Glosario de Ciberseguridad
SOC (Centro de Operaciones de Seguridad)
Equipo y plataforma dedicados a monitorizar, detectar y responder a incidentes de seguridad 24/7.
¿Qué es SOC (Centro de Operaciones de Seguridad)?
Un SOC (Security Operations Center) es la combinación de personas, procesos y tecnología dedicados a monitorizar, detectar, analizar y responder a incidentes de ciberseguridad de forma continua (idealmente 24/7). El SOC es el centro neurálgico de la postura de seguridad de una organización, donde analistas de seguridad investigan alertas, triagan incidentes, coordinan la respuesta y realizan threat hunting proactivo.
Un SOC moderno se apoya en herramientas como SIEM, SOAR (Security Orchestration, Automation and Response), EDR (Endpoint Detection and Response) e inteligencia de amenazas. Los SOC se organizan en niveles: Tier 1 (analistas que triajan alertas), Tier 2 (analistas que investigan incidentes) y Tier 3 (expertos en threat hunting y respuesta avanzada). Muchas pymes y empresas medianas optan por un SOC gestionado (MSSP/MDR) en lugar de montar uno propio.
¿Cómo funciona?
- 1
Monitorización 24/7 de alertas generadas por SIEM, firewalls, endpoints y herramientas de seguridad cloud.
- 2
Triaje de alertas: los analistas Tier 1 clasifican las alertas como falsos positivos, verdaderos positivos o requieren investigación.
- 3
Investigación de incidentes: los analistas Tier 2 analizan los verdaderos positivos, determinan el alcance y el impacto.
- 4
Respuesta a incidentes: contención (aislar sistemas afectados), erradicación (eliminar la amenaza) y recuperación.
- 5
Threat hunting proactivo: búsqueda activa de indicadores de compromiso (IOCs) y tácticas MITRE ATT&CK en la red.
- 6
Mejora continua: análisis post-incidente (lessons learned), actualización de reglas de detección y procedimientos.
Implementación en Fortinet
Fortinet proporciona las herramientas tecnológicas para construir un SOC eficiente: FortiAnalyzer como SIEM/SOAR para correlación y automatización, FortiGate como sensor de red principal, FortiEDR para detección y respuesta en endpoints, y FortiGuard Labs como fuente de inteligencia de amenazas. El Security Fabric integra todas estas herramientas en un ecosistema unificado que simplifica las operaciones del SOC.
Preguntas frecuentes
¿Necesita mi empresa un SOC propio?
Depende del tamaño y los requisitos regulatorios. Montar un SOC 24/7 requiere mínimo 8-12 analistas (para cubrir turnos) y herramientas como SIEM, EDR e inteligencia de amenazas. Para pymes y empresas medianas, un SOC gestionado (MDR/MSSP) con FortiAnalyzer y FortiGate es más eficiente en coste y permite monitorización 24/7 sin contratar personal especializado.
¿Qué métricas son clave en un SOC?
Las principales son: MTTD (Mean Time to Detect) - tiempo medio para detectar una amenaza; MTTR (Mean Time to Respond) - tiempo medio para responder; tasa de falsos positivos; y cobertura de MITRE ATT&CK. Un buen SOC tiene MTTD inferior a 1 hora y MTTR inferior a 4 horas para incidentes críticos.
Términos relacionados
SIEM (Gestión de Eventos e Información de Seguridad)
Plataforma que centraliza logs de seguridad, detecta amenazas y facilita la respuesta a incidentes.
Leer más →Security Fabric (Fortinet)
Arquitectura de seguridad integrada de Fortinet que conecta todos sus productos en un ecosistema coordinado.
Leer más →APT (Amenaza Persistente Avanzada)
Ataques dirigidos, sofisticados y prolongados contra organizaciones específicas, a menudo patrocinados por estados.
Leer más →FortiGuard (Inteligencia de Amenazas)
Laboratorio de inteligencia de amenazas de Fortinet que alimenta todos los servicios de seguridad.
Leer más →¿Necesitas protección SOC?
Nuestros expertos en ciberseguridad pueden ayudarte a implementar la mejor solución Fortinet para proteger tu empresa. Consulta sin compromiso.