Universidad Latina de Costa Rica

SOC-NOC en E-Commerce
Maestra en Telemtica

Comercio Electrnico

Profesor:
Maricel Herrera.

Integrantes:
Carlos Roberto Rojas Chaves.
Jason Ulloa Hernndez.

2012

Contenido
Introduccin ................................................................................................................................4
Marco Terico ............................................................................................................................5
Componentes de la Seguridad del Comercio Electrnico ...............................................5
Seguridad del software cliente .............................................................................................5
Seguridad en el transporte de los datos .............................................................................5
Mecanismos de seguridad ...................................................................................................5
Centro de control de Operaciones de Seguridad Informtica (SOC) .....................6

1.
1.1

Dentro de los servicios de un SOC se detallan las siguientes alternativas .......6

Mdulos de un SOC ......................................................................................................7

2.
2.1

Sensores .....................................................................................................................8

2.2

Pollers .........................................................................................................................8

2.3

Cajas C y Cajas D .....................................................................................................9

2.4

Cajas A y K .................................................................................................................9

2.5

Cajas R .......................................................................................................................9
Arquitectura global de un SOC ....................................................................................9

3.
3.1

Procedimientos de reaccin y escalamiento ..........................................................9

Correlacin ...................................................................................................................11

4.
4.1

Funcionamiento de la correlacin ..........................................................................11

4.2 Introduccin a los contextos .......................................................................................12

4.2.1 Estructura de los contextos ..................................................................................13
Anlisis ..........................................................................................................................16

5.
5.1

Anlisis estructural ..................................................................................................16

5.2 Mdulos de anlisis de la estructura ..........................................................................16

5.3 Anlisis de la activacin del mdulo ...........................................................................17
5.4 Correlacin avanzada ..................................................................................................17
5.4.1 El anlisis funcional ...............................................................................................17
5.4.2 Anlisis del comportamiento ................................................................................17
6.

Modelos Sugeridos para la aplicacin empresarial ................................................17

6.1 Modelo Lgico ...........................................................................................................18
6.2 Modelo Fsico ............................................................................................................20

7.

NOC (Network Operation Center) .............................................................................21

7.1 Network Operations Center (NOC) Servicios ........................................................21
7.1 Beneficios ...................................................................................................................22

7.2 Por qu la Convergencia SOC / NOC? ...............................................................22

7.3 Desafos de la convergencia SOC / NOC ............................................................23
7.3 Pasos para la implementacin convergente del SOC/NOC...............................23
7.4 Flujo de Trabajo del NOC ........................................................................................25
7.5 Modelo Fsico del NOC ............................................................................................27
7.6 Modelo Lgico del NOC ..........................................................................................28
7.7 Diagrama Flujo de Datos del NOC .........................................................................29
7.8 Implementacin en empresa de E-commerce ......................................................30
Informacin de Arquitectura de Flujo ............................................................................30
7.9 Estructura de Integracin Propuesta ......................................................................33
8 Proceso para la continuidad del Negocio .................................................................34
Conclusiones............................................................................................................................37
Recomendaciones...................................................................................................................38
Bibliografa................................................................................................................................39

Introduccin
La Internet se ha convertido en un medio en donde se llevan a cabo una gran cantidad
de negocios alrededor de todo el mundo, y como en cualquier otro tipo de negocios, no
se puede asumir que todos los participantes estarn dispuestos a jugar limpio. El solo
hecho de llevar a cabo transacciones de negocios en un medio inseguro es suficiente
para alentar la conducta criminal en Internet.

Hay cuatro componentes cuya seguridad es crtica para la realizacin de

transacciones de negocios en lnea: el software cliente, los protocolos de transferencia
de datos, el servidor Web (o de comercio) y el sistema operativo. Una falla en
cualquiera de estos componentes compromete la seguridad de las transacciones y
debilitan la confianza de los consumidores y comerciantes en el comercio electrnico.

El uso de herramientas tecnolgicas como Help Desk, NOC y SOC ayudan a estos
negocios en la difcil tarea de mantener seguros sus comercios, ayudando as a
garantizar la buena imagen de estos para con sus clientes y generando un valor
adicional al negocio.

Marco Terico
Componentes de la Seguridad del Comercio Electrnico
Si bien no existe un esquema establecido para la seguridad en comercio electrnico,
podemos identificar claramente cuatro componentes principales que hay que proteger;
el software del lado del cliente, el transporte de los datos, el software del servidor Web
y el sistema operativo del servidor. Es importante hacer un esfuerzo para que la
seguridad de estos componentes sea consistente, ya que si uno de ellos presentara
una debilidad obvia, sera blanco de la mayora de los ataques, y debido a su debilidad
muchos de esos ataques seran exitosos.
Seguridad del software cliente
La seguridad del software cliente se refiere a la seguridad que presenta el software
cliente de web, es decir, el software que se utiliza para navegar en Internet. Los dos
grandes riesgos de este componente son las vulnerabilidades de los navegadores y
los componentes Web activos.
Seguridad en el transporte de los datos
El transporte de los datos a travs de las redes es el aspecto del comercio electrnico
que ha recibido la mayor concentracin de recursos para asegurar su seguridad. El
brindar seguridad a los datos en trnsito implica garantizar la integridad y
confidencialidad de los datos, y la autenticidad tanto del emisor como del receptor. La
integridad de los datos se refiere a asegurar que los datos no son modificados
mientras son transportados a travs de la Internet, La confidencialidad se refiere a que
los datos no puedan ser ledos por una entidad diferente al receptor y la autenticidad
del emisor y receptor se refiere a garantizar que las partes involucradas en la
transmisin sean quienes dicen ser, es decir, que no sean suplantados por terceros.
Mecanismos de seguridad
Para asegurar las transacciones de comercio electrnico es necesario que se cumplan
los siguientes requerimientos bsicos:

Privacidad. Es la habilidad de controlar quien puede (o no puede) ver la

informacin. Las transacciones deben permanecer privadas e inviolables en
el sentido de que entidades no autorizadas no puedan descifrar el
contenido de los mensajes.

Integridad. Es la seguridad de que los datos almacenados o transmitidos no

son alterados. Se debe asegurar que las transmisiones no son alteradas o
interferidas.

Autenticidad. Es la habilidad de determinar la identidad de las partes que se

comunican.

No repudiacin. No debe ser posible que un emisor de un mensaje pueda

alegar que no envi una comunicacin segura o que no realizo una compra.

Para cumplir con estos requerimientos se han desarrollado mecanismos o

combinaciones de mecanismos que permiten asegurar las transacciones. Estos
mecanismos se describen a continuacin:

1. Centro de control de Operaciones de Seguridad Informtica (SOC)

El objetivo es la administracin y gerenciamiento de los servicios de seguridad, que
est operado en modo 7x24x365 por especialistas altamente capacitados y
certificados en las herramientas y productos ms sofisticados de la industria de
seguridad informtica, quienes estn pendientes de las tareas de monitoreo y
proteccin de los activos y recursos informticos de los clientes, mientras verifican
permanentemente toda actividad que pueda afectar real o potencialmente, a la normal
operacin de las soluciones de IT utilizadas por el Cliente.

Por lo tanto, el SOC tendr tres componentes bsicos de gestin de vulnerabilidades,

gestin de amenazas y gestin de acceso.

1.1 Dentro de los servicios de un SOC se detallan las siguientes alternativas

a) Gerenciamiento de Firewalls:

Soluciones basadas en appliances especficos de hardware

Soluciones basadas en Personal Firewalls de software gerenciales, ideal

para uso de pequeas empresas.

b) Gerenciamiento de IDS e IPS (Sistemas de Deteccin y Prevencin de

Intrusos).
c) Gestin de Logs y Correlacin de eventos.
d) Anlisis de Vulnerabilidades.
e) Tests de Ataque y Penetracin.
f)

Auditora de Redes Internas.

g) Filtros de Contenidos (gestin de setup o implementacin de soluciones, con

reportes estadsticos).
h) Gestin de Antivirus y Antispywares de Servidores y de Workstations.
i)

Gestin de Soluciones de Autentificacin Fuerte.

j)

Gestin de Redes Privadas Virtuales (VPN) (Site to Site y Cliente Remoto).

k) Gestin de redes de telecomunicaciones y soporte de microinformtica.

l)

Servicios de Consultora, Auditora y Asesoramiento:

Normas ISO 17799 ISO 24001 (BS 7799-2) Compliance y gap

analysis.

Sarbanes-Oxley Compliance.

BCP /DRS planeamiento y definicin (Business Continuity Plan).

Diseo de Plan de Seguridad.

m) Servicios de Capacitacin.
2. Mdulos de un SOC
Security Operation Center es un trmino genrico que describe una parte o la totalidad
de una plataforma cuyo objetivo es proporcionar servicios de deteccin y reaccin a
incidentes de seguridad. De acuerdo con esta definicin, podemos distinguir cinco
de las operaciones a ser realizadas: generacin de eventos de seguridad, recoleccin,
almacenamiento, el anlisis y la reaccin.

Para mayor facilidad vamos a empezar con la definicin de "cajas":

Cajas de E: Eventos generadores

Cajas D: Eventos bases de datos

Cajas R: Eventos reaccin

A continuacin, se altera ligeramente la definicin de las cajas A (descritas como

"recibir informes y realizar anlisis ") a tan slo" el anlisis ", dejando la " operacin de
recoleccin" de los datos de Cajas E a Cajas C especficas.

Cajas A: Anlisis de eventos

Cajas C: la recopilacin de eventos y formato

Otro tipo de caja ser definida conforme necesitemos gestionar el conocimiento de

las caractersticas protegidas de la plataforma, as como la vulnerabilidad y la intrusin
de firmas de base de datos.

Cajas K: Base de Conocimiento

7

Como se puede imaginar fcilmente, cada caja describe un grupo funcional de

"Mdulos" que realizan operaciones especficas. Como un ejemplo una "caja E" puede
ser un grupo de aplicaciones que generan los eventos del sistema a travs del
estndar de interfaz

syslog del sistema operativo en que se ejecutan. . Tambin

podra ser un conjunto de ID's de Red. En los ejemplos anteriores, los mdulos seran
respectivamente aplicaciones y IDS de red.

Desde un punto de vista macro de cajas operara como se describe en la Figura 1.

Figura 1 Diagrama de cajas

2.1
Sensores
El tipo ms conocido de sensores son los IDS, pueden ser basados en host o basado
en la red.

2.2
Pollers
Pollers son un tipo especfico de generadores de eventos. Su funcin es
generar un evento cuando un estado especfico se detecta en un sistema de terceros.
La analoga ms simple es hacerse con los sistemas de gestin de red.

2.3
Cajas C y Cajas D
El propsito de las cajas de recogida es reunir informacin de diferentes sensores y
traducirla en un formato estndar, con el fin de tener una base homognea de
mensajes.

2.4
Cajas A y K
Estos mdulos son responsables para el anlisis de eventos almacenados en las cajas
D. Estn para realizar varias operaciones en orden de proveer mensajes de alerta
calificados.

2.5
Cajas R
Es un trmino genrico utilizado para definir el conjunto de reacciones y herramientas
de reporte usadas para reaccionar contra los eventos ofensivos que estn teniendo
lugar en o dentro de los sistemas supervisados.

3. Arquitectura global de un SOC

La arquitectura global de un SOC implementa los diferentes tipos de cajas definidas
anteriormente. Sin embargo, al lado de los puros aspectos tcnicos involucrados en
este tipo de implementacin, es necesario tener en cuenta la supervisin de la
infraestructura de TI como un proyecto plenamente operativo.
3.1 Procedimientos de reaccin y escalamiento
Con el tiempo, reaccionar adecuadamente a un ataque es sobre todo una cuestin de
organizacin y los procedimientos a ser aplicados por los equipos de respuesta a
incidentes. Por supuesto, la reaccin apropiada debe ser determinada antes de que un
ataque se lleva a cabo y los procedimientos deben ser validados a continuacin de
forma segura (sobre todo en trminos de integridad) almacenada y accesible a los
equipos de supervisin.

En trminos simples, un cierto nivel de escalamiento se debe definir con el fin de

asegurar una reaccin rpida y eficaz, en paralelo con el uso de apropiado
los recursos humanos. Los procedimientos de escalamiento se dan en la figura 3. Otro
aspecto a ser especificado es el retardo, definido como t1 en la figura anterior, en la
que el procedimiento de reaccin debe ser puesto en marcha, de acuerdo con atacar a
la criticidad. Una vez que este retraso se ha agotado, el escalamiento y el siguiente
paso (parte superior) deberan ser automticos.
9

Figura 2 Procedimiento de escalamiento

El primer nivel debe ser lo que nos referimos como agentes, es decir, a mediados de
tcnica el personal de nivel, que son capaces de entender los eventos generados por
unidades de embalaje, as como el procedimiento de reaccin para aplicar.

El segundo nivel debe ser un equipo de expertos tcnicos. Estos expertos son
responsables del anlisis de eventos de intrusin que no se han definido
a priori.

El tercer nivel debe ser un "laboratorio" en el que los paquetes sospechosos, el

sistema de operaciones y as sucesivamente se volver a jugar, con el fin de
determinar la naturaleza de la intrusin desconocida y proporcionar un procedimiento
de reaccin completo
10

4. Correlacin

4.1 Funcionamiento de la correlacin

El propsito de la correlacin es analizar secuencias complejas de informacin y
producir eventos simples, sintetizados y precisos. Con el fin de generar
eventos calificados, cinco operaciones deben llevarse a cabo:

a)

Identificacin de duplicados, la primera, la operacin obvia, es identificar

duplicados y establecer un indicador especfico, a fin de mantener la
informacin y continuar sin la necesidad de mantener mltiples mensajes
idnticos.

b)

Patrones de la secuencia de coincidencia, es la operacin ms comn

realizada por un motor de correlacin. Su finalidad es identificar una secuencia
de mensajes que sera caracterstico de un intento de intrusin. Se hace
posible identificar los procesos en curso de intrusin, as como los escenarios
complejos de intrusos.

c)

Coincidencia de patrn de tiempo, est diseado para incluir una dimensin

importante en el anlisis de intrusin: el tiempo. Esto se utiliza principalmente
para el contexto (ver ms abajo) gestin, as como lentas y distribuida
procesos de intrusin.

d)

Exposicin del sistema y el anlisis de criticidad, proporciona informacin

sobre el sistema de destino de la vulnerabilidad a los intentos de intrusin
detectados. En efecto, se parece inapropiado que las alarmas de generacin
de SOC sobre una intrusin escenario basado en una vulnerabilidad que el
sistema de destino no est expuesto. Otra pieza de informacin es la criticidad
de la intrusin es decir, su impacto global sobre el sistema supervisado. Esto
ayuda a gestionar las prioridades en trminos de reaccin a los incidentes
mltiples.

e)

Coincidencia de las polticas de seguridad, es un filtro basado en el

comportamiento que elimina eventos especficos si coinciden con los criterios
de polticas de seguridad, como administrador de inicio de sesin, los
procesos de identificacin y autorizaciones y restricciones.
11

Una visin global de las operaciones de correlacin se da en la figura 3 a continuacin

Figura 3 Operaciones de Correlacin

4.2 Introduccin a los contextos

El anlisis definido anteriormente se basa en una estructura especfica llamada
contextos.

Todas las operaciones de correlacin se realizan contra estas estructuras. En

trminos sencillos, la definicin de un contexto es la siguiente: un contenedor de datos
con formato que corresponden a un criterio comn.

Por lo tanto, cualquier mensaje almacenado en la base de datos de mensaje con

formato es parte de uno o ms contextos. Las operaciones de correlacin se llevarn a
cabo en paralelo para que se puedan ejecutar simultneamente en cada contexto.
12

Hay dos tipos de enfoque de contexto de la gestin puede llevarse a cabo:

La primera es para definir contextos independientes y distintos. Cada contexto

contendr los mensajes que coinciden todos los criterios. Se define la arquitectura
como una gran variedad de contextos.

El segundo enfoque es uno de tipo jerrquico. Contextos de nivel superior que

coincidan con un nmero limitado de criterios son definidos. A continuacin, subcontextos, basados en diferentes criterios, se crean y as sucesivamente. Esto se
define aqu en adelante como contexto rbol.

Como es de esperar, ninguno de los enfoques anteriores satisfacer todas las

necesidades, ser que en trminos de rendimiento o funcionalidad. Una arquitectura
mixta por lo tanto se tiene que ser definido.

4.2.1 Estructura de los contextos

Como cualquier operacin de correlacin se realiza exclusivamente en los contextos,
parece que su estructura es probablemente uno de los aspectos ms importantes de la
SOC.

4.2.1.1 Arquitectura Funcional

La arquitectura funcional se compone de una matriz de rboles de contexto. Cada
rbol contiene cuatro niveles de ramas, como se describe en la figura 4.

13

Figura 4 Arquitectura funcional de rbol

4.2.1.2 Estructura de datos

Con el fin de manejar la arquitectura que se ha definido anteriormente, es necesario
implementar una estructura que garantice un adecuado almacenamiento y acceso a la
informacin.

La figura 5 describe un esquema de implementacin de contexto. Como PERL de

forma nativa soporta matrices de implementos y tablas de hash vamos a utilizar la
notacin de PERL. Sin embargo, esto no es necesariamente una implementacin
recomendada.

14

Figura 5 Esquema de implementacin de contexto

4.2.2 Estado de los Contextos

Otra

caracterstica

importante

de

contexto

es

su

estado.

Definimos

tres

estados distintos que se detallan a continuacin:

a) Activo: el contexto coincide con los criterios especficos (por lo general

basadas en el tiempo pero podra ser cualquier otro criterio)

b) Inactivo: como un contexto, o bien no est de acuerdo con los criterios de

"activos" o no recibe un cdigo de cierre especfico

c) Cerrado: el contexto ha sido completado

15

Figura 6 Estado de los contextos

5. Anlisis

5.1 Anlisis estructural

El propsito del anlisis estructural consiste en identificar intentos de intrusin en
curso, administrar el estado de inactividad y el contexto de las condiciones del
contexto de cierre. En trminos sencillos, el anlisis estructural es un conjunto de
operaciones realizadas por mdulos independientes en cada contexto. Cada mdulo
se activa mediante un mensaje especfico y realiza el anlisis con una semntica
"estndar".

5.2 Mdulos de anlisis de la estructura

La salida de los mdulos de anlisis es el resultado de varias operaciones lgicas
entre las condiciones de autnomos contra los campos de los contextos. La Figura 7
describe miembros de tales operaciones

Figura 7 Mdulos de anlisis

16

5.3 Anlisis de la activacin del mdulo

Hay dos tipos de eventos pueden activar los mdulos de anlisis: los mensajes y el
tiempo.

5.4 Correlacin avanzada

Las operaciones avanzadas de correlacin se realizan a fin de definir la criticidad
de un intento de intrusin y evaluar si este tipo de intento de intrusin est permitido
de acuerdo con la poltica de seguridad.
5.4.1 El anlisis funcional
Este paso correlacin segunda se realiz con el fin de evaluar la exposicin del
sistema a la intrusin y el impacto global de una intrusin en la supervisin
sistema.

5.4.2 Anlisis del comportamiento

El propsito de este ltimo anlisis es definir si los intentos coinciden con la poltica de
seguridad. Esto se utiliza principalmente para controlar el acceso a las cuentas, pero
puede tambin aplicarse en el caso de auditoras pre-programadas, escaneos de
puertos, etc. En tal situacin, un cdigo de cierre se enva al contexto.

6. Modelos Sugeridos para la aplicacin empresarial

A continuacin se muestran los diagramas de solucin propuestos para la
implementacin de un SOC, tanto en forma fsica como lgica.

17

6.1 Modelo Lgico

Figura 8 Diagrama Lgico

18

Figura 9 Diagrama Lgico, bajo nivel

19

6.2 Modelo Fsico

Figura 10 Diagrama Fsico

20

7. NOC (Network Operation Center)

Un Centro de Operaciones de Red, o NOC, es utilizado para monitorear, administrar y

solucionar problemas en una red. El Centro de Operaciones de Red ofrece la
supervisin de la gestin de problemas, configuracin y cambios, seguridad de red, el
rendimiento y la supervisin de polticas, informes, control de calidad, programacin,
documentacin y gestin de la red mediante la utilizacin de sofisticados instrumentos
de seguimiento y anlisis. El NOC proporciona un entorno estructurado que coordina
de manera efectiva las actividades operacionales con todos los participantes y los
proveedores relacionados con la funcin de la red. Los tcnicos NOC suelen
proporcionar apoyo veinticuatro horas al da, siete das a la semana.

Los procesos tpicos diarios incluyen:

a) Monitoreo de las operaciones de todos los enlaces troncales y dispositivos

de red.

b) Asegurar la operacin continua de servidores y servicios.

c) Proporcionar apoyo a la calidad para los usuarios de la red.
d) Solucin de problemas de red y todos los problemas relacionados con el
sistema.
e) Apertura para rastrear y documentar resolucin de problemas.
f)

24 horas al da, 7 das a la semana bajo la supervisin y operacin por

ingenieros altamente cualificados de la red y del sistema.

7.1 Network Operations Center (NOC) Servicios

a) Observar, identificar, aislar, solucionar problemas, escalar, corregir los
problemas, y en el documento infraestructura de la informacin, incluyendo
la WAN, LAN, cortafuegos, RAS y conexiones secundarias.

b) Identificar la causa raz de los problemas

c) Realizar anlisis de tendencias

21

d) Registrar todos los problemas utilizacin de control automatizado,

resolucin de problemas y sistemas de ticketing.
e) La interaccin con otros tcnicos de la empresa para asegurar un manejo
adecuado y edicin resolucin
7.1 Beneficios
a) Aumento de la eficiencia de la red existente y recursos empresariales.

b) Le permite planificar con mayor precisin para el futuro inversiones en la

infraestructura de red.
c) Mejorar el servicio y el acceso a su usuario final comunidad y su cliente.
d) Reducir los costos
e) Interfaz con varias tcnicas y gestin recursos para la escalada problema,
resolucin y documentacin

7.2 Por qu la Convergencia SOC / NOC?

Las discusiones son una actividad constante en cualquier organizacin creciente de TI.
La clave para la toma de decisiones es encontrar una masa crtica en las capacidades
de los grupos. Los beneficios esperados son claros que esperamos optimizar recursos,
alinear los servicios del equipo operativo y aumentar la capacidad de respuesta para el
negocio.

Hay que tener en cuenta las funciones de un NOC, la tolerancia a fallos, la solucin de
problemas especficos de cortes de red, sistema de seguimiento de tiempo de
actividad, etc y compararlos con las funciones de un SOC, deteccin de intrusiones,
deteccin de anomalas de comportamiento de red, gestin de registros, etc. Cuando
se trata de control y la reaccin, la mayor diferencia entre el NOC y SOC es que el
SOC es en busca de "adversarios inteligentes."

Siendo realistas, es muy difcil decir la diferencia entre los ataques y actos al azar de
la red en las primeras etapas.

Elementos comunes en los procesos existen y deberan ser potenciados. La seguridad

debe ser implicado no slo en la identificacin de incidentes y la respuesta, sino
22

tambin cuando se trata de gestin del cambio, implementacin de aplicaciones y

seleccin de servicios. Adems, la utilizacin de los sistemas de tickets, los sistemas
de evaluacin de riesgos, las herramientas de informacin y sistemas de monitoreo
puede ser compartida entre ambos.

7.3 Desafos de la convergencia SOC / NOC

No hay convergencia sin obstculos. Los retos ms importantes giran en torno a la

utilizacin de recursos:

a) La racionalizacin de los procesos y el impulso de la eficiencia destacan los

procesos que estn siguiendo caminos diferentes a conclusiones similares.

b) Encontrar la herramienta adecuada, el SOC y NOC suelen tener una serie

de herramientas para satisfacer sus necesidades. Estas herramientas
deben ser inventariadas y evaluadas funcionalmente para encajar dentro
del centro de operaciones convergentes.
c) Aumento de correlacin, con una gran cantidad de herramientas, los
procesos de racionalizacin y herramientas conduce a una necesidad de
mayor profundidad de correlacin de eventos.
d) Un enfoque metodolgico para la implementacin es la mejor manera de
abordar estos desafos.

7.3 Pasos para la implementacin convergente del SOC/NOC

Un proceso para SOC/NOC que aprovecha la implementacin basado en principios de

convergencia posee cinco pasos.

Paso 1: evaluar los mandatos y las mejores prcticas

Es importante entender las expectativas de una organizacin que considere
convergencia. Este primer paso implica la comprensin de las fortalezas de la
organizacin y las debilidades, y comparndola con la voluntad de cambiar. La cultura
corporativa puede dictar mandatos desde una perspectiva de arriba hacia abajo o

23

basada en un consenso. Comprender el razonamiento de la organizacin asegura

coherencia con la iniciativa.

Quizs el factor ms importante en la evaluacin de mandatos internos es entender las

mejores prcticas y determinar la cantidad de cambio que sea necesario para cumplir
los objetivos. Un enfoque conservador suele proporcionar ms xito y da lugar a una
respuesta positiva de los departamentos afectados y personas.

Paso 2: Documentar las polticas y el valor del negocio

Con los mandatos definidos, es importante documentar la poltica a nivel estratgico

para las funciones del SOC/NOC. Estas polticas deben definir los objetivos de un
grupo de operaciones. La poltica puede poner de relieve las responsabilidades del
individuo para cada funcin y sentar las bases para la determinacin de cmo los
recursos deben ser asignados.

Tal poltica es ms importante de lo que es el valor del negocio, ya que a menudo se

pasa por alto y es clave para que todos los jugadores trabajen bien dentro de los
mandatos establecidos por la organizacin.

El valor del negocio debe manejar todas las polticas, procesos y controles.

Paso 3: Definir los controles de apoyo

Teniendo en cuenta la gestin orientada a los servicios, las operaciones de TI que

comprenden tanto componentes del SOC y NOC claves de TI y servicios
empresariales, su disponibilidad y rendimiento, y los componentes subyacentes de TI
que apoyan la prestacin de dicho servicio. Para ello ser necesario identificar e
internamente auditar las aplicaciones especficas, sistemas e infraestructura de red
que comprenden un servicio de TI.

Un enfoque til es identificar un puado de servicios de TI y organizar en un

documento un proceso de auditora. Esto no slo produce la salida manejable (en
lugar de intentar documentar todos los servicios posibles), sino que tambin puede
identificar reas para mejorar recopilacin de datos. Una vez que el servicio est
definido, la disponibilidad bsica o avanzada y requisitos de rendimiento o Acuerdos
de Nivel de Servicio (SLA) pueden ser investigados.
24

Esto ayudar a determinar qu controles pueden existir o ser necesarios.

Tanto las operaciones de red y funciones de operaciones de seguridad deben ser

evaluados para establecer los controles apropiados. Desde la recogida de informacin
sobre el trfico a travs de su anlisis, identificacin de problemas, la investigacin
inicial y el seguimiento forense, cada paso en el proceso debe tener controles para las
entradas y la transferencia a la siguiente etapa.

Paso 4: Revisin, verificacin y lograr apoyo

Los auditores internos y externos, y los miembros del personal del SOC y
NOC deben apoyar el proceso, los objetivos, requisitos y parmetros para
garantizar el mayor nivel de xito.

La documentacin y revisin posterior de los pasos 1 a 3, ser necesaria para

identificar cualquier punto muerto y hacer mejoras que son tpicas en un amplio
esfuerzo.

Paso 5: Implementar, mejorar y ampliar

El paso final es la implementacin. Se sugiere que el mantenimiento de la aplicacin

y limitar el alcance del proyecto por etapas antes de la implementacin real, esto
asegurar el progreso en la convergencia del SOC/NOC obteniendo un medio ms
rpido para las correcciones operativas y la capacidad de medir ms fcilmente los
resultados operativos.

7.4 Flujo de Trabajo del NOC

El flujo de trabajo NOC se organizar en cinco fases distintas:

a) Fase 1: El NOC se gestiona de forma virtual. Los componentes bsicos del

NOC son accesibles de forma ubicua.

b) Fase 2: Parte del NOC es el sistema de gestin de red virtual. Se compone

de mejoras en las interfaces grficas de usuarios a fin de planificar,

25

disponer y monitorear (en tiempo real), los cambios fsicos en la

infraestructura de red.
c) Fase

3:

Nuevos

servicios

se

ofrecen

con

el

servicio

Virtual

Manager. Estos servicios se utilizan para disear, especificar y organizar el

despliegue de servicios avanzados sobre la infraestructura de NOC.
d) Fase 4: Cuando se produce un problema es posible interactuar con el
Sistema de ayuda, con el fin de resolver los problemas de conectividad y
manejar Incidencias del sistema.
e) Fase 5: La alta gerencia est disponible para tomar decisiones sobre
aspectos estratgicos del proyecto y los correspondientes servicios
desplegados.

26

7.5 Modelo Fsico del NOC

Auto Descubrimiento

Motor de Auto
Descubrimiento y
Encuesta

SNMP

Notificacin Automtica

Ejecutivos

Registro de
dispositivos

Receptor Trap/Servidor
de Logs

Procesador de Alarmas

Personal Experto

Motor Correlacin de
eventos

Interface WEB

TRAPs/Syslog

Archivo de Alarmas

Recoleccin datos de
rendimiento y
presentacin de
informes

NOC-Help
Desk

SNMP

Figura 11 Diagrama Fsico del NOC

27

7.6 Modelo Lgico del NOC

Administracin de
Vulnerabilidades

Expertos en la matera

Administracin de
dispositivos

Administracin de
Amenazas

Administradores del
NOC

Jefe del NOC

Internet

Proceso Inteligencia
Global

Procedimientos de Operacin Estandar

Motor de Alarmas

Anlisis y
Diagnostico

Funcionamiento de
equipos de
infraestructura

Calidad de Servicios
y Aplicaciones

Administrador de
enlaces fsicos

Gestor de fallos y
rendimiento

Control de la
seguridad de
instalaciones

Operaciones de
todos los
dispositivos de red

Analizar, evaluar y
corregir

Deteccin y prevencin
de problemas de red

Gestin de fallas,
configuracin y base
de reglas

Red

Data Center 1

Data Center 2

Computacin de
Usuario

Figura 12 Diagrama Lgico del NOC

28

7.7 Diagrama Flujo de Datos del NOC

Inicio

Conectar al NOC

Seleccionar un Servicio:
Helpdesk, Administracin de
Servicios, Administracin de
Servicios de Red

ASR

Administracin Topologa de Red

Ocurri un
Problema

HelpDesk

No
Reiniciar Servicio de Red
No
Poner un
nuevo servicio

S
Llamar
administrador
Servicio

Poner nuevo servicio

Tomar
decisiones
estrategicas?

No

Alta Gerencia

Tomar decisiones
estratgicas

Fin

Figura 13 Diagrama de Flujo de Datos NOC

29

7.8 Implementacin en empresa de E-commerce

La seguridad es un componente integral y necesaria de los negocios de hoy, cada vez

ms, debido a la expansin de Internet y la gran "E": e-business, e-commerce y ecommerce al por menor. La seguridad nunca ha sido tan crtica para la supervivencia
de una empresa, la ventaja competitiva y la capacidad de mantener valor en los
interesados. Un programa de seguridad eficaz, por lo tanto, no es slo acerca de los
dispositivos de seguridad y tecnologa, sino que tambin debe incorporar a las
personas y los procesos.

El objetivo de la implementacin se centra en poder integrar tanto el NOC como el

SOC junto al Help Desk, para dar a la empresa de venta de Hosting y Dominios un
nico punto central de acceso y administracin de Software e Infraestructura.

En este caso el SOC llevara toda la parte de monitoreo y administracin de seguridad,

mientras que el NOC manejara toda la parte de Red. Ambos brindaran una interface
web integrada que permitir analizar tanto elementos del SOC como del NOC. Es en
este punto donde inicia el papel del Help Desk, el cual tendr acceso a estas
interfaces para poder generar Tickets o bien poder informar al usuario de forma
oportuna sobre algn problema o inconveniente que se est presentando.

Informacin de Arquitectura de Flujo

Como se representa en la arquitectura de flujo de informacin en la Figura 14, el
sistema requisitos es descompuesto en mdulos jerrquicos y funcionales de flujo
horizontal que son elementos de decisin para apoyar el proceso de NOC-SOC tctico
para la gestin de la informacin.

Cada una se descompone en sub-funciones de bajo nivel o misiones (Kossiakoff &

Sweet p.381, 2003). A continuacin en la Figura 15 se muestra la informacin de alto
nivel de la arquitectura de flujo que es de colores codificados para alinear a la Figura
13 que muestra la disposicin fsica y funcional de la NOC.

30

Interpretar

Links de Influencia
Sentido

Proceso

Evaluar

Analizar

Revisar

Ciclo de Realimentacin continua

Figura 14 NOC-SOC Nivel Superior Flujo de Informacin

Figura 15 Funcin NOC-SOC y maquetacin Fsica

Con el fin de cumplir con los requerimientos tcticos de la misin, la descomposicin

se repite en La Figura 16 hasta que la asignacin a un sistema particular (s) o
elemento de sistema (s) est completa.

Para los requisitos de rendimiento de la red, y los requisitos de colaboracin de apoyo

dentro las relaciones jerrquicas se utilizan en la construccin de las relaciones entre
padres e hijos durante la especificacin de los objetos

31

Sentido

Proceso

Evaluar

Analizar

Revisar

Explorar

Correlacin

Interpretar

Seleccionar

Monitorear

Capturar

Asociar

Clasificar

Alinear

Evaluar

Recolectar

Fucionar

Validar

Integrar

Iterar

Ciclo de Realimentacin continua

Figura 16 Informacin NOC-SOC Flujo Arquitectura

32

7.9 Estructura de Integracin Propuesta

Help Desk

Administracin de
Vulnerabilidades

Expertos en la matera

Administracin de
dispositivos

Internet

Administracin de
Vulnerabilidades

Expertos en la matera

Administracin de
dispositivos

Administracin de
Amenazas

Administradores del
NOC

Jefe del NOC

Internet

Proceso Inteligencia
Global

Administracin de
Amenazas

Administradores del
SOC

Proceso Inteligencia
Global

Jefe del SOC

Interface WEB

Motor de deteccin
de vulnerabilidades

Herramienta de
prevencin fuga de
datos

Motor de Alarmas

Anlisis y
Diagnostico

Administrador de
parches y
configuracin

Analizador de Log

Funcionamiento de
equipos de
infraestructura

Calidad de Servicios
y Aplicaciones

Herramienta
administracin
active directory

Gestor de fallos y
rendimiento

Administrador de
enlaces fsicos

Gestor de fallos y
rendimiento

Consola
administracin
seguridad de
dispositivos

Control de la
seguridad de
instalaciones

Operaciones de
todos los
dispositivos de red

Consola central de
antivirus

Analizar, evaluar y
corregir

IDS-IPS

Deteccin y prevencin
de amenazas

Gestin de fallas,
configuracin y base
de reglas

Analizar, evaluar y
corregir

Deteccin y prevencin
de problemas de red

Gestin de fallas,
configuracin y base
de reglas

Red

Data Center 1

Data Center 2

Computacin de Usuario

Procedimientos de Operacin Estandar

33

8 Proceso para la continuidad del Negocio

Plan de Continuidad del Negocio (BCP) es el resultado de la aplicacin de una

metodologa interdisciplinaria, llamada Cultura BCM, usada para crear y validar planes
logsticos para la prctica de cmo una organizacin debe recuperar y restaurar sus
funciones crticas parcial o totalmente interrumpidas dentro de un tiempo
predeterminado despus de una interrupcin no deseada o desastre.

Los objetivos del Plan de Continuidad de Negocio son:

a) Salvaguardar los intereses de sus clientes y socios adems del negocio y la

imagen de la organizacin.

b) Identificar los puntos dbiles en los sistemas de la organizacin.

c) Analizar las comunicaciones e infraestructuras.
d) Conocer la logstica para restablecer los servicios, independientemente de
los sistemas.
e) Ofrecer alternativas viables a todos los procesos crticos de negocio.

Antes de iniciar con la propuesta para mantener la continuidad del negocio, es

importante aclarar algunos conceptos que estn asociados directamente con el tema y
cuyo dominio es relevante.
Qu es Riesgo?
Los riesgos, que pueden ser naturales o provocados por el hombre, representan la
exposicin a la prdida dentro de una organizacin. Los potenciales riesgos son
tpicamente medidos en trminos de probabilidad de ocurrencia y el impacto generado
en caso que los mismos se materialicen.

Qu es Probabilidad?
La probabilidad mide la capacidad de ocurrencia del riesgo en el tiempo, considerando
niveles de (como ejemplo): muy poco probable, poco probable, moderada, probable y
casi cierta.

34

Qu es Impacto?
El impacto mide el nivel de dao provocado una vez manifestado el riesgo. Este nivel
de impacto se puede medir (como ejemplo) con la calificacin siguiente: insignificante,
menor, moderado, significativo o catastrfico.

Procedimientos de Recuperacin
Se elaborarn procedimientos de recuperacin que apoyarn el proceso de
recuperacin de la plataforma de TI posterior a la manifestacin de cualquier evento
que los afecte parcial o totalmente (escenario de peor caso). De esta forma deber
documentarse procedimientos para la recuperacin de:

_ Sistemas de informacin;
_ Servidores;
_ Equipos y lneas de comunicacin.

En todos los casos se considerar con prioridad aquellos elementos (de los citados
anteriormente) que sean crticos de acuerdo a los procesos crticos del negocio y
considerando los tiempos mximos de interrupcin identificados en cada uno de los
casos.

Desarrollar programas de entrenamiento y concientizacin

En esta etapa, se desarrollara un programa orientado a crear y mantener conciencia
en el negocio, adems de mejorar las habilidades requeridas para desarrollar e
implementar los planes de recuperacin.

Pruebas y dar mantenimiento al Plan

Esta etapa se orienta a probar con antelacin y coordinar ejercicios, documentando y
evaluando los resultados de ellos. Desarrollar procesos para mantener vigentes las
capacidades para lograr una adecuada recuperacin de las operaciones de TI, en
acuerdo con la direccin estratgica del negocio.

Centro de Operaciones de Emergencia (COE)

El Centro de Operacin de Emergencias (COE) es un local o rea desde la cual se
controla toda la emergencia y se realizan actividades de evaluacin inicial,
coordinacin y toma de decisiones. Es el sitio que albergar al personal responsable
de coordinar los esfuerzos de la recuperacin.

35

Directriz de capacitacin en planes de continuidad

Debe ser poltica proveer la capacitacin necesaria a los funcionarios, sobre el Plan de
Continuidad de TIC, con el propsito de asegurar la obtencin de una participacin
acorde con los lineamientos establecidos en este plan y esperados en el evento de un
desastre.

La capacitacin puede ser considerada como la mejor manera de proporcionar al

personal con el conocimiento apropiado de sus responsabilidades ante un desastre.
Adicionalmente ayuda a mantener el Plan actualizado al permitir la identificacin de
reas de mejora y de actualizacin en el mismo.

Captura de Informacin de Riesgos

Ejemplo de Implementacin

36

Conclusiones
La complejidad de la configuracin de SOC-NOC es ms una cuestin de la
integracin que la implementacin de los mdulos individuales. Las nuevas normas
deben ayudar a reducir las diferencias entre los enfoques tericos, de propiedad las
implementaciones y los sistemas independientes.

Mientras tanto, las intrusiones estn claramente teniendo lugar y no hay por tanto una
necesidad para sistemas de supervisin operativas en la actualidad. La experiencia
demuestra que un enfoque pragmtico debe ser tomado con el fin de poner en prctica
un SOC-NOC profesional que puede proporcionar resultados fiables.

La teora se ha descrito anteriormente constituye el marco para la implementacin de

un SOC

37

Recomendaciones
Debido a la alta complejidad del tema, as como los elevados costos tras su
implementacin, se debe analizar muy bien las necesidades; a fin de determinar si lo
mejor es implementarlo o subcontratarlo (actualmente muchas empresas brindan estos
servicios a terceros).

Es de vital importancia que si se desea monitorear, vigilar o regular el uso de recursos,

informacin o acceso exista una o varias polticas que estipulen ese requerimiento
ejecutivo para poder as justificar la implementacin o contratacin de servicios que se
encarguen de hacer cumplir las polticas

Debe existir o fomentar una cultura sobre la seguridad informtica, que tenga un peso
en las empresas, ya que estas, no gustan de capacitar al personal y la contratada no
cuenta con la experiencia suficiente.

Se debe buscar la mayor convergencia entre herramientas del SOC y el NOC con el
fin de abaratar los costos

38

Bibliografa

Group, M. P. (s.f.). Mid Point Group. Recuperado el 23 de 11 de 2012, de

http://www.mindpointgroup.com/SOC.pdf
Intelligence, N. (s.f.). Network Intelligence. Recuperado el 18 de 11 de 2012, de
http://www.niiconsulting.com/services/managedsecurity/nocsoc.html
Nasa. (s.f.). Nasa. Recuperado el 25 de 11 de 2012, de http://www.uscert.gov/GFIRST/presentations/Incident_Management_Anatomy_of_a_Security_Oper
ations_Center.pdf
Wikipedia. (s.f.). Wikipedia. Recuperado el 18 de 11 de 2012, de
http://en.wikipedia.org/wiki/Security_operations_center
http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio

39