DIPLOMADO CIBERDEFENSA

SECOPS
SecOps se define como un enfoque
organizacional y una colaboración
intrínseca entre los equipos de seguridad
(Sec) y los equipos de operaciones de
tecnología de la información (ITOps).
 OBJETIVOS PRINCIPALES DE SECOPS
Gestionar la Reducir el riesgo de
Confidencialidad, ciberamenazas y
Establecer una postura de Integridad y
seguridad proactiva y Disponibilidad (CIA) de minimizar el impacto de
robusta los incidentes de
los sistemas y datos seguridad:
críticos

Mejorar la eficiencia Asegurar el cumplimiento

operativa normativo y de estándares
RELACIÓN ENTRE SECOPS, IT OPERATIONS
(ITOPS), DEVSECOPS Y GESTIÓN DE RIESGO
SecOps no opera en el vacío; su función y efectividad están intrínsecamente ligadas a
otras disciplinas clave dentro de la organización, como las operaciones de TI (ITOps),
DevOps, y su extensión natural, DevSecOps. Además, la gestión de riesgos
empresariales (ERM) proporciona el contexto y la dirección para las actividades de
SecOps.
 COMPARATIVA DETALLADA DE ITOPS, DEVOPS, SECOPS Y DEVSECOPS

Característica ITOps DevOps SecOps DevSecOps ERM (Gestión de Riesgos)

Operación y mantenimiento de Agilidad en desarrollo y Seguridad operacional y Seguridad integrada en el Identificación, evaluación y
Foco Principal
infraestructura TI entrega de software respuesta a incidentes desarrollo y operaciones mitigación de riesgos
Entrega continua, eficiencia y Protección contra amenazas, "Seguridad como código", Protección del valor empresarial y
Objetivo Principal Disponibilidad, rendimiento y soporte
automatización reducción del impacto detección temprana de fallos continuidad operativa
Admins de sistemas, redes, soporte Desarrolladores, QA, Analistas de seguridad, Devs, seguridad, operaciones, CISO, gestión, seguridad,
Participantes Clave
técnico operaciones ingenieros Sec, ITOps arquitectura cumplimiento, auditoría
Modelo de Dev + Ops colaboran en Seguridad colabora con Integración total entre Dev, Sec y Transversal: involucra todas las
Aislado, por dominios técnicos
Colaboración CI/CD operaciones Ops áreas estratégicas
Indicadores Clave Velocidad de entrega, tasa de MTTD, MTTR, cumplimiento, Tasa de vulnerabilidades, tiempo Riesgos identificados, mitigados,
Uptime, MTTR, disponibilidad
(KPIs) errores, despliegues número de incidentes de remediación impacto residual

Complementaria: ejecuta la SecOps integra seguridad en DevSecOps expande los principios SecOps ejecuta controles técnicos
Relación con SecOps —
infraestructura que SecOps protege sus entornos operativos de SecOps al desarrollo para mitigar riesgos

Normativas/Marcos NIST CSF, NIST 800-53, ISO NIST DevSecOps, OWASP SAMM, ISO 31000, COSO ERM, COBIT,
ITIL, ISO/IEC 20000 Agile, CI/CD, Lean, Scrum
Asociados 27001, MITRE ATT&CK SAST/DAST NIST RMF
SECOPS ES EL PILAR DE LA
RESILIENCIA
ORGANIZACIONAL
La resiliencia organizacional, entendida como la
capacidad de una entidad para anticipar,
prepararse, responder y adaptarse a los
cambios incrementales y a las interrupciones
súbitas para sobrevivir y prosperar, encuentra
en SecOps un pilar fundamental.
SOPORTE Y GESTIÓN DE
INFRAESTRUCTURA SEGURA
La infraestructura tecnológica, ya sea física,
virtual o basada en la nube, constituye la espina
dorsal de las operaciones de cualquier
organización moderna. Asegurar esta
infraestructura es una responsabilidad
primordial de SecOps, ya que cualquier
compromiso a este nivel puede tener
consecuencias catastróficas
PRINCIPIOS PARA LA PROTECCIÓN
DE INFRAESTRUCTURA FÍSICA,
VIRTUAL Y EN LA NUBE
La protección de la infraestructura requiere un
enfoque multifacético que aborde las
particularidades de cada tipo de entorno (físico,
virtual, nube) pero que se base en principios de
seguridad universales.
PRINCIPIOS GENERALES (NIST SP 800-53)
La Publicación Especial 800-53 del NIST,
titulada "Security and Privacy Controls
for Information Systems and
Organizations", ofrece un catálogo
completo de controles de seguridad y
privacidad. This Photo by Unknown Author is licensed under CC BY
 FAMILIAS DE CONTROLES CLAVE EN NIST SP
800-53 PARA LA SEGURIDAD DE
INFRAESTRUCTURA
Control de Acceso (AC)

Gestión de la Configuración (CM)

Planificación de Contingencias (CP)

Protección Física y Ambiental (PE)

Protección de Sistemas y Comunicaciones (SC)

Integridad del Sistema y la Información (SI)

PROTECCIÓN DE
INFRAESTRUCTURA FÍSICA
La seguridad física sigue siendo un componente crítico de
la protección general de la infraestructura. Esto incluye
la implementación de controles de acceso físico robustos
a instalaciones sensibles como centros de datos (ej.
tarjetas de acceso, biométricos, vigilancia por CCTV), así
como la protección contra amenazas ambientales (ej.
sistemas de supresión de incendios, control de
temperatura y humedad, suministro de energía
ininterrumpida).
PROTECCIÓN DE
INFRAESTRUCTURA VIRTUAL
En entornos virtualizados, la seguridad del
hipervisor es primordial, ya que un compromiso
del hipervisor podría afectar a todas las
máquinas virtuales (VMs) que gestiona. La
segmentación de redes virtuales es crucial para
aislar cargas de trabajo y limitar la
propagación de amenazas en caso de un
compromiso.
PROTECCIÓN DE INFRAESTRUCTURA EN LA NUBE
La seguridad en la nube introduce
consideraciones únicas, principalmente
debido al modelo de responsabilidad
compartida entre el proveedor de
servicios en la nube (CSP) y el cliente.
 PRINCIPIOS CLAVE PARA LA SEGURIDAD EN LA
NUBE SEGÚN NIST

Enfoque Sistémico Marco de Controles de

de la Seguridad en Seguridad Basado Seguridad
la Nube en Riesgos Consistentes y
Coherentes

Arquitectura de Gestión Avanzada Cifrado de Datos

Confianza Cero de Identidades y en Reposo y en
(Zero Trust Accesos (IAM) Tránsito
Architecture - ZTA)
PRINCIPIOS CLAVE DE NIST SP 800-53 PARA
DISEÑO DE INFRAESTRUCTURA SEGURA
Familia de Control (ID y Nombre) Propósito Principal Ejemplos de Aplicación (Física, Virtual, Nube)
AC - Control de Acceso Limitar el acceso a sistemas e información a Física: Cerraduras, tarjetas de acceso, guardias.
usuarios autorizados y procesos. Virtual: Controles de acceso al hipervisor,
segmentación de red virtual. Nube: Políticas de
IAM, grupos de seguridad, roles de servicio.
CM - Gestión de la Configuración Establecer y mantener líneas base de Física: Configuración segura de routers/firewalls
configuración seguras para los sistemas. físicos. Virtual: Plantillas de VM endurecidas,
gestión de configuración de hipervisores. Nube:
Infraestructura como Código (IaC) con
configuraciones seguras, servicios de gestión de
configuración en la nube (ej. AWS Config).
CP - Planificación de Contingencias Asegurar la capacidad de reanudar operaciones Física: Planes de recuperación de desastres para
críticas tras una interrupción. centros de datos, generadores de respaldo.
Virtual: Replicación de VMs, snapshots. Nube:
Servicios de respaldo y recuperación en la nube,
despliegues multi-región/multi-zona, planes de
recuperación de desastres basados en la nube.
PE - Protección Física y Ambiental Proteger los sistemas de información, monitores y Física: Seguridad perimetral del centro de datos,
medios de almacenamiento contra amenazas control de temperatura/humedad, sistemas de
físicas y ambientales. supresión de incendios. Virtual: (Indirecto)
Seguridad del hardware subyacente. Nube:
(Responsabilidad del CSP para IaaS/PaaS) Centros
de datos seguros del proveedor.
CONT. PRINCIPIOS CLAVE DE NIST SP 800-53
PARA DISEÑO DE INFRAESTRUCTURA SEGURA
Familia de Control (ID y Nombre) Propósito Principal Ejemplos de Aplicación (Física, Virtual, Nube)
SC - Protección de Sistemas y Comunicaciones Monitorear, controlar y proteger las comunicaciones en Física: Firewalls perimetrales, IDS/IPS físicos. Virtual:
los límites clave del sistema y dentro de ellos. Firewalls virtuales, microsegmentación. Nube: Grupos de
seguridad/NSG, WAF, Gateways de tránsito, cifrado TLS
para datos en tránsito, protección DDoS.

SI - Integridad del Sistema y la Información Identificar, informar y corregir fallos del sistema; proteger Física: Antivirus en servidores físicos, HIDS. Virtual:
contra código malicioso; monitorear alertas de seguridad. Escaneo de vulnerabilidades de VMs, monitoreo de
integridad de archivos en VMs. Nube: Servicios de
detección de malware en la nube, escaneo de
vulnerabilidades de contenedores e instancias, monitoreo
de integridad de servicios en la nube.

IR - Respuesta a Incidentes Establecer una capacidad operativa de manejo de Física: Procedimientos para responder a brechas de
incidentes. seguridad física. Virtual: Procedimientos para aislar VMs
comprometidas. Nube: Playbooks de respuesta a
incidentes para entornos de nube, aprovechando la
automatización y los servicios nativos para la contención y
erradicación.

SC - Protección de Sistemas y Comunicaciones Monitorear, controlar y proteger las comunicaciones en Física: Firewalls perimetrales, IDS/IPS físicos. Virtual:
los límites clave del sistema y dentro de ellos. Firewalls virtuales, microsegmentación. Nube: Grupos de
seguridad/NSG, WAF, Gateways de tránsito, cifrado TLS
para datos en tránsito, protección DDoS.
 DISPONIBILIDAD
se define como la habilidad de los sistemas y servicios para
funcionar correctamente y ser accesibles cuando los usuarios
autorizados los necesitan.20 Generalmente se mide como un
porcentaje del tiempo total (ej. 99.999% de disponibilidad) o
mediante métricas de tiempo de actividad (uptime).
 ELEMENTOS CLAVE PARA LA DISPONIBILIDAD

Balanceo de Clusters de
Redundancia Carga (Load Failover para
Balancing) Recuperación
Automática

Arquitecturas Replicación de
Distribuidas en la Bases de Datos
Nube para Continuidad
Operativa
 CONTINUIDAD DEL SERVICIO
A menudo abordada dentro del marco de ITIL (Information Technology Infrastructure Library) a
través de la Gestión de la Continuidad del Servicio de TI (ITSCM), se enfoca en asegurar que la
infraestructura y los servicios de TI puedan recuperarse y continuar operando después de un
incidente grave o un desastre.
ELEMENTOS CLAVE PARA LA CONTINUIDAD DEL
NEGOCIO
Análisis de Impacto en el Negocio (BIA)

Evaluación de Riesgos

Planes de Continuidad y Recuperación ante Desastres (DRP)

Pruebas y Simulacros Regulares

Estrategias de Recuperación de Datos

SEGURIDAD EN REDES, SERVIDORES,
ALMACENAMIENTO Y ENDPOINTS
La seguridad de los componentes individuales de la
infraestructura —redes, servidores, sistemas de
almacenamiento y dispositivos de punto final (endpoints)— es
la base sobre la cual se construye una postura de seguridad
general robusta.
SEGURIDAD DE RED
Firewalls de Próxima Generación (NGFW)

Sistemas de Detección y Prevención de Intrusos

(IDS/IPS)
Segmentación de Red
La seguridad de la red se enfoca en
Seguridad del Sistema de Nombres de Dominio
proteger la infraestructura de (DNS)
comunicaciones de la organización. Redes Privadas Virtuales (VPNs)

Protección contra Ataques DoS/DDoS

Monitoreo Continuo del Tráfico de Red (NSM)

SEGURIDAD DE SERVIDORES
Hardening del Sistema Operativo y
Aplicaciones
Gestión de Parches y
Vulnerabilidades
Los servidores, ya sean físicos o virtuales,
que alojan aplicaciones y datos críticos, Controles de Acceso Robustos (IAM
son objetivos de alto valor para los y Mínimo Privilegio)
atacantes.
Antimalware y Detección y
Respuesta en Endpoints (EDR)
Gestión de Logs y Auditoría de
Servidores
SEGURIDAD DE ALMACENAMIENTO
Cifrado de Datos en Reposo

Controles de Acceso a Datos

Los sistemas de almacenamiento, donde Almacenados
reside la información crítica de la
organización Seguridad en Redes de
Almacenamiento (SAN/NAS)
Planes de Respaldo y
Recuperación de Datos
SEGURIDAD DE ENDPOINTS
Plataformas de Protección de
Endpoints (EPP) y EDR
Configuración Segura de Endpoints
Los endpoints, que incluyen computadoras (Baseline de Seguridad)
de escritorio, laptops, dispositivos móviles Gestión de Dispositivos Móviles
y otros dispositivos conectados a la red, (MDM/EMM)
son a menudo el eslabón más débil en la
cadena de seguridad. Cifrado de Disco Completo en
Endpoints
Políticas de Uso Aceptable y
Concienciación del Usuario
 GESTIÓN SEGURA DE LA
CONFIGURACIÓN
La gestión segura de la configuración (SecCM) es un proceso
fundamental dentro de SecOps, orientado a establecer y
mantener el estado deseado de los sistemas de información
de una organización para garantizar su seguridad,
integridad y disponibilidad
 IMPORTANCIA DEL CONTROL DE
CONFIGURACIONES PARA PREVENIR BRECHAS
•Las configuraciones incorrectas causan más del 25% de las brechas de seguridad (DBIR
2025).
•La gestión de configuraciones con enfoque en seguridad (SecCM) ayuda a minimizar riesgos
y mantener sistemas seguros.
•Marcos como NIST SP 800-128 y COBIT 5 (BAI09 y BAI10) refuerzan su importancia para el
cumplimiento y la gobernanza de TI.
•La deriva de configuración es un riesgo constante en entornos modernos (DevOps, nube).
•Se requiere monitorización continua y remediación automatizada para evitar desviaciones
inseguras.
USO DE HERRAMIENTAS DE
AUTOMATIZACIÓN (IAC) PARA APLICAR
CONFIGURACIONES SEGURAS
La gestión manual de configuraciones en
entornos de TI complejos y a gran escala
es propensa a errores, inconsistencias y
resulta ineficiente. La automatización,
especialmente a través de enfoques
como la Infraestructura como Código
(IaC), se ha convertido en una necesidad
para aplicar y mantener configuraciones
seguras de manera efectiva.
INFRASTRUCTURE AS CODE (IAC)

Gestiona y aprovisiona infraestructura TI mediante archivos

de configuración automatizados.

Reemplaza la configuración manual por definiciones legibles

por máquina (código).

Facilita la automatización, reproducibilidad y escalabilidad

de entornos.

Herramientas comunes: Terraform, Ansible, AWS

CloudFormation, Azure Resource Manager, Google Cloud
Deployment Manager.
 VENTAJAS

Consistencia y Repetibilidad: Aplicación uniforme de

configuraciones, eliminando errores manuales.
Velocidad y Eficiencia: Aprovisionamiento y configuración
automatizados y rápidos.
Control de Versiones: Uso de Git para seguimiento,
colaboración y reversión de cambios.
Pruebas Automatizadas: Validación continua de
configuraciones en pipelines CI/CD para mayor seguridad y
calidad.
 MEJORES PRÁCTICAS DE SEGURIDAD PARA IAC I

Tratar IaC como Código de Aplicación: Control de versiones, revisiones y pruebas automatizadas.
Gestión Segura de Secretos: No hardcodear credenciales; usar gestores como Vault o AWS Secrets Manager.
Escaneo de Seguridad Automatizado: Integrar herramientas SAST para detectar vulnerabilidades antes del
despliegue.
Principio de Mínimo Privilegio: Otorgar sólo los permisos estrictamente necesarios a herramientas y recursos.
Política como Código (PaC): Definir y aplicar políticas de seguridad programáticamente para prevenir
configuraciones inseguras.
Monitorización Continua: Detectar y corregir desviaciones de configuración tras el despliegue con herramientas
especializadas.
REVISIÓN DE CAMBIOS (ITIL CHANGE
ENABLEMENT/MANAGEMENT)
ITIL, un marco de mejores
prácticas ampliamente adoptado
para la gestión de servicios de TI
(ITSM), proporciona un proceso
estructurado para la gestión de
cambios (anteriormente conocido
como "Gestión de Cambios",
ahora a menudo denominado
"Habilitación de Cambios" o
"Control de Cambios" en ITIL 4).
 PROCESO DE GESTIÓN DE CAMBIOS (CHANGE
MANAGEMENT)
•Solicitud de Cambio (RFC): Documento formal que describe el cambio,
su justificación y su impacto.
•Planificación y Evaluación: Análisis de riesgos, beneficios y recursos
necesarios.
•Aprobación: Revisión y aprobación por el Change Advisory Board
(CAB).
•Implementación: Ejecución del cambio, incluyendo pruebas previas si
es necesario.
•Revisión Post-Implementación (PIR): Evaluación del resultado y
documentación de lecciones aprendidas.
MÉTODOS PARA DETECTARATAQUES
EN TIEMPO REAL
 SECURITY OPERATION CENTER
(SOC)

Incrementar la capacidad de vigilancia y

detección de amenazas.
Analizar los ataques o posibles amenazas.
Recuperar información perdida o dañada
que una empresa haya podido tener por
consecuencia de dichos ataques.
Mejorar la capacidad de respuesta ante
cualquier ataque.
 INDICADORES DE
COMPROMISO
(IOC)
Es un dato que surge producto de
cierta actividad en nuestro
sistema y que nos aporta
información sobre el
comportamiento, característica o
descripción de una amenaza.
¿CUALES SERIAN LOS INDICADORES DE
COMPROMISO (IOC)?
Utilizacion de Utilizacion de Utilizacion de Nuevos
CPU Memoria Disco Duro Puertos
Abiertos

Nuevos Nuevos Eventos en el Eventos en el

programas Procesos SIEM Firewall
Instalados

Eventos en el Cambios en
Antivirus el Registro
CONFIGURAR CORRECTAMENTE EL
SIEM
Alertas o Eventos

Reportes

Acciones automaticas

Fuentes de informacion
MEJORES PRÁCTICAS DE
SEGURIDAD PARA LAS
ORGANIZACIONES
MANTENER EL
SOFTWARE
ACTUALIZADO
 Cumplir con la caducidad

ENFORZAR UNA Establecer la longitud

POLÍTICA DE
CONTRASEÑAS Bloquear contraseñas comunes
SEGURAS
Establecer la complejidad de
contraseñas
 Enviar campañas de phishing
TENER UN
PROGRAMA
EDUCACIÓN EN
CIBERSEGURIDAD
Desarrollo de políticas educación
continua
 ¿Qué tipo de copia de
seguridad se utilizará?
TENER UNA
POLÍTICA DE ¿Dónde se almacenará?
ELABORACIÓN
¿Quiénes serán los
DE COPIAS DE responsables?
SEGURIDAD
¿Cada que tiempo se ejecutara?
 Ubicación Geográfica
IMPLEMENTAR
MFA O
AUTENTIFICACIÓN Nivel de riesgo
BASADA EN
CONTEXTO Dispositivos desde el
cual se inicia sesión
 Realizar un análisis de impacto
empresarial (BIA)

Realizar una evaluación de

riesgos
TENE R UN–
RISK BASE D APPROACH
Identificar e implementar los
controles necesarios

Probar, validar e informar

MEJORES PRÁCTICAS
DE HIGIENE DE
CIBERSEGURIDAD
 Las contraseñas complejas pero simples
pueden pueden prevenir muchas

CAMBIOS DE
actividades maliciosas y proteger la
seguridad cibernética.

CONTRASEÑA
Ejemplos: PlanconQues0Futuro234
 Actualizar el software que usa, o tal vez
ACTUALIZACIONES obtener mejores versiones, debería ser
parte de nuestras actividades regulares.
DE SOFTWARE
ACTUALIZACIONES Es posible que sea necesario actualizar las
computadoras y los teléfonos inteligentes
DE HARDWARE más antiguos para mantener el rendimiento
y evitar problemas.
 Cada nueva instalación debe realizarse
GESTIONAR NUEVAS correctamente y documentarse para
mantener un inventario actualizado de todo
INSTALACIONES el hardware y software.
 Solo aquellos que necesitan acceso de nivel
LIMITAR de administrador a los programas deben
tener acceso. Otros usuarios deberían
USUARIOS tener capacidades limitadas.
 COPIA DE Todos los datos deben guardarse en una
fuente secundaria (es decir, disco duro,
SEGURIDAD DE almacenamiento en la nube).
Esto garantizará su seguridad en caso
DATOS de incumplimiento o mal funcionamiento.
EMPLEAR UN Las empresas pueden querer revisar e
implementar un sistema más
MARCO DE avanzado (por ejemplo, el marco NIST)
para garantizar la seguridad.
SEGURIDAD
CIBERNÉTICA
 Contraseñas débiles y reutilizadas.
Phishing e Ingeniería Social: Engaños para
robar credenciales o instalar malware.

ERRORES COMUNES Y Mala configuración de sistemas y servicios:

Puertos abiertos, permisos excesivos,
AMENAZAS REALES buckets S3 públicos.
Falta de segmentación de red.
Software desactualizado (falta de parches).
 ● Escenario 1: Ransomware vía Phishing:
○ Empleado cae en phishing -> Credenciales
robadas -> Acceso a red -> Ransomware.
○ Consecuencia: Operaciones paralizadas,
extorsión.
● Escenario 2: Fuga de Datos por Mala
Configuración Cloud:
ERRORES COMUNES Y ○ Base de datos en la nube mal configurada
(acceso público).
Consecuencia: Exposición de datos sensibles,
AMENAZAS REALES
○
multas.
● Escenario 3: Ataque a la Cadena de
Suministro (Ej. SolarWinds):
○ Proveedor de software comprometido ->
Actualización maliciosa -> Infección de
clientes.
○ Consecuencia: Compromiso masivo.
AUDITORÍA Y MEJORA CONTINUA DE LA
SEGURIDAD OPERATIVA
La auditoría y la mejora continua son
procesos cíclicos e interdependientes que
permiten a una organización evaluar la
eficacia de sus operaciones de
seguridad, identificar deficiencias y
áreas de mejora, y fortalecer
progresivamente su postura de
seguridad
 The Institute of Internal Auditors (IIA):
• Publicó el Cybersecurity Topical Requirement y los
Global Internal Audit Standards (GIAS) vigentes
desde 2025.
MARCOS Y • Enfoque basado en riesgos, alineación con
objetivos de negocio e integración tecnológica.
ESTÁNDARES DE ISACA:
AUDITORÍA EN • Provee certificaciones, guías y programas para
auditorías en aseguramiento, gobernanza, riesgo
CIBERSEGURIDAD y ciberseguridad.
• Alineación con marcos como NIST CSF 2.0 y CIS
Controls.
• Cobertura de áreas específicas: Gestión de
Identidades, seguridad VPN, continuidad del
negocio y tecnologías emergentes.
ENFOQUE BASADO EN RIESGOS EN LA AUDITORÍA
•Los estándares modernos (ej. GIAS del IIA) promueven que la auditoría interna se
centre en los riesgos más significativos para la organización.
•La planificación y ejecución de auditorías deben alinearse con la gobernanza y
gestión de riesgos empresariales.
•Se priorizan áreas con mayor impacto potencial, evitando una revisión uniforme que
diluya recursos.
 1. Planificación y Preparación: 2. Ejecución:
• Definir alcance y objetivos. • Reunión de apertura para alinear
• Reunir documentación relevante. expectativas.
• Formar equipo con habilidades • Trabajo de campo: revisión

PROCESO adecuadas.
• Coordinar cronograma con las áreas
auditadas.
documental, entrevistas, observación y
pruebas de controles.
• Análisis técnico según sea necesario

GENERAL DE (escaneos, logs).

AUDITORÍA 3. Elaboración de Informes: 4. Seguimiento:

INTERNA • Analizar hallazgos y riesgos

identificados.
• Reunión de cierre para validar
• Área auditada desarrolla plan
correctivo.
• Auditoría interna verifica la
hallazgos con la dirección. implementación de acciones.
• Emitir informe con recomendaciones.
TENDENCIAS Y EVOLUCIÓN DE SECOPS
Automatización y Orquestación con SOAR
•Contexto:
La creciente complejidad y volumen de alertas obligan a los equipos de SecOps a adoptar
plataformas SOAR (Security Orchestration, Automation, and Response) para mejorar eficiencia y
rapidez.
•¿Qué es SOAR?
Plataforma que combina:
• Orquestación de seguridad (integración de herramientas y flujos)
• Automatización de tareas repetitivas (enriquecimiento, bloqueo, etc.)
• Gestión de respuesta a incidentes

•Beneficios clave:
• Mitiga la escasez de personal cualificado.
• Maneja gran volumen de alertas con mayor eficiencia.
• Integra herramientas dispares (SIEM, EDR, firewalls, TIP, etc.).
• Reduce tiempos de detección y respuesta (MTTD, MTTR).
TENDENCIAS Y EVOLUCIÓN DE SECOPS
Rol de la Inteligencia Artificial (IA) y Machine Learning (ML)
•Importancia creciente:
El volumen y velocidad de datos de seguridad superan la capacidad humana, haciendo
indispensable IA/ML para detección proactiva.
•Funciones principales de IA/ML en SecOps:
• Análisis masivo de datos (logs, tráfico, comportamiento endpoints).
• Detección de patrones sutiles y anomalías (zero-day, amenazas desconocidas).
• Transformar SecOps en un proceso adaptativo y continuo.

•Aplicaciones específicas:
• Reducción de falsos positivos con modelos que aprenden del comportamiento.
• Potenciar SOAR con decisiones automatizadas y contextuales.
• Priorización inteligente de alertas según impacto potencial.
• UEBA: Análisis del comportamiento de usuarios y entidades para detectar amenazas internas o cuentas
comprometidas.
• Threat Hunting asistido por IA para identificar y analizar pistas sutiles.