Si bien el manejo de incidentes monopoliza gran parte de los recursos del SOC, el director de seguridad de la información (CISO) es responsable del panorama más amplio de riesgo y cumplimiento. Para unir los silos operativos y de datos entre estas funciones, una estrategia eficaz requiere una arquitectura de seguridad adaptable que permita a las organizaciones promulgar operaciones de seguridad optimizadas. Este enfoque aumenta la eficiencia a través de la integración, la automatización y la orquestación, y reduce la cantidad de horas de trabajo requeridas al mismo tiempo que mejora su postura de gestión de la seguridad de la información. Un modelo de operaciones de seguridad optimizado requiere la adopción de un marco de seguridad que facilite la integración de soluciones de seguridad e inteligencia de amenazas en los procesos diarios. Las herramientas de SOC, como los tableros centralizados y procesables, ayudan a integrar los datos de amenazas en los tableros e informes de monitoreo de seguridad para mantener las operaciones y la administración al tanto de los eventos y actividades en evolución. Al vincular la gestión de amenazas con otros sistemas para gestionar el riesgo y el cumplimiento, los equipos de SOC pueden gestionar mejor la postura de riesgo general. Dichas configuraciones admiten una visibilidad continua en todos los sistemas y dominios y pueden usar inteligencia procesable para impulsar una mayor precisión y consistencia en las operaciones de seguridad. Las funciones centralizadas reducen la carga del intercambio manual de datos, la auditoría y la generación de informes en todo momento.
La puesta en marcha de la gestión de amenazas debe comenzar con una evaluación cuidadosa. Además de las defensas, una organización debe evaluar procesos y políticas. ¿Dónde es fuerte la organización? ¿Cuáles son los huecos? ¿Qué es la postura de riesgo? ¿Qué datos se recopilan y cuántos de esos datos se utilizan?, Si bien cada organización es diferente, ciertas capacidades básicas y mejores prácticas de operaciones de seguridad representan el debido cuidado en la actualidad. Un proceso razonable de gestión de amenazas comienza con un plan e incluye descubrimiento (incluido el cálculo de referencia para promover la detección, normalización y correlación de anomalías), clasificación (basado en el riesgo y el valor de los activos), análisis (incluida la contextualización) y alcance (incluida la investigación iterativa). Los procesos de gestión de amenazas alimentan los casos priorizados y caracterizados en los programas de respuesta a incidentes. Un plan de respuesta bien definido es absolutamente clave para contener una amenaza o minimizar el daño de una violación de datos.
