N 16

ABRIL 2015

Deloitte & Hewlett-Packard

Presentan sus servicios
world-class SIEM sobre
HP ArcSight

Introduccin al servicio
world-class SIEM

n la actualidad, todas las empresas e

instituciones estn obligadas a reforzar o
mejorar su posicin en el mercado para as
ofrecer servicios ms competitivos, accesibles y
adaptados a las crecientes necesidades de los
clientes.

Para poder gestionar eficazmente las

problemticas resultantes de la gestin de
tecnologas de seguridad, el CyberSOC de
Deloitte ofrece una serie de servicios avanzados
de seguridad que permite al cliente aprovechar al
mximo la tecnologa SIEM contratada.

El escenario que observamos conduce a la

creciente necesidad de implantar, mantener y
gestionar los Sistemas de Informacin complejos
bajo una misma plataforma tecnolgica, y
generalmente heterognea, que permita soportar
los requerimientos del negocio de forma eficaz.

Como resultado, se produce una notable

eficiencia en coste, as como un incremento de
calidad, dadas las evidentes sinergias resultantes
del grado de especializacin alcanzado por el
equipo tcnico.

Las tecnologas SIEM nos ayudan a centralizar

la mayor parte de los eventos de las compaas
para proporcionar informacin ms detallada
sobre lo que est ocurriendo en la red. Una
utilizacin adecuada de dicha plataforma es clave
para satisfacer los principales requerimientos de
la informacin gestionada por los Sistemas de
Informacin.

El CyberSOC de Deloitte proporciona servicios

de proteccin de negocio en 24x7 mediante
Operaciones de Seguridad Gestionada; por lo que
estos servicios estn elaborados en base a unas
capacidades de inteligencia de ltima generacin y
operados por profesionales altamente cualificados,
al mismo tiempo que pueden adaptarse para
cubrir todos los mbitos de las capacidades
defensivas avanzadas como anlisis, inteligencia,
deteccin, respuesta y recuperacin.

La correcta operacin del equipamiento de

seguridad, as como la adecuada gestin de la
informacin que proporcionan estos dispositivos,
resulta clave a la hora de capitalizar la inversin
realizada en estas tecnologas.

Construir, mantener y mejorar

de forma constante es un asunto
complejo y requiere de un
conocimiento exhaustivo.

El 90% de los clientes que disponen de

plataformas SIEM no las explota en su total
capacidad, bien por falta de tiempo, por falta de
recursos o por falta de conocimiento.
La inversin en esta tecnologa es muy alta, por lo
que su no optimizacin mediante una explotacin
adecuada se considera un desaprovechamiento
grande de los recursos que sta puede
proporcionar.

D O C U M E N T O S SiC

Servicio de anlisis de madurez

de un SIEM
Para aquellas organizaciones que poseen una plataforma SIEM ya desplegada, CyberSOC pone a
su disposicin el servicio de anlisis de madurez de SIEM. Este servicio proporciona un estudio del
rendimiento extrado a la solucin, el grado de proteccin proporcionado por la infraestructura de
seguridad desplegada y define un roadmap de seguridad para elevar las prestaciones del SIEM hasta
cubrir las necesidades concretas de la organizacin. El estudio analiza la plataforma SIEM a todos los
niveles, buscando aspectos de mejora que permitan aumentar el valor proporcionado por la misma:
Fuentes de datos: la visibilidad de la plataforma se determina en base a los sistemas de los que el
SIEM recibe logs, con objeto de detectar posibles puntos ciegos. Se valora asimismo la capacidad de
explotacin de los datos en base a la informacin que se procesa (nivel de auditora del origen), la
flexibilidad de la taxonoma del SIEM, la normalizacin que realiza de los datos y la categorizacin que
se aplica a los eventos.
Enriquecimiento de datos: en base a las fuentes de informacin contextual de las que dispone la
organizacin, se evala el aprovechamiento que hace el SIEM de sistemas de inventario de activos,
bases de datos de vulnerabilidades, listas pblicas y privadas de reputacin, entre otros sistemas que
posibilitan a un SIEM moderno aplicar parmetros de riesgo en la correlacin.
Casos de uso: partiendo del contenido desarrollado para la deteccin de incidentes de seguridad y
la taxonoma de ciberataques creada y empleada por Deloitte a nivel mundial, DCAF (Deloitte Cyber
Attack Framework), que identifica la fase del potencial ataque en la que se basa la deteccin; se valora
la contribucin de cada caso de uso a la cobertura de las ciberamenazas.
Alertas y amenazas: la medicin del volumen de alertas generadas, los incidentes investigados y
la tasa de falsos positivos y falsos negativos conocidos permite valorar el rendimiento global de la
plataforma SIEM. Tomando como punto de partida el rendimiento estudiado, es posible calcular el ROI
sobre la inversin y el esfuerzo dedicado a la puesta en produccin de la tecnologa. Si la organizacin
dispone de un Plan de Gestin de Riesgos se puede calcular la mitigacin que proporciona el SIEM.
Una vez caracterizado el escenario de partida, se define un roadmap de evolucin de la plataforma SIEM
en base a las lneas de mejora identificadas durante el anlisis y fuertemente orientado a maximizar
la cobertura proporcionada por el SIEM frente a las amenazas predominantes. Para ello el CyberSOC
proporciona un asesoramiento continuo y acceso al catlogo de casos de uso de Deloitte, que abre la
posibilidad de incrementar el rendimiento de la plataforma SIEM existente.

Por ltimo, se ofrecen recomendaciones de servicios SOC que proporcionen competencias de seguridad
24x7 y cubran aspectos especialmente vulnerables; adems de aportar un nivel de seguridad elevado que
genere sinergias y mejore el ROI de los sistemas ya implementados.

N 16 / ABRIL 2015

Entrevista

The Deloitte Threat Content

global initiative

En qu consiste la iniciativa global de Deloitte?

Mark
Fernandes
Socio en
Deloitte Canad
CISSP, CCMSE, CCNP, CISS,
CCSE+, ACIA, ACSA, SCSA, BSc, CNSS InfoSec
Mark Fernandes es Socio del Grupo de Servicios
de Seguridad de Deloitte y cuenta con ms de 20
aos de experiencia en consultora de implantacin,
operaciones, gobierno y arquitectura de seguridad
para empresas, asumiendo roles claves en proyectos
de gran envergadura. Actualmente, Mark supervisa
el Centro Global de Excelencia de Deloitte para
el desarrollo del Cyber Command Center (SOC/
SIEM) Solution y da soporte a proyectos globales en
Amrica, Asia, Europa y Australia.
El servicio que lidera incluye el desarrollo de Amenazas
Avanzadas de Deloitte (en ingls DAT), Anlisis de
Seguridad de Big Data, Anlisis de Riesgo, Deteccin
de Malware Dirigido Avanzado, Soluciones SAP ECC,
Ciberespionaje, Inteligencia, Fraude, Infraestructuras
Crticas, SOC y otras experiencias relacionadas.

El proyecto The Deloitte Threat Content global initiative es

un esfuerzo coordinado para proporcionar a nuestros clientes,
a travs de nuestros servicios gestionados, aquellos contenidos
accionables de defensa ante ciberamenazas que son repetidas y
consistentes. Esta iniciativa hace uso de la red global de Deloitte
para garantizar que los clientes cuenten con una plataforma
viable para mantenerse al tanto de las amenazas emergentes.
Cunto es la inversin de Deloitte en esta iniciativa?
Deloitte ha invertido, en trminos econmicos, ms de tres
millones de dlares. Adems, este proyecto es el resultado de
ms de once aos de esfuerzo en el desarrollo de una amplsima
librera de casos de uso. No obstante, la organizacin destina de
forma continuada y constante una fuerte inversin de recursos
para el desarrollo de metodos innovadores que protejan mejor a
nuestros clientes.
Cuntos casos de uso se han generado?
La librera de casos de uso de Deloitte est compuesta por
ms de 4.500 casos de uso aproximadamente. Sin embargo,
seguimos aadiendo entre 5 y 7 casos de uso semanalmente, lo
que nos hace mantenernos actualizados de manera permanente.
Por qu la iniciativa de Deloitte ser diferencial a nivel
mundial?
La iniciativa global de Deloitte proporciona al cliente una
plataforma viable para tratar las amenazas emergentes de
manera efectiva, eficiente y asequible. Creemos que podemos
hacerlo capitalizando nuestra escala global y proporcionando
dicha capacidad a nuestros clientes.

Mark Fernandes ha dirigido el desarrollo de uno de

los Centros Globales de Operaciones de Seguridad y
Ciberamenazas con mayores capacidades. Su equipo
ha estado ms de diez aos generando negocio
centrado en soluciones SOC y SIEM en el rea de
alcance de las APT, diseada para dirigir algunas de
las amenazas avanzadas ms sofisticadas.

D O C U M E N T O S SiC

Las ventajas de HP MSSP ArcSight

El modelo MSS (Servicios de Seguridad Gestionada) que usa

la plataforma ganadora HP ArcSight es provista de un coste
variable para los nuevos clientes. La flexibilidad ofrecida a
los clientes a travs de HP ArcSight es nica en la industria,
ofreciendo soluciones eficaces para SOC, MSSP y Cloud.

en la capa del motor principal; as como de API extensibles y

gran compatibilidad con la integracin de otras soluciones de
HP, adems de la existencia de segregacin lgica a este nivel.

Escalabilidad

HP ArcSight Logger recolecta informacin de cualquier

sistema que genere registros de datos, pudiendo procesar esa
informacin en el tamao deseado y producir una bsqueda
ultra rpida a travs de los datos (hasta 3 millones de eventos
por segundo en el resultado de bsqueda). Por tanto, los
clientes de MSSP pueden detectar rpidamente actividades
de cibercrimen, a travs de la elaboracin y entrega
automatizadas de informes de cumplimiento y reestructuracin
de las operaciones TI.

MSSP est preparado para servir a un amplio volumen

de clientes, por lo que esta escalabilidad es sumamente
importante para Deloitte, ya que le permitir afrontar con xito
la seguridad de sus clientes.
Interoperabilidad
HP ArcSight es capaz de aceptar datos de hasta 300
dispositivos y aplicaciones diferentes. Este nmero crece todos
los meses y las soluciones personalizadas para dispositivos y
aplicaciones para particulares estn ya disponibles.
Solucin Flexible
HP ArcSight provee una aproximacin a la arquitectura de
niveles para gestionar servicios escalables que se adaptan a
las demandas de cualquier cliente con redes heterogneas.
Los tres niveles pertenecientes a la solucin completa de HP
ArcSight se denominan: Capa de Integracin, Capa del motor
principal y Capa de Mdulo.
El nivel ms bajo de la solucin HP ArcSight conlleva una
coleccin sobre las mltiples categoras de las fuentes de
eventos. Tres tecnologas clave estn presentes dentro de la
coleccin de capas: HP ArcSight, SmartConnector, HP ArcSight
FlexConnectors y HP ArcSight Connector Appliances. Estos
componentes pueden ser distribuidos a peticin del cliente,
centralizados en una gestin local o de forma transparente en
un entorno cloud de configuracin final.
El nivel medio es el corazn de la solucin HP ArcSight, que
acoge tres tecnologas claves: el motor de gestin de logs
HP ArcSight Logger el motor de correlacin HP ArcSight
Enterprise Security Manager (ESM) y el motor de respuesta
HP ArcSight Threat Response Manager (TRM).
Finalmente, la capa ms alta de la solucin ArcSight provee
una interfaz de administracin para todos los componentes HP
ArcSight y mdulos de la solucin que pueden ser instalados

N 16 / ABRIL 2015

Motor Avanzado de Registros

La deteccin requiere una bsqueda y recoleccin universal

a travs de cualquier registro de datos. HP ArcSight Logger
es nico en su habilidad para combinar colecciones de datos
estructurados y no estructurados, as como realizar bsquedas
no estructuradas y de campo en contra de toda la informacin
de registro.
Motor Avanzado de Correlacin
La capacidad de correlacin avanzada en tiempo real de
HP ArcSight identifica la relevancia de cualquier evento por
localizacin, dentro de un contexto de quin, qu, dnde,
cundo y por qu ese evento ha ocurrido y cul es su impacto
sobre el riesgo del negocio. HP ArcSight ESM correlaciona
eventos resultantes con activos prioritarios y vulnerabilidades,
actividad de usuarios e histrico de amenazas, logrando una
priorizacin precisa y automatizada de los riesgos de seguridad
y las infracciones producidas.
El potente motor de correlacin de HP ArcSight ESM procesa
millones de entradas de registros, filtrando los eventos crticos
ms relevantes. Estos incidentes se presentan mediante
dashboards y notificaciones a tiempo real o informes
entregados directamente al MSSP o a sus clientes.
Otras de las ventajas de la solucin HP ArcSight son:
etiquetado de eventos adaptado al cliente, cadena de custodia
automtica, auditora automtica, gestin centralizada, flujo de
trabajo centrado en el cliente y opciones de despliegue flexible.

Plataforma MSSP Deloitte-HP

Los ciber-riesgos son cada da ms difciles de evitar y
aunque algunas organizaciones estn centradas en el
despliegue de medidas de seguridad, stas son insuficientes
sin una gestin eficaz.
En Deloitte consideramos que la piedra angular para la
gestin de las ciber-amenazas se basa en el servicio de
gestin de eventos de seguridad, el cual ofrecemos a
nuestros clientes a travs de la infraestructura MSSP.
Esta plataforma combina altas prestaciones con los servicios
nicos de ciber-inteligencia de Deloitte. Las ventajas que
ofrece la plataforma MSSP Deloitte-HP son las siguientes:
Inmediatez
Gracias a que contamos con una solucin de correlacin
cloud ya desplegada y optimizada, nuestro servicio ofrece
unos plazos de entrega rpidos y giles que permiten
acortar de manera drstica del orden de un 90% los
periodos de puesta en marcha y ejecucin.
Flexibilidad
La plataforma MSSP est diseada para soportar el
crecimiento de nuestros clientes y posibilita la creacin
de un roadmap de seguridad que permite afrontar
la securizacin de forma ordenada e incremental, sin
el sobrecoste de tener que adquirir inicialmente la
infraestructura que soporta el estado final.

Resiliencia
La plataforma MSSP cloud que sustenta la operativa diaria
del servicio se encuentra diseada en base a estndares
de alta disponibilidad integral y est apoyada por una
infraestructura redundada a nivel de comunicaciones,
servidores de almacenamiento y sistemas de procesado de
informacin en tiempo real, proporcionando una fiabilidad
del 99.9% en la continuidad de la prestacin del servicio.
Inteligencia compartida
Uno de los principales valores diferenciales de nuestro
servicio radica en la inteligencia adquirida a travs de la red
internacional de Deloitte, sus acuerdos con fabricantes y
la red CERT, de la cual el CyberSOC-CERT es miembro. Este
conocimiento se traduce en la creacin de la inteligencia de
correlacin, deteccin, anlisis y diseo de contramedidas
ante incidentes.
Administracin desatendida
Los servicios de gestin de eventos de la plataforma MSSP
del CyberSOC-CERT estn mantenidos y gestionados por
personal altamente cualificado, evitando la necesidad de
que el cliente ejecute dichas actividades.
Complementariedad con la infraestructura existente
La integracin con infraestructuras de gestin de registros
existentes no requiere una implantacin paralela, ya que la
plataforma MSSP del CyberSOC-CERT acepta el reenvo de
registros en formato estndar CEF.

La infraestructura MSSP posee las ms altas funcionalidades que, junto al

know-how de Deloitte con presencia en ms de 154 pases, dota al servicio de
una ciber-inteligencia nica para el mercado y diferencial para nuestros clientes.

D O C U M E N T O S SiC

Deloitte CyberSOC
le invita a conocer su servicio world-class SIEM a travs de
una demostracin gratuita de las ventajas que ofrece la nueva
plataforma Deloitte HP MSSP ArcSight.
Esta demostracin sobre el nodo HP MSSP ArcSight de Deloitte se
llevar acabo mediante un evento workshop en:
Madrid: 7 de mayo 2015.
Barcelona: 28 de mayo 2015.
* Lugar y hora por confirmar.

Para inscripciones enviar un email, indicando:

nombre, apellidos, empresa y cargo a:
eserscybersoccomunicacion@deloitte.com

En cumplimiento de la Ley Orgnica 15/1999, 13 de Diciembre, de Proteccin de Datos de Carcter Personal, le informamos de la existencia de un fichero automatizado de datos denominado Base de Datos,
cuya finalidad es registrar a los interesados en el servicios de CyberSOC Academy, perteneciente a Deloitte Advisory S.L, los cuales tambin podrn ser utilizados por Deloitte Advisory S.L a fin de dirigirle, por
correo postal o electrnico, comunicaciones comerciales, profesionales o informativas y que usted dispone de los derechos de acceso, rectificacin, cancelacin y oposicin de los mismos, derechos que podr
hacer efectivos dirigindose a Deloitte Advisory S.L, Torre Picasso, 28109 Madrid, Espaa o mediante el envo de un correo electrnico a la direccin eserscybersoccomunicacion@deloitte.com.

Si desea informacin adicional, por favor, visite www.deloitte.es

Deloitte se refiere a Deloitte Touche Tohmatsu Limited, (private company limited by guarantee, de acuerdo con la legislacin del Reino Unido) y a su red de firmas
miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripcin detallada de la estructura legal de Deloitte
Touche Tohmatsu Limited y sus firmas miembro.
Deloitte presta servicios de auditora, asesoramiento fiscal y legal, consultora y asesoramiento en transacciones corporativas a entidades que operan en un elevado
nmero de sectores de actividad. Con una red de firmas miembro interconectadas a escala global que se extiende por ms de 150 pases, Deloitte aporta las mejores
capacidades y un servicio de mxima calidad a sus clientes, ofrecindoles la informacin que necesitan para abordar los complejos desafos a los que se enfrentan.
Deloitte cuenta en la regin con ms de 200.000 profesionales, que han asumido el compromiso de convertirse en modelo de excelencia.
Esta publicacin contiene exclusivamente informacin de carcter general, y Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte Global
Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, as como sus firmas miembro y las empresas asociadas de las firmas mencionadas (conjuntamente,
la Red Deloitte), no pretenden, por medio de esta publicacin, prestar servicios o asesoramiento en materia contable, de negocios, financiera, de inversiones,
legal, fiscal u otro tipo de servicio o asesoramiento profesional. Esta publicacin no podr sustituir a dicho asesoramiento o servicios profesionales, ni ser utilizada
como base para tomar decisiones o adoptar medidas que puedan afectar a su situacin financiera o a su negocio. Antes de tomar cualquier decisin o adoptar
cualquier medida que pueda afectar a su situacin financiera o a su negocio, debe consultar con un asesor profesional cualificado. Ninguna entidad de la Red
Deloitte se hace responsable de las prdidas sufridas por cualquier persona que acte basndose en esta publicacin.
2015 Deloitte Advisory, S.L.