SOC I CSIRT: què són i per a què són necessaris per a la teva empresa

SOC I CSIRT: què són i per a què són necessaris per a la teva empresa
Autor JakinCode · 01/2026 

·  Certificacions i normativa , Ciberseguretat a les empreses

Etiquetes: GRC

Les amenaces entorn de la ciberseguretat són cada vegada majors i més complexes. Una de les maneres més efectives de fer-les front és mitjançant la creació d’un equip de resposta davant incidents (CSIRT) i un centre d’operacions de seguretat (SOC). En el present article us convidem a conèixer què són, i per què són tan importants per a la teva empresa en l’actualitat.

DEFINICIÓ DE CSIRT

El terme CSIRT, o equip de resposta davant incidents informàtics (Computer Incident Response Team) va ser creat en la dècada dels norant del segle passat. S’ha convertit des de llavors en un concepte genèric referit a una sèrie de serveis com, per exemple, monitoratge de la seguretat dels sistemes d’informació i comunicació informàtica, gestió de vulnerabilitats, gestió d’incidents (la seva principal funció), etc.

En general, un CSIRT és un equip de professionals de la ciberseguretat, els quals ofereixen una resposta, estructurada i planificada, davant els possibles incidents de seguretat als quals estan exposades les tecnologies de la informació.

Actualment, FIRST (una de les principals organitzacions en els quals respecte a resposta davant incidents, agrupant al seu voltant  experts mundials en aquestes qüestions, amb la finalitat de garantir una internet més segura per a tots) es troba bolcada a definir els més alts estàndards que han de complir les activitats desenvolupes per un CSIRT. Aquestes activitats estan organitzades en cinc serveis principals:

  • Gestió d’incidents de la seguretat de la informació
  • Gestió de vulnerabilitats
  • Consciència situacional (Situational Awareness), o la capacitat de percebre el que està passant en el context tecnològic en l’àmbit de ciberseguretat, i d’aquesta manera, intentar anticipar escenaris de risc que puguin produir-se.
  • Formació i entrenament
  • Monitoratge, detecció i anàlisi

DEFINICIÓ DE SOC

Un SOC, o Centre d’Operacions de Seguretat (Security Operations Center), és un servei de detecció d’incidents mitjançant el monitoratge  ininterrompuda de l’activitat de les xarxes i sistemes (logs, esdeveniments, connexions, etc.).

Comunament, consisteix en una àrea delimitada amb mesures de seguretat, on un equip especialitzat controla mitjançant diversos monitoratges en temps real el que ocorre en la infraestructura tecnològica d’una organització. El personal està integrat de professionals que provenen de diverses branques de la tecnologia de la informació que incorporen recursos com, per exemple, eines de gestió de successos i seguretat de la informació (SIEM, segons les seves sigles en anglès) i altres solucions automatitzades posades al servei de la vigilància.

El personal que integra un SOC supervisa aspectes com, per exemple, la velocitat de connexió, sent una de les seves funcions detectar falsos positius i falsos negatius en l’activitat analitzada i controlada. Si bé un SOC típic sol respondre a la imatge d’una sala plena de monitors instal·lada físicament en el si d’una empresa, integrat per personal específicament preparat, pot consistir també en un equip virtual i externalitzat, o una combinació de tots dos escenaris.

DIFERÈNCIA ENTRE CSIRT I SOC

Encara que tots dos tenen com a fonament principal la protecció, la manera d’abordar-la és distinta segons es tracti d’un SOC o un CSIRT.

El primer realitza una vigilància constant, monitorant, detectant i actuant sobre les alertes que es van generant. El segon és l’equip que actua quan es produeix un incident, coordinant la resposta, gestionant la resolució, establint les comunicacions pertinents i documentant totes les accions per a la seva anàlisi posterior i extreure aprenentatges.

Com a idea bàsica i molt general, pot dir-se que, en la pràctica el SOC detecta una anomalia i inicia el procediment que ha de portar a la seva esmena, mentre que el CSIRT la investiga en profunditat, pren decisions sobre la seva contenció, interactua amb altres departaments (legal, etc.) per a tractar-la i, finalment, assegura que l’organització treu lliçons encaminades a la millora contínua.

COM IMPLEMENTAR UN CSIRT/SOC EN LA TEVA EMPRESA

El primer pas per a disposar d’un CSIRT consisteix a tenir ben clares les raons i necessitats d’establir-ho, la qual cosa ajudarà a perfilar de manera més ajustada les seves funcions i el pressupost inicial per al seu disseny. Les expectatives i requisits de les parts interessades (accionistes, consell d’administració, etc.) han de ser tinguts en consideració, perquè la inclusió d’un CSIRT ha de quedar perfectament defensada pels màxims òrgans d’administració i govern d’una empresa. Algunes de les principals justificacions per a implementar un CSIRT són:

  • La necessitat d’organitzar professionalment la gestió dels incidents de ciberseguretat, amb la finalitat de minimitzar el seu impacte.
  • La necessitat de disposar d’un equip especialitzat que apliqui mètodes de treball avalats per institucions de referència reconegudes en l’àmbit internacional (FIRST, ENISA, etc.).
  • Disposar del suport d’uns altres CSIRT
  • La necessitat de tenir un equip coordinat referent a la gestió d’incidents, vulnerabilitats, i anàlisis d’amenaces.

Les recomanacions a tenir en compte respecte al disseny s’alineen amb el conegut SIM3. Ens referim a un model que avalua i mesura el treball dins d’un CSIRT, a partir de quatre àrees: nivell organitzatiu, equip humà, eines i processos.

Finalitzada la fase anterior, s’iniciaria l’estadi d’implementació, on es tracten aspectes d’índole organitzacional, com els compliments normatius que puguin afectar el seu funcionament, la tecnologia i els serveis necessaris, etc. Aquí es porten a terme tasques com, per exemple, la contractació del personal qualificat, la planificació de les formacions tècniques necessàries per a cada membre de l’equip, l’adequació de les instal·lacions, etc.

El següent pas seria la fase operativa, on es posen en marxa els serveis corresponents i es mesura el seu rendiment mitjançant diversos KPIs (Key Performance Indicators). Aquests KPIs han de ser estudiats de manera regular.

Durant la fase de millora, el CSIRT estudia aquells aspectes que poden ajudar a optimitzar els seus resultats.

ALGUNES EINES UTILITZADES EN UN SOC I UN CSIRT

Un SOC integra una sèrie d’elements, entre els quals destaquen:

  • SIEM (Security Information and Event Management): centralitza logs i genera alertes.
  • EDR (Endpoint Detection & Response): monitora  endpoints (ordinadors, servidors) i permet respostes en aquests.
  • NDR (Network Detection & Response): vigila el trànsit de xarxa a la recerca de comportaments sospitosos.
  • SOAR (Security Orchestration, Automation and Response): automatitza tasques repetitives i coordina eines.

Un CSIRT pot incorporar recursos i tecnologies pròpies de l’anàlisi digital forense.

Cal tenir en compte que s’activen diversos processos, en el transcurs dels quals entren en acció diferents solucions que responen a  fases tan diverses com el monitoratge i detecció en temps real, l’avaluació (triatge) que permet prioritzar les accions segons el tipus d’incident i el seu possible impacte, la recerca, la contenció i mitigació, la remediació i recuperació, l’anàlisi i la generació dels informes.

PER QUÈ LA TEVA EMPRESA NECESSITA UN SOC I UN CSIRT

Tenir la possibilitat de disposar d’aquests recursos aporta importants beneficis per a una empresa. Gràcies a ells, es redueix dràsticament el temps d’exposició davant les conseqüències d’un atac, la qual cosa disminueix els possibles impactes que poden repercutir molt negativament en l’organització. La detecció precoç d’un incident assegura una resposta eficaç i eficient, la qual limita enormement els estralls o afectacions que poden produir-se en cas de dilatar en excés el temps de reacció.

Així mateix, la centralització del conjunt d’activitats relacionades amb la infraestructura tecnològica d’una organització permet una visió holística, no esbiaixada, de l’estat general de la ciberseguretat.

D’altra banda, com que es regeix per uns requisits molt ben definits per les autoritats de referència, ajuda en el compliment normatiu dels controls implementats.

A més, s’elimina la improvisació, amb els possibles errors que puguin derivar-se d’aquesta, en favor d’una resposta organitzada, planificada i coordinada.

CONCLUSIÓ

Un SOC i un CSIRT no són només recursos tecnològics i humans al servei de la seguretat en terme de mera reacció davant un incident. Tots dos impliquen un compromís de l’empresa per una cultura de la resiliència. En una època  en els quals un incident pot costar milions i minar la confiança de clients, disposar d’una vigilància professional i d’una capacitat de resposta organitzada no és un luxe, sinó una necessitat estratègica.

Vols que t’ajudem a dissenyar un SOC/CSIRT adaptat a la teva empresa? Podem elaborar un diagnòstic pràctic i realista que prioritzi inversions i defineixi perfils, processos i tecnologia segons el teu risc real. Contacta amb nosaltres i comencem.

Articles relacionats

  • SOC I CSIRT: què són i per a què són necessaris per a la teva empresa

SOC I CSIRT: què són i per a què són necessaris per a la teva empresa

01/2026

  • Ciberseguretat amb propòsit: més enllà de la tecnologia 

Ciberseguretat amb propòsit: més enllà de la tecnologia 

08/2025

  • Impulsant la ciberseguretat a través de la col·laboració i el debat

Impulsant la ciberseguretat a través de la col·laboració i el debat

06/2025

  • Barcelona Cybersecurity Congress 2025: Una trobada clau per a la protecció digital

Barcelona Cybersecurity Congress 2025: Una trobada clau per a la protecció digital

05/2025