📒CIAC Comparte: Mejor un SOC que sume, y no que abrume 🫣 A ver, implementar, comprar, contratar (como le quieras decir) un SOC tiene que partir, sí o sí, por un dimensionamiento bien hecho. Uno que tome tiempo ⏳, que llegue a ser casi aburrido 😴, pero que marque la diferencia entre detectar amenazas críticas y reales o perderse en un mar de alertas irrelevantes. Obviamente, el SOC va a reposar sobre un SIEM que, como dice un gran y conocedor amigo, no es una "cajita mágica" 🎩✨. No es llegar y contratar un servicio esperando que haga todo por sí solo, pero el que te lo vende sí o sí debería, al menos, conocer tu industria o haberse tomado el tiempo de hacer ese levantamiento aburrido. Para que un SOC funcione de verdad, tienes que entender el entorno y los riesgos inherentes a la industria en la que te desenvuelves. Cada empresa enfrenta sus propios desafíos ⚡ y los resuelve con su propia visión de las tecnologías. Entonces, si quien pone en marcha y configura el SIEM no tiene idea de cómo funcionan tu y tu empresa, difícilmente podrá agregar inteligencia de amenazas y correlación de eventos. Un SOC no debería limitarse a recolectar logs 📂; su verdadero valor está en el análisis y la correlación (y muchos SIEM son bastante buenos haciendo esto casi solos 🤖) para entregar un valor real. Hay que optimizar el volumen y la calidad de las alertas; un SOC que genera miles de notificaciones sin contexto no mejora la seguridad; más bien la complica, porque te hace perder tiempo ⏳ en temas irrelevantes mientras lo realmente importante pasa calladito por detrás de la pantalla. 🕴🏻 Y por último, por favor evalúen a sus partner tecnológicos mucho más allá de su propuesta económica 💰 (eso siempre se puede arreglar, yo que se los digo). Definir criterios claros de monitoreo desde el inicio es clave para evitar que un servicio de seguridad termine convirtiéndose en un concierto de notificaciones de correo nuevo. 📩📩📩 Atentamente: Francisco Chalbaud LinkedIn