SOC Security Operations Center.

Un SOC es el equipo y el conjunto de herramientas que monitoriza, detecta, analiza y responde a eventos de seguridad en tiempo real. Analistas por niveles (T1 detección, T2 investigación, T3 threat hunting), 8x5 o 24x7. Interno, externalizado (MSSP) o híbrido. Sin un SOC, el SIEM es un archivo de logs; con uno, es un sistema de alerta temprana.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La perspectiva de Cyber Academy

Un SOC es el equipo y el conjunto de herramientas que monitoriza, detecta, analiza y responde a eventos de seguridad en tiempo real. Analistas por niveles (T1 detección, T2 investigación, T3 threat hunting), 8x5 o 24x7. Interno, externalizado (MSSP) o híbrido. Sin un SOC, el SIEM es un archivo de logs; con uno, es un sistema de alerta temprana.

Lo que realmente hace un SOC

Un Security Operations Center es la función que convierte la telemetría en bruto en decisiones y acciones. La shortDefinition lo presenta como el equipo más el conjunto de herramientas; en la práctica, el valor reside en el modelo operativo que los conecta. El SIEM recopila y correlaciona registros, el EDR registra el comportamiento de los endpoints y el SOAR ejecuta playbooks, pero nada de eso produce seguridad por sí solo. El SOC es lo que lee la alerta a las 02:00, decide si se trata de un falso positivo o de la primera señal de una intrusión, y acciona la palanca adecuada para contenerla.

En el día a día, un SOC ejecuta cuatro bucles: monitorizar (observar las consolas y los flujos), detectar (confirmar que una señal es real), responder (contener, erradicar, recuperar) y mejorar (ajustar las detecciones para que el mismo ruido no vuelva). El último bucle es el que los SOC inmaduros se saltan, y por eso se ahogan en alertas. Un SOC sano se mide por resultados como el tiempo medio de detección y el tiempo medio de respuesta, no por cuántas alertas cerró.

Niveles, dotación de personal y cobertura

El modelo clásico divide a los analistas en niveles. El Tier 1 clasifica la cola de alertas y decide qué merece una revisión más detenida. El Tier 2 investiga los incidentes confirmados, construye la línea temporal y dirige la contención. El Tier 3 realiza una caza de amenazas proactiva y desarrolla nuevo contenido de detección en lugar de esperar a que salte una alerta. A su alrededor se sitúan ingenieros de detección, respondedores de incidentes y un responsable del SOC que es dueño del proceso y de las métricas.

La cobertura es una elección deliberada con un coste real. Un SOC 8x5 vigila durante el horario laboral; un SOC 24x7 sigue el sol o organiza turnos de noche para que un atacante no pueda contar con un fin de semana tranquilo. La respuesta correcta depende de su exposición a amenazas, de sus obligaciones regulatorias y de lo que pueda sostener sin quemar al equipo.

Construir, externalizar o combinar

Existen tres modelos de aprovisionamiento, y la mayoría de las organizaciones acaban en algún punto intermedio.

Comparativa de modelos de aprovisionamiento del SOC
ModeloQuién lo operaMejor encaje
InternoSus propios analistas y herramientasEntornos de alta sensibilidad que desean un control y un contexto completos
Externalizado (MSSP)Un Managed Security Service ProviderEquipos que necesitan cobertura 24x7 con rapidez sin contratar una plantilla completa
HíbridoResponsables internos más un MSSP o un MDR para fuera del horario laboralLa mayoría de las organizaciones de tamaño medio que equilibran coste, cobertura y control

Externalizar la vigilancia no externaliza la responsabilidad. Un MSSP puede cubrir el turno de noche, pero su equipo sigue siendo dueño del inventario de activos, de las decisiones de respuesta que afectan a su negocio y de la relación con el resto de TI. El modo de fallo habitual consiste en tratar a un MSSP como algo que se contrata y se olvida, para luego descubrir durante un incidente que nadie cartografió sus sistemas más críticos ni acordó quién puede aislar un host.

Dónde se sitúa el SOC en la gobernanza

El SOC es una capacidad operativa, pero no vive en el vacío. Ejecuta la parte de detección y respuesta de marcos como el conjunto de funciones del NIST Cybersecurity Framework (identificar, proteger, detectar, responder, recuperar) y aporta evidencias que respaldan los controles ISO/IEC 27001 de registro, monitorización y gestión de incidentes. Bajo regulaciones como NIS2 y DORA, la capacidad de detectar y notificar incidentes con rapidez ya no es opcional, y el SOC suele ser el lugar donde esa capacidad se operativiza. Para los profesionales, esto significa que un SOC se juzga no solo por su tasa técnica de detección, sino por si es capaz de producir la línea temporal, las evidencias y las notificaciones que esperan auditores y reguladores.

Frequently asked questions

01¿Cuál es la diferencia entre un SOC y un SIEM?

Un SIEM es una plataforma que agrega y correlaciona registros. Un SOC es el equipo y el proceso que monitoriza esa plataforma y actúa sobre lo que encuentra. El SIEM es la herramienta; el SOC es lo que la hace útil.

02¿Necesito un SOC 24x7?

No siempre. Los atacantes prefieren las noches y los fines de semana, por lo que el 24x7 reduce el tiempo de permanencia, pero es caro de dotar internamente. Muchas organizaciones cubren internamente el horario laboral y recurren a un proveedor MSSP o MDR para fuera de horario.

03¿Qué significan los niveles de un SOC?

El Tier 1 clasifica las alertas, el Tier 2 investiga y contiene los incidentes confirmados, y el Tier 3 caza de forma proactiva y construye nuevas detecciones. Los niveles describen la escalada y la profundidad de competencias, no necesariamente personas distintas en un equipo pequeño.

04¿Es un MSSP lo mismo que un SOC?

Un MSSP es una forma de prestar un SOC, externalizando la monitorización y la respuesta a un proveedor. También puede construir el SOC internamente o operar un modelo híbrido. En cualquier caso, la responsabilidad sobre su entorno sigue siendo suya.

05¿Qué métricas muestran que un SOC funciona?

El tiempo medio de detección y el tiempo medio de respuesta son las métricas de resultado centrales, junto con la cobertura de detección y la tasa de falsos positivos. El volumen de alertas por sí solo no dice nada sobre la eficacia.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.