¿Qué es un analista SOC?

Se espera que el gasto mundial en seguridad y gestión de riesgos crezca un 11.3% en 2023, alcanzando más de $188.3 mil millones, según la investigación de Gartner.

A medida que las organizaciones aumentan el enfoque en la ciberseguridad, un centro de operaciones de seguridad o SOC se está volviendo cada vez más importante. Su SOC sirve como la unidad central encargada de lidiar con las amenazas cibernéticas a su organización.

Los SOC incluyen al menos a algunos analistas SOC cuya experiencia se encuentra en el núcleo de una seguridad robusta. Los analistas SOC ayudan a llenar los vacíos de incluso las soluciones de software de detección de amenazas más avanzadas para detener los ciberataques y amenazas.

En este artículo, profundizaremos en el papel que desempeñan los analistas SOC junto con los tres tipos diferentes, algunas tareas típicas del trabajo de analista y las habilidades que estos profesionales necesitan para tener éxito.

¿Qué es un analista SOC?

Un analista SOC es un especialista en ciberseguridad que monitorea la infraestructura de TI de una organización en busca de amenazas. A menudo son los primeros en responder en la lucha contra esas amenazas. También buscan vulnerabilidades y hacen mejoras o recomiendan cambios para fortalecer la seguridad.

Como se mencionó, los analistas SOC suelen formar parte de un equipo de seguridad más grande. Algunas organizaciones contratan a analistas SOC internamente. Sin embargo, las empresas que no tienen el tiempo, los recursos o el deseo de construir un equipo SOC interno pueden subcontratar a una empresa SOC dedicada.

La opinión del analista SOC es crucial para una organización. Sus recomendaciones pueden mejorar la ciberseguridad y prevenir pérdidas a través de hackeos y otros eventos de seguridad.

Tenga en cuenta que en este caso, SOC significa centro de operaciones de seguridad. Esto es diferente de System and Organization Controls, un conjunto de estándares y directrices creados por el Instituto Americano de Contadores Públicos Certificados para evaluar varios controles internos.

Certificación de analista SOC

Además de tener una licenciatura en ingeniería informática, ciencias de la computación o un campo relacionado, los analistas SOC a menudo reciben formación adicional y obtienen una licencia de Analista SOC Certificado (CSA) para mejorar sus habilidades.

Otras certificaciones relevantes incluyen:

• Hacker Ético Certificado (CEH)
• Investigador Forense de Hacking Informático (CHFI)
• Analista de Seguridad Certificado por EC-Council (ECSA)
• Evaluador de Penetración Autorizado (LPT)
• CompTIA Security+
• CompTIA Analista de Ciberseguridad (CySA+):

Niveles de analista SOC

Existen tres niveles de analistas SOC, cada uno responsable de tareas más avanzadas y críticas.

Analistas SOC de Nivel 1: Triaje

Los analistas SOC de Nivel 1 son los menos experimentados de los tres niveles. La mayoría de sus deberes implican monitoreo de seguridad en busca de actividades sospechosas y posibles amenazas. No suelen estar involucrados en la lucha contra las amenazas.

En cambio, si un analista de Nivel 1 cree que algo necesita un examen más detenido, creará un ticket y lo pasará a un analista de Nivel 2 para su revisión.

Analistas SOC de Nivel 2: Respuesta a Incidentes e Investigación

Los analistas SOC de Nivel 2 son más experimentados que los de Nivel 1. Pueden hacer todo lo que un analista de Nivel 1 puede hacer si es necesario, pero su trabajo principal es profundizar en los problemas que los analistas de Nivel 1 les refieren.

Mientras un profesional de Nivel 2 investiga un problema, recopilará más datos de varias fuentes para una mayor investigación. También tratarán de encontrar de dónde vino la amenaza y cómo entró para preparar una respuesta adecuada.

Analistas SOC de Nivel 3: Búsqueda Proactiva de Amenazas

Los analistas SOC de Nivel 3 están en la cima de la jerarquía de analistas. Estos profesionales altamente experimentados emplean sus habilidades avanzadas para apoyar las respuestas de los analistas de Nivel 2 a problemas de seguridad complejos.

Además, un analista de Nivel 3 es un cazador de amenazas. Buscan rutinariamente amenazas que pueden haber pasado desapercibidas por las defensas de la empresa, junto con cualquier vulnerabilidad que esas amenazas pueden haber explotado para entrar.

Muchas empresas pasan la mayor parte de su tiempo en actividades de los Niveles 1 y 2 - encontrando actividades sospechosas y derrotando amenazas - por lo que no emplearán tantos analistas de Nivel 3. Probablemente tendrán algunos de estos analistas dedicados a fortalecer la seguridad.

Algunas personas consideran a los gerentes SOC como Nivel 4, pero esa es una posición de gestión en lugar de un analista. Los gerentes SOC no están haciendo trabajo de "campo" la mayor parte del tiempo.

Salario de analista SOC

Según Glassdoor, el salario promedio de un analista SOC en los Estados Unidos es de $84,439 por año.

Cuánto gana un analista SOC varía según los años de experiencia, certificaciones, ubicación y otros factores. Por lo tanto, el rango salarial es amplio, situándose entre $79,000 y $125,000. 

Los ingresos también dependen del nivel. El Nivel 3 gana más, seguido del Nivel 2 y el Nivel 1. Verás por qué cuando cubramos las tareas y responsabilidades de los analistas SOC a continuación.

¿Qué hace un analista SOC?

Los analistas SOC tienen varias responsabilidades relacionadas con fortalecer y mantener las defensas cibernéticas y responder a amenazas.

Las tareas exactas varían entre empresas y niveles de analistas, por supuesto, pero aquí hay algunas responsabilidades generales de los analistas SOC.

1. Monitorear el acceso de seguridad

En primer lugar, los analistas SOC monitorean el acceso de seguridad en busca de cualquier actividad sospechosa. 

Esta es generalmente una tarea de Nivel 1. Si un analista de Nivel 1 encuentra algo sospechoso, puede realizar una investigación ligera, pero típicamente envían la posible amenaza a un analista de Nivel 2.

Sin embargo, algunos analistas de Nivel 3 pueden monitorear el acceso de seguridad a un nivel mucho más profundo que los analistas de Nivel 1 aún no tienen la habilidad para manejar.

2. Responder a amenazas

Cuando aparece una amenaza cibernética, los analistas del SOC son los primeros en intervenir y responder.

El analista de Nivel 1 generalmente detecta estas amenazas primero mientras monitorea actividades sospechosas. Lo envían al Nivel 2, quien revisará la información.

El Nivel 2 luego intentará determinar el alcance del ataque y qué sistemas están en riesgo. Recopilarán datos de otras fuentes y partes interesadas para obtener una mejor imagen del problema.

El analista luego desarrolla una solución para mitigar la amenaza y recuperarse de ella.

El Nivel 3 también puede estar involucrado aquí, para ayudar a encontrar formas de solucionar la debilidad de seguridad que la amenaza usó para entrar.

3. Realizar evaluaciones de seguridad

Los analistas de Nivel 1 a veces escanean en busca de vulnerabilidades, pero los analistas de Nivel 3 son los más responsables de realizar evaluaciones de seguridad y pruebas en profundidad.

En particular, regularmente buscan vulnerabilidades en los sistemas para parcharlas y fortalecer la ciberseguridad. Una sola brecha de seguridad puede costarle a una empresa enormes sumas de dinero a través de costos legales, multas, reparaciones de la brecha y pérdida de clientes, haciendo de este trabajo algo vital.

Un tipo crucial de evaluación de seguridad es la prueba de penetración. Esto implica realizar un ciberataque simulado contra su infraestructura de TI para probar la fuerza de sus defensas.

La prueba de penetración también ayuda a encontrar debilidades ocultas e identificar lo que la empresa necesita corregir para fortalecer la seguridad.

4. Crear y actualizar planes de continuidad del negocio y recuperación ante desastres

Un plan de recuperación ante desastres establece cómo responderá una empresa a eventos inesperados y dañinos, como desastres naturales o ciberataques.

Un plan de continuidad del negocio indica a una organización cómo continuará operando durante uno de estos eventos.

Dado el riesgo de brechas y otras amenazas cibernéticas, los analistas del SOC juegan un papel en el desarrollo y perfeccionamiento de estos planes. Contribuyen con su experiencia para desarrollar un plan que mantenga las operaciones de TI funcionando durante un desastre y para restablecer las operaciones una vez que la organización solucione el problema.

5. Mantenerse al día con las tendencias cibernéticas

Las amenazas cibernéticas están en constante evolución y la ciberseguridad tiene que mantenerse al ritmo de ellas.

Tales circunstancias hacen que los analistas del SOC sean responsables de mantenerse al día con las tendencias cibernéticas y los desarrollos en TI y seguridad. Deben estudiar rutinariamente los tipos emergentes de amenazas cibernéticas y mantenerse al tanto de la tecnología y estrategias de ciberseguridad que los expertos desarrollan para contrarrestarlas.

Esta parte del trabajo requerirá algo de educación continua o tiempo de desarrollo profesional fuera del trabajo. El requisito de recertificación de tres años de la CSA muestra lo crucial que es la educación continua para el éxito de un analista de SOC.

6. Asesorar e implementar nuevas políticas de seguridad

Los analistas del SOC son expertos en encontrar debilidades y fortalecer la ciberseguridad, especialmente a nivel de Nivel 3.

Ya sea que un analista del SOC descubra nuevas vulnerabilidades mediante la lucha contra amenazas, realizando evaluaciones de seguridad o aprendiendo sobre nuevas tendencias de ciberseguridad, necesitan transmitir esta información a las personas adecuadas en su organización.

Si una empresa quiere avanzar con cambios en la política de ciberseguridad, generalmente recae en los analistas de Nivel 3 implementar estos cambios.

Habilidades del analista SOC

Las tendencias cibernéticas pueden estar evolucionando, pero las habilidades que necesita un analista de SOC siguen siendo prácticamente las mismas. Si deseas maximizar el valor que los analistas de SOC brindan a tu organización, asegúrate de que tengan estas habilidades.

Habilidades de programación

Los analistas de Nivel 1 pasan mucho tiempo revisando los registros del sistema para encontrar indicios de actividades sospechosas. Esto lleva mucho tiempo y es bastante tedioso.

Este trabajo manual puede hacer que los analistas humanos pasen por alto amenazas potenciales por accidente mientras intentan revisarlo todo.

Naturalmente, puedes automatizar parte de este trabajo.

Los analistas de Nivel 1 deben tener habilidades básicas de programación, suficientes para escribir scripts que automaticen gran parte de la búsqueda y alerten al analista sobre posibles problemas.

Dicho esto, los analistas de Nivel 2 y 3 también pueden beneficiarse de perfeccionar sus habilidades de programación. Las habilidades de programación pueden ser útiles al usar herramientas de visualización de datos.

Informática forense

La informática forense implica investigar, recopilar y analizar datos e información pertinente a los delitos cibernéticos.

Todos los analistas de SOC deben comprender la informática forense, pero es especialmente vital para el Nivel 2, ya que su trabajo es recopilar información sobre las amenazas cibernéticas.

Los analistas de Nivel 3 también pueden beneficiarse del conocimiento de la informática forense. Puede ser útil cuando buscan áreas donde los cibercriminales potenciales pueden ingresar a los sistemas de una organización.

Hacking ético

Parte del trabajo del analista de Nivel 3 es evaluar la ciberseguridad de una organización en busca de vulnerabilidades y áreas de mejora. Como se mencionó, a menudo lo hacen a través de pruebas de penetración, lo que requiere un alto grado de habilidades de hacking ético.

Los analistas de Nivel 3 necesitan un conocimiento profundo de las vulnerabilidades en redes, sistemas y aplicaciones para poder probar las defensas y encontrar posibles vulnerabilidades.

Los analistas de Nivel 1 y 2 generalmente no necesitan tener estas habilidades de hacking ético. Sin embargo, comprender lo básico puede ayudar a los analistas de Nivel 1 a entender mucho mejor las amenazas y vulnerabilidades potenciales. Les permite monitorear las amenazas y trabajar con otros niveles si es necesario.

Comprensión de herramientas de seguridad

Los analistas de SOC, siendo expertos en seguridad, deben ser competentes en varias herramientas de seguridad comunes.

Por ejemplo, comprender la gestión de información de seguridad, eventos (SIEM) y el software de detección de intrusiones es imprescindible.

Los analistas también deben ser competentes en tareas de administración del sistema dentro de los sistemas operativos Macbook, Windows y Linux/Unix.

Los analistas de Nivel 3, en particular, deben estar familiarizados con herramientas populares de pruebas de penetración como parte de sus deberes de hacking ético.

Ingeniería inversa

La ingeniería inversa implica analizar las funciones y el flujo de información de los programas de software para comprender su funcionalidad y rendimiento. Esta técnica también puede aplicarse al malware.

Los analistas de SOC de Nivel 3 no solo deben conocer el malware avanzado y ser capaces de neutralizarlo, sino que también deben ser capaces de realizar ingeniería inversa para fortalecer los sistemas de la organización contra futuras amenazas.

Gestión de riesgos

La gestión de riesgos es la capacidad de identificar, analizar y mitigar riesgos. Los analistas de SOC de Nivel 1 deben ser capaces de analizar y detallar las vulnerabilidades existentes y considerar los posibles riesgos que pueden surgir en el futuro. Los analistas de SOC de Nivel 2 y 3 deben ser capaces de desarrollar estrategias para tratar y mitigar estos riesgos y crear un proceso de recuperación para cuando ocurran incidentes de seguridad.

Cómo Secureframe puede ayudar a optimizar tu centro de operaciones de seguridad

Los analistas de SOC son a menudo la primera línea de defensa cibernética de una organización. Esto es cierto tanto si son analistas de Nivel 1 que buscan problemas como si son de Nivel 3 que buscan formas de reforzar la seguridad.

Para ayudar a garantizar que sus analistas SOC y el centro de operaciones de seguridad en su conjunto estén funcionando de la mejor manera, considere realizar una auditoría SOC exhaustiva, en lo que nos especializamos aquí en Secureframe. Programe su demostración hoy para descubrir cómo Secureframe puede ayudarlo a prepararse para una auditoría y mejorar su postura de seguridad.