Con medidas puramente preventivas, como cortafuegos, antivirus o soluciones de seguridad de los contenidos, solo se puede conseguir una defensa limitada contra los hackers profesionales. Contra ellos, solo sirve una contar con expertos que colaboren estrechamente las 24 horas del día en la defensa, la búsqueda de hackers y su eliminación inmediata.
La enorme cantidad de ciberataques, la <<calidad>> de éstos y el aumento experimentado en los últimos años supone un problema para la ciberseguridad de las empresas. Los hackers son cada vez más astutos y sus ataques más complejos. Los ciberespías suelen actuar por encargo atacando de manera dirigida las infraestructuras de empresas. Para ello, colocan en las redes de sus víctimas un software malicioso con el que acceden al control de los distintos sistemas o de toda la infraestructura para poder recopilar y extraer datos sensibles.
En la mayoría de los casos, el software malicioso empleado no es detectado por los mecanismos preventivos de protección habituales debido a que, por ejemplo, se distribuye como «latente» y se va activando poco a poco. Posteriormente, mediante movimientos laterales, el hacker se va haciendo con el control de cada vez más sistemas. Así es como los distintos pasos no se identifican como un ciberataque, por lo que es necesario reunir toda la información disponible para poder identificarlo.
Un Centro de Operaciones de Seguridad (SOC), junto conuna Gestión de información y eventos de seguridad (SIEM), tiene la capacidad de identificar ciberataques profesionales y actuar contra ellos rápidamente. Mientras que el SOC se encarga de las personas, los procesos y las tecnologías; el SIEM es una combinación de sistemas de ciberseguridad que usa distintas fuentes de eventos para detectar los ataques. El sistema SIEM proporciona información sobre las posibles amenazas a los analistas del SOC en una fase temprana. Por ello, se trata de un componente tecnológico y metódico de un Centro de Operaciones de Seguridad.
Los SOC supervisan y analizan la actividad de toda la infraestructura informática (redes, servidores, clientes móviles y fijos, bases de datos, aplicaciones, servidores web y otros sistemas) en busca de actividades anómalas que puedan ser un indicio de un incidente de seguridad. Siempre que se disponga de tecnologías operativas (OT en las redes industriales), es posible proteger dicha infraestructura. Además, el SOC es el encargado de identificar, analizar, notificar y mitigar correctamente los posibles problemas de seguridad.
Desde el puente de mando, los expertos en seguridad observan en grandes pantallas la situación de amenaza a nivel mundial, investigan las alertas recibidas e intervienen de inmediato cuando es necesario. En el supuesto de que se produzca un ciberataque real, las empresas deben tener la capacidad de identificar el modus operandi del hacker y adoptar, de forma inmediata, medidas correctivas específicas. Para lograrlo, el equipo de defensa dispone de toda una gama de soluciones de seguridad que velan por los sistemas informáticos que han de ser protegidos, que se encuentran conectadas con el SOC mediante interfaces para que puedan vigilar y analizar todo tipo de tráfico de datos.
Un SOC funciona como un puente de mando en el que los expertos de seguridad observan la situación de amenaza global y pueden intervenir de inmediato.
Cada día, los expertos seguridad de Telekom analizan varios miles de millones de datos de seguridad procedentes de miles de fuentes de datos de forma casi totalmente automática. Unos 200 expertos supervisan las 24 horas del día,los 7 días de la semana, tanto en el SOC principal ubicado en Bonn como en las sedes conectadas a este, los sistemas nacionales e internacionales de Telekom y de sus clientes. Detectan ciberataques, analizan las herramientas usadas en cada maniobra, protegen constantemente a las víctimas de los daños y prevén los patrones futuros de los ataques. Para ello, los expertos de Telekom disponen de años de experiencia en la lucha contra los ataques a la propia infraestructura. Ya han recopilado más de 20 millones de patrones distintos, que han utilizado para la mejora de sus sistemas. Un equipo inteligente para proteger un mundo digital próspero.
Un SOC puede dar servicio a un gran número de clientes al mismo tiempo. En cumplimiento de la legislación vigente en materia de protección de datos, todos ellos se gestionan de forma invidiualPara ello, el SOC de Telekom Security ha aumentado las sinergias de costes y es más eficaz que un centro interno, ya que todos los clientes se benefician a la bez, , de la creciente experiencia de nuestro equipo de análisis de seguridad. Cada día, se realizan constantes ajustes en función de las cambiantes amenazas en toda la cadena digital: desde el control de las redes, pasando por la protección de los sistemas cliente-servidor, hasta la seguridad de los sistemas industriales.
Cada día, el equipo de ciberdefensa de Telekom analiza varios miles de millones de datos de seguridad procedentes de miles de fuentes de datos de forma casi totalmente automática. Además tramita 1000 solicitudes de protección de su infraestructura y, por tanto, de la seguridad de sus clientes.
El número de datos de seguridad que procesa Telekom cada día es enorme: más de mil millones solo en su red y en sus sistemas. Desde hace muchos años, Deutsche Telekom registra, analiza, comprime y procesa de forma eficaz estas volumen de datos en sus Centros de Operaciones de Seguridad. Los analistas expertos en seguridad digital extraen de todos los datos recopilados aquellos indicadores de ataques y, a la vez, procesan los casos sospechosos en décimas de segundos. En un último paso, los expertos analizan los incidentes reales y toman medidas para resolverlos.
El número de malwares sigue aumentando. Solo en 2018, se registró un incremento 2,5 veces mayor que cuatro años antes.
La Gestión de Eventos e Información de Seguridad (SIEM) combina la gestión de información de seguridad (SIM) con la gestión de eventos de seguridad (SEM). Recopila y analiza continuamente datos de registros de extremo-a-extremo como los ordenadores o de servidores, enrutadores, conmutadores, aplicaciones, cortafuegos y otros sistemas,El sistema SIEM permite, por tanto, tener una visión completa de la ciberseguridad. Correlaciona las notificaciones y alarmas en tiempo real y reconoce patrones o tendencias anómalos que pueden indicar la existencia de ciberataques. A partir de los resultados, las empresas pueden reaccionar con mayor rapidez y precisión a un ciberataque. Asimismo, la SIEM utiliza procesos de aprendizaje automático e inteligencia artificial. Las herramientas de la SIEM también se encuentran disponibles como servicios en la nube.
Telekom opera actualmente en 4 SOC internos y 8 SOC externos que prestan servicio a nuestros clientes. En 2019 se abrió un nuevo SOC en Singapur, que ayuda a incrementar nuestranuestra cobertura global.
Entrevista con Rüdiger Peusquens, Director de Ciberseguridad y gestión de situaciones, Deutsche Telekom
Un estudio de ISG ha elegido a T-Systems como el proveedor líder de servicios de seguridad para grandes empresas y grupos empresariales. T-Systems está a la cabeza en el mercado tanto por su gama de productos como por su capacidad competitiva. Los servicios incluyen asesoramiento, formación, integración, mantenimiento, asistencia técnica, servicios de seguridad gestionados y una infraestructura de ciberseguridad a través de un Centro de Operaciones de Seguridad.
Para prepararse parael futuro, las empresas necesitan cuatro elementos fundamentales: Conectividad, Cloud e infraestructura de TI, Seguridad y Digitalización. Un Centro de Operaciones de Seguridad y un SIEM son dos componentes fundamentales en una estrategia empresarial de seguridad.