable de mantener el funcionamiento correcto de los sistemas y redes en el día a día.
  • El departamento Legal: responsable de garantizar que las actividades del SOC se realicen de acuerdo con las leyes y regulaciones aplicables. Eso incluye leyes de protección de datos durante procesos de análisis, monitorización, etc, colaborar con la justicia si procede, así como otro tipo de leyes. Nada de responder a un hackeo con otro y cosas así.
  • El departamento de Comunicación: encargado de gestionar la comunicación externa del SOC en caso de un ataque informático, así como de las políticas de seguridad a aplicar, posibles cambios en estas, etc.

Cuáles son los principales retos a los que se enfrenta un SOC

La ciberseguridad se está haciendo demasiado compleja. Lo cierto es que resulta un campo tan vasto, que es imposible abarcarla toda y, además, presenta desafíos constantes. Entre aquellos que afectan a un SOC, se encuentran:

  • La cantidad y variedad de datos en una organización: actualmente, nos ahogamos en información y datos generados, tanto internos como externos. El SOC debe analizar todos para detectar amenazas informáticas, lo que resulta complejo y costoso.
  • Los ataques cada vez más sofisticados: los atacantes emplean técnicas cada vez más innovadoras en sus ciberataques. Esto hace que sea más difícil detectar y responder a todas las posibles amenazas.
  • La falta de recursos: muchas veces, el SOC no dispone de los recursos necesarios para hacer frente a todas las amenazas informáticas y es lo que hay. Especialmente en las organizaciones pequeñas, este es uno de los grandes desafíos.
  • La falta de coordinación: si el SOC no está bien coordinado con el resto de departamentos de la organización, pueden surgir problemas a la hora de responder a las amenazas informáticas. El general en su tienda de campaña gritando órdenes en la batalla que nadie escucha es demasiado común.
  • La falta de cultura y formación en ciberseguridad: que hace que la mayoría de ataques informáticos no provengan de actores maliciosos con un conocimiento experto, sino que tengan un vector humano e interno. Es decir, que, otra vez, Juanito ha pinchado en el enlace que no debe, la ha liado con el adjunto infectado del email o se ha llevado archivos a casa que no debía y los ha dejado en sitios no seguros.

La seguridad informática es un tira y afloja constante entre hacer que algo esté protegido y hacer que ese algo también siga siendo sencillo y conveniente.


En definitiva, el SOC es responsable de coordinar y ejecutar la operativa diaria de ciberseguridad, con una monitorización continua de amenazas, una identificación de las mismas, una investigación de los posibles sucesos de ciberseguridad y, además, ejecuta la respuesta necesaria ante los mismos.