5 grandes lecciones del SOC de trabajo desde casa



Acostumbrados a trabajar en la misma sala, los equipos de seguridad ahora deben encontrar formas de operar de manera efectiva en la nueva realidad remota.

Si administrar un centro de operaciones de seguridad (SOC) en condiciones normales no es lo suficientemente difícil, ajustar las operaciones durante la disaster de COVID-19 ha sido particularmente difícil para quienes administran centros de operaciones de seguridad de la información.

No hace mucho tiempo, trasladamos a gran parte del equipo de seguridad a la misma sala para superar los desafíos de las estructuras organizativas con tubería de estufa. Ahora debemos encontrar formas de operar de manera efectiva en la nueva realidad remota. A continuación se presentan algunas de las mejores prácticas que he recopilado durante la semana pasada de clientes en medio de la transición de sus SOC para trabajar de forma remota en atención médica, educación, finanzas y tecnología. Además de centrarse en la salud y la seguridad de los miembros de su equipo, algunas de las mejores prácticas que he escuchado implican volver a desplegar a las personas donde más se necesitan, mejorar continuamente las habilidades y fomentar una cultura de apoyo a la seguridad.

1) Adoptar un modelo de cadena de suministro para el SOC
Las cadenas de suministro mueven materiales desde el origen hasta la producción y la venta, un proceso que ocurre con una eficiencia sorprendente en compañías como Walmart y Ford. Detrás del movimiento de materiales hay un sistema avanzado de comunicaciones de datos a través de múltiples organizaciones que se encuentran comúnmente en todo el mundo. Por naturaleza, las cadenas de suministro nunca podrían tener el tipo de operación centralizada que hemos creado para trasladar la seguridad al SOC.

Varias compañías que forman parte de una cadena de suministro necesitan optimizar procesos e integrar sistemas a niveles nunca soñados por los equipos de seguridad. Cuando distribuye su equipo de seguridad a nivel particular person, impone las limitaciones de espacio y tiempo que los procesos de la cadena de suministro fueron creados para superar. Un CISO sugirió que los líderes de SOC deberían considerar la optimización del flujo del proceso tal como se aplica a la detección y respuesta a incidentes, con un enfoque específico en la entrega de información crítica (entradas y salidas) a través de sistemas y equipos, definiciones de acuerdos de nivel de servicio, procesos de toma de decisiones y calidad de datos Asegúrese de aplicar objetivos de calidad a la producción a nivel de analista en la investigación y respuesta a incidentes, especialmente para los miembros más jóvenes del equipo.

2. Mantenga abierto un canal de comunicación digital, 24/7
En primer lugar, un beneficio importante de trasladar a los miembros del equipo de seguridad al SOC period apoyar las comunicaciones abiertas e informales. Ahora que los equipos se han alejado, esas líneas de comunicación pueden fallar. Un gerente de SOC de un gran fabricante mantiene abierta una llamada de online video chat durante todo el día, con al menos un gerente de equipo monitoreando la sesión en todo momento. Los analistas entran y salen durante el día, informando en qué están trabajando, comparten pantallas, y cuando surge un incidente que requiere atención inmediata, el gerente a cargo envía rápidamente mensajes de texto / holgura a las personas requeridas, que se lanzan para abordar el problema. problema en un «equipo de tigres» digital.

3) El personalized de capacitación cruzada tendrá en cuenta los cambios en el enfoque
Una de las mejores prácticas en las principales empresas ha sido la capacitación cruzada de los equipos de TI y seguridad para estar listos para participar y ayudar en cualquier etapa de un ataque. El entrenamiento cruzado tiene sentido adicional cuando su empresa se muda a un modelo remoto. La pink corporativa de repente no es el refugio seguro que period, con cientos, incluso miles, de computadoras portátiles y computadoras de borde. La supervisión de puntos finales se vuelve crítica porque los equipos de seguridad de puntos finales pueden verse abrumados rápidamente.

Un cliente con el que hablamos estaba planeando capacitar a profesionales de seguridad de la pink, que ahora tienen menos que hacer, en la seguridad de los puntos finales para tener ojos más efectivos en el cristal, observando los ataques de los puntos finales. Uno de los temas de capacitación más comunes que he escuchado es el de capacitar a más personas para que comprendan y administren los sistemas VPN para garantizar que más administradores comprendan cómo configurar la protección de direcciones IP multicapa y garantizar el cifrado adecuado.

4) Haga todo lo posible para mantener su cultura de seguridad
Los líderes de seguridad pasan mucho tiempo creando una cultura colaborativa y exitosa en todos los equipos. El consejo de un CISO experimentado con períodos en varias instituciones financieras importantes es: «No hagas nada para arruinar esa cultura de seguridad que tanto trabajaste para crear. Además, como una extensión de esa cultura, protege a tu máximo talento a toda costa «. Ahora no es el momento de hacer cambios organizativos significativos, dijo. En cambio, concéntrese en construir líderes más fuertes dentro de la organización existente.

Mantenga las líneas de comunicación lo más abiertas posible. Si un analista junior se sentía cómodo haciendo preguntas a un veterano experimentado que estaba sentado cerca, encuentre la manera de mantener esa línea abierta. Varios clientes informaron que congelaron todos los cambios organizacionales e instruyeron a los líderes del equipo para que se registraran semanalmente con cada miembro del equipo a través de llamadas individuales. Otra compañía realiza «hackatones» en línea los fines de semana para mantener los lazos sociales de los miembros del equipo lo más fuertes posible.

5) Aumente la calidad de la producción de su equipo de ciberseguridad
A medida que los equipos trabajan desde casa, las distracciones y la pérdida de camaradería y el fácil intercambio de información pueden dañar la calidad de los servicios prestados por el equipo de seguridad. Aproveche esta oportunidad para aumentar la calidad del trabajo de cada miembro a través de la capacitación. Los programas de capacitación en línea para profesionales de ciberseguridad son de fácil acceso y de alta calidad.

Un cliente con el que hablé está centrando la capacitación en analistas junior. La preocupación es que los miembros menos experimentados del equipo tienen más probabilidades de cometer errores sin una capacidad fácil para que otros miembros del SOC verifiquen su trabajo. También les preocupa que otros miembros del equipo no confíen en su toma de decisiones y sus resultados, y quieran actualizar las habilidades de estos trabajadores y compartir sus mejoras (en forma de logros de microcertificación) en todo el equipo para mantener la confianza. Los ejemplos de capacitación para estos analistas incluyen análisis básicos de malware, uso de expresiones regulares y aprendizaje de ejecutables de SUID.

Contenido relacionado:

Gordon Lawson es presidente de RangeForce, una plataforma de análisis de habilidades y simulación de ciberseguridad basada en SaaS que ayuda a las empresas a calificar a sus nuevos empleados, capacitar individual de Devops, TI y seguridad, y ejecutar simulaciones de cibersiege para evaluar las habilidades del equipo. Lawson tiene casi dos … Ver biografía completa

Más thoughts





Enlace a la noticia initial