INVESTIGACIÓN 62 con otras informaciones valiosas para ver si pudo haber ocurrido un ciber-incidente y determinar las respuestas apropiadas. Aquí se trata de entender el impacto potencial del ciber-incidente en los activos de la organización y en su caso riesgos operacionales y ayu- dar en la respuesta-remedio al ciber-incidente. (3) C-3 (hunt team). Su misión es buscar proactivamente ciber-amenazas en la red y aca- bar con ellas en vez de esperar la llegada de posibles alertas antes de iniciar acciones, así mismo, trabajan con los equipos de analistas de las capas 1 y 2 cuando la probabilidad de una ciber-amenaza crece. Pueden identificarse cinco modelos organizacionales para un SOC: (a) Equipo de seguridad estándar. No tiene capacidades de respuesta a ciber-incidentes, pero utiliza sus recursos cuando se necesita para responder a los ciber- incidentes. (b) SOC distribuido interno. Integra miembros de la organización que no pertenecen al SOC. (c) SOC centralizado interno. Se compone de un equipo dedicado de profesionales de ciberseguridad IT/OT cuya misión primaria es monitorizar y responder a las ciber-amenazas. (d) SOC centralizado y distribuido interno combinado. Combina los modelos de SOC centralizado interno y SOC distribuido interno. (e) Enfoque coordinado. Coordina y facilita capacidades entre múlti- ples SOC internos menores. En un SOC se pueden distinguir diversos niveles, por ejemplo: (1) N-1. Incluye los analistas de ciberseguridad que realizan tareas rutinarias como escanear vulnerabilidades, observar IDS o consolas SIEM, recoger 'noticias cyber' (por ejemplo, de CERT/ Computer Emergency Readiness Team) y contestar las consultas (llamadas telefónicas, e.mails, IM, etc.) de los usuarios (vía call center o help-desk). (2) N-2. Realiza todo el análisis en profundi- dad de ciber-incidentes que le pasa el nivel 1 como análisis de logs y red, tendencias, análisis de ciber-incidentes y coordina la res- puesta a ciber-incidentes con los usuarios y componentes. (3) N-3. Corresponde a la administración del sistema, mantiene los siste- mas SOC y sensores que pueden incluir ingeniería y despliegue de nuevas capacidades (creación de firmas a medida, mantenimiento y ajuste de sensores, despliegue de herramientas, scripting, etc.). Los SOC se abastecen de diversas fuentes de información de ciber- inteligencia como, por ejemplo: Dshield, ISC, NetCraft, US-CERT, SANS, Microsoft Security Intelligence Report, McAfee, WOMBAT (Worldwide Observatory of Maliciosus Behaviors and Attack Threats), Malware Domain List, Exposure, Anubis, Symantec, Virustotal, IBM ISS X-Force, Metascan online, lista de firmas de Emerging Threats, las de otros SOC, etc. Entre las principales capacidades y servicios que aporta un SOC se pueden identificar: la visibilidad de ciber-amenazas (a nivel global en dispositivos de computación, comunicaciones fijas y móviles e infraestructuras cloud y 'on-premise' es decir, en la propia organi- zación), análisis y prevención de ciber-incidentes/ciber-amenazas de forma proactiva (incluye análisis continuo de ciber-amenazas, escaneo de vulnerabilidades en redes y dispositivos de computa- ción, coordinación de despliegue de contramedidas, evaluación de políticas y arquitecturas de ciberseguridad), monitorizar, detectar y analizar potenciales ciber-intrusiones en tiempo real y a través de tendencias históricas sobre fuentes de datos de ciberseguridad relevantes, respuesta a ciber-incidentes confirmados, coordinando recursos y dirigiendo el uso de contramedidas apropiadas a tiempo, orquestación, proporcionar concienciación de la situación e infor- mar sobre el estado de ciber-seguridad, los ciber-incidentes y tendencias en comportamiento no autorizado a nivel de la organiza- ción, operación con tecnología de ciberseguridad (como IDS, UTM, sistemas de análisis y recogida de datos, SIEM, IAM, etc.), análisis en tiempo real utilizando call center/(help desk para defensa de red y computadores), servicios CSIRT (con especialistas en fraudes, seguridad de código fuente, análisis de malware, análisis forense, etc.), monitorización-vigilancia en tiempo real, creación, análisis,