Módulo 2: Combatientes en la

guerra contra el cibercrimen

CyberOps Associate v1.0

Objetivos del módulo
Título del módulo: Combatientes en guerra contra el cibercrimen.

Objetivos de módulo: Explicar cómo prepararse para una carrera de operaciones en

ciberseguridad.

Título del tema Objetivo del tema

El Moderno Centro de Operaciones de

Explicar la misión del Centro de Operaciones de Seguridad (SOC)
Seguridad

Describir los recursos disponibles para prepararse para una carrera en

Convertirse en un defensor
operaciones de ciberseguridad.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 2
2.1 El centro de operaciones de
seguridad moderno

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 3
Combatientes en guerra contra el cibercrimen
Elementos del SOC
• Para utilizar un enfoque formalizado, estructurado y
disciplinado para defenderse de las amenazas
cibernéticas, las organizaciones suelen utilizar los
servicios de profesionales de un Centro de
operaciones de seguridad (SOC).
• Los SOC ofrecen una amplia gama de servicios,
desde monitoreo y administración hasta
soluciones integrales contra amenazas y seguridad
en host.
• Los SOC pueden ser totalmente internos (una
empresa puede ser propietaria e implementarlos) o
es posible adquirir los elementos de un SOC a
proveedores de seguridad, como los Servicios de
seguridad administrados de Cisco.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 4
Combatientes en guerra contra el cibercrimen
Personas en el SOC
Los SOC asignan roles de trabajo por niveles, de acuerdo con la experiencia y las
responsabilidades requeridas para cada uno.

Niveles Responsabilidades
Nivel 1 Analizador de Monitorean alertas entrantes, verifican que realmente haya ocurrido un
Alertas  incidente y reenvían los informes a la Nivel 2 si es necesario.
Nivel 2: Encargado de Responsable de una investigación más profunda de los incidentes y
respuesta ante incidentes recomendar un remedio o acción a ser tomada
Nivel 3 Cazador de Expertos en redes, end point, inteligencia de amenazas, ingeniería
Amenazas inversa de malware y seguimiento de los procesos del malware para
determinar su impacto y cómo se puede eliminar. También están
profundamente involucrados en la búsqueda de posibles amenazas y la
implementación de herramientas de detección de amenazas. El cazador
de amenazas busca ciberamenazas que están presentes en la red pero
no han sido detectadas aún
Gerente de SOC Gestiona todos los recursos del SOC y sirve como el punto de contacto
para la organización o el cliente más grande.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 5
Combatientes en guerra contra el cibercrimen
Personas en el SOC
• Trabajos de nivel uno son más
de nivel de entrada, mientras
que los trabajos de nivel tres
requieren extensa experiencia.
• La figura del instituto SANS
representa gráficamente cómo
interactúan entre sí estos roles.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 6
Combatientes en guerra contra el cibercrimen
Proceso en el SOC
• Se requiere un analista de ciberseguridad para monitorear las
colas de alertas de seguridad e investigar las alertas
asignadas. Un sistema de tickets es usado para asignar estas
alertas a la cola del analista.
• El software que genera las alertas puede activar falsas
alarmas. Por lo tanto, el analista debe comprobar si la alerta
representa un incidente de seguridad verdadero.
• Cuando la verificación está establecida, el incidente puede ser
reenviado a investigadores u otro personal de seguridad sobre
el que actuar. De otra forma, la alerta se descarta como falsa
alarma.
• Si un ticket no puede ser resuelto, el analista de ciberseguridad
reenvía el ticket del incidente al nivel 2 para una investigación
más profunda y una solución.
• Si el nivel 2 no puede resolver el incidente, se lo reenvía a un
personal de Nivel 3.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 7
 Combatientes en guerra contra el cibercrimen
Tecnologías en el SOC: SIEM
• Un SOC necesita un sistema de
gestión de información de
seguridad y eventos
(SIEM) para comprender los datos
que generan los firewalls, los
dispositivos de red, los sistemas de
detección de intrusos y otros
dispositivos.
• Los sistemas SIEM recopilan y
filtran datos y detectan, clasifican,
analizan e investigan amenazas.
También pueden administrar
recursos para implementar medidas
preventivas y abordar amenazas
futuras.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 8
Combatientes en guerra contra el cibercrimen
Tecnologías en el SOC: SOAR
• SIEM y Security Orchestration, Automation
and Response (SOAR) a menudo se
combinan, ya que tienen capacidades que
se complementan entre sí.
• Los equipos de grandes operaciones de
seguridad (SecOps) utilizan ambas
tecnologías para optimizar su SOC.
• Las plataformas SOAR son similares a las
SIEMs a medida que agregan, correlacionan
y analizan alertas. Además, la tecnología
SOAR integra inteligencia sobre amenazas y
automatiza la investigación de incidentes y
los flujos de trabajo de respuesta según los
libros de jugadas desarrollados por el equipo
de seguridad. © 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 9
Combatientes en guerra contra el cibercrimen
Tecnologías en el SOC: SOAR
• Plataformas de seguridad SOAR:

• Reúne los datos de alarma de cada componente del sistema.

• Proporcionar herramientas que permitan investigar y evaluar los casos.
• Integración como un medio para automatizar los flujos de trabajo de respuesta a
incidentes complejos que permiten una respuesta más rápida y estrategias de defensa
adaptadas.
• Incluye guías predefinidas que permitan una respuesta automática a amenazas
específicas Los Playbooks se pueden iniciar automáticamente basado en reglas
definidas o pueden ser activados por el personal de seguridad.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 10
Combatientes en guerra contra el cibercrimen
Métricas SOC
• Ya sea interno de una organización o proporcionando servicios a múltiples organizaciones, es importante
comprender qué tan bien está funcionando el SOC, de modo que se puedan realizar mejoras en las
personas, los procesos y las tecnologías que componen el SOC.
• Se pueden diseñar muchas métricas o indicadores clave de rendimiento (KPI) para medir diferentes
aspectos del rendimiento del SOC. Sin embargo, los administradores de SOC suelen utilizar cinco
métricas como métricas de SOC.
Métrica Definición
Tiempo de El tiempo que los actores de amenazas tienen acceso a una red antes de ser detectados y su
permanencia acceso se detiene
Tiempo Medio para El tiempo medio que le toma al personal del SOC para identificar incidentes de seguridad
Detectar (Mean Time validos que han ocurrido en la red.
to Detect, MTTD)
Tiempo Medio para El tiempo medio que les toma detener y remediar el incidente de seguridad
Responder (Mean
Time to Respond,
MTTR)
Tiempo Medio para El tiempo que les toma detener el incidente de causar daño adicional a los sistemas o datos
Contener (Mean Time
to Contain, MTTC)
Tiempo de Control El tiempo que es requerido para detener el malware de esparcirse
© 2020 Cisco y/o susen laTodos
filiales. redlos derechos reservados.
Información confidencial de Cisco. 11
Combatientes en guerra contra el cibercrimen
Seguridad empresarial y gestionada
• Para redes medianas y grandes, la organización se beneficiará de la implementación de un
SOC de nivel empresarial, que es una solución interna completa.
• Las organizaciones más grandes pueden subcontratar al menos una parte de las
operaciones de SOC a un proveedor de soluciones de seguridad.
• Cisco ofrece un amplio rango de respuestas a incidentes, preparación y capacidades de
administración que incluyen:
• Servicio Cisco Smart Net Total Care para la resolución rápida de problemas
• Equipo de respuesta ante los incidentes de seguridad de los productos (PSIRT) de
Cisco
• Equipo de respuesta ante los incidentes de seguridad de las computadoras (CSIRT)
de Cisco
• Servicios administrados de Cisco
• Operaciones tácticas de Cisco (TacOps)
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

•
Información confidencial de Cisco. 12
Programa de seguridad física y de seguridad de Cisco
Combatientes en guerra contra el cibercrimen
Seguridad vs. Disponibilidad
• El personal de seguridad entiende que, para que la organización logre sus prioridades, debe
mantenerse la disponibilidad de la red.
• Cada empresa o industria tiene una tolerancia limitada al tiempo de inactividad de la red. Esa
tolerancia suele basarse en una comparación entre el costo del tiempo de inactividad y el
costo de protección contra el tiempo de inactividad. 
• La seguridad no puede ser demasiado fuerte que interfiera con las necesidades de los
empleados o las funciones del negocio El secreto es lograr siempre un equilibrio entre un
buen nivel de seguridad y la posibilidad de que la empresa funcione con eficacia.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 13
2.2 ¿Cómo convertirse en
defensor?

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 14
 ¿Cómo convertirse en defensor?
Certificaciones
• Una variedad de las certificaciones de ciberseguridad
que son relevantes para carreras en SOCs disponibles:
• Cisco Certified CyberOps  Associate
• Certificación CompTIA Cybersecurity Analyst
• Certificaciones de seguridad de la información (ISC)²
• Global Information Assurance Certification
(GIAC)
• Busque "certificaciones de ciberseguridad" en
internet para saber más sobre otras
certificaciones de proveedores y proveedores neutrales.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 15
¿Cómo convertirse en un defensor?
Más formación
• Grados: al considerar una carrera en el campo de la
seguridad cibernética, uno debería considerar seriamente
obtener un grado técnico o una licenciatura en ciencias de la
computación, ingeniería eléctrica, tecnología de la información
o seguridad de la información.
• Programación en python: La programación informática es
una habilidad esencial para cualquier persona que desee
seguir una carrera en ciberseguridad. Si nunca aprendió a
programar, Python es el primer lenguaje que debe aprender.
• Habilidades en Linux: Linux se usa ampliamente en SOC y
otros entornos de red y seguridad. Las habilidades en Linux
son una valiosa adición a su conjunto de habilidades mientras
trabaja para desarrollar una carrera en ciberseguridad.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 16
¿Cómo convertirse en un defensor?
Fuentes de información sobre trabajo
• Una variedad de sitios web y aplicaciones móviles
publicita trabajos de tecnología de la información. Cada
sitio está dirigido a diversos postulantes y proporciona
diferentes herramientas para que los candidatos
busquen su puesto de trabajo ideal.
• Muchos sitios son sitios de trabajo que recopilan
listados de otras bolsas de trabajo y sitios de carreras
de la empresa y los muestran en una sola ubicación.
• [Link]
• [Link]
• [Link]
• Glassdoor
• LinkedIn
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 17
 ¿Cómo convertirse en un defensor?
Adquisición de experiencia
• Pasantías: Las pasantías son un excelente método para entrar en el campo de la
ciberseguridad. A veces, las pasantías se convierten en una oferta de trabajo a
tiempo completo. Sin embargo, incluso una pasantía temporal le brinda la
oportunidad de adquirir experiencia en el funcionamiento interno de una
organización de ciberseguridad.
• Becas y premios: Para ayudar a cerrar la brecha en las habilidades de seguridad
, organizaciones como Cisco e INFOSEC
han introducido programas de becas y premios.
• Agencias temporales: muchas organizaciones utilizan agencias temporales para
cubrir puestos vacantes durante los primeros 90 días. Si el empleado es una buen
partido, la organización probablemente lo convierta en un empleado a tiempo
completo, en una posición permanente.
• Su primer trabajo: si no tiene experiencia en el campo de la seguridad
ciberseguridad, trabajar para un centro de atención telefónica o un servicio de
asistencia técnica puede ser el primer paso para obtener la experiencia que
necesita para avanzar en su carrera.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 18
¿Cómo convertirse en un defensor?
Práctica de laboratorio: ¿Cómo convertirse en un defensor?
En esta práctica de laboratorio, se investigará y analizará qué se necesita
para ser un defensor de la red.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 19
2.3 Resumen de Combatientes
en la guerra contra la
ciberdelincuencia

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 20
Combatientes en guerra contra el cibercrimen
¿Qué aprendí en este módulo?
• Los elementos principales del SOC incluyen personas, procesos y tecnologías.
• Los roles de trabajo incluyen un analista de alertas de nivel 1, personal de nivel 2, un
cazador de amenazas de nivel 3 y un administrador de SOC. 
• Un analista de nivel 1 supervisa los incidentes, abre tickets y realiza la mitigación básica de
amenazas.
• Los sistemas SEIM se utilizan para recopilar y filtrar datos, detectar y clasificar amenazas y
analizar e investigar amenazas.
• SOAR integra inteligencia sobre amenazas y automatiza la investigación de incidentes y los
flujos de trabajo de respuesta en función de los manuales desarrollados por el equipo de
seguridad.
• Los KPI están diseñados para medir diferentes aspectos del desempeño del SOC. Las
métricas comunes incluyen el tiempo de permanencia, el tiempo medio para detectar
(MTTD), el tiempo medio para responder (MTTR), el tiempo medio para contener (MTTC) y
el tiempo para controlar. © 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 21
Combatientes en guerra contra el cibercrimen
¿Qué aprendí en este módulo?
• Debe haber un equilibrio entre la seguridad y la disponibilidad de las redes. La seguridad
no puede ser tan fuerte que interfiera con los empleados o las funciones comerciales.
• Una variedad de certificaciones de ciberseguridad que son relevantes para carreras en
SOC están disponibles en diferentes organizaciones.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 22