¡NOC, SOC, CSIRT, CERT no es lo mismo!
Definiciones claras de las diferencias entre NOC, SOC, CSIRT y CERT, cuatro conceptos fundamentales en seguridad de la información que suelen confundirse.
La misión del blogdelciso.com es “Educar sobre Seguridad de la información para tod@s”, bajo esa lógica, es necesario que usemos los términos correctos para referirnos sobre todo a tecnicismos, no todo se llama SOC, a continuación les presento las diferencias.
Network Operations Center (Centro de operaciones de Red)
Es la ubicación central donde se encuentran los servidores de una empresa y los equipos de red. El NOC puede residir dentro del campus de una compañía o en una ubicación externa. Las empresas y organizaciones más pequeñas a menudo tienen un NOC interno, en el que los técnicos locales administran y supervisan los servidores. Las compañías más grandes pueden tener una configuración de NOC en una ubicación desarrollada específicamente para alojar el equipo servidor.
Security operations center (Centro de operaciones de Seguridad)
Un SOC está relacionado con las personas, los procesos y las tecnologías que brindan conocimiento situacional a través de la detección, la contención y la reparación de las amenazas de TI. Un SOC se encargará, en representación de una institución o empresa, de cualquier incidente informático amenazante y garantizará que se identifique, analice, comunique, investigue y notifique adecuadamente. El SOC también supervisa las aplicaciones para identificar un posible ataque cibernético o intrusión (evento) y determina si se trata de una amenaza maliciosa (incidente) genuina y si podría afectar el negocio.
CSIRT, Computer Security Incident Response Team
Un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) es una organización que recibe informes de violaciones de seguridad, realiza análisis de los informes y responde a los remitentes. Un CSIRT puede ser un grupo establecido o un conjunto ad hoc. Hay varios tipos de CSIRTS. Un CSIRT interno se ensambla como parte de una organización matriz, como un gobierno, una corporación, una universidad o una red de investigación. Los CSIRT nacionales supervisan el manejo de incidentes para todo un país.
Computer Emergency Response Team (CERT)
En general, la designación de CERT es útil para aplicar soluciones del mundo real a diversos problemas de ciberseguridad. Pueden ser contratistas del gobierno o empleados de una corporación importante. Por ejemplo, el Equipo de preparación para emergencias informáticas de EE. UU. (US-CERT) opera bajo el Departamento de Seguridad Nacional de EE. UU.
Aunque muchos aspectos de las operaciones del grupo están dirigidos a métodos tradicionales de pirateo como virus y malware, es reductivo pensar en un CERT como un “equipo antivirus”. Nuevos tipos de ciberataques están surgiendo todo el tiempo, y los profesionales de la seguridad deben estar a la vanguardia de estos problemas. El trabajo de un CERT abarca un amplio espectro de actividades de seguridad destinadas a prevenir y minimizar los ataques cibernéticos desde donde se originan.
¿Se entienden las diferencias?