La Red Nacional de SOC, un joven éxito español que copian en Europa

El Centro Criptográfico Nacional (CCN) ya contabiliza 137 Centros de Operaciones de Ciberseguridad (SOC) españoles integrados en la Red Nacional. A raíz de su puesta en marcha y arranque de actividad, a punto de cumplir ya un año, ha proliferado la creación de SOC y la demanda de implantación de los mismos a través de proveedores, ante la escasa capacidad de las instituciones, públicas o privadas, carentes de equipos especializados de TI para organizar servicios de esa magnitud técnica.

El despliegue de las RNS nacionales, como la española, actúan como nexo entre los SOC europeos, precisamente para cumplir la Estrategia de Ciberseguridad para la Década Digital de la UE (2020), que señala la necesidad de crear una red europea de SOC, basada en inteligencia artificial (IA), que permita mejorar la detección de ciberamenazas. La idea, según indican desde el CCN, era articular la colaboración y el intercambio de información ágil y efectivo entre todos los SOC de las distintas Administraciones Públicas (AGE, Comunidades Autónomas y Entidades Locales) para mejorar, de esta forma, las capacidades nacionales de defensa, detección y respuesta a posibles ciberincidentes.

Y en eso están, un año después, tal y como nos cuentan sus técnicos cuando les hemos preguntado cómo se está desarrollando la experiencia. La iniciativa arrancó con un proyecto piloto “en el que contamos con la participación por parte del sector público, además del CCN, de la Secretaría General de Administración Digital (SGAD), de la Comunidad Autónoma de la Región de Murcia, del Gobierno de Canarias, del Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-CV), de Enusa Industrias Avanzadas y Radio Televisión Española; y, por parte del sector privado, de las empresas Accenture, CSA, Entelgy Innotec Security, Intec, Sothis y S2Grupo”, nos explican los responsables del organismo del Ministerio de Defensa.

Éxito de la iniciativa RNS

Están contentos, y no es de extrañar, porque tal y como aseguran, “el crecimiento de la RNS, en apenas un año, ha sido impresionante. La clave: la convicción de la necesidad de intercambiar información sobre ciberamenazas en tiempo real con la finalidad de parar el golpe antes de que se produzca el incidente”.

Esa colaboración e intercambio la confirma Juan Ramón Alfageme, Jefe de Servicio de Redes y Ciberseguridad en Alhambra IT y  responsable de la marca de la multinacional especializada en ciberseguridad y SOC, OneseQ. Alfageme recuerda cómo en el mundillo profesional vieron que el proyecto RNS se empezó a gestar a finales de 2021 y se hizo realidad: “Está operativo desde mediados de este año 2022. Lo forman empresas que prestan servicios gestionados de ciberseguridad, colaborando en la operación de SOC para organismos públicos, así como por organismos públicos que disponen de su propio SOC”, nos dice.

Este responsable de una proveedora privada destaca también lo extraordinario del esfuerzo conjunto de administradores y empresas. “Este esfuerzo lo realizan organizaciones de todo tipo; el requisito común es operar o disponer de un SOC que dé servicio a entidades de la administración pública, bien sea uno propio de dicha entidad, bien sea  gestionado por un proveedor externo, como sería nuestro caso en OneseQ”.

Ante la falta de profesionales de la ciberseguridad en las administraciones públicas no se ha dudado y “se han incorporado empresas privadas con el objetivo principal de coordinar una respuesta única a las ciber amenazas”.  De este modo, el esfuerzo de detectar y responder a ataques que haga un SOC pueda servir al resto a actuar más rápidamente”, según explica Alfageme.

Desde OneseQ nos confirma que el objetivo de la red se cumple con la incorporación de proveedores privados. “Se consigue aumentar la capacidad de todos los integrantes. Como es un entorno en el que hay mucha más demanda de personal especializado que oferta disponible, toda mejora para reducir esta limitación es crítica”.

Efecto llamada de la iniciativa y los fondos

Ante la rapidez con la que los primeros organismos se lanzaron a formar parte de la red, multitud de organizaciones públicas han iniciado en el último año procesos de implantación de Centros de Operaciones de Ciberseguridad. “Desde el CCN asesoramos a todos los organismos que lo solicitan, como Comunidades Autónomas (Illes Balears, Canarias, Andalucía, Madrid…), Diputaciones (como León, Huesca, Cabildo de Tenerife, Consell de Ibiza), y a multitud de entidades locales”.

Los especialistas del CCN entienden que al efecto llamada en estos momentos también contribuye en gran parte la financiación adicional que han supuesto los Fondos de Recuperación y Resiliencia, gracia a los cuales tantas administraciones públicas “están iniciando el despliegue de SOC y solicitarán su acceso una vez finalicen este proceso. La RNS continuará creciendo, estamos convencidos”.

Las bondades de la pertenencia a una red de tamañas dimensiones puede parecer a ojos de los expertos en ciberseguridad no sólo atractivo, si no práctico, seguro, prestigioso… sin embargo el mayor reto que los expertos del CCN se han encontrado es esa vieja reticencia a contar que se ha sufrido una vulnerabilidad o ataque; como si se vieran por ello señalados o temieran compartir secretos de Estado. “El mayor reto ha sido convencer a los organismos a compartir información. Es algo extraño, pero en este mundo de ciberseguridad, hay una creencia que cuanto menos se sepa sobre la seguridad informática, es mejor”, explican.

Reconocen que “muchos organismos, tanto públicos como privados, eran escépticos a la hora de crear ese escudo en base a compartir la información de alerta. El aumento de ciberataques, la profesionalización de los atacantes y la globalización de los mismos nos han ayudado a terminar de convencer de la necesidad de estar coordinados bajo la RNS y de que yendo ‘solos’ las perspectivas de éxito son menores”.

Desde las empresas privadas tienen una visión similar. El experto de OneseQ coincide en que la red permite, por un lado, aprovechar mucho mejor la capacidad conjunta y el talento nacional, por otro, da una visión mucho más amplia y profunda de lo que está ocurriendo. “Ningún SOC de forma individual tiene una visibilidad completa, pero al unir los datos de todas las organizaciones que colaboramos, la detección y respuesta de todos los participantes mejora en gran medida”.

Logro nacional y referencia europea

Comprobado que la unión hace la fuerza también en materia de ciberseguridad, el organismo de defensa saca pecho de su mayor logro en menos de un año: disponer a nivel nacional de un mecanismo de coordinación de los SOC que operan en España y haber establecido un canal de comunicación en tiempo real entre todos los integrantes para intercambiar información sobre detección de ciberamenazas o sobre comportamientos sospechosos detectados.

“Habíamos visto y somos conscientes de iniciativas mundiales y europeas de intercambio de información, —analizan— pero no son tan específicas sobre ‘intento de agresión ciber’ como lo que estamos haciendo. Son más genéricas, menos enfocadas a una red de alerta. El haber conseguido que un número elevado de Proveedores de Servicios de Seguridad intercambien este tipo de información es para nosotros el gran logro. No olvidemos que ellos están compitiendo en el mercado”. 

Y otro motivo para sentirnos orgullosos: “A nivel europeo, la Comisión se ha fijado en nuestro modelo y nos sigue muy de cerca con idea de replicarlo a ese nivel”. Así que nos aseguran que España es el país más avanzado en iniciativas de este tipo. Ningún país, por el momento, dispone de una red que se encuentre operativa y en funcionamiento al nivel de la Red Nacional de SOC, “y hay países que nos están consultando para imitar el modelo de funcionamiento de nuestra RNS. Podemos decir que somos pioneros en esta iniciativa y una referencia para otros países de la Unión Europea”.

No pueden especificar casos concretos, pero ya cuentan con algunos éxitos en cuanto a detención y alerta temprana de amenazas. Lo que sí pueden confirmar es que gracias a la RNS “se ha compartido información muy relevante para proteger a organismos de ciberamenazas activas. Hasta el momento, según nuestros datos, ninguna de las administraciones bajo la cobertura de la RNS ha sufrido un ciberataque crítico”, nos aseguran desde el CCN.

Todos los países están en los primeros estadios de este proyecto global, asegura Alfageme, porque “en cuanto a SOC establecidos en España, creo que podemos sentirnos orgullosos de estar a la cabeza; hasta donde tengo conocimiento tenemos más SOC establecidos que cualquier otro país de la Europa con bastante diferencia”.

La coordinación de la RNS es un proyecto nacional y “el CCN por su lado, en principio, es quien coordina también con Europa. Por otro lado, muchos SOC pertenecemos a otras organizaciones que sí tienen lazos con SOC a lo largo de todo el globo, como FIRST o Trusted Introducer”, nos indican desde Alhambra IT. Así que no hay duda: la información fluye como es debido, y España está a la cabeza en organización coordinada e informativamente activa y eficaz.

La escasez de especialistas y de talento

Según nos indican los analistas expertos en ciberseguridad de la consultora Deloitte, los Centros de Operaciones de Seguridad se encargan de realizar un seguimiento y analizar la actividad en redes, servidores, puntos finales, bases de datos, aplicaciones, sitios web y otros sistemas, buscando actividades anómalas que puedan ser indicativas de un incidente o compromiso de seguridad. Un SOC es responsable de garantizar que los posibles incidentes de seguridad se identifiquen, analicen, defiendan, investiguen e informen correctamente. La finalidad de un SOC es prestar servicios horizontales en el ámbito de la ciberseguridad.

Para conseguir estos objetivos, un SOC se divide por niveles en función del grado de especialización de los analistas que lo conforman:

• En el nivel 1, se encuentran los analistas de alertas, que monitorizan continuamente las alertas que recibe el SOC. Los analistas evalúan estas alertas de seguridad y, si alcanzan el umbral predefinido según la política del SOC, se escalan al nivel 2.
• Los analistas de nivel 2 determinan si los datos o el sistema se han visto afectados y, de ser así, recomendarán una respuesta.
• Por último, el nivel 3 está compuesto por profesionales altamente capacitados, que se encargan de resolver los incidentes, pero también de buscar posibles incidentes con el fin de prevenirlos.

A diferencia de un departamento de TI tradicional, el personal de un SOC incluye, principalmente, un equipo de analistas y técnicos de ciberseguridad altamente experimentados y especializados, que deben compartir una base común. “Ello beneficia al SOC y, por consiguiente, a la organización, ya que es de gran utilidad que los analistas tengan perfiles provenientes de diferentes disciplinas, por ejemplo: matemáticas, ingenieros informáticos, ingenieros de telecomunicaciones, etc”, afirman los especialistas de Deloitte.

Pues este  es el otro importantísimo problema que la red española tiene que vencer. Además de superar las reticencias a compartir la información sobre ataques y amenazas, el otro gran escollo es la delgadez del mercado de talento en España. Según Juan Ramón Alfageme, “la capacidad y disponibilidad de personal especializado es un gran reto. Herramientas tecnológicas hay muchas, y los ataques son continuos por unas u otras razones, pero los perfiles de expertos en ciberseguridad tienen que tener conocimientos altos y transversales de muchas áreas. Esto es algo que solo se consigue cuando se unen talento, experiencia y formación continua a largo plazo”.

En OneseQ protegen a organizaciones de todo tipo. Alfajeme aclara que ya no se puede dar servicio sin pertenecer a la red. “Estos servicios cada vez están más demandados a nivel privado, es decir, a terceros, desde sectores públicos que trabajan en el campo de la logística, educación, banca, transporte, servicios, alimentación, etc. Y es que todo apunta a que el hecho de formar parte de la RNS va a ser un requisito indispensable para ser proveedores de servicios SOC. Sin esta condición, no se va a poder ofrecer su producto de gestión con las garantías necesarias a los organismos públicos; la ciberseguridad es algo que nos afecta a todos en nuestro día a día como ciudadanos”.

Hagamos cuentas: la red, las proliferación de SOC y de amenazas y ataques. Está claro. Hace falta gente, especialistas y talento. Como expertos, desde el Centro Criptológico Nacional entienden que las organizaciones, a la hora de plantearse el reto de poner a funcionar un SOC y desplegar estos centros “priorizan la compra tecnología hardware y software, pero es importante trasladar que de nada sirve dicha tecnología si no hay un experto analizando la información que aporta. Solo la combinación de tecnología y personal puede evitar la materialización un ciberataque”.

Así que insisten en recalcar que “el principal componente de los SOC son las personas. Sin personal dedicado, un SOC no funciona”.