INSTITUTO POLITCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA

DE INGENIERA Y CIENCIAS SOCIALES
Y ADMINISTRATIVAS

PROPUESTA DE MODELO DE IMPLEMENTACIN Y GESTIN

PARA UN CENTRO DE OPERACIONES
DE SEGURIDAD (SOC)

T E S I N A

QUE PARA OBTENER EL TTULO DE

INGENIERO EN INFORMTICA

P R E S . E N T A N
RIJKAARD GARDUO CALDERON
MARIO ALFONSO GOMORA OLALDE
JESUS RESENDIZ PARDO
ENNYSMARIANELATORICES COTARELO

QUE PARA OBTENER EL TTULO DE

LICENCIADO EN CIENCIAS DE LA INFORMTICA

P R E S E N T A
GEORGINA GIOVANA VZQUEZ GARCA

CIUDAD DE MXICO 2016

NDICE
Resumen.............i
Introduccin...........iii
Captulo I. Marco Metodolgico..........1
1.1 Planteamiento del problema ........1
1.2 Objetivo general..2
1.3 Tcnicas e instrumentos de medicin...................2
1.4 Objetivos especficos.....3
1.5 Universo y/o muestra............3
1.6 Justificacin ....8
1.7 Hiptesis......9
Captulo II. Marco Terico...10
2.1 Modelo10
2.2 Seguridad Informtica..10
2.2.1 Disponibilidad..........11
2.2.2 Integridad ........12
2.2.3 Confidencialidad ........ ...12
2.3 Diseo de la Seguridad de la Informacin13
2.3.1 Polticas y procedimientos ....13
2.3.2 Evaluacin de la seguridad ......15
2.3.3 Mejora de la seguridad ..15
2.4 Objetivos de la Seguridad de la Informacin .............15
2.5 Sistema de Gestin de Seguridad de la Informacin ...............16
2.6 Servicios de Seguridad de la Informacin....16
2.6.1 Protocolos de Seguridad de la Informacin17
2.7 Consecuencias de la falta de Seguridad de la Informacin.............17
2.8 Anlisis y gestin de riesgos en un sistema informtico18
2.8.1 Riesgos.....18
2.8.2 Definicin de Riesgo...19
2.8.3 Anlisis de Riesgos .......19
2.8.4 Tipos de anlisis del riesgo ..19
2.8.5 Gestin de Riesgos .......20
2.9 Amenazas..22
2.9.1 Tipos de Amenazas....22
2.10 Vulnerabilidades...................24
2.10.1 Tipos de Vulnerabilidades.....................25
2.11 Centro de Operaciones de Seguridad (SOC)27
 2.11.1 Definicin ........................27
2.11.2 Funciones...28
2.11.3 Servicios de un SOC....28
2.11.3.1 Monitoreo y correlacin de eventos ...............28
2.11.3.2 Monitorizacin y gestin de logs...30
2.11.3.3 Monitorizacin y gestin de cortafuegos.....31
2.11.3.4 Operacin y Administracin de la Infraestructura..33
2.11.3.5 Identificacin y gestin de eventos......33
2.11.3.6 Incidentes de seguridad.33
2.11.4 Plan de respuesta a incidentes de seguridad..36
2.11.5 Estructura y Caractersticas....36
2.11.5.1 Etapa de reaccin ......38
2.11.5.2 Restauracin....39
2.11.5.3 Equipo de Respuesta a Incidentes de Seguridad..39
2.11.6 Impactos... .40
2.11.7 Plan de contingencia....42
2.11.8 Estadsticas de seguridad en las organizaciones.......47
2.11.9 Infraestructura tecnolgica para la creacin de un SOC...50
2.11.9.1 Firewalls....52
2.11.9.2 Sistema de deteccin de intrusos (IDS)..53
2.11.9.3 Sistema de prevencin de intrusos (IPS)....54
2.11.9.4 Servidores .......54
2.12 DMZ..57
Captulo III. Marco contextual....58
3.1 Problemtica en materia de seguridad del SOC.......................58
3.2 Problemtica en la operacin del SOC..........................60
3.2.1 Niveles de Servicio ....60
3.2.2 Calidad en el servicio proporcionado...62
3.2.3 Niveles de atencin y respuesta al cliente..63
3.3 Ventajas y Desventajas de un SOC.............64
3.4 Los retos de seguridad para las Pymes....................................66
Captulo IV. Buenas prcticas y estndares aplicados a la problemtica.68
4.1 Estndares de seguridad...............68
4.2 ISO 27002:2013....68
4.3 ISO 27005:2011....71
4.4 ISO 27032:201272
4.5 Estndares de calidad ... ....73
4.5.1 ISO IEC 9001...74
4.6 Buenas prcticas .....76
4.6.1 COBIT ..... 77
4.6.2 ITIL.80
Captulo V. Propuesta de modelo para la implementacin de un Centro de Operaciones
de Seguridad (SOC)..................83
5.1 Diseo y definicin del modelo propuesto....83
5.2 Propuesta de modelo de implementacin y gestin para un Centro de Operaciones
de Seguridad (SOC).84
5.3 Fase de Anlisis...........85
5.4 Fase de Investigacin..86
5.4.1 Definicin de alcance y lmites del Centro de Operaciones de Seguridad86
5.4.2 Ubicacin y tipo de SOC propuesto.86
5.4.3 Definicin de activos...87
5.4.4 Anlisis y evaluacin de riesgo.87
5.5 Fase de Aplicacin...87
5.5.1 Controles propuestos.....87
5.5.2 Definicin de polticas y procedimientos para el Centro de Operaciones
de Seguridad (SOC)......88
5.5.3 Recomendaciones fsicas de infraestructura, recursos humanos y
herramientas seleccionadas para el SOC................88
5.6 Fase de Prevencin ........89
5.6.1 Ciclo de vida de la Informacin.89
5.6.2 Revisin continua del Centro de Operaciones de Seguridad..89
Captulo VI. Caso prctico de modelo para la implementacin de un Centro de
Operaciones de seguridad (SOC).....91
6.1 Antecedentes de la empresa..91
6.2 Aplicacin del modelo..95
6.3 Fase de Anlisis...95
6.4 Fase de Investigacin..97
6.4.1 Informacin recabada dentro de la institucin...97
6.4.2 Definicin de alcance, lmites y tipo de SOC propuesto.101
6.4.3 Ubicacin y tipo de SOC..101
6.4.4 Definicin de activos y enfoque de evaluacin del riesgo de la
Organizacin ........101
6.4.5 Determinacin de las amenazas por activo.....103
6.4.6 Clculo de riesgo.........105
6.4.7 Plan de tratamiento de riesgo.108
6.5 Fase de Aplicacin.112
 6.5.1 Controles aplicables a la operacin del SOC......112
6.5.2 Recomendaciones / Estructura funcional para la operacin del SOC.113
6.6 Fase de Prevencin .........115
6.6.1 Creacin y Uso de la informacin..115
6.6.2 Condiciones de Uso, Almacenamiento y Borrado ................116
Conclusiones ...........118
Bibliografa ....119
Glosario .....121
Anexos ...123
Resumen
En esta tesina se abarcan todos los aspectos necesarios que requiere un centro de operaciones de
seguridad (comnmente denominado SOC por sus siglas en ingls) para su realizacin y
administracin, y con ello se proporciona una propuesta que evale si es factible y costeable
implementarlo en las empresas o de lo contrario rentar los servicios para hacer frente a las
amenazas en este mundo vertiginoso y cambiante da a da. Con esta propuesta se le informa a la
empresa Anthares IT Services que el modelo hace posible mejorar su rendimiento a los fallos ms
comunes y graves de la gestin de acceso de la informacin para esto se propone implementar
niveles de servicio y gestin de incidentes de seguridad para definir, notificar, confirmar y
monitorizar la actividad sospechosa de la infraestructura de seguridad as se obtiene un mximo de
calidad de los servicios de TI ofrecidos.

Los objetivos principales consisten en revisar las tecnologas con las que cuenta la empresa
Anthares IT Services para as disminuir el impacto econmico y a fin de establecer medidas, guas
y procedimientos adaptables a las mejores prcticas existentes de la seguridad informtica. Se
propone un sistema de gestin de seguridad de la informacin para la empresa Anthares IT
Services que mejora los procesos de capacitacin y formacin de seguridad de informacin y
demuestra que se aplica el conocimiento transmitido, mediante el establecimiento de
procedimientos y lineamientos referentes al tema ajustado a controles de actualizacin.

La propuesta engloba tres puntos importantes que se desarrollaron, los cuales son:

1. Evaluacin y costo beneficio del modelo versus soluciones ofertadas por proveedores
2. Definicin del alcance, lmites y ubicacin del SOC
3. Establecer el tipo de SOC a desarrollar, as como los controles, polticas y procedimientos
para su versin final .

El diseo del modelo del SOC se adapta a las necesidades de la institucin, se promueve la
adopcin de un enfoque de procesos para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar el SGSI de la organizacin. Para la ubicacin fsica del SOC se toma en
consideracin los Estados de la Repblica Mexicana con menor porcentaje de riesgo calculado,
por lo tanto se propone que sea desarrollado en el estado de Quertaro donde la infraestructura se
encontrar ms segura y libre de toda contingencia, se cuenta con una relacin de infraestructura
ya existente y la estipulacin con realizada con el levantamiento de informacin.

Eventualmente, se proponen reacciones que las llamamos apropiadas a un ataque, sobre todo se
habla de una cuestin de organizacin y procedimientos para ser aplicados por los equipos de
respuesta a incidentes. La reaccin se extiende desde el monitoreo pasivo para obtener ms

i
informacin pasando por un paro de emergencia del sistema objetivo hasta reportar el incidente. La
reaccin apropiada debe ser determinada antes de que un ataque ocurra y los procedimientos
deben ser validados entonces de forma segura almacenando y haciendo accesible a los equipos
de supervisin.

ii
Introduccin
Con el entendimiento de que los ataques pueden ser prevenidos antes de que sean un riesgo para
la organizacin, mediante la oportuna deteccin y respuesta de las amenazas en tiempo real, para
as obtener y mantener actualizada una base de conocimientos para reaccionar a posibles
amenazas en el futuro casi al instante. Las compaas deberan reforzar sus capacidades para
poder responder apropiadamente a la eventualidad que les corresponde al momento, dando
hincapi a la resolucin de este tema para as mantener la estabilidad del negocio.

Incluso cuando un sistema es seguro, los mtodos de prevencin tradicionales pueden no detectar
todos los fraudes y ataques cibernticos. Es por ello que las empresas deben permitirse el lujo de
tener a la seguridad como su principal aliado en todas las actividades que realice la empresa.

En esta tesina se abarcan todos los aspectos necesarios que requiere un centro de operaciones de
seguridad para su realizacin y administracin, y con ello proporcionar una propuesta que evale si
es factible y costeable implementarlo en las empresas o de lo contrario rentar los servicios para
hacer frente a las amenazas en este mundo vertiginoso y cambiante da de da.

Con esta propuesta se le informa a la empresa Anthares IT Services que el modelo har posible
mejorar su rendimiento a los fallos ms comunes y graves de la gestin de acceso de la
informacin para esto se propone implementar niveles de servicio y gestin de incidentes de
seguridad para definir, negociar, notificar, confirmar, monitorizar y contener la actividad sospechosa
de la infraestructura de seguridad as se obtiene un mximo de calidad de los servicios de TI
ofrecidos.

La presente tesina se compone por seis captulos en los cuales se muestran los conceptos bsicos
y normativas necesarias para proponer un centro de operaciones con fundamento en el diseo
presentado, que permita la implementacin y administracin de un SOC que apoye a mitigar el
riesgo de ocurrencia de incidentes perjudiciales en la infraestructura tecnolgica que comprometan
las operaciones del negocio y amenacen la seguridad de la informacin dentro de la empresa
tomando como base estndares internacionales y mejores prcticas.

Por lo tanto en el primer captulo se expone el problema a realizar en esta tesina, as como los
objetivos que se buscan para solucionarlo y el fundamento del porqu es necesario realizarlo. A su
vez, en el siguiente captulo se da un desglose del marco terico a desarrollar propiciando una
visin general de lo que es la seguridad de la informacin, posibles riesgos en un sistema
informtico, los mecanismos preventivos, las estadsticas en las organizaciones, el concepto de
que es un SOC, diferentes tipos de SOC, adems de la infraestructura necesaria para
implementacin del SOC.

iii
Con toda esta investigacin recabada se lleva a cabo el captulo tres donde se da un anlisis
exhaustivo del SOC para disminuir los posibles actos que estn enfocados en nuestro objetivo para
atacar rpidamente cualquier anomala.

En el captulo cuatro se brinda un contexto de las buenas prcticas de implementacin ms

conocidas en la nacin acerca de seguridad en informtica teniendo una visin general de los
estndares, normas y objetivos a brindar en la problemtica desarrollada.

A su vez el captulo cinco es la pieza que engloba toda la tesina ya que en l se desglosa el
modelo propuesto para la implementacin de un centro de operaciones de seguridad (SOC)
recabando toda la informacin de captulos anteriores para llegar a la definicin de dicho modelo.

En el captulo seis, despus del anlisis e investigacin realizada en los captulos anteriores se
hace frente a proponer el modelo a la empresa para mejorar y establecer polticas necesarias para
obtener los servicios de un centro de operaciones englobando as las opiniones del cliente para
una toma de decisiones eficaz dentro de la empresa Anthares IT Services.

iv
Captulo I. Marco Metodolgico
En este captulo se expone el por qu se la eleccin de este tema enfocado en resolver la
problemtica a travs de establecer un objetivo principal desglosndolo en especficos con lo cual
se define dicho documento basado en tcnicas e instrumentos de medicin para el universo de la
problemtica en cuestin.

Asimismo, se indica qu tipo de investigacin se usa para el desarrollo y la forma en que se

desenvuelve para efectos del proyecto.

1.1 Planteamiento del problema

Actualmente, se sabe que la informacin es el activo ms valioso dentro de las empresas y su

seguridad se ha vuelto de misin crtica dado que la mayora es almacenada en forma digital y el
riesgo de sufrir algn tipo de ataque o riesgo va en aumento.

El empleo de las nuevas tecnologas y el amplio crecimiento de las instituciones, hace que la
informacin se vuelva ms susceptible a ser usada para fines que comprometen su integridad,
disponibilidad y confidencialidad. El uso inadecuado de internet, correo electrnico, mensajera
instantnea o informacin en papel, puede tener graves consecuencias tanto legales como
econmicas, ya que desatenderlas podra suponer prdidas incalculables que pondran en riesgo
la continuidad de la empresa. Adems, de la complejidad de la mayora de los ambientes
empresariales de TI, combinada con el predominio de los servicios mviles, de nube y la
accesibilidad cada vez mayor de las redes empresariales a redes externas, ofrece a los atacantes
muchos lugares para ocultarse y mucho ms puntos para una posible intrusin.

La seguridad de la Informacin tiene como fin la proteccin de la informacin, as como

concientizar sobre su uso, divulgacin, interrupcin o destruccin no autorizada, y por ello,
conviene aclarar que la seguridad absoluta no es posible, puesto que no existe un sistema 100%
seguro, de forma que el elemento de riesgo est siempre presente, independiente de las medidas
preventivas y correctivas implementadas.

Para mejorar la deteccin y la respuesta a las amenazas se necesita un enfoque de seguridad

basada en inteligencia que ayude a las organizaciones a usar toda la informacin disponible
relacionada con la seguridad, tanto de fuentes internas como externas, para detectar amenazas
ocultas e incluso predecir amenazas futuras. Para llevar a cabo esto se necesita optimizar la
manera en que las tecnologas, el personal y los procesos trabajan en conjunto, ya que es
fundamental para escalar las funcionalidades de seguridad con los crecientes riesgos que
presentan las amenazas cibernticas avanzadas, todo ello sin dejar de proporcionar eficiencia y
valor a la organizacin.

1
La automatizacin de la tecnologa puede ayudar a los analistas a aprovechar al mximo su tiempo
al reducir drsticamente la carga de trabajo que implica el cierre de incidentes de rutina de bajo
nivel. La automatizacin le da tiempo a los analistas para concentrarse en riesgos de mayor
prioridad que afectan a los activos ms crticos de la organizacin.

Los resultados de los mejores equipos de operaciones de seguridad ilustran el impacto que se
produce al optimizar la interaccin de personas, procesos y tecnologas en las operaciones de
seguridad. Al apoyarse en un programa de seguridad basada en inteligencia, las organizaciones
lderes pueden lograr resultados satisfactorios (como reducir el tiempo promedio para resolver
incidentes hasta en un 60%).

Un Centro de Operaciones de Seguridad (SOC por sus siglas en ingls) funcionando en forma,
puede ser el corazn de la deteccin efectiva. Ya que tiene como propsito proporcionar servicios
de deteccin y reaccin a incidentes de seguridad, lo que permitir a los responsables de la
Seguridad de la Informacin tomar decisiones oportunas que apoyen a la continuidad de la
operacin de la infraestructura de TI que conforman los activos informticos.

En el ncleo de un SOC exitoso estn unos cimientos fuertes para la excelencia operacional,
impulsada por procesos bien diseados y ejecutados, un gobierno fuerte, individuos capaces y en
constante motivacin para mejorar y estar delante de sus ciberadversarios. Un buen SOC es aquel
que soporta los objetivos del negocio, mejora efectivamente la postura de riesgo de una compaa
y provee un ambiente de seguridad para que el negocio pueda generar sus objetivos primordiales,
alineado con su direccin y visin estratgicas.

Para mantener la operacin del centro se toma como base la norma internacional ISO/IEC 27001,
la cual es la norma principal para la gestin de la seguridad de la informacin que ayudara a tener
una adecuada gestin y cumplimiento de los estndares de calidad en cuanto a niveles de servicio
y cumplimiento de normas.

1.2 Objetivo general

Proponer un modelo adaptado a las necesidades institucionales que permita definir los elementos
necesarios que se requiere para implementar y administrar un centro de operaciones de seguridad
que apoye el monitoreo integral de dispositivos de ante incidentes y delitos informticos.

1.3 Tcnicas e instrumentos de medicin

En el presente trabajo se hace uso de cuestionarios y entrevistas, aplicando tcnicas de muestreo

estadstico para evaluar la informacin y verificar los principales problemas que tiene la empresa

2
Anthares IT Services y con base en este anlisis desarrollar el modelo planteado estableciendo
instrumentos de medicin para la aplicacin correcta de estas herramientas.

1.4 Objetivos especficos

a) Realizar una evaluacin costo beneficio con base a la oferta de proveedores externos
para saber si es costeable o no la implementacin del modelo propuesto.
b) Revisar los activos y las diferentes tecnologas con las que cuenta actualmente la
organizacin e identificar el nivel de riesgo de los mismos.
c) Definir controles y medidas de seguridad que permitan mitigar el riesgo operativo, as como
definir polticas y procedimientos que apoye a puntualizar una arquitectura de seguridad
que proporcione las funciones de autenticacin, autorizacin y registro de actividades.
d) Desarrollo de la propuesta del modelo.

1.5 Universo y/o muestra

El universo de la presente tesina est basado en el estudio estadstico enfocado a los problemas
de seguridad que se presentan en Latinoamrica de acuerdo a los estudios realizados por Eset en
el ao 2014.

Una de las cuestiones que resulta interesante conocer para determinar en qu se enfocan las
empresas cuando se trata de la Seguridad de la Informacin, son aquellas preocupaciones por las
cuales invierten recursos para evitar problemas. Adems de conocer solamente las
preocupaciones, es interesante analizar cmo cambian de acuerdo al tamao de la empresa.

Tal como se puede observar en la Ilustracin 1, resulta que la mayor preocupacin para cerca del
70% de las empresas encuestadas en Latinoamrica son las vulnerabilidades de software y sus
sistemas. Esta preocupacin se mantiene en el primer lugar independiente del tamao de la
empresa, seguida por la infeccin con cdigos maliciosos. En este caso, cabe resaltar que la
infeccin con malware tiene ms impacto como preocupacin entre las pequeas y medianas
empresas en comparacin con las grandes.

3
 Ilustracin 1.Preocupaciones de la Seguridad de la Informacin de las empresas de acuerdo a su tamao.

Qu incidentes sufrieron las empresas durante 2014?

Tal como se muestra en la Ilustracin 2 la distribucin de los incidentes es muy similar

independiente del tamao de la organizacin, sobre todo para los incidentes ms recurrentes como
los accesos indebidos, la infeccin con malware y los ataques de denegacin de servicio (DoS por
sus siglas en ingles).

Esta tendencia demuestra que a un ciberdelincuente no le interesa el tamao de la empresa

siempre y cuando pueda obtener algn tipo de ganancia econmica; es crucial que los
responsables de la seguridad de las compaas conozcan esto y no pase inadvertido en ninguna
reunin de planificacin e implementacin de planes de seguridad. Un caso interesante y que vale
la pena resaltar est relacionado con los incidentes asociados al phishing, como se observa en la
Ilustracin 1 es el tipo de amenaza que menos preocupa a las empresas, y particularmente a las
de mayor tamao como el incidente que menos reportan como parte de sus principales
preocupaciones. Sin embargo, en la Ilustracin 2 se observa que casi el 20% de empresas grandes
sufrieron algn incidente de phishing que afecta directamente a la informacin que manejan los
empleados y que puede exponer de forma crtica datos sensibles. Se tiene un panorama de cmo
se dieron los incidentes de seguridad en las empresas a nivel general en Latinoamrica; ahora es
importante ver la tendencia de incidentes pas por pas.

4
 Ilustracin 2.Incidentes sufridos en las empresas de Latam.

Como se puede observar en la Ilustracin 3 el Malware a nivel regional, las empresas encuestadas
en Colombia, Venezuela, Ecuador, Per y Nicaragua son la que reportaron mayores niveles de
infecciones con cdigos maliciosos. Esto no es una sorpresa cuando se observa que, por ejemplo,
en Colombia las detecciones de botnets crecieron un 10% durante 2014, y en pases como
Ecuador y Venezuela se encuentran variantes de cdigos maliciosos que no son los ms comunes
comparados con el resto de Latinoamrica. En el caso de Per, se muestra que es uno de los
pases de la regin con ms detecciones de uno de los gusanos ms propagados en la regin,
VBS/Agent.NDH4. Tanto esta amenaza como JS/Bondat han causado un dolor de cabeza a ms
de una empresa.

5
 Ilustracin 3.Infecciones con malware por pas.

A diferencia de lo ocurrido en aos anteriores, los incidentes relacionados con accesos indebidos a
la informacin fueron los ms reportados por las empresas de la regin como se observa en la
Ilustracin 4. De hecho, tan solo fueron 5 de los 14 pases encuestados en los que menos de la
mitad de las empresas tuvieron algn incidente de este tipo. En los 9 pases restantes, ms de la
mitad de las empresas declararon haber tenido un incidente de este tipo. Encontrar este incidente
en la primera posicin en todos los pases de Latinoamrica es el reflejo de lo que se vio durante
todo el ao. Casos como los de Sony, Home Depot, eBay o Target dejaron en evidencia lo que
sucede con la informacin si no se toman las precauciones de seguridad adecuados. La prdida y
exposicin de informacin confidencial no es el nico problema de un incidente de este tipo sino
que tambin supone un problema para la reputacin de la empresa, y una probable disminucin de

6
la confianza por parte de los clientes. De todas maneras, ms all de esto, cuando ocurre un
incidente de seguridad ya sea detectado de manera interna o a travs de algn agente externo a la
compaa es notificado, las empresas deben relevar a qu informacin confidencial se tuvo acceso
y cmo es que los cibercriminales o atacantes lograron poner sus manos sobre esos datos.
Asimismo, estos incidentes pueden darse cuando no existen controles o perfiles correctos en las
redes de las empresas, y permiten que personal de otras reas o sectores logren acceder a planes
confidenciales de la gerencia, administracin, recursos humanos y dems.

Ilustracin 4.Acceso indebido por pas.

7
Con el conocimiento de los principales problemas del universo seleccionado se hace uso de la
elaboracin de esta tesina y proyecto de investigacin, los datos entregados por la empresa
Anthares IT Services en la cual se selecciona a directores y jefes de rea que conocen la
operatividad de la empresa as como las principales problemticas de la seguridad en la
informacin tomando como base la interpretacin que ellos tienen respecto a los problemas de
seguridad que existen en la organizacin, as como tambin estadsticas de incidentes que han
sido atendidos y registrados por el rea de soporte existente actualmente.

1.6 Justificacin

Desde que se incorpora la informtica y la tecnologa a los procesos de las empresas ha implicado
que las actividades que se realicen sean sistemticas, sean ms giles y sencillas. Sin embargo,
toda facilitacin debe ir de la mano con la seguridad y proteccin.

La seguridad informtica debe ser parte de la cultura de una organizacin donde sean utilizados
los recursos y activos de la manera que se decidi y que el acceso a la informacin ah contenida,
as como su modificacin solo sea posible a las personas que se encuentren acreditadas y dentro
de los lmites de su autorizacin.

Los sistemas de hardware y software al ser creados por seres humanos y, ms an, los usuarios
en s por su naturaleza, le imprimen a la Informtica un sentimiento de inseguridad que debe estar
controlado; y nadie mejor que los dueos de cada proceso en conjunto con algn especialista en
esta materia, para orientarnos hacia qu medidas efectivas adoptar para estar protegidos.

Un modelo de seguridad o diseo de la seguridad enmarcado en una plataforma de administracin

de seguridad como un SOC, ayuda a tener una seleccin eficiente de las tecnologas de la
informacin que proveen seguridad, basada en polticas y atendiendo a necesidades propias de la
organizacin.

El Centro de Operaciones debe basar sus servicios en cuatro pilares fundamentales:

Prevencin. Tiene como principal objetivo disminuir la probabilidad de aparicin de cualquier

incidente. La prevencin implica realizar vigilancia permanente de nuevos ataques que puedan
comprometer la seguridad, as como la aplicacin de medidas preventivas que reduzcan la
probabilidad de materializacin de amenazas.

Deteccin. Es la monitorizacin constante con el nico propsito de detectar amenazas,

vulnerabilidades, intrusiones, ataques de seguridad, o cualquier indicio que refleje un posible
incidente de seguridad.

8
Anlisis. Estudio de los incidentes descubiertos por la deteccin. Con el anlisis se pretende
discernir entre amenazas reales o falsos positivos.

Respuesta. Reaccin ante cualquier incidente real de seguridad.

Sus funciones principales son:

Monitorizacin contina de la seguridad.

Deteccin y gestin de vulnerabilidades.
Centralizacin, tratamiento y custodia de logs.
Respuesta de resolucin.
Asesora de seguridad.
Programas de prevencin.

Basndose en lo anterior, es de suma importancia que las empresas en colaboracin con sus
especialistas y equipos de trabajo, tengan la obligacin de proteger y resguardar su activo ms
valioso: la informacin.

Esta tesina, busca aplicar los conocimientos de la Ingeniera en Informtica empleando las
metodologas de normalizacin y calidad en el proceso de desarrollo e implementacin del SOC,
garantizando con ello la integridad de la informacin en el campo de la seguridad informtica. De la
Licenciatura en Ciencias de la Informtica, se aplicaran los conocimientos necesarios para
proponer procesos planificados de gestin en las organizaciones.

Se fundamenta la base del proyecto en ambas carreras, creando un modelo interdisciplinario que
permita implementar mtodos, procesos, procedimientos y tcnicas mediante el uso de la
tecnologa, que propongan soluciones competitivas.

Asimismo, aportar ideas slidas, de carcter cientfico y tecnolgico, en el cual se aplican las
habilidades de diseo, construccin, transferencia y adaptacin de las tecnologas de informacin,
cuya implementacin, coadyuve en el incremento de la calidad y productividad eficaz y eficiente de
sus servicios.

1.7 Hiptesis

Se espera que al proponer el modelo, el anlisis comparativo sea costeable y permita desarrollar el
modelo de implementacin y gestin del Centro de Operaciones de Seguridad (SOC), mitigando
con ello el nivel de riesgo y las vulnerabilidades en la infraestructura tecnolgica en la empresa
Anthares IT Services.

9
Captulo II. Marco Terico
En este captulo se da a conocer el concepto de modelo para posteriormente desglosar el tema
central que es un centro de operaciones de seguridad (SOC), adems, se desglosan los trminos
que abarcan tanto en su especificacin, como en su funcionamiento a travs de la descripcin de
trminos fundamentales de seguridad (amenaza y riesgo).

2.1 Modelo

Un modelo es un bosquejo que representa un conjunto real con cierto grado de precisin y en la
forma ms completa posible, pero sin pretender aportar una rplica de lo que existe en la realidad.
Los modelos son muy tiles para describir, explicar o comprender mejor la realidad, cuando es
imposible trabajar directamente en la realidad en s (FAO, 1997).

Para efectos de la tesina se usa el concepto de modelo a aquello que se toma como referencia
para tratar de producir algo igual. En este caso, el modelo ser un arquetipo, es decir un punto de
partida para lograr la implementacin de un SOC en empresas de una manera ms sencilla.

2.2 Seguridad Informtica

La seguridad informtica est definida como cualquier medida que impida la ejecucin de
operaciones no autorizadas sobre un sistema o red informtica, cuyos efectos puedan conllevar
daos sobre la informacin, comprometer su confidencialidad, integridad y disponibilidad, disminuir
el riesgo de los equipos o bloquear el acceso de usuarios no autorizados al sistema (Gmez,
2007).

Desde el punto de vista informtico, existen 3 tipos de elementos que pueden sufrir amenazas:
hardware, software y datos.

El ms sensible, y en el que se basa casi toda la literatura sobre seguridad, son los datos, ya que
es el nico elemento que depende exclusivamente de la organizacin.

Como se muestra en la ilustracin 5 la informacin tiene las siguientes caractersticas:

10
 Ilustracin 5.Elementos de la seguridad de la Informacin

La confidencialidad, la integridad y la disponibilidad aparecen como conceptos fundamentales tanto

de normativa vigente relacionada con la proteccin de datos de carcter personal, como de
cdigos de buenas prcticas o recomendaciones sobre gestin de la seguridad de la informacin y
de prestigiosas certificaciones internacionales, stas ltimas, relacionadas con la auditora de los
sistemas de informacin.

2.2.1 Disponibilidad

La disponibilidad se refiere a que la informacin est disponible cuando sea requerida por los
procesos del negocio en cualquier momento. Tambin concierne a la proteccin de los recursos y
las capacidades necesarias asociadas. (ITGI, 2007).

Asegura que el acceso a los datos o a los recursos de informacin por personal autorizado se
produce correctamente y en tiempo. Es decir, la disponibilidad garantiza que la informacin
siempre estar disponible cuando esta sea requerida, esto implica que los sistemas usados para el
almacenamiento, procesamiento de la informacin, los controles de seguridad y canales de
comunicacin utilizados para protegerla estn funcionando correctamente.

Mantener la disponibilidad de los servicios y la informacin implica asegurar que el acceso a la

informacin y servicios no sea interrumpido aun cuando existan fallas de hardware, software o
durante un mantenimiento rutinario a los sistemas y poder reconocer y responder a incidentes de
seguridad de manera oportuna.

La integridad est relacionada con la precisin y completitud de la informacin, as como con su

validez de acuerdo a los valores y expectativas del negocio (ITGI, 2007).

Es un servicio de seguridad que garantiza que el receptor de un mensaje puede verificar que este
no ha sido modificado durante el trnsito por el medio de comunicacin, de tal manera que, un
intruso no podra ser capaz de sustituir un mensaje falso por uno legtimo sin ser detectado.

11
Segn el Instituto Nacional de Estndares y Tecnologa de Estados Unidos Cambiar (NIST por sus
siglas en ingles), en su publicacin FIPS PUB 140-2 Security Requiriments for Cryptographic
Modules, la Integridad se define como la propiedad de que los datos sensibles no se han
modificado o eliminado en una forma no autorizada y no detectada.

2.2.2 Integridad

La integridad se refiere a la seguridad de que una informacin no ha sido alterada, borrada,

reordenada, copiada, etc., ya sea durante el proceso de transmisin o en su propio equipo de
origen. Es un riesgo comn que el atacante al no poder descifrar un paquete de informacin y,
sabiendo que es importante, simplemente lo intercepte y lo borre (Valdivia, 2015).

La integridad asegura que:

No se realizan modificaciones de datos en un sistema por personal o procesos no

autorizados.
No se realizan modificaciones no autorizadas de datos por personal o procesos
autorizados.
Los datos son consistentes, es decir, la informacin interna es consistente entre s misma y
respecto de la situacin real externa.

2.2.3 Confidencialidad

La confidencialidad se refiere a la proteccin de la informacin sensitiva contra revelacin no

autorizada (ITGI, 2007).

La confidencialidad es un servicio de seguridad usado para conservar el contenido de la

informacin solo disponible a aquellas personas autorizadas para accederla. Esto se logra
comnmente protegiendo los datos a travs de algoritmos matemticos que vuelven los datos
inteligibles (Gmez, 2007).

Mediante la confidencialidad se garantizar el acceso a la misma solo por parte de las personas
que estn autorizadas. El mantenimiento de la confidencialidad involucra asegurar que solo los
usuarios autorizados pueden acceder a los servicios e informacin para los cuales estn
autorizados y que la informacin es divulgada solo de acuerdo con la poltica.

Para garantizar la confidencialidad de una carta, de un informe, entre otros, se pondrn en prctica
diferentes cuidados que dependern del contexto en cuestin. Por ejemplo, una carta entre amigos
o entre novios exigir la existencia de un sobre en el cual depositar la nota o carta, el que luego se
cerrar amparndose en la convencin existente que nadie que no sea el destinatario intentar
abrirlo y aunque ocurra el riesgo ser mnimo.

12
La confidencialidad intenta prevenir la revelacin no autorizada, intencional o no, del contenido de
un mensaje o de informacin en general. La prdida de informacin puede producirse de muchas
maneras, por ejemplo, por medio de la publicacin intencional de informacin confidencial de una
organizacin o por medio de un mal uso de los derechos de acceso en un sistema.

2.3 Diseo de la Seguridad de la Informacin

La planeacin de la seguridad involucra el desarrollo del anlisis de vulnerabilidades, anlisis de

riesgo y evaluaciones de amenazas. Las anteriores fases comprenden; la evaluacin e
identificacin de activos; la postulacin y evaluacin de amenazas; evaluacin de vulnerabilidades;
la evaluacin de contramedida y anlisis de costo-beneficio. Por lo tanto, se incluyen factores de
cmo la informacin es usada y gestionada, y que tan buenas y relevantes son las medidas de
seguridad existentes.

2.3.1 Polticas y procedimientos

Una Poltica de Seguridad es una "declaracin de intenciones de alto nivel que cubre la seguridad
de los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades
para las diversas actuaciones tcnicas y organizativas que se requieran. Es una forma de
comunicarse con los usuarios y los gerentes, establecen el canal formal de actuacin del personal,
en relacin con los recursos y servicios informticos, importantes de la organizacin (Gmez,
2007).

No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que
involucre sanciones a conductas de los empleados. Es ms bien una descripcin de lo que se
desea proteger y el porqu de ello.

Cada poltica es consciente y vigilante del personal por el uso y limitaciones de los recursos y
servicios informticos crticos de la compaa.

Objetivos de una poltica de seguridad:

Reducir los riesgos a un nivel aceptable.

Garantizar la confidencialidad, integridad, disponibilidad y privacidad de la informacin.
Cumplir con las leyes y reglamentaciones vigentes

Para desarrollar una poltica de seguridad, es necesario identificar y evaluar los activos,
especificando qu activos deben protegerse y cmo protegerlos de forma que permitan la
prosperidad de la empresa:

13
 Hardware: terminales, estaciones de trabajo, procesadores, teclados, unidades de disco,
computadoras personales, tarjetas, router, impresoras, lneas de comunicacin, cableado
de la red, servidores de terminales, bridges.
Software: sistemas operativos, programas fuente, programas objeto, programas de
diagnstico, utileras, programas de comunicaciones.
Datos: durante la ejecucin, almacenados en lnea, archivados fuera de lnea, back-up,
bases de datos, en trnsito sobre medios de comunicacin.
Personas: usuarios, personas para operar los sistemas.
Documentacin: sobre programas, hardware, sistemas, procedimientos administrativos
locales.
Identificacin de amenazas:
o Cules son las causas de los potenciales problemas de seguridad?
o Considerar la posibilidad de violaciones a la seguridad y el impacto que tendran si
ocurrieran.
o Estas amenazas son externas o internas:
Amenazas externas: Se originan fuera de la organizacin y son los virus,
intentos de ataques de los hackers, agresiones de ex-empleados o
espionaje industrial.
Amenazas internas: Son las amenazas que provienen del interior de la
empresa y que pueden ser muy costosas porque el infractor tiene mayor
acceso y perspicacia para saber dnde reside la informacin sensible e
importante.
Evaluar los riesgos: Debe calcularse la probabilidad de que ocurran ciertos sucesos y
determinar cules tienen el potencial para causar mucho dao. El costo puede ser ms que
monetario, se debe asignar un valor a la prdida de datos, la privacidad, responsabilidad
legal, etc.
Asignar las responsabilidades: Seleccionar un equipo de desarrollo que ayude a identificar
las amenazas potenciales en todas las reas de la empresa. Los principales integrantes
del equipo seran el administrador de redes, un asesor jurdico, un ejecutivo superior y
representantes de los departamentos de recursos humanos y relaciones pblicas.

2.3.2 Evaluacin de la seguridad

En el momento de evaluar la seguridad de los Sistemas Informticos (SI) de una organizacin, o de

proceder a la implementacin de las polticas de seguridad sobre estos Sistemas Informticos,
conviene conocer cul es la terminologa que se emplea, cules son las reas en las que se puede
aplicar y cul es el entorno normativo y legislativo en el que nos podemos mover.

14
En primer lugar, se repasan los principales estndares (ISO 27000) y legislaciones, que ayudan a
tener una visin global de los elementos que intervienen en la infraestructura de seguridad y los
controles que pueden establecerse.

Se puede evaluar la infraestructura de seguridad para detectar y clasificar los activos de

informacin y verificar el grado de cumplimiento de los requisitos de seguridad o el grado de
madurez de la organizacin respecto a la seguridad de los Sistemas Informticos.

2.3.3 Mejora de la seguridad

El monitoreo y evaluacin de la seguridad proveen los datos necesarios para la mejora de

seguridad en la red. Con la informacin obtenida se puede mejorar la implementacin de seguridad
con una mejor aplicacin de la poltica de seguridad y modificacin de la poltica para que incluyan
respuestas a nuevos incidentes.

2.4 Objetivos de la Seguridad de la Informacin

La seguridad informtica tiene como objetivo preservar los servicios de seguridad de los bienes
informticos.

Un bien informtico o activo, es todo aqul recurso que posee valor o importancia para una
persona u organizacin. Un activo puede ser desde un archivo de datos, hasta un centro de
cmputo (Lpez, 2014).

Los principales objetivos de un buen administrador de sistemas y encargado de la seguridad

informtica son:

Minimizar y gestionar los riesgos, as como identificar las posibles amenazas a la

seguridad.
Garantizar el uso adecuado de los recursos informticos como aplicaciones, cuentas,
comunicaciones, etc.
Establecer los mecanismos adecuados para una inmediata recuperacin despus de un
desastre en la menor cantidad de tiempo con el menor dao posible.
Cumplir con el marco legal vigente referente a la funcin informtica.

2.5 Sistema de Gestin de Seguridad de la Informacin

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad de la

Informacin. ISMS es el concepto equivalente en idioma ingls, siglas de Information Security
Management System.

15
Un Sistema de Gestin de la Seguridad de la Informacin (SGSI) es un conjunto de polticas de
administracin de la informacin (ISO, 2013).

El trmino SGSI es utilizado principalmente por la ISO/IEC 27001, que es un estndar internacional
aprobado en octubre de 2005 por la International Organization for Standardization y por la comisin
International Electrotechnical Commission.

La ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo
de Deming": PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), siendo
ste un enfoque de mejora continua:

Plan (planificar): es una fase de diseo del SGSI de evaluacin de riesgos de

seguridad de la informacin y la seleccin de controles adecuados.
Do (hacer): es una fase que envuelve la implantacin y operacin de los controles.
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el
desempeo (eficiencia y eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de
vuelta el SGSI a mximo rendimiento.

El concepto clave de un SGSI es el diseo, implantacin y mantenimiento de un conjunto de

procesos para gestionar eficientemente la accesibilidad de la informacin, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de informacin minimizando a la vez los
riesgos de seguridad de la informacin.

Como todo proceso de gestin, un SGSI debe seguir siendo eficiente durante un largo tiempo
adaptndose a los cambios internos de la organizacin, as como los externos del entorno.

2.6 Servicios de Seguridad de la Informacin

El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento

de datos y la transferencia de informacin en las organizaciones. Los servicios de seguridad estn
diseados para contrarrestar los ataques a la seguridad y hacen uso de uno o ms mecanismos de
seguridad para proporcionar el servicio (Gmez, 2007).

2.6.1 Protocolos de Seguridad de la Informacin.

Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisin de
datos entre la comunicacin de dispositivos para ejercer una confidencialidad, integridad,
autenticacin y el no repudio de la informacin (Alonzo, 2014).

16
Se componen de:

Criptografa (Cifrado de datos). Se ocupa de transposicin u ocultar el mensaje enviado por el

emisor hasta que llega a su destino y puede ser descifrado por el receptor.
Lgica (Estructura y secuencia). Llevar un orden en el cual se agrupan los datos del mensaje el
significado del mensaje y saber cundo se va enviar el mensaje.
Identificacin (Autenticacin). Es una validacin de identificacin es la tcnica mediante la cual
un proceso comprueba que el compaero de comunicacin es quien se supone que es y no se
trata de un impostor.

2.7 Consecuencias de la falta de Seguridad de la Informacin

Cualquier riesgo o amenaza deber ser tomado en cuenta con la mayor seriedad posible, puesto
que la fortaleza de la cadena de medidas de seguridad organizacional no se mide por el eslabn
ms fuerte, ni tampoco por el valor promedio de sus eslabones, sino por el eslabn ms dbil, pues
es generalmente el que rompe con el esquema de la seguridad organizacional, con efectos que
pudieran considerarse desde moderados a severos.

Dado que la correcta funcionalidad de las organizaciones en la actualidad se encuentra bien

soportada en los servicios informticos, es necesario proteger dichos servicios con la mayor
seriedad posible tanto de manera fsica como de manera lgica, de modo que los principales
elementos a proteger son hardware, software, redes, datos al igual que a los usuarios.

De modo que al momento de analizar las posibles consecuencias de la ausencia o deficiencia de

los mecanismos de seguridad, el impacto global para la organizacin resulta demasiado difcil de
evaluar ya que adicionalmente a los posibles daos ocasionados a la informacin as como a los
equipos es conveniente tomar en cuenta otros perjuicios como los siguientes por mencionar solo
algunos:

Costo de horas de trabajo invertidas para intentar recuperar las horas de trabajo perdidas
ante una eventualidad.
Costo de oportunidad ocasionado por la indisponibilidad de aplicaciones y/o servicios
informticos perdidos, entre otros recursos.
Costo por la exposicin de informacin a terceros de la informacin robada, con valores
estimativos segn su valor de acuerdo al grado y nivel de importancia de la informacin
como lo pueden ser frmulas, diseos de productos, planes estratgicos, carteras de
clientes y de proveedores, plantilla de personal, etc.

17
 El impacto negativo en la imagen organizacional, dado por la desconfianza en la oferta de
sus productos y/o servicios despus de conocerse algn evento de este tipo tanto por parte
de sus clientes como de sus proveedores.
En casos ms delicados, el posible dao a nivel personal de los usuarios, desde la
exposicin de los datos personales, e incluso aquellos que tienen que ver con su integridad
fsica y moral.

Los riesgos varan segn la naturaleza de la organizacin, aunque los ms usuales son los que a
continuacin se indican:

Informacin dispersa, con el creciente uso de la tecnologa, la informacin tiende a

almacenarse en los discos duros locales de cada equipo creando a veces problemas de
redundancia e inconsistencia: estos consisten en que una misma informacin que debiera
tener el mismo valor, est almacenada en dos o ms lugares con diferentes valores. Esta
dispersin, aunque impide un control centralizado de la informacin como en los sistemas
antiguos ha mostrado tambin beneficios respecto a la seguridad. En los sistemas
modernos se trabaja deliberadamente con dispersin y redundancia, por ejemplo en los
sistemas RAID.
Robos y copias no autorizadas, adulteracin, revelacin de secretos, sabotaje, vandalismo,
etc. Estas amenazas se combaten con dos clases de poltica restriccin de acceso y
asignacin estricta de responsabilidades.
Prdidas de informacin por efecto de virus o monitoreo remoto con troyanos.
Fallas tcnicas del disco, cortes de suministro elctrico, operacin inadecuada,
recalentamiento, desastres naturales, incendios, inundaciones, etc. Para estas amenazas
se usan las polticas usuales de seguridad industrial.

2.8 Anlisis y gestin de riesgos en un sistema informtico

Las organizaciones son cada vez ms dependientes de la tecnologa informtica. Sin sistemas
informticos, los procesos de negocio de cualquier organizacin no funcionan. Hoy en da para
todas las actividades que realiza una compaa, la informacin es un activo esencial. La seguridad
de la informacin nos permite proteger ese activo.

2.8.1 Riesgos

El riesgo es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al equipo.
Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la amenaza
(Santana, 2013).

18
El riesgo se utiliza sobre todo el anlisis de riesgos de un sistema informtico. Est riesgo permite
tomar decisiones para proteger mejor al sistema. Se puede comparar con el riesgo lmite que
acepte para su equipo, de tal forma que si el riesgo calculado es inferior al de referencia, ste se
convierte en un riesgo residual que podemos considerar cmo riesgo aceptable.

2.8.2 Definicin de Riesgo

Se define el riesgo como: la posibilidad de que ocurra algn evento negativo para las personas y/o
empresas. Ya que cualquier persona o entidad est expuesta a una serie de riesgos derivados de
factores internos y externos, tan variables como su propio personal, su actividad, la situacin
econmica, la asignacin de sus recursos financieros o la tecnologa utilizada (Lpez, 2014).

Los equipos de cmputo que habitualmente se utilizan en las empresas estn sujetos al riesgo de
que ocurra alguna eventualidad que los dae y debido a que no existe una seguridad total y las
medidas de seguridad no pueden asegurar al 100% la proteccin en contra de las vulnerabilidades,
es imprescindible realizar peridicamente en una organizacin, un anlisis de riesgos, para
identificar las consecuencia probables o los riesgos asociados con las vulnerabilidades, y as,
lograr un manejo de riesgo tras la implementacin y mantenimiento de controles que reduzcan los
efectos de ste a un nivel aceptable.

2.8.3 Anlisis de Riesgos

El anlisis de riegos proporciona herramientas tiles para cuantificar el riesgo y evaluar si este
anlisis es adecuado, tomar medidas para reducirlo, adems intenta mantener un balance
econmico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de
seguridad destinadas a manejarlos.

2.8.4 Tipos de anlisis del riesgo

Una de las principales funciones del anlisis del riesgo de seguridad es poner este proceso sobre
una base ms objetiva.

Existen dos tipos esenciales del anlisis del riesgo:

Anlisis cuantitativo del riesgo

Todos los activos, sus recursos y los controles se identifican, y se evalan en trminos monetarios.
Todas las amenazas potenciales se identifican y se estima la frecuencia de su ocurrencia, estas
amenazas se comparan con las vulnerabilidades potenciales del sistema de tal forma que se
identifiquen las reas que son sensibles.

19
Posteriormente el anlisis cuantitativo del riesgo hace uso del trmino Expectativa de Prdida
Anual (ALE) o Costo Anual Estimado (EAC), el cual es calculado para cierto acontecimiento
simplemente multiplicando la frecuencia de la ocurrencia de la amenaza por el valor del activo o
clasificacin del dao. Para esto, es necesario recolectar con detalle estimaciones exactas
utilizando tcnicas matemticas y estadsticas.

De esta forma se puede decidir si los controles existentes son adecuados o si se requiere la
implementacin de otros, esto se observa cuando el producto obtenido tras multiplicar el valor del
activo por la frecuencia de la ocurrencia de la amenaza en un perodo de tiempo determinado por
la duracin del control es menor que el costo de dicho control.

Los problemas con este tipo de anlisis de riesgo se asocian generalmente a la falta de fiabilidad y
a la inexactitud de los datos y algunas veces puede interpretarse errneamente los resultados.

Anlisis cualitativo del riesgo

En lugar de establecer valores exactos sedan notaciones como alto, bajo, medio que representan
la frecuencia de ocurrencia y el valor de los activos. La desventaja es que pueden existir reas
significativamente expuestas que no hayan sido identificadas como posibles fuentes de riesgo.

Ambos tipos de anlisis del riesgo hacen uso de los siguientes elementos interrelacionados:

Amenazas: las amenazas estn siempre presentes en cada sistema.

Vulnerabilidades: las vulnerabilidades permiten que un sistema sea ms propenso a ser
atacado por una amenaza o que un ataque tenga mayor probabilidad de tener xito o
impacto.
Controles: son las medidas contra las vulnerabilidades. Existen cuatro tipos:
o Los controles disuasivos reducen la probabilidad de un ataque deliberado.
o Los controles preventivos protegen vulnerabilidades y hacen que un ataque
fracase o reduzca su impacto.
o Los controles correctivos reducen el efecto de un taque.
o Los controles detectores descubren ataques y disparan controles preventivos o
correctivos.

2.8.5 Gestin de Riesgos

La Gestin de riesgos (traduccin del ingls Risk Management) es un enfoque estructurado para
manejar la incertidumbre relativa a una amenaza, a travs de una secuencia de actividades
humanas que incluyen evaluacin de riesgo, estrategias de desarrollo para manejarlo y mitigacin
del riesgo utilizando recursos gerenciales como se muestra en la Ilustracin 6. Las estrategias

20
incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y
aceptar algunas o todas las consecuencias de un riesgo particular.

Algunas veces, el manejo de riesgos se centra en la contencin de riesgo por causas fsicas o
legales (por ejemplo, desastres naturales o incendios, accidentes, muerte o demandas).

Ilustracin 6.Proceso de Evaluacin del Riesgo.

En este sentido el objetivo de la gestin de riesgos es reducir diferentes riesgos relativos a un

mbito preseleccionado a un nivel aceptado por la sociedad. Puede referirse a numerosos tipos de
amenazas causadas por el medio ambiente, la tecnologa, los seres humanos, las organizaciones y
la poltica. Por otro lado, involucra todos los recursos disponibles por los seres humanos o, en
particular, por una entidad de manejo de riesgos (persona, staff, organizacin).

El anlisis de riesgos proporciona un modelo del sistema en trminos de activos, amenazas y

salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La
gestin de riesgos es la estructuracin de las acciones de seguridad para satisfacer las
necesidades detectadas por el anlisis como se muestra en la Ilustracin 7.

21
 Ilustracin 7.Anlisis de y gestin de riesgos.

2.9 Amenazas

Una amenaza se representa a travs de una persona, una circunstancia o evento, un fenmeno o
una idea maliciosa, las cuales pueden provocar dao en los sistemas de informacin, produciendo
prdidas materiales, financieras o de otro tipo. Las amenazas son mltiples desde una inundacin,
un fallo elctrico o una organizacin criminal o terrorista. As, una amenaza es todo aquello que
intenta o pretende destruir (Lpez, 2014).

2.9.1 Tipos de Amenazas

1. Amenazas humanas

Surge por ignorancia en el manejo de la informacin, por descuido, por negligencia, por
inconformidad. Para este caso se pueden considerar a los hackers, crakers, phreakers, carding,
trashing, gurs, lamers o scriptkiddies, copyhackers, bucaneros, newbie, wannabers, samurai,
creadores de virus, por ejemplo:

Amenazas de Ingeniera Social

Es la manipulacin de las personas para convencerlas de que ejecuten acciones o actos que
normalmente no realizan de forma que revelen datos indispensables que permitan superar las
barreras de seguridad. Esta tcnica es una de las ms usadas y efectivas al momento de averiguar
nombres de usuarios y contraseas (Lpez, 2014).

2. Amenazas de Hardware

22
Este tipo de amenazas se da por fallas fsicas que se encuentra presente en cualquier elemento de
dispositivos que conforman la computadora. Los problemas ms identificados para que el
suministro de energa falle son el bajo voltaje, ruido electromagntico, distorsin, interferencias,
alto voltaje, variacin de frecuencia, etc.

3. Amenazas de Red

Se presenta una amenaza cuando no se calcula bien el flujo de informacin que va a circular por el
canal de comunicacin, es decir, que un atacante podra saturar el canal de comunicacin
provocando la no disponibilidad de la red. Otro factor es la desconexin del canal.

4. Amenazas Lgicas

Se presenta una amenaza cuando no se calcula bien el flujo de informacin que va a circular por el
canal de comunicacin, es decir, que un atacante podra saturar el canal de comunicacin
provocando la no disponibilidad de la red. Otro factor es la desconexin del canal.

La amenaza se hace presente cuando un diseo bien elaborado de un mecanismo de seguridad se

implementa mal, es decir, no cumple con las especificaciones del diseo. La comunicacin entre
procesos puede resultar una amenaza cuando un intruso utilice una aplicacin que permita evitar y
recibir informacin, sta podra consistir en enviar contraseas y recibir el mensaje de contrasea
vlida; dndole al intruso elementos para un posible ataque.

En la mayora de los sistemas, los usuarios no pueden determinar si el hardware o el software con
que funcionan son los que supone que deben ser. Esto facilita al intruso para que pueda
reemplazar un programa sin conocimiento del usuario y ste pueda inadvertidamente teclear su
contrasea en un programa de entrada falso al cual tambin se les denominan cdigos maliciosos.

Los tipos de cdigos maliciosos ms comunes son: caballos de troya, virus, gusanos, bombas de
tiempo y keyloggers.

Caballos de Troya: Es un programa aparentemente til que contiene funciones escondidas y

adems pueden explotar los privilegios de un usuario dando como resultado una amenaza hacia la
seguridad. Un caballo de Troya es ms peligroso que un administrador del sistema o un usuario
con ciertos privilegios, ya que se introducen al sistema bajo una apariencia totalmente diferente a
la de su objetivo final; esto es, que se presente como informacin prdida o basura, sin ningn
sentido. Pero al cabo de algn tiempo, y esperando la indicacin del programa, despierta y
comienzan a ejecutarse y a mostrar sus verdaderas intenciones. Tambin pueden aparentar ser un
programa de juegos o entretener al usuario mostrando pantallas de espectculos y sonidos
agradables, mientras realizan operaciones dainas para el sistema.

23
5. Amenazas por Fenmenos Naturales

Los diferentes fenmenos naturales que provocan desastres representan uno de los riesgos ms
fuertes y debido a la existencia de stos se convierte en una de las razones por la cuales deben
desarrollarse planes de contingencia y aplicarse medidas en pro de la seguridad de la informacin.

La clasificacin de fenmenos naturales que causan desastres utilizados en las Bases para el
Establecimiento del Sistema Nacional de Proteccin Civil:

Geolgicos

Tienen sus orgenes en la actividad de las placas tectnicas y fallas continentales y regionales que
cruzan y circundan a la Repblica Mexicana.

Como son:

Sismos
Vulcanismo
Colapso de suelos
Hundimiento regional y agrietamiento
Algunas consecuencias de los sismos y erupciones tales como maremotos (tsunami) y
lahares.

2.10 Vulnerabilidades

Dependiendo del enfoque que se le d a la seguridad informtica, un sistema informtico est

expuesto al peligro por medio de dos factores: Las amenazas y las vulnerabilidades.

Las vulnerabilidades constituyen el otro factor que pone en peligro la seguridad de un sistema,
generalmente se cree que una vulnerabilidad es un punto dbil de un sistema y aunque no es una
definicin incorrecta, tampoco expresa en su totalidad lo que es una vulnerabilidad.

Una vulnerabilidad informtica es un elemento de un sistema informtico que puede ser

aprovechado por un atacante para violar la seguridad, as mismo pueden causar daos por s
mismos sin tratarse de un ataque intencionado (Lpez, 2014).

A las vulnerabilidades se les consideran un elemento interno del sistema, por lo que es tarea de los
administradores y usuarios el detectarlos, valorarlos y reducirlos.

24
2.10.1 Tipos de Vulnerabilidades

Las vulnerabilidades son el resultado de errores de programacin (bugs), fallos en el diseo del
sistema, incluso las limitaciones tecnolgicas pueden ser aprovechadas por los atacantes (Lpez,
2014).

Para esta investigacin, se clasifican las vulnerabilidades en seis tipos: Fsicas, naturales, de
hardware, de software, de red y de factor humano.

1. Fsicas

Est relacionada con el acceso fsico al sistema. Es todo lo referente al acceso y de las
instalaciones donde se tienen los equipos de cmputo que contienen la informacin o forman
partes de los procesos esenciales del sistema.

Las vulnerabilidades de este tipo se pueden presentar en forma de malas prcticas de las polticas
de acceso de personal a los sistemas y uso de medios fsicos de almacenamiento de informacin
que permitan extraer datos del sistema de manera no autorizada.

2. Naturales

Las amenazas naturales son todo tipo de desastres causados por fuerzas naturales que causan
dao a un sistema, por el lado de las amenazas naturales, estas se refieren al grado en que el
sistema se puede ver afectado por este tipo de eventos.

Las vulnerabilidades de tipo natural se presentan principalmente en deficiencias de las medidas

tomadas para afrontar los desastres, por ejemplo, no disponer de reguladores, no-breaks, mal
sistema de ventilacin o calefaccin, etc.

3. Hardware

Las vulnerabilidades de hardware representan la probabilidad de que las piezas fsicas del sistema
fallen (ya sea por mal uso, descuido, mal diseo etc.) dejando al sistema desprotegido o
inoperable. Tambin trata sobre las formas en que el hardware puede ser usado por personas para
atacar la seguridad del sistema, por ejemplo el sabotaje de un sistema al sobrecargarlo
deliberadamente con componentes de hardware que no han sido diseados correctamente para
funcionar en el sistema.

4. Software

Cada programa (ya sea de paquetera o de sistema operativo) puede ser usado como medio para
atacar a un sistema ms grande, esto se da debido a errores de programacin, o porque en el

25
diseo no fueron considerados ciertos aspectos (por ejemplo, controles de acceso, seguridad,
implantacin, etc.).

5. Red

Las redes pueden llegar a ser sistemas muy vulnerables, al tratarse de una serie de equipos
conectados entre s compartiendo recursos, es posible atacar a toda la red penetrando primero en
uno de los equipos y posteriormente expandirse al resto.

En una red la prioridad es la transmisin de la informacin, as que todas las vulnerabilidades estn
relacionadas directamente con la posible intercepcin de la informacin por personas no
autorizadas y con fallas en la disponibilidad del servicio.

Estos dos puntos hacen que las vulnerabilidades de las redes lleguen a ser una combinacin de
vulnerabilidades de hardware, software, fsicas e incluso naturales.

6. Factor Humano

Los elementos humanos de un sistema son los ms difciles de controlar lo que los convierte en
constantes amenazas y al mismo tiempo una de las partes ms vulnerables del sistema.

Las vulnerabilidades de origen humano ms comunes son la falta de capacitacin y

concientizacin, lo que puede dar lugar a la negligencia en el seguimiento de las polticas de
seguridad, y mal uso del equipo de cmputo.

Los actos contra la seguridad realizados a conciencia por un elemento humano (Como el robo de
informacin o la destruccin de los sistemas) pueden ser el resultado de una vulnerabilidad
humana, ya sea por un usuario que accidentalmente revela las contraseas de acceso o no revisa
peridicamente las bitcoras de actividades de los equipos de cmputo a fin de buscar actividades
sospechosas por citar algunos ejemplos.

Un usuario resentido o con poca lealtad a la organizacin es una amenaza y una vulnerabilidad
humana al mismo tiempo, pues l puede convertirse en el autor directo de ataques al sistema o
revelar intencionalmente informacin del sistema a personas no convenientes.

Finalmente es importante hacer una reflexin en el sentido de que las vulnerabilidades se pueden
reducir, eliminar o controlar lo que ayuda entonces a contrarrestar la posibilidad de que una
amenaza se materialice y llegue a convertirse en un ataque.

De manera que el riesgo es el dao potencial que puede surgir por un proceso presente o suceso
futuro, es decir, es la posibilidad de que un peligro pueda materializarse.

26
2.11 Centro de Operaciones de Seguridad (SOC)

Un SOC o Centro de Operaciones de Seguridad, es un centro de trabajo destinado a dar un

servicio de seguridad gestionada externalizado a una serie de clientes (Inno Tec, 2015).

Para ello debe contar con un equipo con personal especialista en varias reas complementarias
que permitan dar un servicio global y efectivo, sumando los conocimientos para que el resultado
sea mayor que las partes.

El centro debe estar altamente securizado (control de acceso fsico, proteccin de equipos frente a
fluctuaciones elctricas, cifrado de datos, etc.) para asegurar la proteccin de los datos de los
clientes, debido a que se maneja informacin sensible.

Un Centro de Operaciones de Seguridad permite controlar el estado de seguridad de una empresa

a travs de la monitorizacin de dispositivos, de la gestin integral de dispositivos de seguridad
perimetral, de la respuesta ante incidentes de seguridad y delitos informticos, del anlisis
automtico de las vulnerabilidades, de la disposicin de soporte tcnico de seguridad y del servicio
antifraude.

Ya sea que una organizacin est construyendo un nuevo SOC o buscando expandir sus
capacidades existentes, se mencionan diez consideraciones para el xito:

1. Soporte ejecutivo y del comit directivo.

2. Inversin.
3. Estrategia.
4. Gente.
5. Procesos.
6. Tecnologa.
7. Entorno.
8. Anlisis y reportes.
9. Espacio fsico.
10. Mejora continua.

2.11.1 Definicin

El SOC es un centro donde se gestiona la seguridad de una organizacin. En l cual el personal

especializado, con altos conocimientos de la infraestructura la cual es el objeto de proteccin,
monitoriza en tiempo real el estado de la seguridad durante las 24 horas del da y los 7 das de la
semana (Boto, 2011).

27
2.11.2 Funciones

Las funciones bsicas de un centro de operaciones de seguridad se encuentran divididas en estas

vertientes:

Monitorizacin y gestin en tiempo real.

Gestin de informes.
Anlisis postincidentes.
Solucin de incidentes.

2.11.3 Servicios de un SOC

Tanto los objetivos como el catlogo de servicios del Centro de Operaciones de Seguridad deben
estar alineados con los objetivos propios del negocio, por lo que dependiendo de la organizacin,
los servicios del SOC pueden variar. Sin embargo, se mencionan a continuacin los ms
importantes a considerar.

2.11.3.1 Monitoreo y correlacin de eventos

Uno de los pilares en los que se basa la gestin de riesgos de seguridad de la informacin es el
anlisis y la gestin de logs y la correlacin de eventos. La confluencia de este pilar de la
seguridad con el de la gestin de identidades y accesos a sistemas, redes y aplicaciones, la
gestin de documentos y la gestin de evidencias, permitir al responsable de seguridad TIC
alcanzar su objetivo especfico en la cadena de proteccin: saber en tiempo real que est pasando
en los sistemas tecnolgicos que pueda ser relevante para la seguridad de la compaa.

La tecnologa SIEM proporciona un anlisis en tiempo real de las alertas de seguridad generadas
por el hardware y software de red. Las soluciones SIEM pueden venir como software, appliance, o
administracin de servicios, y tambin son utilizados para loguear datos de seguridad y generar
reportes para fines de complimiento.

El segmento de gestin de la seguridad que se ocupa del monitoreo en tiempo real, correlacin de
eventos, notificaciones y vistas de la consola que comnmente se conoce como Gestin de
Eventos de Seguridad (SEM). La segunda rea ofrece almacenamiento a largo plazo, el anlisis y
la comunicacin de los datos de registro, y se conoce como Gestin de Seguridad de la
Informacin (SIM).

El trmino Informacin de Seguridad y Gestin de Eventos (SIEM), acuado por Mark Nicolett y
Amrit Williams, de Gartner, en 2005, describe las capacidades de los productos de la recopilacin,
anlisis y presentacin de informacin de la red y los dispositivos de seguridad, las aplicaciones de
gestin de identidades y accesos, gestin de vulnerabilidades y los instrumentos de poltica de

28
cumplimiento, sistema operativo, base de datos y registros de aplicaciones. Un punto clave es
monitorear y ayudar a controlar los privilegios de usuario y de servicio, servicios de AD y otros
cambios de configuracin del sistema, as como el abastecimiento de auditora de registro, revisin,
y respuesta a incidentes.

Capacidades de un SIEM:

Agregacin de datos: SIEM / LM (administracin de logs) soluciones para administracin

de logs desde muchas fuentes, incluyendo redes, seguridad, servidores, bases de datos,
aplicaciones, proporcionando la capacidad de consolidar los datos monitoreados para
ayudar a evitar la prdida de los acontecimientos cruciales.

Correlacin: busca los atributos comunes, y relaciona eventos en paquetes o incidentes.

Esta tecnologa proporciona la capacidad de realizar una variedad de tcnicas de
correlacin para integrar diferentes fuentes, con el fin de convertir los datos en informacin.
La correlacin es tpicamente una funcin de la parte de gestin de la seguridad en una
solucin SIEM completa.

Alerta: el anlisis automatizado de eventos correlacionados y la produccin de alertas,

para notificar a los destinatarios de los problemas inmediatamente. Una alerta puede ser
un tablero de instrumentos, o enviarse a travs de canales de terceros, tales como el
correo electrnico.

Dashboards: Herramientas para tomar los datos del evento y convertirlo en tablas
informativas para ayudar a ver patrones o identificar una actividad que no est siguiendo
un patrn estndar.

Cumplimiento: Las aplicaciones SIEM se pueden emplear para automatizar la

recopilacin de datos y la elaboracin de informes que se adapten a los procesos
existentes de seguridad, gobernabilidad y auditora.

Retencin: SIEM emplea soluciones a largo plazo de almacenamiento de datos para

facilitar la correlacin de datos con el tiempo, y para proporcionar la retencin necesaria
para los requisitos de cumplimiento. Un largo plazo de retencin de registros de datos es
crtica en la investigacin forense, ya que es poco probable que el descubrimiento de una
violacin de la red sea en el momento de la infraccin se produzcan.

29
La correlacin es la interrelacin entre los eventos, y el sistema es capaz de generar una respuesta
ante un comportamiento anmalo (Romero, 2011). Identifica y califica los eventos de amenaza en
tiempo real usando simultneamente motores de correlacin con reglas y sin reglas.

El propsito de la correlacin es analizar secuencias complejas de la informacin y producir

eventos simples, sintetizados y exactos. Para generar tales eventos calificados, se deben realizar
cinco operaciones:

Identificacin de duplicados, la primera operacin, es identificar duplicados y colocar

una bandera especfica para conservar la informacin y seguir sin la necesidad de
guardar mltiples mensajes idnticos.

Correspondencia de patrones de secuencia, es la operacin ms comn realizada por

un motor de correlacin. Su propsito es identificar una secuencia de mensajes que
seran caractersticos de un intento de intrusin. Esto hace posible identificar procesos de
intrusin en curso, as como escenarios de intrusin complejos.

Correspondencia de patrones de tiempo, est diseada para incluir otra dimensin

importante en el anlisis de intrusin: el tiempo. Esto principalmente es usado para la
administracin de contextos (mirar debajo), as como procesos de intrusin lentos y
distribuidos.

Exposicin de sistema y anlisis de criticidad, proporciona la informacin sobre la

vulnerabilidad del sistema objetivo a los intentos de intrusin detectados, adems aporta
informacin de la criticidad de la intrusin, por ejemplo, su impacto total sobre el sistema
supervisado. Esto ayuda a manejar las prioridades en trminos de reaccin a mltiples
incidentes.

Correspondencia de polticas de seguridad, es un filtro basado en comportamiento que

elimina eventos especficos si tienen correspondencia con criterios de poltica de seguridad
tales como el inicio de sesin de administrador, procesos de identificacin y autorizaciones
o restricciones. Una visin global de las operaciones de correlacin

Las operaciones de correlacin avanzadas son ejecutadas para definir la criticidad de un intento de
intrusin y evaluar si tal intento de intrusin es permitido de acuerdo con la poltica de seguridad.

2.11.3.2 Monitorizacin y gestin de logs

La gestin manual de millones de logs generados a diario por mltiples dispositivos, impone un
gran reto para el personal de seguridad. Ante esta problemtica el SOC se apoya en el uso de

30
sistemas SIEM (Security Information and Event Management) que permiten correlacionar eventos
de seguridad de mltiples fuentes con la intencin de detectar situaciones anmalas. Por otra
parte, estos sistemas tambin permiten almacenar logs para posteriormente poder realizar anlisis
y bsquedas complejas sobre los eventos ya ocurridos.

Las redes corporativas generan volmenes inmensos de datos en forma de logs de mensaje.
Existen diversas formas de logs: registro de auditora y logs de eventos. La principal funcin de un
administrador de logs es recolectar los datos, agregarlos, analizarlos y retenerlos a largo plazo, as
como crear informes e investigarlos.

Existen diferentes discusiones acerca de la semejanza que existe entre un administrador de logs y
un SIEM. Es normal definir que los administradores de logs nicamente reciben logs, mientras que
los SIEM son herramientas ms sofisticadas que pueden acceder a sistemas, buscar informacin,
datos y configuraciones de una forma ms profunda. En muchos casos, el administrador de logs
hace parte de una solucin completa de SIEM (Security Information and Event Management).

Los motivos que llevan a la utilizacin de un administrador de logs son muchos, desde
preocupaciones con la seguridad de los sistemas y la red, hasta reglamentos y mejores prcticas.

Se consideran 5 niveles para la implementacin de un sistema de administracin de logs:

Nivel 1: Identificacin de patrones de ataque en el permetro de seguridad

Nivel 2: Acceso y uso interno y externo de datos confidenciales
Nivel 3: Desempeo y disponibilidad de los sistemas de la empresa
Nivel 4: Integracin de datos de negocio para una mejor propuesta de valor
Nivel 5: Consolidacin de la gestin y supervisin en un nico punto

2.11.3.3 Monitorizacin y gestin de cortafuegos

Firewall

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce una poltica
de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que
no lo es (Hernndez, 2000).

Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

- Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de l.
- Slo el trfico autorizado, definido por la poltica local de seguridad, es permitido.

31
El firewall slo sirve de defensa perimetral de las redes, no defienden de ataques o errores
provenientes del interior, como tampoco puede ofrecer proteccin una vez que el intruso lo
traspasa.

Restricciones en el Firewall

La parte ms importante de las tareas que realizan los Firewalls, es la de permitir o denegar
determinados servicios, se hacen en funcin de los distintos usuarios y su ubicacin:

Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie
de redes y direcciones a los que denomina Trusted (validados). Estos usuarios, cuando provengan
del interior, van a poder acceder a determinados servicios externos que se han definido.

Usuarios externos con permiso de entrada desde el exterior: este es el caso ms sensible a la hora
de vigilarse. Suele tratarse de usuarios externos que por algn motivo deben acceder para
consultar servicios de la red interna.

El servicio de Gestin de Firewalls permite analizar de manera remota u on-site los sistemas de
defensa perimetrales de los clientes. Esta actividad permite realizar correcciones sobre las
medidas de defensa en tiempo y forma.

Gestin de Eventos

Mediante el anlisis de los eventos realizamos la correlacin de los eventos generados por las
diferentes fuentes.

Dentro de los servicios provistos en un centro de operaciones de seguridad, se desarrollan las

siguientes actividades:

- Captura y anlisis de los eventos de los firewalls del cliente.

- Centralizacin y consolidacin de los eventos de los diferentes tipos de dispositivos que se
encuentran en la frontera de la compaa.
- Generacin de informes sobre alertas y amenazas detectadas.
- Generacin de informes con propuestas de mejoras a la configuracin.

Gestin de Dispositivos

Una vez implementados los dispositivos de seguridad se tiene definidos los siguientes procesos
para su seguimiento y control:

- Gestin de reglas en las polticas de seguridad.

32
 - Actualizacin de los patrones y versiones de Firmware de los dispositivos, manteniendo
homognea la plataforma hacia las ltimas versiones disponible, estables, verificadas.

2.11.3.4 Operacin y Administracin de la Infraestructura

Se asume que todo tipo de infraestructura de TI, es susceptible a Incidentes de Seguridad y que
estos incidentes tienen un impacto potencial que podra clasificarse como bajo, moderado o alto.
Para detectar oportunamente estos incidentes y en su caso mitigar su impacto se colocan
Controles de Seguridad.

2.11.3.5 Identificacin y gestin de eventos

Antes de la instalacin de sensores y del diseo de cualquier regla de correlacin o de anlisis,

es necesario evaluar el nivel de seguridad total de la infraestructura de TI que ser supervisada.
Esto har posible determinar si una ruta de intrusin puede efectivamente conducir a una
intrusin sobre el sistema supervisado y la gravedad asociada a ese intento de intrusin. Otro
punto que debe ser definido es la poltica de seguridad, sobre todo en trminos de derechos de
acceso, operaciones permitidas, etc.

2.11.3.6 Incidentes de seguridad

Por incidente de seguridad entendemos cualquier evento que pueda provocar una interrupcin o
degradacin de los servicios ofrecidos por el sistema, o bien afectar a la confidencialidad,
disponibilidad o integridad de la informacin (Iglesias, 2014).

Un incidente de seguridad puede ser causado por un acto intencionado realizado por un usuario
interno o un atacante externo para utilizar, manipular, destruir o tener acceso a informacin y/o
recursos de forma no autorizada. Aunque un incidente tambin podra ser la consecuencia de un
error o transgresin (accidental o deliberada) de las polticas y procedimientos de seguridad, o de
un desastre natural, o del entorno.

Los diferentes ataques que sufren los sistemas conectados a Internet son conocidos como
incidentes de seguridad informtica. stos amenazan el buen funcionamiento de cualquier
organizacin y violan implcita o explcitamente las polticas de seguridad. Al aceptar Internet como
medio de interconexin global, gran cantidad de transacciones de negocios se realizan de esta
forma, por lo que se requieren mecanismos de respuestas rpidas a incidentes de seguridad para
evitar que la organizacin se exponga a prdidas irreversibles. Se le denomina un incidente de
seguridad informtica a cualquier evento que sea considerado una amenaza para la seguridad de
un sistema.

Es posible clasificar los incidentes de seguridad en dos tipos:

33
 Incidentes automticos
Incidentes manuales

Se denominan incidentes automticos a los incidentes producidos por programas de cmputo tales
como virus, gusanos y troyanos. Los incidentes manuales son aquellos incidentes en los que de
manera intencional se ataca un sistema utilizando, por ejemplo, escaneo de vulnerabilidades,
inyeccin SQL o ingeniera social, aunque bajo ciertas circunstancias, tambin se pueden realizar
de forma automtica (Villalobos, 2012).

Ejemplos de Incidentes de Seguridad:

Un acceso no autorizado.
El robo de contraseas.
Prcticas de Ingeniera Social.
La utilizacin de fallas en los procesos de autenticacin para obtener accesos indebidos.
El robo de informacin.
El borrado de informacin de terceros.
La alteracin de la informacin de terceros.
El abuso y/o mal uso de los servicios informticos internos o externos de una organizacin.
La introduccin de cdigo malicioso en la infraestructura tecnolgica de una entidad (virus,
troyanos, gusanos, malware en general).
La denegacin del servicio o eventos que ocasionen prdidas, tiempos de respuesta no
aceptables o no cumplimiento de Acuerdos de Niveles de Servicio existentes de
determinado servicio.
Situaciones externas que comprometan la seguridad de sistemas, como quiebra de
compaas de software, condiciones de salud de los administradores de sistemas, entre
otros

La gestin de los incidentes de seguridad es un aspecto muy importante para lograr el

mejoramiento continuo de la seguridad de la informacin de cualquier compaa, el principal
inconveniente es que muchas organizaciones no lo utilizan adecuadamente.

A pesar que la norma ISO 27001, hace mencin de este tema como uno de los dominios
fundamentales, se le presta ms importancia a temas de ndole tecnolgico dejando de lado los
temas de gestin. En la bsqueda del mejor estndar para gestionar la seguridad de la informacin
en una compaa, es vital tener presente que la revisin y la mejora continua del sistema son muy
importantes para garantizar la disponibilidad, integridad y confidencialidad de la informacin.

34
Cuando se habla de la gestin de incidentes, la norma hace referencia a recomendaciones
relacionadas con la notificacin de eventos y puntos dbiles de seguridad de la informacin y los
procedimientos y responsabilidades que se deberan asignar para la gestin de incidentes y
mejoras de seguridad de la informacin.

El objetivo que se persigue con la comunicacin de los eventos que se presenten relacionados con
la seguridad de la informacin, es el de garantizar que las causas, los tratamientos y la solucin de
dichos eventos sirvan para la implementacin de acciones correctivas y preventivas oportunas en
casos similares que pudieran presentarse en un futuro. Para lograrlo se deben implementar los
canales apropiados que garanticen la agilidad en la comunicacin de los eventos de seguridad que
pudieran presentarse y permitir que los usuarios reporten las debilidades encontradas o que crean
que pueden utilizarse para poner en riesgo la seguridad de la informacin.

Estos sistemas pueden apoyarse en los desarrollos que se tengan alrededor de las mesas de
ayuda y las estrategias de gestin de solicitudes para atender inconvenientes de tipo tecnolgico
en la compaa. Algunas recomendaciones cmo las de la Agencia Europea de Redes y Seguridad
Informtica (ENISA, por sus siglas en ingls) proporcionan orientaciones prcticas para la gestin
de incidentes.

Adems de tener una herramienta para la gestin de incidentes es necesario establecer las
responsabilidades y los procedimientos de gestin para asegurar una respuesta rpida, efectiva y
ordenada a los incidentes en la seguridad de informacin. Estos procesos deben contribuir al logro
de la mejora continua en la evaluacin y monitoreo de los incidentes en la seguridad de
informacin. Quiz uno de los aspectos ms complejos en la gestin de incidentes, pero que puede
aportar mayor informacin para el negocio, es cuantificar el impacto los incidentes de seguridad,
para lo cual es recomendable tener un modelo que en funcin del volumen, los costos asociados y
el tipo de incidente permita aproximar a valores en dinero las consecuencias de su ocurrencia.

Por ltimo, es vital que toda organizacin tenga definido claramente los pasos a seguir despus
que se presente un evento que afecte la seguridad de la informacin, ya que al momento de
entablar una accin legal, sea de carcter civil o penal contra un individuo la evidencia debe ser
recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la
jurisdiccin relevante, esto es lo que es conoce cmo Informtica Forense. CAINE (Computer
Aided Investigative Environment) es una distribucin de Linux creada cmo proyecto con
herramientas para tratar evidencia digital de tipo forense, la cual provee una serie de mdulos y
herramientas a travs de una interfaz grfica.

35
2.11.4 Plan de respuesta a incidentes de seguridad

Es fundamental identificar las necesidades de seguridad de una organizacin para establecer las
medidas que permitirn a dicha organizacin evitar una situacin catastrfica, como una intrusin,
una falla en los equipos o incluso un dao por filtracin de agua. No obstante, es imposible evitar
por completo todo tipo de riesgos, por lo que todas las empresas deben estar preparadas para
experimentar algn da una situacin catastrfica.

En estas circunstancias, resulta fundamental una reaccin rpida, ya que una mquina afectada
hace peligrar el sistema de informacin de la compaa en su totalidad. Adems, cuando el
compromiso provoca el mal funcionamiento del servicio, una interrupcin prolongada puede
aparejar prdidas econmicas. Por ltimo, en los casos en los que se ha alterado un sitio web
(modificacin de pginas) la reputacin de la compaa est en juego. La definicin e implantacin
de un Plan de respuesta a incidentes debera tener en cuenta una serie de actividades y tareas,
entre las cuales podramos destacar todas las que se presentan en la siguiente relacin:

Constitucin de plan de respuesta a incidentes.

Definicin de una gua de procedimientos.
Deteccin de un incidente de seguridad.
Contencin, erradicacin y recuperacin.
Identificacin del atacante y posibles actuaciones legales.
Comunicacin con terceros y relaciones pblicas.

2.11.5 Estructura y Caractersticas

La estructura de un SOC se estructura de acuerdo a tres niveles de actuacin, cada uno de los
cuales debe estar representado por un equipo especializado.

Nivel 1:

Incidentes documentadas que no requieren un tcnico de soporte especializado.

Atencin directa por parte del equipo.
Plazos de respuesta inmediatos.
Monitorizacin contina.
Prcticas de constante monitorizacin en modalidad 24x7.

Nivel 2:

Resolucin de incidencias no documentadas en nivel 1

Atencin bajo demanda a travs del equipo de nivel 1

36
 Plazos de respuesta conforme a niveles de servicio
Tcnicos especializados en sus tecnologas objeto de soporte
Posibilidad de desplazamiento fuera del SOC

Nivel 3:

Soporte Premium proporcionado por los fabricantes de seguridad

Proporcionar soporte a casos en el nivel 2 que requieren asistencia adicional de expertos
en el producto

Las caractersticas que tiene un SOC son:

Deteccin en tiempo real de amenazas y actividades anmalas.

Correlacin de eventos.
Auditora de polticas de red y de servidores.
Gestin de logs.
Anlisis de seguridad orientado al riesgo.
Arquitectura escalable y de alta disponibilidad.
Prevencin y deteccin de intrusiones y vulnerabilidades.
Gestin de infraestructuras de seguridad.
Proteccin de credenciales y robo de Informacin Confidencial.
Proteccin de marca contra posibles abusos y daos en la reputacin.
Proteccin de riesgo corporativo.

Existen dos tipos de SOC los cuales son propio o externo donde cada uno de estos tendr sus
propias cualidades.

SOC propio

La inversin puede ser elevada ya que se requiere de profesionales cualificados y

tecnologa.
Dificultad y tiempo necesario para adquirir la curva de aprendizaje del manejo correcto del
SOC.
Inversin en formacin continua del personal que administra el SOC.
Amplio conocimiento de la empresa.
Estimar el costo del dao potencial que se producir ante un incidente.

37
SOC externo

Un equipo altamente cualificado a disposicin del cliente.

Curva de aprendizaje nula, puesta en marcha inmediatamente.
Conocimiento cruzado y experiencia acumulada por la prestacin de mltiples clientes.
Inversin baja pero constante para manutencin del SOC.

2.11.5.1 Etapa de reaccin

Generalmente, la etapa de reaccin es la que menos se toma en cuenta en los proyectos de

seguridad informtica. Esta etapa consiste en prever eventos y planificar las medidas que deben
tomarse si surge un problema (CCM, 2016).

En el caso de una intrusin, por ejemplo, el administrador de sistemas puede reaccionar de una de
las siguientes maneras:

Obtener la direccin del hacker y contraatacar

Cortar el suministro elctrico de la mquina
Desconectar la mquina de la red
Reinstalar el sistema

El problema es que cada una de estas acciones puede resultar ms perjudicial (particularmente en
trminos de costos) que la intrusin en s misma. En efecto, si el funcionamiento de la mquina
comprometida es fundamental para el funcionamiento del sistema de informacin o si se trata de
un sitio web de ventas online, una interrupcin prolongada del servicio podra ser catastrfica.

A su vez, en este tipo de situaciones es importante establecer pruebas en caso de que se realice
una investigacin judicial. De lo contrario, si la mquina comprometida se ha usado para realizar
otro ataque, la compaa corre el riesgo de ser considerada responsable.

La implementacin de un plan de recuperacin de desastres permite a la organizacin evitar que el

desastre empeore y tener la certeza de que todas las medidas tomadas para establecer pruebas
se aplicarn correctamente.

Asimismo, un plan contra desastres desarrollado correctamente define las responsabilidades de

cada individuo y evita que se emitan rdenes y contrardenes, que impliquen una prdida de
tiempo.

38
2.11.5.2 Restauracin

En el plan de recuperacin, se debe especificar en detalle cmo hacer que el sistema

comprometido vuelva a funcionar correctamente. Es necesario tomar en cuenta los siguientes
elementos:

Anotar la fecha de intrusin: conocer la fecha aproximada en la que se ha comprometido la

mquina permite a la organizacin evaluar el nivel de riesgo de intrusin para el resto de la red
y el grado de compromiso de la mquina.

Restringir el compromiso: tomar las medidas necesarias para que el compromiso no se

expanda.

Estrategia de seguridad: si la compaa tiene una estrategia de seguridad, se recomienda

comparar los cambios que se realizaron a los datos del sistema comprometido con los datos
supuestamente fiables. Si los datos estn infectados con un virus o un troyano, la restauracin
de stos puede expandir an ms el dao.

Establecer pruebas: por razones legales, es necesario guardar los archivos de registro diario
del sistema corrompido para poder restituirlos en caso de una investigacin judicial.

Cmo configurar un sitio de reemplazo: en lugar de reinstalar el sistema comprometido, es

preferible desarrollar y activar a tiempo un sitio de reemplazo que permita que el servicio
contine activo cuando sea necesario.

2.11.5.3 Equipo de Respuesta a Incidentes de Seguridad

El equipo de Respuesta a Incidentes de Seguridad Informtica (CSIRT, Computer Security Incident

Response Team) est constituido por las personas que cuentan con la experiencia y la formacin
necesaria para poder actuar ante las incidencias y desastres que pudieran afectar a la seguridad
informtica de una organizacin (Zakon, 1997).

Existen diversos tipos de CSIRTs. Un equipo CSIRT interno forma parte de una organizacin
mayor, como un gobierno, una empresa, una universidad o una red de investigacin. Los CSIRTs
(un tipo de CSIRT interno) por ejemplo, gestionan todas las incidencias de un pas. Normalmente
los CSIRT evalan las situaciones de forma peridica mediante tareas proactivas como el DR, y a
medida que es necesario ante brechas de seguridad existentes. Un CSIRT ofrece servicios de
pago bajo demanda o a nivel tradicional.

El CERT (Equipo de Disponibilidad de Emergencia Informtica) incluye las siguientes funciones

entre los miembros del CSIRT:

39
 Gestionar o liderar el equipo.
Ayudar a los gestores, supervisores y lderes de grupo.
Personal de Hotline, help desk, o triage.
Gestin de incidentes.
Tratamientos de vulnerabilidad.
Personal de anlisis de artefactos.
Especialistas de plataforma.
Formadores.
Control de tecnologa.

Un incidente informtico puede ser un hecho real o una sospecha que puede provocar una
vulnerabilidad o un incidente. Los incidentes tpicos incluyen los virus y gusanos que afectan a una
red, los ataques DoS (denegacin de servicio), las alteraciones no autorizadas de software o
hardware y la identificacin de ladrones en redes individuales o institucionales. El hacking en
general debe ser considerado como incidente salvo que los atacantes hayan sido contratados para
probar un sistema o buscar vulnerabilidades. (En este caso los hackers forman parte del CSIRT en
un trabajo preventivo). Los CSIRT ofrecen servicios proactivos como formacin de seguridad, ms
que responder ante incidencias.

El tiempo de respuesta es algo vital a la hora de crear, mantener y desplegar un CSIRT efectivo.
Una respuesta rpida y efectiva puede minimizar el dao financiero, de hardware y software
causado por un incidente concreto. Otra cuestin importante es la capacidad del CSIRT para
identificar a los causantes del incidente, de manera que los atacantes puedan ser perseguidos y
castigados. La tercera cuestin se refiere al endurecimiento del software y la estructura para
reducir el nmero de ataques a lo largo del tiempo.

2.11.6 Impactos

De acuerdo al impacto potencial para el negocio con respecto a los diversos incidentes que se
deben resolver, asignar estratgicamente los recursos para cada equipo de seguridad y bienes que
intervengan se vuelve un gran reto para la organizacin. Es por eso que se debe determinar el
establecimiento de prioridades y el sistema de gestin de incidentes debe saber el valor de los
sistemas de informacin que pueden ser potencialmente afectados por incidentes de seguridad.

Los daos causados por los ataques, independientemente de la fuente, se dividen en dos
categoras principales: la filtracin de datos y la prdida de servicio.

La filtracin de datos siempre da lugar a noticias sensacionalistas, pues la extraccin de

informacin corporativa confidencial va a parar a manos de criminales o competidores. Los daos

40
causados por las filtraciones de datos son visibles y muy graves. Pueden ser daos de carcter
financiero (prdida de ingresos, costes legales y normativos, costes derivados de procesos
judiciales y multas), costes 'blandos' (prdida de la confianza y fidelidad de los clientes) y prdida
de competitividad (como resultado de la prdida de propiedad intelectual).

Despus de sufrir filtraciones de informacin, las empresas se gastan cantidades enormes de

tiempo y dinero en tareas de deteccin y correccin tcnica, en la identificacin y el bloqueo de
ataques, as como en la valoracin de los daos causados y en la aplicacin de medidas
correctivas. Adems, los casos de filtracin de datos generan una publicidad negativa que dura
mucho ms que el ataque en s.

Los ataques por denegacin de servicio resultan en la degradacin o en la total inoperatividad de

los sistemas informticos, tanto de estaciones de trabajo como de servidores web, de aplicaciones
o de bases de datos. Pero los daos colaterales en el mbito financiero de estos daos tambin
pueden ser catastrficos. El comercio se ralentiza o se detiene por completo, lo cual repercute
directamente en los ingresos. Los procesos cotidianos se interrumpen o los empleados no pueden
desempear sus tareas porque la red est fuera de servicio.

Al igual que ocurre con las filtraciones de datos, se produce un coste real relacionado con el
departamento de TI y el personal de soporte, que tienen que diagnosticar los problemas, ayudar a
los empleados, reiniciar los servicios y restablecer la imagen inicial de los PC.

Una vez que se tiene el anlisis de riesgos, este se convierte en el punto de partida del Anlisis de
Impacto de Negocios y/o Business Impact Analysis (BIA). Este BIA se constituye as en el pilar
sobre el que se va construir el Plan de Recuperacin de Negocios.

El BIA ser la gua que determine que necesita ser recuperado y el tiempo que tarde dicha
recuperacin, actividades que en el Plan de Continuidad de Negocios se convierte quizs en las
ms difciles y crticas por realizar adecuadamente. El apoyo del BIA es invaluable para identificar
que est en riesgo una vez se presente un riesgo permitiendo as justificar los gastos que se
requieran en proteccin y capacidad de recuperacin. Usualmente se habla de critico o esencial
cuando se listan las actividades desarrolladas en una organizacin.

Al hacer un BIA quizs resulte ms til hablar de tiempos inactivos, puesto que ninguna
organizacin contrata un empleado para que realice labores no esenciales, cada labor tiene un
propsito, pero hay unas labores que son ms exigentes en su tiempo de ejecucin que otras
cuando hay lmites de recursos o tiempos apretados de entrega para su realizacin.

Por ejemplo: Un banco que haya sufrido un percance por un pequeo incendio en la bodega puede
detener su campaa publicitaria pero no podr detener los procesos de retiros y depsitos de sus

41
cuando se presenta una emergencia o desastre puede ser aplazada no por su criticidad sino
porque su tiempo de inactividad puede ser mucho mayor y no afectar la operacin del banco. La
organizacin debe revisar cada una de las tareas que se realizan con el mismo patrn de
referencia.

Por cunto tiempo puede dejar de realizarse esta actividad sin que ello cause prdidas
financieras, quejas de los clientes, y/o penalizaciones legales o contractuales?

Cuando se trata el tema de continuidad, todo gira alrededor del impacto. Es acerca de sostener la
operacin bsica de la Organizacin mientras que lo dems se puede dejar en espera. Es
centrarse en las operaciones que le permiten sobrevivir a la Organizacin. Todos los procesos de
la Organizacin, as como los recursos tecnolgicos en los que se soportan tales procesos deben
ser clasificados de acuerdo a su prioridad de recuperacin. Los tiempos de recuperacin de los
procesos para una organizacin estn medidos por las consecuencias de no poder ejecutarlos.

2.11.7 Plan de contingencia

Un Plan de Contingencia de Seguridad Informtica consiste en los pasos que se deben seguir,
luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema
aunque, y por lo general, constan de reemplazos de dichos sistemas (Borghello, 2009).

Se entiende por Recuperacin, "tanto la capacidad de seguir trabajando en un plazo mnimo

despus de que se haya producido el problema, como la posibilidad de volver a la situacin
anterior al mismo, habiendo reemplazado o recuperado el mximo posible de los recursos e
informacin" (Poyato, 2000).

Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre. De hecho los expertos en
seguridad afirman "sutilmente" que hay que definir un plan de recuperacin de desastres "para
cuando falle el sistema", no "por si falla el sistema".

Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperacin de
desastres, el cual tendr como objetivo, restaurar el servicio de cmputo en forma rpida, eficiente
y con el menor costo y prdidas posibles.

Si bien es cierto que se pueden presentar diferentes niveles de daos, tambin se hace necesario
presuponer que el dao ha sido total, con la finalidad de tener un Plan de Contingencias lo ms
completo y global posible. El plan de contingencia debe considerar todos los componentes del
sistema: Datos crticos, equipo lgico de base, aplicaciones, equipos fsicos y de comunicaciones,
documentacin y personal. Adems, debe contemplar tambin todos los recursos auxiliares, sin los
cuales el funcionamiento de los sistemas podra verse seriamente comprometido: suministro de

42
potencia; sistemas de climatizacin; instalaciones; etc. Finalmente, debe prever tambin la
carencia de personal cualificado (por ejemplo, por una huelga que impida el acceso del mismo)
para el correcto funcionamiento del sistema. Se debe destacar, que previo al comienzo del trabajo,
se debe obtener el pleno compromiso de los mximos responsables de la organizacin. Sin su
apoyo decidido y constante, el fracaso del plan est garantizado.

El plan de contingencias debe ser comprobado de forma peridica para detectar y eliminar
problemas. La manera ms efectiva de comprobar si funciona correctamente, es programar
simulaciones de desastres. Los resultados obtenidos deben ser cuidadosamente revisados, y son
la clave para identificar posibles defectos en el plan de contingencia. Adems el plan de
contingencia debe contemplar los planes de emergencia, backup, recuperacin, comprobacin
mediante simulaciones y mantenimiento del mismo. Un plan de contingencia adecuado debe
ayudar a las empresas a recobrar rpidamente el control y capacidades para procesar la
informacin y restablecer la marcha normal del negocio.

Etapas fundamentales de un Plan de Contingencia:

Definicin general del plan.

Determinacin de vulnerabilidades.
Seleccin de los recursos alternativos.
Preparacin detallada del plan.
Pruebas y mantenimiento.

a) Definicin general del plan.

En esta etapa los altos responsables del organismo deben establecer: quines, y cmo, deben
elaborar el plan, implementarlo, probarlo y mantenerlo; qu acontecimientos debe contemplar y
dnde se debe desarrollar el plan. Los aspectos principales de esta etapa son:

b) Marco del plan

Debe limitarse a los equipos centrales?

Debe incluir los equipos departamentales, PC's y LAN's?

Qu procesos son, estratgicamente, ms importantes?

c) Organizacin.

Quines deben componer el equipo de desarrollo del plan?

43
 Quin ser el responsable de este equipo?

Cmo se relacionarn con el resto de la institucin?

Qu nivel de autonoma tendr el equipo?

A quin reportar?

Apoyo institucional.

Un alto responsable (idealmente el mximo) de la institucin remitir una circular a todos los
departamentos involucrados, comunicndoles el proyecto y su importancia estratgica para el
organismo. Asimismo, debe solicitar su total colaboracin e informarles de su responsabilidad
en la elaboracin del mismo.

d) Presupuesto.

Debe prever los gastos asociados con:

La adquisicin del paquete informtico, o contratacin de la empresa de servicios, para

la elaboracin del proyecto.
Reuniones, viajes, formacin del personal.
Costos del personal que constituye el equipo de elaboracin del plan.
Almacenamiento externo y transporte de los soportes de respaldo de la informacin.
Adquisicin o contratacin de equipos.
Determinacin de vulnerabilidades.

El propsito es obtener informacin de las consecuencias, de todo tipo, que tendra la

ocurrencia de un siniestro.

Identificacin de aplicaciones crticas.

Se determinarn las aplicaciones crticas priorizndolas en orden de importancia. Se obtendr

as un listado en el que las aplicaciones ms vitales, que ocuparn los primeros lugares de la
lista, sern las que se deban recuperar primero, y siempre en el orden de aparicin.

e) Identificacin de recursos.

Se especificarn los recursos de los que dependen las aplicaciones crticas. Estos recursos
sern: equipo lgico de base, equipos fsicos, de comunicaciones, etc.

f) Perodo mximo de recuperacin.

44
 Cada departamento dependiente de aplicaciones crticas determinar el perodo mximo que
puede permanecer sin dichas aplicaciones tras un colapso de las mismas.

Como consecuencia, se obtendr una nueva lista de aplicaciones segn el perodo mximo de
recuperacin. Este perodo podr ser de minutos, horas, semanas, etc.

Las informaciones de los apartados Identificacin de aplicaciones crticas y periodo mximo de

recuperacin se obtendrn mediante formularios y entrevistas a realizar a los mximos
responsables de los departamentos de la organizacin. Una vez concluida esta etapa el equipo
de desarrollo del PC deber obtener la conformidad de los departamentos implicados y de los
mximos responsables de la institucin.

g) Seleccin de los recursos alternativos.

Con los datos anteriores es fcil analizar y determinar las alternativas ms convenientes en
trminos de costo-rendimiento. Estas alternativas pueden ser procesos manuales, acuerdos
mutuos, salas vacas ("cold-site") o salas operativas ("host-site").

h) Recuperacin manual

Es slo posible en un nmero muy escaso y decreciente con los aos de aplicaciones.

i) Salas vacas

Slo son viables si la institucin puede resistir sin sus recursos de Tecnologas de la
Informacin durante un tiempo determinado. Es necesario que el fabricante de los equipos a
reponer se comprometa por escrito a dicha reposicin dentro del perodo mximo de
recuperacin.

j) Salas operativas.

Son necesarias si el perodo mximo de recuperacin es de minutos u horas.

Una posibilidad es utilizar dos instalaciones diferentes y separadas, una trabajando

normalmente como centro de desarrollo y otra de produccin. El centro de desarrollo debe
estar dimensionado con la suficiente holgura para alojar las aplicaciones crticas de produccin
caso de ser necesario.

Otra posibilidad, la ms usual, es la contratacin del servicio de respaldo a una empresa

especializada.

45
k) Preparacin detallada del plan.

Incluye la documentacin de las acciones a tomar, los actores a involucrar, los recursos a
emplear, procedimientos a seguir, etc. en un formato adecuado para su uso en situaciones
crticas. Esta documentacin debe estar disponible en varios lugares accesibles
inmediatamente.

l) Pruebas y mantenimiento.

Si se quiere garantizar que el plan de contingencia, que usualmente se realiza durante un

perodo de tiempo no muy extenso (pocos meses), sea operativo durante aos, esta etapa es
absolutamente fundamental. De no cuidar esta fase, el plan se convertir en un costoso
ejercicio acadmico de validez muy limitada en el tiempo. Un aspecto crucial es la formacin
del personal para asegurar que el plan est vigente en cada momento y funciona
correctamente.

m) Pruebas.

Las pruebas no deben alterar el funcionamiento de los departamentos, por lo que se pueden
realizar pruebas parciales en estos departamentos aisladamente. Con mayor periodicidad se
pueden realizar pruebas totales, en horario nocturno o en un fin de semana.

n) Mantenimiento.

Comprende la actualizacin del plan segn nuevas aplicaciones se implementen, otras dejen
de ser operativas, se sustituyan equipos, cambie el personal o su ubicacin, vare la
legislacin, se transformen los objetivos estratgicos, etc. Las etapas citadas deben realizarse
consecutivamente en el orden expuesto y slo se pasar de una a otra tras haber concluido
satisfactoriamente la previa. El Plan de Contingencias implica un anlisis de los posibles
riesgos a los cuales pueden estar expuestos nuestros equipos de procesamiento y la
informacin contenida en los diversos medios de almacenamiento, por lo que previamente se
debe haber realizado un anlisis de riesgo al sistema al cual se le va a realizar el plan de
contingencia.

o) Plan de contingencia de las reas de servicio.

Comprende el establecimiento del equipo humano de recuperacin, localizacin de las

instalaciones de emergencia, inventario de recursos de respaldo y su ubicacin, lista del
personal involucrado y su localizacin en todo momento, lista de empresas a contactar, sitios
de almacenamiento de los soportes de respaldo de informacin, etc. As mismo, se detallarn

46
p) Plan de contingencia de servicios.

Consta de la documentacin de los procedimientos de recuperacin de los servicios con

aplicaciones crticas. Incluye el equipo humano de recuperacin, el inventario de
informaciones, localizacin de las instalaciones de emergencia, etc.

q) Plan de almacenamiento de informacin.

Mientras todos los CPD que se precian disponen de soportes de respaldo de la informacin
debidamente almacenados en instalaciones externas, no sucede lo mismo con los
departamentos informatizados autnomamente. Es vital que estos departamentos identifiquen,
dupliquen y almacenen externamente en lugares seguros las informaciones crticas. Se
recomienda el establecimiento de una estrategia, general para toda la institucin, de
informacin de respaldo.

2.11.8 Estadsticas de seguridad en las organizaciones

Segn datos difundidos por Eset, la experiencia hasta ahora demuestra que las empresas ms
expuestas al robo de informacin son las que se dedican a las finanzas y negocios. En segundo
lugar aparecen los gobiernos, luego los sectores de educacin y medicina como se muestra en la
Ilustracin 8.

El reporte refleja las opiniones, percepciones y polticas de la seguridad de la informacin de

distintos profesionales de Mxico.

Ilustracin 8.Preocupaciones en la seguridad de la informacin

47
Los resultados estn basados en las encuestas realizadas en diferentes pases de Latinoamrica
en el marco de la asistencia a eventos de la industria por parte de los representantes de ESET. El
presente informe recopila los datos obtenidos a partir de ms de 750 encuestas llevadas a cabo a
gerentes de empresas y profesionales del rea TI y de la seguridad de la informacin durante la
realizacin del B3 Forum, que tuvo lugar en febrero de 2010 en Mxico D.F.

Entre las temticas analizadas y reflejadas en el Reporte Mxico 2010, se destacan las siguientes:

Los niveles de preocupacin segn la amenaza a la seguridad de la empresa como se muestra en

la ilustracin 9: Identificada por el 57.62 % de los entrevistados, la amenaza ms relevante es la
prdida de datos. Este resultado es un claro indicador del grado de madurez alcanzado por parte
de las empresas que comprendieron que los datos e informacin que poseen constituyen un valor
de suma importancia para la organizacin y coincide con los resultados obtenidos previamente en
los informes presentados por ESET para Argentina, Centroamrica y Latinoamrica.

En segundo lugar, la opcin de vulnerabilidades de software y sistemas fue seleccionada por casi
el 40% de los encuestados, ratificando la relevancia de los problemas de seguridad en aplicaciones
dentro del marco general de la seguridad de la informacin. Sin embargo, ante la consulta respecto
a cul es la poltica de la empresa en la instalacin de parches de seguridad, un 11,6% manifest
que no se implementan actualizaciones y un 46,6% indic que se realizan slo para el sistema
operativo o aplicaciones.

Completando las tres preocupaciones ms importantes, el fraude informtico fue seleccionado en

tercera ubicacin en partes prcticamente iguales sea tanto externo (37.60%) como interno
(37.24%).

48
 Ilustracin 9.Seguridad en la empresa.

La relevancia del malware: A diferencia de otras regiones donde tambin fue realizado el ESET
Security Report, Mxico, es el primer pas donde el malware no fue seleccionado entre los tres
temas de mayor preocupacin entre los encuestados, lo cual resulta curioso teniendo en cuenta el
crecimiento en la cantidad de cdigos maliciosos que estn afectando en la actualidad a las redes
corporativas. Tan slo un 21,32% indic al malware como un tema de preocupacin.

Esto puede deberse, por un lado, a que los profesionales no sean conscientes de los peligros que
puede representar una infeccin para una red empresarial o a que la cuestin no les resulta
preocupante ya que prcticamente todos manifestaron contar con soluciones antivirus en los
sistemas de la empresa (slo 3 personas indicaron no utilizar software de seguridad contra
malware).

De cualquier manera, el resultado no deja de ser llamativo y es una seal de alerta sobre la
necesidad de que los usuarios sean ms conscientes ante la amenaza que representa el malware
y reflexionen sobre la importancia de una mayor educacin en la materia.

Asignacin del presupuesto a seguridad informtica: Ms de la mitad de los encuestados indicaron

que del presupuesto de IT, menos del 5% es asignado a la seguridad de la informacin. Mientras
que slo el 20% de los encuestados dijeron que este nmero ascenda a ms del 10% del total.

49
La falta de recursos para la asignacin de controles de seguridad es un claro impedimento y una
expresin de la falta de procesos de decisin respecto a la medicin de costos en lo referido a
seguridad y a los clculos y anlisis respecto a las inversiones en dicho campo como se muestra
en la ilustracin 10.

La importancia en la concientizacin del personal: Al igual que en reportes previos, ante la consulta
sobre la importancia de la concientizacin en seguridad, los encuestados dan como respuesta
predilecta que la misma es esencial (con el 54,67% de las respuestas), siendo muy alta la segunda
respuesta seleccionada (30,58%).

A la vez, casi la mitad de los profesionales indicaron que realizan peridicamente actividades de
concientizacin en la empresa.

Ilustracin 10.Perdida de datos experimentado.

2.11.9 Infraestructura tecnolgica para la creacin de un SOC

Con frecuencia las organizaciones despliegan tecnologa como medio de atender temas
imperativos de seguridad. Los proyectos que son nombrados como soluciones tcnicas estn
frecuentemente medidos por el xito de la implementacin ms que por el valor que la tecnologa
provee. Por ejemplo, en las preguntas alrededor de la proteccin de datos, los encuestados de la
GISS hicieron referencia a la implementacin de un sistema DLP y prestan poca atencin en los
otros componentes de un programa de Prevencin de Prdida de Datos como el desarrollo de una

50
poltica o un estndar, gobierno, inventario y seguimiento de activos de informacin, clasificacin y
ciclo de vida de la informacin, y soportar los procesos y los procedimientos para el manejo de
alertas.

Para obtener el mayor valor de una solucin tecnolgica, las organizaciones deben suplementar
sus esfuerzos de despliegue tecnolgico con iniciativas estratgicas que traigan a la mesa la
gobernanza apropiada, procesos, entrenamiento y concientizacin. Retos similares existen, cuando
la implementacin de un SOC se iguala al despliegue de un sistema SIEM. La implementacin de
un SOC bien diseado es el paso que las compaas deben dar para obtener el mayor beneficio de
una implementacin SIEM.

Un SOC debe estar equipado con una suite de productos tecnolgicos que provean la visibilidad
adecuada hacia el entorno que coadyuve a la postura de seguridad de la organizacin. Al
seleccionar la tecnologa correcta, el SOC necesita asignar un equipo de seguridad calificado que
pueda identificar exactamente cules son las herramientas adecuadas para el trabajo. Este equipo
ser responsable de evaluar los RFP de distintos proveedores, considerar los requerimientos de
integracin del sistema, evaluar la interoperabilidad con la infraestructura existente y realizar
demostraciones y pruebas de las soluciones.

Algunas de las herramientas requeridas pueden incluir la tecnologa de deteccin y prevencin de

intrusiones; soluciones SIEM; herramientas de administracin de amenazas y vulnerabilidades;
tecnologas de filtrado; herramientas de prevencin de prdida de datos; soluciones de inspeccin
de trfico/paquetes; y plataformas de anlisis de datos y tecnologas de reporteo. Adems,
dependiendo del alcance de las responsabilidades, el SOC podra tener acceso a otros sistemas
de negocio como herramientas forenses para soportar los esfuerzos de investigacin de la
respuesta a incidentes.

Aunque las herramientas tcnicas son importantes, el desplegar tecnologa simplemente por
hacerlo es costoso e inefectivo. Los planes de tecnologa del SOC deben primer considerar lo que
est disponible en casa para satisfacer sus necesidades: entonces, se podr mejorar y ampliar las
capacidades actuales a travs del despliegue de herramientas y tecnologas suplementarias.

El abordar las inversiones en aspectos tcnicos del SOC como parte de la perspectiva ms amplia
de la estrategia de TI as como de los procesos de administracin de portafolio es una mejor
opcin que perseguir adquisiciones de tecnologa de seguridad de manera aislada.

Implementar la combinacin correcta de tecnologas que funcionen bien en conjunto como parte de
un programa de seguridad basada en inteligencia puede ser todo un desafo. Sin embargo, las
tecnologas disponibles actualmente para los SOC pueden ser el elemento ms maduro en el tro

51
compuesto por el personal, los procesos y la tecnologa. A pesar de que las nuevas herramientas
como las plataformas de anlisis de seguridad son muy prometedoras, solo son buenas en la
medida en que el personal que las usa tambin sea bueno y en la medida en que las mejores
prcticas operacionales implementadas para ayudar a la organizacin funcionen en conjunto de
manera eficaz y eficiente.

Luego de proporcionar consultora a cientos de organizaciones de clientes, RSA considera que el

personal y los procesos suelen ser ms difciles de alinear con un mtodo de seguridad basada en
inteligencia que la tecnologa. Esto se debe a que desarrollar, probar y establecer nuevos
procedimientos para administrar y responder a los incidentes de seguridad requiere de
conocimientos especializados y tiempo. Tambin se necesita tiempo para que el personal de
operaciones de seguridad llegue a conocer los procesos de negocios crticos de su organizacin lo
suficientemente bien para defenderlos de los ataques.

La manera de optimizar el personal, los procesos y la tecnologa ser diferente para cada SOC, ya
que depende de las condiciones y necesidades nicas de sus organizaciones.

Sin embargo, es posible aplicar pautas comunes a la mayora de los SOC que intentan
implementar un mtodo de seguridad basada en inteligencia.

2.11.9.1 Firewalls

Un firewall es software o hardware que comprueba la informacin procedente de Internet o de una

red y, a continuacin, bloquea o permite el paso de sta al equipo, en funcin de la configuracin
del firewall. Los firewalls de red son dispositivos o sistemas que controlan el flujo de trfico entre
redes que emplean diferentes posturas de seguridad (Microsoft, 2016).

Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos)
obtengan acceso al equipo a travs de una red o de Internet. Un firewall tambin puede ayudar a
impedir que el equipo enve software malintencionado a otros equipos.

En la Ilustracin 11 se muestra el funcionamiento de un firewall.

52
 Ilustracin 11.Funcionamiento firewall.

Un firewall crea una barrera entre Internet y el equipo, igual que la barrera fsica que constituira
una pared de ladrillos.

El firewall est basado en las capas del Modelo de referencia OSI (Open Systems Interconnect, por
sus siglas en ingles), los firewalls modernos operan en las capas mostradas en la Ilustracin 12.

Ilustracin 12.Capas del Modelo OSI donde operan los firewalls modernos.

2.11.9.2 Sistema de deteccin de intrusos (IDS)

La deteccin de intrusos es el proceso de monitorear los eventos ocurridos en un sistema de

cmputo o red y analizarlos en busca de seales de posibles incidentes, los cuales son violaciones
o inminentes amenazas de violacin de polticas de seguridad de cmputo, polticas de uso
aceptable o prcticas de seguridad estndar (Gonzlez, 2013) .

53
Un Sistema de Deteccin de Intrusos o IDS (Intrusion Detection System, por sus siglas en ingls)
es un software que automatiza el proceso de deteccin de intrusos (Gonzlez, 2003). Despus de
detectar actividad maliciosa, el IDS enva mensajes de alerta a una consola central de monitoreo
de modo que la accin pueda ser tomada por el administrador de la red. Las alertas son enviadas
en forma de mensajes de syslog o alertas va correo electrnico. Los IDS estn disponibles como
dispositivos basados en hardware as como en agentes o sensores basados en software. El
desempeo de los IDS es evaluado en trminos de la precisin para generar alertas.

Un IDS provee las siguientes ventajas para un administrador de la red:

Exponer las vulnerabilidades de seguridad presentes en la red.

Proveer monitoreo y alertas 24/7, liberando de esta forma tiempo y recursos para el
administrador de la red.
Proveer registros para anlisis forense de ataques e intrusiones.

2.11.9.3 Sistema de prevencin de intrusos (IPS)

Un sistema de prevencin de intrusos (o por sus siglas en ingls IPS) es un software que ejerce el
control de acceso en una red informtica para proteger a los sistemas computacionales de ataques
y abusos. La tecnologa de prevencin de intrusos es considerada por algunos como una extensin
de los sistemas de deteccin de intrusos (IDS), pero en realidad es otro tipo de control de acceso,
ms cercano a las tecnologas de firewall (Gonzlez, 2003).

Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver
ambigedades en la monitorizacin pasiva de redes de computadoras, al situar sistemas de
detecciones en la va del trfico. Los IPS presentan una mejora importante sobre las tecnologas
de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos
del trfico, en lugar de direcciones IP o puertos. Tiempo despus, algunos IPS fueron
comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen
Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron
extensiones literales de los sistemas IDS, continan en relacin.

Tambin es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir
actividades potencialmente maliciosas.

2.11.9.4 Servidores

Un servidor es una aplicacin en ejecucin (software) capaz de atender las peticiones de un cliente
y devolverle una respuesta en concordancia. Los servidores se pueden ejecutar en cualquier tipo
de computadora, incluso en computadoras dedicadas a las cuales se les conoce individualmente
como "el servidor". En la mayora de los casos una misma computadora puede proveer mltiples

54
servicios y tener varios servidores en funcionamiento. La ventaja de montar un servidor en
computadoras dedicadas es la seguridad. Por esta razn la mayora de los servidores son
procesos daemon diseados de forma que puedan funcionar en computadoras de propsito
especfico (Wiley, 2011).

Los servidores operan a travs de una arquitectura cliente-servidor. Los servidores son programas
de computadora en ejecucin que atienden las peticiones de otros programas, los clientes. Por
tanto, el servidor realiza otras tareas para beneficio de los clientes. Ofrece a los clientes la
posibilidad de compartir datos, informacin y recursos de hardware y software. Los clientes
usualmente se conectan al servidor a travs de la red pero tambin pueden acceder a l a travs
de la computadora donde est funcionando. En el contexto de redes Internet Protocol (IP), un
servidor es un programa que opera como oyente de un socket.

Comnmente los servidores proveen servicios esenciales dentro de una red, ya sea para usuarios
privados dentro de una organizacin o compaa, o para usuarios pblicos a travs de Internet. Los
tipos de servidores ms comunes son servidor de base de datos, servidor de archivos, servidor de
correo, servidor de impresin, servidor web, servidor de juego, y servidor de aplicaciones.

Un gran nmero de sistemas usa el modelo de red cliente-servidor, entre ellos los sitios web y los
servicios de correo. Un modelo alternativo, el modelo red peer-to-peer permite a todas las
computadoras conectadas actuar como clientes o servidores acorde a las necesidades.

Esta lista categoriza los diversos tipos de servidores del mercado actual:

Plataformas de Servidor (Server Platforms): Un trmino usado a menudo como sinnimo

de sistema operativo, la plataforma es el hardware o software subyacentes para un
sistema, es decir, el motor que dirige el servidor.

Servidores de Aplicaciones (Application Servers): Designados a veces como un tipo de

middleware (software que conecta dos aplicaciones), los servidores de aplicaciones
ocupan una gran parte del territorio entre los servidores de bases de datos y el usuario, y
a menudo los conectan.

Servidores de Audio/Video (Audio/Video Servers): Los servidores de Audio/Video aaden

capacidades multimedia a los sitios web permitindoles mostrar contenido multimedia en
forma de flujo continuo (streaming) desde el servidor.

55
 Servidores de Chat (Chat Servers): Los servidores de chat permiten intercambiar
informacin a una gran cantidad de usuarios ofreciendo la posibilidad de llevar a cabo
discusiones en tiempo real.

Servidores de Fax (Fax Servers): Un servidor de fax es una solucin ideal para
organizaciones que tratan de reducir el uso del telfono pero necesitan enviar
documentos por fax.

Servidores FTP (FTP Servers): Uno de los servicios ms antiguos de Internet, File
Transfer Protocol permite mover uno o ms archivos con seguridad entre distintos
ordenadores proporcionando seguridad y organizacin de los archivos as como control
de la transferencia.

Servidores Groupware (Groupware Servers): Un servidor groupware es un software

diseado para permitir colaborar a los usuarios, sin importar la localizacin, va Internet o
va Intranet corporativo y trabajar juntos en una atmsfera virtual.

Servidores IRC (IRC Servers): Otra opcin para usuarios que buscan la discusin en
tiempo real, Internet Relay Chat consiste en varias redes de servidores separadas que
permiten que los usuarios conecten el uno al otro va una red IRC.

Servidores de Listas (List Servers): Los servidores de listas ofrecen una manera mejor de
manejar listas de correo electrnico, bien sean discusiones interactivas abiertas al pblico
o listas unidireccionales de anuncios, boletines de noticias o publicidad.
Servidores de Correo (Mail Servers): Casi tan ubicuos y cruciales como los servidores
web, los servidores de correo mueven y almacenan el correo electrnico a travs de las
redes corporativas (va LANs y WANs) y a travs de Internet.

Servidores de Noticias (News Servers): Los servidores de noticias actan como fuente de
distribucin y entrega para los millares de grupos de noticias pblicos actualmente
accesibles a travs de la red de noticias USENET.

Servidores Proxy (Proxy Servers): Los servidores proxy se sitan entre un programa del
cliente (tpicamente un navegador) y un servidor externo (tpicamente otro servidor web)
para filtrar peticiones, mejorar el funcionamiento y compartir conexiones.

56
 Servidores Telnet (Telnet Servers): Un servidor telnet permite a los usuarios entrar en un
ordenador husped y realizar tareas como si estuviera trabajando directamente en ese
ordenador.

Servidores Web (Web Servers): Bsicamente, un servidor web sirve contenido esttico a
un navegador, carga un archivo y lo sirve a travs de la red al navegador de un usuario.
Este intercambio es mediado por el navegador y el servidor que hablan el uno con el otro
mediante HTTP.

2.12 DMZ

Una DMZ, zona desmilitarizada o red perimetral es una red local que se ubica entre la red interna
de una organizacin y una red externa, generalmente Internet (Morales, 2014).

El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn
permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, es decir:
los equipos locales (hosts) en la DMZ no pueden conectar con la red interna.

Esto permite que los equipos (hosts) de la DMZ's puedan dar servicios a la red externa a la vez
que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos
(host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse
ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida.

La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde
fuera, como servidores de e-mail, Web y DNS.

Los servidores en la DMZ se denominan "anfitriones bastin" ya que actan como un puesto de
avanzada en la red de la compaa.

Por lo general, la poltica de seguridad para la DMZ es la siguiente:

El trfico de la red externa a la DMZ est autorizado

El trfico de la red externa a la red interna est prohibido
El trfico de la red interna a la DMZ est autorizado
El trfico de la red interna a la red externa est autorizado
El trfico de la DMZ a la red interna est prohibido
El trfico de la DMZ a la red externa est denegado
De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es lo
suficientemente alto para almacenar datos imprescindibles de la compaa.

57
Debe observarse que es posible instalar las DMZ en forma interna para aislar la red interna con
niveles de proteccin variados y as evitar intrusiones internas como se muestra en la Ilustracin
13.

Ilustracin 13.Diagrama de ejemplificacin DMZ

58
Captulo III. Marco contextual
En este captulo se mencionan los principales compromisos y retos del da a da a los que se
enfrenta un Centro de Operaciones de Seguridad (SOC), as como el fundamento para gestionar
los niveles de servicio que manejan para medir su eficiencia y eficacia ante la seguridad de la
empresa brindando el respaldo y confiabilidad de la empresa

3.1 Problemtica en materia de seguridad del SOC

La mayora de los problemas presentados en materia de seguridad dentro de un SOC, se debe a

un conjunto de fallas bsicas en la implementacin y desarrollo del proceso de seguridad de la
informacin.

Los fallos ms comunes y ms graves son:

1. La ausencia de una estructura de polticas, normas y procedimientos.

Las normativas (polticas, normas y procedimientos) existen para regir como una organizacin
desea que los recursos informticos sean usados. Como no existe legislacin con ciertos asuntos,
como por ejemplo el control de los mensajes de correo electrnico, la organizacin necesita
informar sobre el uso a sus usuarios.

2. La gestin del control de acceso permite una identificacin para el uso comn.

Muchas organizaciones poseen identificaciones que no son individuales y son utilizadas por un
grupo determinado de usuarios. Son casos normales de acceso a la informacin. Con ese acceso
comn es muy difcil identificar que usuario hizo determinada accin.

3. Ausencia de un administrador de la informacin.

Es un factor crtico para el xito en el proceso de seguridad, el administrador de la informacin

debe ser la persona del rea de negocio o del rea administrativa responsable de la informacin.
Es quien autoriza (o no) el acceso de los dems usuarios de la empresa a determinada
informacin.

4. Planes de continuidad.

Los planes de continuidad de negocio o planes para situaciones de contingencia debe ser un
proceso actualizado. Pero, muchas empresas desarrollan sus planes y estos quedan estancados.
Un plan de continuidad tiene que ser activo: actualizado constantemente, probado y en crecimiento
continuo.

59
 5. Registros de acciones realizadas.

Se recomienda que exista siempre un registro de acceso y modificaciones en los sistemas.

Tambin es importante la existencia del registro de tentativas de acceso y errores de identificacin
y contrasea.

6. Copias de seguridad.

Las copias de seguridad deben existir por razones legales y por la necesidad de mantener a salvo
las transacciones histricas de la empresa. El procedimiento para la creacin de las copias de
seguridad debe mantenerse permanentemente actualizado. Es muy importante asegurarse que las
copias de seguridad que se realizan puedan ser restauradas en caso de necesitarse.

7. Ausencia de un administrador del proceso de seguridad.

La seguridad de la informacin es una responsabilidad de todos. Sin embargo, un profesional debe

ser responsable de la existencia del proceso de seguridad de la informacin. Pequeas y medianas
empresas suelen disponer de una persona capacitada y dedicada a esta funcin.

8. La falta de una gestin de riesgo.

Cuando no existe una gestin de riesgo, los anlisis de riesgo y de amenazas son hechos
aleatoriamente y normalmente slo cuando se est ante un riesgo inminente. Toda organizacin
debe poseer una gestin de riesgo continua.

9. Usuarios: poco entrenamiento y concientizacin.

La persona es el factor determinante para el xito o fracaso del proceso de seguridad de la

informacin en una organizacin. Cada usuario necesita ser capacitado. Necesita saber sus
responsabilidades, lo que puede y lo que no puede hacer.

Si logras esto, con certeza tu organizacin tendr un excelente nivel de proteccin de la

informacin.

3.2 Problemtica en la operacin del SOC

En el ncleo de un SOC exitoso estn unos cimientos fuertes para la excelencia operacional,
impulsada por procesos bien diseados y ejecutados, individuos capaces y en constante
motivacin para mejorar y estar delante de sus ciberadversarios.

Su principal problemtica, se debe a la alta demanda de los servicios y de ellos se derivan

actividades subsecuentes para el mal desempeo y organizacin.

60
 Falta de atencin de tickets
Falta de atencin en el monitoreo 24x7
Falta de seguimiento y aviso ante eventos correlacionados definidos anteriormente
Elaboracin de informes y reportes incompletos

En este punto se observ que, al tener una carga excesiva de trabajo, los SOC presentan la
problemtica de no lleva registro constante de registros, soluciones y trabajos realizados.

3.2.1 Niveles de Servicio

De acuerdo a ITIL, la Gestin de Niveles de Servicio es el proceso por el cual se definen, negocian
y supervisan la calidad de los servicios TI ofrecidos, la Gestin de Niveles de Servicio es
responsable de buscar un compromiso realista entre las necesidades y expectativas del cliente y
los costes de los servicios asociados, de forma que estos sean asumibles tanto por el cliente como
por la organizacin TI.

El objetivo primordial de la Gestin de Niveles de Servicio es definir, negociar y monitorizar la

calidad de los servicios TI ofrecidos. Si los servicios no se adecuan a las necesidades del cliente, la
calidad de los mismos es deficiente o sus costes son desproporcionados, tendremos clientes
insatisfechos y la organizacin TI ser responsable de las consecuencias que se deriven de ello.

Para la implementacin del SOC, se recomienda el manejo de niveles de servicio considerando lo

siguiente:

1.- Control de cambios.

Este nivel de servicio cubre la aplicacin correcta y oportuna de los cambios realizados sobre las
configuraciones de la infraestructura de seguridad gestionada desde el SOC.

2.- Soporte a fallos.

Este nivel de servicio cubre el tiempo de atencin sobre fallos en la infraestructura de seguridad
gestionada desde el SOC, y puede calcularse mediante la siguiente clasificacin:

Tiempo promedio de atencin (el tiempo que transcurre entre que se recibe la solicitud de
soporte hasta que sea asignado un nmero de evento).
Tiempo promedio de respuesta (el tiempo que transcurre entre que se asigna el nmero de
evento hasta que el personal del licitante inicia actividades de soporte).
Tiempo promedio de restauracin (el tiempo que transcurre entre que se diagnostica un
fallo en un dispositivo hasta que se restaura su funcionamiento).

61
3.- Monitorizacin de actividad sospechosa

Este nivel de servicio cubre la monitorizacin en lnea de la infraestructura de seguridad para

detectar la existencia de actividades sospechosas y puede calcularse mediante la siguiente
clasificacin:

Tiempo promedio de notificacin de actividades sospechosas.

Tiempo promedio de entrega/envo de dictamen de actividades sospechosas.

4.- Gestin de incidentes de seguridad

Este nivel de servicio cubre la confirmacin, notificacin y contencin de incidentes de seguridad

derivados de una Actividad Sospechosa que se haya presentado sobre la infraestructura de
seguridad y puede calcularse mediante la siguiente clasificacin:

Tiempo promedio de notificacin/contencin de incidentes de seguridad: La accin a medir

(notificacin o contencin) ser la que se haya predefinido en los procedimientos de
actuacin.
Accin de contencin se considera aquella accin tomada para evitar que el ataque sea
exitoso.

5.- Entrega de informes.

Entrega de Informes mensuales de servicios sujetos a algn nivel de servicio.

La definicin de los niveles de servicios conllevara a la definicin de indicadores los cuales nos
ayudaran a analizar de una manera ms rpida el cumplimiento de la entrega del servicio de
acuerdo a los objetivos establecidos.

Adems de esto se podrn considerar penalizaciones ya sean econmicas o de otra ndole que
sean acordados por el prestador de servicio y el usuario las cuales dependern de los niveles de
servicio definidos y de los indicadores.

3.2.2 Calidad en el servicio proporcionado

Calidad en el servicio, es la manera de ser y el conjunto de caractersticas peculiares y esenciales

que identifican a las actividades y procedimientos de conformidad con ciertos requisitos
preestablecidos.

La falta de calidad trae consigo costos adicionales:

Se le paga a alguien un salario por hacer las cosas mal.

62
 Alguien ms gana por inspeccionarlas y rechazarlas.
Un tercero cobra por corregirlas.
Alguien recibe la reclamacin del cliente, la procesa y le entrega otro producto nuevo.

Para lograr la calidad total existen dos enfoques. El primero se deriva de las aseveraciones de los
grandes tratadistas de la administracin y la calidad, se basa en las acciones de la administracin,
por lo cual se denomina enfoque directivo de la calidad total:

Drucker: los cuellos de botella en las organizaciones estn al igual que en las botellas:
arriba.
Deming: 85% de los problemas en las organizaciones se deben a la administracin, y slo
15% a la operacin.
Juran: los problemas siempre surgen uno o dos niveles debajo de donde se manifiestan.
Dicho popular: Las escaleras se barren de arriba para abajo.

El segundo enfoque destaca que la calidad total se logra mediante la participacin del personal en
una continua bsqueda de solucin de los problemas de su trabajo, para lo cual debern formar
equipos de trabajo efectivos y aplicar una metodologa estadstica de deteccin, anlisis y solucin
de problemas el cual se conoce como enfoque operativo.

Problemas y obstculos frente a la calidad.

Falta de consistencia en el diseo de productos y servicios orientados a la satisfaccin del

consumidor para capturar y conservar parte del mercado.
nfasis en las ganancias a corto plazo.
Evaluacin.

La calidad dej de ser una opcin. Resulta fundamental para lograr ventajas competitivas, una
mayor rentabilidad y satisfaccin de los clientes. El motivo principal: garantizar la permanencia en
el mercado y crecer con mayor facilidad. Gestionar la calidad ya no es una opcin que algunos
pueden tomar para generar una imagen positiva o aumentar los precios: la calidad se convirti en
una cuestin de supervivencia empresarial. En el entorno cada vez ms competitivo la satisfaccin
del cliente debe colocarse en un plano primordial, si es que la empresa quiere seguir en carrera.

Un sistema de gestin de la calidad puede implementarse en cualquier empresa, sin importar su

tamao, actividad, productos o servicios que comercializa, tecnologas utilizadas o exigencias de
los clientes. Ninguna queda excluida, ya que puede disearse un modelo adecuado a las
condiciones propias de cada organizacin.

63
Claro que la calidad no es gratuita, pero el costo adicional (en tiempo y dinero) se recupera a largo
plazo. Los niveles altos de calidad dan como resultado una mayor satisfaccin del cliente, lo que a
menudo termina reduciendo costos (por ejemplo, exigiendo menos publicidad para captar nuevos
clientes). Por lo tanto, los programas de mejoramiento de la calidad normalmente logran tambin
incrementar la rentabilidad.

3.2.3 Niveles de atencin y respuesta al cliente

La calidad de atencin al cliente es un proceso para la satisfaccin total de los requerimientos y

necesidades de los mismos. Los clientes constituyen el elemento vital de cualquier organizacin.
Sin embargo, no todas las organizaciones consiguen adaptarse a las necesidades de sus clientes
ya sea en cuanto a calidad, eficiencia o servicio personal. Es por ello que los directivos deben
iniciar el proceso de mejorar la calidad del servicio que ofrecen a sus clientes, ya que no es
cuestin de eleccin: la imagen de la organizacin depende de ello.

Para mantener la imagen de la organizacin, es necesario entre otras cosas mejorar

continuamente el lugar de trabajo, enfocndolo hacia la calidad y la mejora continua.

En la Ilustracin 14 se muestra el esquema del proceso de atencin y servicio al cliente.

Ilustracin 14.Esquema atencin al cliente.

La calidad de atencin al cliente es un proceso encaminado a la consecucin de la satisfaccin

total de los requerimientos y necesidades de los mismos, as como tambin atraer cada vez un
mayor nmero de clientes por medio de un posicionamiento tal, que lleve a stos a realizar
gratuitamente la publicidad persona a persona (Fernndez, 2009).

En tal sentido, los clientes constituyen el elemento vital de cualquier organizacin. Sin embargo,
son pocas las organizaciones que consiguen adaptarse a las necesidades de sus clientes ya sea
en cuanto a calidad, eficiencia o servicio personal. Es por ello que los directivos deben mejorar la

64
calidad del servicio que ofrecen a sus clientes, ya que no es cuestin de eleccin: la vida de la
organizacin depende de ello.

De tal forma, para mantener una organizacin en el mercado, es necesario entre otras cosas
mejorar continuamente el lugar de trabajo, enfocndolo hacia la calidad de bienes y servicios,
haciendo que esta actitud sea un factor que prevalezca en todas las actuaciones.

3.3 Ventajas y Desventajas de un SOC

En nuestro pas y en general en amrica latina es muy escasa la inversin que se ha realizado en
este aspecto. Se entiende por inversin no solo el recurso econmico, sino adems el tecnolgico
y particularmente el humano. Y no es porque falten profesionales capacitados, sino porque las
organizaciones no toman conciencia del riesgo que corren. Organizaciones tanto privadas como
gubernamentales, siguen sin priorizar su bien ms preciado: la informacin.

Po lo tanto se va a citar a continuacin las ventajas y desventajas que se tienen al invertir en un

SOC.

Ventajas

Reduccin de Riesgos y Amenazas.

Mayor Disponibilidad de sus servicios
Identificacin y Prevencin de Vulnerabilidades.
Optimizar la capacidad de respuesta operativa.
Implementacin de polticas y reglas claras.
Centralizacin de los Registros de Datos.
Mejorar la generacin de informes y reportes.
Mayor seguridad para sus servicios y productos.
Prevencin, proteccin y eliminacin de los riegos asociados con los fraudes
informticos (Phishing, Pharming, etc.)

Desventajas

Es una solucin a la parte de seguridad lgica: No debe perderse de vista que lo que se
debe proteger es aquello que es ms valioso para la organizacin. Estos servicios pueden
crear la "ilusin" de seguridad mientras la puerta de atrs de la empresa est abierta 24/7.
En ningn caso es una solucin global puesto que aquello a lo que cada organizacin debe
prestar especial atencin debe venir dado por los objetivos de negocio de la organizacin y
aquellos elementos que resulten determinantes tras el anlisis de riesgos.

65
 Intrusivo: Algunos de estos servicios pueden no ser recomendables dependiendo de cmo
de crtica sea la informacin que se maneje. Hay que tener en cuenta que algunos de los
sensores que se instalan en los sistemas capturan llamadas al sistema con el objeto de
crear un perfil de comportamiento del sistema y poder reportar cualquier anomala que
pueda surgir en el funcionamiento del mismo.

Regulacin contractual: Ojo porque estamos externalizando la seguridad lgica de la

empresa y a nivel contractual esto debe quedar bien amarrado, en caso de duda no estara
dems recurrir a un tercero independiente no vinculado con el SOC con conocimientos
legales para que analice las clusulas del contrato y asegure la correcta inclusin de
obligaciones y responsabilidades por su parte.

El tercero que hace seguimiento de los terceros: El seguimiento de los terceros con el
objetivo de verificar si stos cumplen con los acuerdos firmados sean confusos
especialmente con este tipo de servicios que pueden ofrecer monitorizacin de los terceros
de la organizacin, por ejemplo los ISP.

3.4 Los retos de seguridad para las Pymes

Las PyMES repiten errores en comn lo cual las hace ms vulnerables a los problemas de
seguridad que se presentan hoy en da.

1. Pensar que a nadie le interesan mis datos. Hay empresarios que piensan que los hackers slo
se dedican a tratar de buscar agujeros de seguridad en los servidores y sistemas de grandes
multinacionales. Pero no suele ser as. De hecho, las pequeas empresas suelen ser ms
vulnerables porque invierten menos en la seguridad de su negocio y suele ser ms fcil
perjudicarlas.

2. No incluir la seguridad en los contratos. Una clusula que debe integrarse en los contratos,
siempre que se trabaja con personal externo a la empresa, pero tambin con empleados, es la
confidencialidad. Tambin es importante que cuando adquirimos un servicio online, sea del
carcter que sea, nos informemos bien de si cumple con la Ley Orgnica de Proteccin de Datos
Personales entre otros.

3. Olvidar la gestin de la red informtica. En muchos negocios se utilizan redes Wifi para acceder
a Internet, pero no se han comprobado los niveles de seguridad de esta red. Probablemente,
personal ajeno a la empresa pueda conectarse a nuestra red o incluso interceptar transferencias
de datos si sabe cmo hacerlo. La gestin de la red informtica y su nivel de seguridad es clave.

66
4. Pensar en reparar, no en mantener. Muchas empresas slo piensan en reparar los problemas
informticos cuando estos se producen. Pero, y todo el tiempo que sucede entre incidencia e
incidencia? No es sta la causa de muchos problemas informticos? El mantenimiento debe ser
diario y hay que ajustarse tambin a un cdigo de buenas prcticas. Si no disponemos de un
departamento de informtica, podemos contratar servicios profesionales en mantenimiento
informtico a precio ms econmico.

5. Basta con tener un antivirus y un firewall. Lamentablemente, no es tan sencillo. Un antivirus y un

firewall nos protegen en cierta medida de los problemas de seguridad ms comunes relacionados
con software espa, intrusos y malware conocido. Pero es necesario actualizar los antivirus,
comprobar si existen agujeros de seguridad, ver si se est cumpliendo el cdigo de buenas
prcticas informticas, etc.

Las Pymes se estn convirtiendo en un blanco muy atractivo para los ladrones digitales, que estn
aprovechando la poca seguridad de estas empresas para adquirir secretos industriales y demorar
los planes de la competencia.

Segn McAfee, solo el 8% del gasto en TI de las pequeas y medianas empresas est destinado a
la seguridad informtica. Teniendo en cuenta que el 73% de las Pymes sufrieron por lo menos un
ataque informtico, y que estas compaas mueven el 96% de la economa del pas, es
preocupante la falta de aseguramiento informtico.

La tendencia de atacar a las Pymes empez con un incremento de amenazas sofisticadas en

2012, y est dirigida a vulnerar las bases de datos y los sistemas productivos de gestin
empresarial, agreg Gmez. A medida que las empresas van incrementando su dependencia a
los sistemas de tecnologa, tambin incrementan los riesgos informticos.

La ingeniera social ser ms prominente. Esta consiste en extraer informacin del sistema por
medio de las redes sociales y el correo electrnico, por ejemplo. Los ataques de phising son una
forma de ingeniera social muy popular por estos das. McAfee tambin asegura que las amenazas
internas tendrn que ser contrarrestadas. Cada da son ms frecuentes los casos donde el robo
de la informacin se da desde el interior de la compaa, explic la compaa de seguridad. La
tecnologa tiene que proponer soluciones para que los mismos empleados no puedan extraer
informacin confidencial de la empresa. La situacin de las Pymes es complicada. Obviamente
tienen recursos limitados y la seguridad en TI no est entre las prioridades. Sin embargo, las
empresas deberan entender que la realidad es diferente. Los piratas informticos son lo
suficientemente inteligentes para saber dnde hay menos resistencia, y por ah atacan.

67
Captulo IV. Buenas prcticas y estndares aplicados a la
problemtica

En este captulo se mencionan los estndares y buenas prcticas que existen y aplican para el
diseo del modelo para la implementacin de un Centro de Operaciones de seguridad (SOC).

4.1 Estndares de seguridad

Un estndar es un documento que proporciona requisitos, especificaciones, directrices o

caractersticas que pueden ser utilizadas consistentemente para asegurar que los materiales,
productos, procesos y servicios son adecuados para su propsito (ISO, 2013).

4.2 ISO 27002:2013

Proporciona directrices para las normas de seguridad de la informacin de la organizacin y las

prcticas de gestin de seguridad de la informacin, incluyendo la seleccin, implementacin y
gestin de los controles, teniendo en cuenta el medio ambiente riesgo seguridad de la informacin
de la organizacin.

Est diseado para ser utilizado por las organizaciones que tengan la intencin de:

1. Seleccionar los controles dentro del proceso de implantacin de un Sistema de

Gestin de Seguridad de la Informacin basado en ISO / IEC 27001.
2. Implementar controles de seguridad de informacin comnmente aceptadas.
3. Desarrollar sus propias directrices de gestin de seguridad de la informacin.

En la Tabla 1 se describen los objetivos de control.

Nm. Dominio Objetivos de control y controles.

5.1 Directrices de la Direccin en seguridad de la

5 Polticas de Seguridad
8 Gestin de activos
informacin.
5.1.1 Conjunto de polticas para la seguridad de la informacin.
5.1.2 Revisin de las polticas para la seguridad de la informacin.
8.1 Responsabilidad sobre los activos.
8.1.1 Inventario de activos.
8.1.2 Propiedad de los activos.
8.1.3 Uso aceptable de los activos.
8.1.4 Devolucin de activos.
8.2 Clasificacin de la informacin.
8.2.1 Directrices de clasificacin.
8.2.2 Etiquetado y manipulado de la informacin.
8.2.3 Manipulacin de activos.

68
Nm. Dominio Objetivos de control y controles.

9.1 Requisitos de negocio para el control de accesos.

9 Control de acceso 9.1.1 Poltica de control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados.
9.2 Gestin de acceso de usuario.
9.2.1 Gestin de altas/bajas en el registro de usuarios.
9.2.2 Gestin de los derechos de acceso asignados a usuarios.
9.2.3 Gestin de los derechos de acceso con privilegios
especiales.
9.2.4 Gestin de informacin confidencial de autenticacin de
usuarios.
9.2.5 Revisin de los derechos de acceso de los usuarios.
9.2.6 Retirada o adaptacin de los derechos de acceso
9.3 Responsabilidades del usuario.
9.3.1 Uso de informacin confidencial para la autenticacin.
9.4 Control de acceso a sistemas y aplicaciones.
9.4.1 Restriccin del acceso a la informacin.
9.4.2 Procedimientos seguros de inicio de sesin.
9.4.3 Gestin de contraseas de usuario.
9.4.4 Uso de herramientas de administracin de sistemas.
9.4.5 Control de acceso al cdigo fuente de los programas.
11.1 reas seguras.
11 Seguridad fsica y 11.1.1 Permetro de seguridad fsica.
11.1.2 Controles fsicos de entrada.
ambiental
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Proteccin contra las amenazas externas y ambientales.
11.1.5 El trabajo en reas seguras.
11.1.6 reas de acceso pblico, carga y descarga.
11.2 Seguridad de los equipos.
11.2.1 Emplazamiento y proteccin de equipos.
11.2.2 Instalaciones de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
11.2.5 Salida de activos fuera de las dependencias de la
empresa.
11.2.6 Seguridad de los equipos y activos fuera de las
instalaciones.
11.2.7 Reutilizacin o retirada segura de dispositivos de
almacenamiento.
11.2.8 Equipo informtico de usuario desatendido.
11.2.9 Poltica de puesto de trabajo despejado y bloqueo de
pantalla.
12.1 Responsabilidades y procedimientos de operacin.
12 Seguridad de las 12.1.1 Documentacin de procedimientos de operacin.
12.1.2 Gestin de cambios.
operaciones
12.1.3 Gestin de capacidades.
12.1.4 Separacin de entornos de desarrollo, prueba y
produccin.
12.2 Proteccin contra cdigo malicioso.
12.2.1 Controles contra el cdigo malicioso.
12.3 Copias de seguridad.
12.3.1 Copias de seguridad de la informacin.
12.4 Registro de actividad y supervisin.

69
Nm. Dominio Objetivos de control y controles.

12.4.1 Registro y gestin de eventos de actividad.

12.4.2 Proteccin de los registros de informacin.
12.4.3 Registros de actividad del administrador y operador del
sistema.
12.4.4 Sincronizacin de relojes.
12.5 Control del software en explotacin.
12.5.1 Instalacin del software en sistemas en produccin.
12.6 Gestin de la vulnerabilidad tcnica.
12.6.1 Gestin de las vulnerabilidades tcnicas.
12.6.2 Restricciones en la instalacin de software.
12.7 Consideraciones de las auditoras de los sistemas de
informacin.
12.7.1 Controles de auditora de los sistemas de informacin.
13.1 Gestin de la seguridad en las redes.
13 Seguridad de las 13.1.1 Controles de red.
13.1.2 Mecanismos de seguridad asociados a servicios en red.
comunicaciones
13.1.3 Segregacin de redes.
13.2 Intercambio de informacin con partes externas.
13.2.1 Polticas y procedimientos de intercambio de informacin.
13.2.2 Acuerdos de intercambio.
13.2.3 Mensajera electrnica.
13.2.4 Acuerdos de confidencialidad y secreto.
14.1 Requisitos de seguridad de los sistemas de informacin.
14 Adquisicin, desarrollo y 14.1.1 Anlisis y especificacin de los requisitos de seguridad.
14.1.2 Seguridad de las comunicaciones en servicios accesibles
mantenimiento de
por redes pblicas.
sistemas 14.1.3 Proteccin de las transacciones por redes telemticas.
14.2 Seguridad en los procesos de desarrollo y soporte.
14.2.1 Poltica de desarrollo seguro de software.
14.2.2 Procedimientos de control de cambios en los sistemas.
14.2.3 Revisin tcnica de las aplicaciones tras efectuar cambios
en el sistema operativo.
14.2.4 Restricciones a los cambios en los paquetes de software.
14.2.5 Uso de principios de ingeniera en proteccin de sistemas.
14.2.6 Seguridad en entornos de desarrollo.
14.2.7 Externalizacin del desarrollo de software.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los
sistemas.
14.2.9 Pruebas de aceptacin.
14.3 Datos de prueba.
14.3.1 Proteccin de los datos utilizados en pruebas.
15.1 Seguridad de la informacin en las relaciones con
15 Relaciones con suministradores.
15.1.1 Poltica de seguridad de la informacin para
proveedores
suministradores.
15.1.2 Tratamiento del riesgo dentro de acuerdos de
suministradores.
15.1.3 Cadena de suministro en tecnologas de la informacin y
comunicaciones.
15.2 Gestin de la prestacin del servicio por
suministradores.
15.2.1 Supervisin y revisin de los servicios prestados por

70
Nm. Dominio Objetivos de control y controles.

terceros

16.1 Gestin de incidentes de seguridad de la informacin y

16 Gestin de incidentes mejoras.
16.1.1 Responsabilidades y procedimientos.
de seguridad de la
16.1.2 Notificacin de los eventos de seguridad de la informacin.
informacin 16.1.3 Notificacin de puntos dbiles de la seguridad.
16.1.4 Valoracin de eventos de seguridad de la informacin y
toma de decisiones.
16.1.5 Respuesta a los incidentes de seguridad.
16.1.6 Aprendizaje de los incidentes de seguridad de la
informacin.
16.1.7 Recopilacin de evidencias.
18.1 Cumplimiento de los requisitos legales y contractuales.
18 Cumplimiento 18.1.1 Identificacin de la legislacin aplicable.
18.1.2 Derechos de propiedad intelectual (DPI).
18.1.3 Proteccin de los registros de la organizacin.
18.1.4 Proteccin de datos y privacidad de la informacin
personal.
18.1.5 Regulacin de los controles criptogrficos.
18.2 Revisiones de la seguridad de la informacin.
18.2.1 Revisin independiente de la seguridad de la informacin.
18.2.2 Cumplimiento de las polticas y normas de seguridad.
18.2.3 Comprobacin del cumplimiento.

Tabla 1 Objetivos de control ISO 27002:2013

4.3 ISO 27005:2011

Proporciona directrices para la gestin de riesgos de seguridad de la informacin.

Es compatible con los conceptos generales especificados en la norma ISO / IEC 27001 y est
diseado para ayudar a la ejecucin satisfactoria de seguridad de la informacin basado en un
enfoque de gestin de riesgos.

El conocimiento de los conceptos, modelos, procesos y terminologas que se describen en la

norma ISO / IEC 27001 e ISO / IEC 27002 es importante para una comprensin completa de la
norma ISO / IEC 27005: 2011.

71
 Ilustracin 15.Riesgo

Como se muestra en la Ilustracin 15, La importancia del anlisis de riesgos segn ISO 27005 nos
permite identificar las amenazas a las que se encuentran expuestos todos los activos, se estima la
frecuencia en la que se materializan todas las amenazas y valora el impacto que supone que se
materialice en nuestra organizacin.

Es aplicable a todo tipo de organizaciones (por ejemplo, las empresas comerciales, agencias
gubernamentales, organizaciones sin fines de lucro), que tienen la intencin de gestionar los
riesgos que podran comprometer la seguridad de la informacin de la organizacin.

Esta norma no recomienda una metodologa concreta, puesto que depender de una serie de
factores relativos a cada empresa que se plantee implantarla como por ejemplo: el alcance real del
Sistema de Gestin de Seguridad de la Informacin (SGSI) o el sector comercial de la propia
industria.

4.4 ISO 27032:2012

Proporciona un marco seguro para el intercambio de informacin, el manejo de incidentes y la

coordinacin para hacer ms seguros los procesos. Adems de facilitar la colaboracin segura y
fiable para proteger la privacidad de las personas en todo el mundo. De esta manera, puede
ayudar a prepararse, detectar, monitorizar y responder a los ataques.

Tambin aborda los riesgos no cubiertos por la Internet actual, las redes y la seguridad de las
tecnologas de la informacin y de la comunicacin, sacando los aspectos nicos de esa actividad
y sus dependencias en otros dominios de seguridad, en particular:

72
 1. seguridad de informacin
2. Seguridad de la red
3. La seguridad de Internet
4. Proteccin de infraestructuras crticas de informacin ( PICI )

Esta Norma Internacional proporciona:

1. Una visin general de la Seguridad Ciberntica

2. Una explicacin de la relacin entre la seguridad ciberntica y otros tipos de seguridad
3. Una definicin de las partes interesadas y una descripcin de su papel en la seguridad
ciberntica
4. Orientacin para abordar las cuestiones de seguridad ciberntica comunes
5. Un marco para que las partes interesadas a colaborar en la resolucin de cuestiones de
seguridad ciberntica.

4.5 Estndares de calidad

Los estndares no son ms que los niveles mnimo y mximo deseados, o aceptables de calidad
que debe tener el resultado de una accin, una actividad, un programa, o un servicio. En otras
palabras, el estndar es la norma tcnica que se utilizar como parmetro de evaluacin de la
calidad.

Una vez programadas las actividades de solucin al problema de gestin, los crculos de calidad
debern definir los estndares de calidad del resultado, o los resultados esperados.

En el desarrollo de los estndares deben participar los miembros del equipo coordinador de la
gestin de calidad, en la unidad de salud y representantes de los usuarios internos y externos del
programa de atencin integral en el cual se identificaron los problemas.

Se debe cuidar que los estndares no sean influenciados por lo que actualmente hace el personal,
quienes son los responsables de la gestin o ejecucin de la actividad, componente o programa
con un problema. Los estndares deben ser monitoreados y evaluados peridicamente, aplicando
indicadores, para saber si se est asegurando la calidad.

Las ISO 9000 son normas establecidas por la Organizacin Internacional para la Estandarizacin
(ISO, por sus siglas en ingls), a travs de las cuales se pueden medir los sistemas de gestin de
calidad de una empresa y verificar si realmente sta satisface las expectativas y necesidades de
sus clientes.

73
Desde su aparicin, en 1987, se han venido modificando y actualizando hasta llegar a su ltima
versin en el ao 2000. Actualmente, estas normas se pueden aplicar tanto en el sector privado,
como en la administracin pblica, y poseen todo un marco conceptual y un proceso detallado para
la debida certificacin de calidad de las empresas.

NORMAS DE CALIDAD

CALIDAD

Las empresas deben afrontar que los clientes son cada vez ms exigentes, en cuanto a la calidad
de los productos, las prestaciones y la fiabilidad. La mejor calidad no es siempre la ms cara, si no
la que ms se adapta en caractersticas y precio a las necesidades del cliente.

Los problemas que tienen las empresas con sus costos excesivos, la competencia
Tradicionalmente las empresas han trabajado con la creencia que la productividad est reida con
la calidad, teniendo que optar por una u otra.

ESTANDARIZACIN

Se conoce como estandarizacin al proceso mediante el cual se realiza una actividad de manera
estndar o previamente establecida. El trmino estandarizacin proviene del trmino estndar,
aquel que refiere a un modo o mtodo establecido, aceptado y normalmente seguido para realizar
determinado tipo de actividades o funciones. Un estndar es un parmetro ms o menos esperable
para ciertas circunstancias o espacios y es aquello que debe ser seguido en caso de recurrir a
algunos tipos de accin (Acadmica, 2013).

4.5.1 ISO IEC 9001

La ISO 9001 es una norma ISO internacional elaborada por la Organizacin Internacional para la
Estandarizacin (ISO) que se aplica a los Sistemas de Gestin de Calidad de organizaciones
pblicas y privadas, independientemente de su tamao o actividad empresarial. Se trata de un
mtodo de trabajo excelente para la mejora de la calidad de los productos y servicios, as como de
la satisfaccin del cliente.

El sistema de gestin de calidad se basa en la norma ISO 9001, las empresas se interesan por
obtener esta certificacin para garantizar a sus clientes la mejora de sus productos o servicios y
estos a su vez prefieren empresas comprometidas con la calidad. Por lo tanto, las normas como la
ISO 9001 se convierten en una ventaja competitiva para las organizaciones.

ISO 9001: 2015 establece los criterios para un sistema de gestin de calidad y es la nica norma
en la familia que puede ser certificada para (aunque esto no es un requisito). Puede ser utilizado

74
por cualquier organizacin, grande o pequea, independientemente de su campo de actividad. De
hecho, hay ms de un milln de empresas y organizaciones en ms de 170 pases certificados con
la norma ISO 9001.

Esta norma se basa en una serie de principios de gestin de calidad, incluyendo una fuerte
orientacin al cliente, la motivacin y la implicacin de la alta direccin, el enfoque de procesos y la
mejora continua. El uso de la norma ISO 9001: 2015 ayuda a asegurar que los clientes obtengan
productos consistentes y de buena calidad y servicios, que a su vez trae muchos beneficios para el
negocio.

La estructura de la nueva ISO 9001:2015 incluye dos nuevos requisitos:

1. Alcance
2. Referencias Normativas
3. Trminos y Definiciones
4. Contexto de la Organizacin
5. Liderazgo
6. Planificacin
7. Soporte
8. Operacin
9. Evaluacin del Desempeo
10. Mejora

Enfoque basado en procesos

En la nueva versin, el enfoque basado en procesos se convierte en el apartado 4.4 Sistema de

Gestin de la Calidad y sus procesos. Si hay algo que destacar como principal ventaja de este
enfoque, hay que centrarse en el incremento de la gestin y control de las interacciones existentes
entre procesos y jerarquas funcionales de cada organizacin.

Anlisis del contexto

En esta nueva ISO 9001:2015 existe un nuevo apartado, el 4. Contexto de la organizacin. En este
captulo, se trata la necesidad de tener en cuenta y analizar el entorno socio-econmico de la
empresa y los vnculos existentes con los stakeholder (internos y externos). Este anlisis facilitar
la identificacin de problemas y necesidades que puedan generar un impacto en la planificacin del
Sistema de Gestin de la Calidad.

75
Pensamiento basado en riesgo.

Es uno de los cambios ms importantes en la nueva ISO 9001, ya que este concepto se introduce
en la totalidad del sistema de gestin, es decir, durante el establecimiento, implantacin,
mantenimiento y mejora. Para gestionar los riesgos se pueden adoptar la metodologa que ms se
ajuste a las necesidades de la empresa, por ejemplo, la norma ISO 31000.

Acciones preventivas.
Se elimina las acciones preventivas en la nueva edicin de la norma ISO9001, ya que el propio
Sistema de Gestin de la Calidad debe actuar como herramienta preventiva.

Representante de la Direccin.
Esta figura deja de ser obligatoria en la ISO9001:2015, se le da ms importancia a la involucracin
de la alta direccin como vemos en el captulo 5 Liderazgo.

Gestin del conocimiento

La gestin del conocimiento ocupa un nuevo numeral en la norma, en concreto es el 7.1.6
Conocimiento organizacional, en el que se indica que es la organizacin la encargada de
establecer qu conocimiento es requerido para que el Sistema de Gestin de la Calidad opere
correctamente para lograr productos y/o servicios que satisfagan al cliente.

4.6 Buenas prcticas

En general el concepto de buenas prcticas se refiere a toda experiencia que se gua por
principios, objetivos y procedimientos apropiados o pautas aconsejables que se adecuan a una
determinada perspectiva normativa o a un parmetro consensuado, as como tambin toda
experiencia que ha arrojado resultados positivos, demostrando su eficacia y utilidad en un contexto
concreto.

El concepto de buenas prcticas se utiliza en una amplia variedad de contextos para referirse a las
formas ptimas de ejecutar un proceso, que pueden servir de modelo para otras organizaciones.
Las buenas prcticas sistematizadas, permiten aprender de las experiencias y aprendizajes de
otros, y aplicarlos de manera ms amplia y/o en otros contextos (scaling-up). Pueden promover
nuevas ideas o sugerir adaptaciones y proporcionar una orientacin sobre la manera ms efectiva
de visibilizar los diversos impactos de una intervencin en las comunidades.

Haciendo una sistematizacin de los criterios comunes a todas las evaluaciones revisadas,
podramos decir que una buena prctica sera un programa, proyecto o intervencin que tiene al
menos algunas de las siguientes caractersticas:

76
Responden a una necesidad identificada, son fruto de una evaluacin cuidadosa de alguna
caracterstica en una poblacin definida que se hace necesario modificar y mejorar y por tanto
tiene objetivo definido, relevante y realista;

Desarrollan estrategias basadas en la evidencia, y son innovadoras en su aplicacin,

demostrando capacidad de cuestionamiento y creatividad;
Las estrategias y las acciones parten de unos principios y valores bsicos y responden a una
visin o perspectiva definida del problema que atiende;
Los recursos humanos que implementan la iniciativa estn calificados y especializados;
Proponen un sistema riguroso de seguimiento a los procesos y los resultados de las acciones
emprendidas a la vez que permiten la retroalimentacin y reorientacin de las acciones;
Cuentan con una amplia base de participacin, sobre todo de los beneficiarios, pero tambin
de la comunidad, con alianzas interinstitucionales fuertes;
Puede probar una mejora sustantiva de la situacin que el dio origen;
Incorpora estrategias de sostenibilidad de la iniciativa, propiciando su institucionalizacin;
Sistematiza los procesos y resultados;
Propicia de alguna manera la replicacin de la experiencia.

La bsqueda de buenas prcticas se relaciona directamente con los actuales planteamientos sobre
los criterios de calidad y eficiencia de las intervenciones sociales, que abarcan no slo la gestin y
los procedimientos, sino fundamentalmente la satisfaccin de las necesidades de las personas
afectadas y la superacin de su problemtica. Por lo tanto, durante la planeacin del modelo
estratgico se bas en dos guas de TI importantes en buenas prcticas: COBIT e ITIL.

Ambos modelos son tambin complementarios y se pueden usar juntos: ITIL para lograr efectividad
y eficiencia en los servicios TI y COBIT para verificar la conformidad en cuanto a disponibilidad,
rendimiento, eficiencia y riesgos asociados de dichos servicios con los objetivos y estrategias de la
compaa, usando para ello mtricas claves y cuadros de mando que reporten dicha informacin.

4.6.1 COBIT

Los Objetivos de Control para la Informacin y la Tecnologa relacionada (COBIT) brindan buenas
prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en
una estructura manejable y lgica. Las buenas prcticas de COBIT representan el consenso de los
expertos. Estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas
ayudarn a optimizar las inversiones facilitadas por la TI, asegurarn la entrega del servicio y
brindarn una medida contra la cual juzgar cuando las cosas no vayan bien. (ITGI, 2007).

77
COBIT permite el desarrollo de polticas claras y de buenas prcticas para control de TI a travs de
las empresas. COBIT constantemente se actualiza y armoniza con otros estndares. Por lo tanto,
COBIT se ha convertido en el integrador de las mejores prcticas de TI y el marco de referencia
general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios
asociados con TI. La estructura de procesos de COBIT y su enfoque de alto nivel orientado al
negocio brindan una visin completa de TI y de las decisiones a tomar acerca de la misma.

Los beneficios de implementar COBIT como marco de referencia de gobierno sobre TI incluyen:

Mejor alineacin, con base en su enfoque de negocios

Una visin, entendible para la gerencia, de lo que hace TI
Propiedad y responsabilidades claras, con base en su orientacin a procesos
Aceptacin general de terceros y reguladores
Entendimiento compartido entre todos los Interesados, con base en un lenguaje comn
Cumplimiento de los requerimientos COSO para el ambiente de control de TI

Los ejecutivos necesitan la certeza de que pueden confiar en los sistemas de informacin y en la
informacin producida por los sistemas, y as obtener un retorno positivo de las inversiones en TI.
COBIT permite que los ejecutivos de negocios entiendan mejor como dirigir y gestionar el uso de
las TI la empresa y el estndar de mejores prcticas que se espera de los proveedores de TI.
COBIT proporciona las herramientas para dirigir y supervisar todas las actividades relacionadas
con las TI.

Una vez implementado, los ejecutivos pueden asegurarse de que se ajusta de manera eficaz con
los objetivos del negocio y dirigir mejor el uso de TI para obtener ventajas comerciales. COBIT
brinda un lenguaje comn a los ejecutivos de negocios para comunicar las metas, objetivos y
resultados a los profesionales de auditora, informtica y otras disciplinas.

COBIT brinda las mejores prcticas y herramientas para el monitoreo y la gestin de las
actividades de TI. El uso de las TI es una inversin importante que debe ser gestionado. COBIT
ayuda a los ejecutivos a comprender y gestionar las inversiones de TI durante su ciclo de vida y
proporciona un mtodo para evaluar si los servicios de TI y las nuevas iniciativas satisfacen los
requisitos empresariales y sea probable que entreguen los beneficios esperados.

Existe una tremenda diferencia entre las empresas que realizan una buena gestin de TI y las que
no lo hacen, o no pueden. COBIT permite el desarrollo de polticas claras y mejores prcticas para
la administracin de TI. El marco ayuda a aumentar el valor obtenido de TI. Tambin ayuda a las
organizaciones a gestionar los riesgos relacionados con TI y a asegurar el cumplimiento, la
continuidad, seguridad y privacidad.

78
Debido a que COBIT es un conjunto de herramientas y tcnicas probadas y aceptadas
internacionalmente, su implementacin es una seal de buena gestin en una organizacin. Ayuda
a los profesionales de TI y a usuarios de empresas a demostrar su competencia profesional a la
alta direccin. Como ocurre con muchos procesos de negocio genricos, existen estndares y
mejores prcticas de la industria de TI que las empresas deberan seguir cuando utilizan las TI.
COBIT se nutre de estas normas y proporciona un marco para implementarlas y gestionarlas.

Una vez que se identifican e implementan los principios clave de COBIT para una empresa, los
ejecutivos ganan confianza en que la utilizacin de las TI puede ser gestionada de forma eficaz.

Los ejecutivos de las empresas pueden esperar los siguientes resultados de la adopcin de
COBIT:

Los gerentes y el staff de TI entendern totalmente como es que el negocio y TI pueden

trabajar en forma conjunta para la entrega exitosa de las iniciativas de TI.
Los costos totales del ciclo de vida de TI sern ms transparentes y predecibles.
TI ofrecer informacin ms oportuna y de mayor calidad.
TI entregar proyectos de mejor calidad y ms exitosos.
Los requisitos de seguridad y privacidad sern ms claros y la implementacin ser
monitoreada con mayor facilidad.
Los riesgos de TI sern gestionados con mayor eficacia.
Las auditoras sern ms eficientes y exitosas.
El cumplimiento de TI con los requisitos regulatorios sern una prctica normal de gestin.

Las versiones 4.x de COBIT, incluyen lo siguiente:

Marco de trabajo: Explica cmo es que COBIT organiza la gestin del gobierno de TI, los
objetivos de control y las mejores prcticas de los procesos y dominios de TI, y los
relaciona con las necesidades del negocio. El marco contiene un conjunto de 34 objetivos
de control de alto nivel, uno para cada proceso de TI, agrupados en cuatro dominios:
Planificar y Organizar, Adquirir e Implementar, Entregar y dar soporte, Monitorear y
Evaluar.
Las descripciones del proceso incluyen cada uno de 34 procesos de IT, cubriendo las
reas de responsabilidad de la empresa y de TI desde el principio hasta el final.
Los objetivos de control proveen los objetivos de gestin de las mejores prcticas
genricas para los procesos de TI.
Las directrices de gestin ofrecen herramientas para ayudar a asignar responsabilidades y
medir el desempeo.

79
4.6.2 ITIL

ITIL (Information Technology Infraestructure Library o Biblioteca de Infraestructura de Tecnologas

de la Informacin) es un compendio de publicaciones, o librera, que describen de manera
sistemtica un conjunto de buenas prcticas para la gestin de los servicios de Tecnologa
Informtica (en adelante TI).

Las organizaciones cada vez dependen ms de la las herramientas informticas para llevar a cabo
su trabajo diario. Este trabajo adems est gestionado y controlado a travs de otros sistemas
informticos, pudiendo estar stos a su vez dentro de una red controlada por otros sistemas y as
sucesivamente. Por tanto la complejidad de estos procesos hizo crecer la demanda y necesidad de
las entidades (pblicas o privadas) de disponer de un modelo que les permitiera gestionar su
infraestructura TI ms fcilmente y que pudieran dar soporte a los objetivos de negocio.

ITIL naci en la dcada de 1980, a travs de la Agencia Central de Telecomunicaciones y

Computacin del Gobierno Britnico (Central Computer and Telecomunications Agency - CCTA),
que ide y desarrollo una gua para que las oficinas del sector pblico britnico fueran ms
eficientes en su trabajo y por tanto se redujeran los costes derivados de los recursos TI.

Sin embargo esta gua demostr ser til para cualquier organizacin, pudiendo adaptarse segn
sus circunstancias y necesidades. De hecho result ser tan til que actualmente ITIL recoge la
gestin de los servicios TI como uno de sus apartados, habindose ampliado el conjunto de
buenas prcticas a gestin de la seguridad de la informacin, gestin de niveles de servicio,
perspectiva de negocio, gestin de activos software y gestin de aplicaciones. Estas buenas
prcticas provienen de las mejores soluciones posibles que diversos expertos han puesto en
marcha en sus organizaciones a la hora de entregar de servicios TI, por lo que en ocasiones el
modelo puede carecer de coherencia.

En la actualidad ITIL pertenece al Oficina de Comercio Britnico (Office of Government Commerce

- OGC), pero puede ser utilizado para su aplicacin libremente

La Biblioteca de Infraestructura de Tecnologas de Informacin, frecuentemente abreviada ITIL (del

ingls Information Technology Infrastructure Library), es un conjunto de conceptos y buenas
prcticas para la gestin de servicios de tecnologas de la informacin, el desarrollo de tecnologas
de la informacin y las operaciones relacionadas con la misma en general.

ITIL V3 propone un enfoque del ciclo de vida para gestionar los servicios de TI como se muestra en
la ilustracin 16. Cada uno de los cinco libros de ITIL V3 representa una fase del ciclo de vida de la
gestin de servicios. Cada fase se interrelaciona con el resto de fases del ciclo y la mayora de los
procesos abarcan diversas fases. Adems de los cinco volmenes, ITIL V3 ofrece orientaciones

80
complementarias de implementacin y prcticas en sectores concretos, organizaciones, modelos
operativos e infraestructura tecnolgica.

Ilustracin 16.Flujo de funcionamiento de ITIL

Las cinco fases del ciclo de vida de los servicios que propone ITIL V3 son las siguientes como se
muestra en la ilustracin 17:

1) Estrategia de servicio: se ocupa del diseo, desarrollo e implantacin de la gestin de servicios

de TI como activo estratgico para la organizacin. El proceso de la estrategia de servicios
comprende: la gestin de la cartera de servicios, la gestin financiera de TI y la gestin de la
demanda.

2) Diseo del servicio: se encarga del diseo y desarrollo de los servicios y de los correspondientes
procesos necesarios para apoyar dichos servicios. Entre los procesos del diseo de servicios
figuran: la gestin del catlogo de servicios, la gestin de los niveles de servicio, la gestin de la
disponibilidad, la gestin de la capacidad, la gestin de la continuidad de los servicios de TI, la
gestin de la seguridad de la informacin y la gestin de proveedores.

3) Transicin del servicio: se ocupa de la gestin y coordinacin de los procesos, los sistemas y las
funciones que se precisan para crear, comprobar e implantar servicios nuevos o modificados en las
operaciones. Entre los procesos de transicin del servicio figuran: la planificacin y soporte de la
transicin, la gestin del cambio, la gestin de la configuracin y los activos del servicio, la gestin
del lanzamiento y el despliegue, la validacin y comprobacin del servicio, la evaluacin y la
gestin del conocimiento.

81
4) Operaciones de servicio: se ocupa de la coordinacin, las actividades y los procesos necesarios
para gestionar los servicios destinados a usuarios y clientes de empresas dentro de los niveles de
servicio acordados. Los procesos de las operaciones de servicio son los siguientes: la gestin de
eventos, el cumplimiento de peticiones, la gestin de incidencias, la gestin de problemas y la
gestin del acceso.

5) Mejora continua: se ocupa de mejorar los servicios de forma constante para garantizar a las
organizaciones que los servicios responden a las necesidades del negocio. La mejora continua
trata sobre cmo mejorar el servicio, los procesos y las actividades de cada una de las fases del
ciclo de vida.

Ilustracin 17. Fases del ciclo de vida de servicios de ITIL

82
Captulo V. Propuesta de modelo para la implementacin de un
Centro de Operaciones de seguridad (SOC).

En este captulo, se define el diseo del modelo propuesto, el cual, permite identificar los
requerimientos necesarios para implementar y administrar un SOC, evaluando mediante un anlisis
de costo beneficio si es costeable su aplicacin.

5.1 Diseo y definicin del modelo propuesto

El modelo propuesto se basa en el modelo de mejora continua PDCA, alinendose de este modo
con lo establecido en la norma ISO/IEC 9001. La adopcin de este modelo debe ser una decisin
estratgica para la organizacin, cuyo diseo e implementacin es influenciado por las
necesidades, objetivos, requerimientos de seguridad, procesos empleados y el tamao y estructura
de la misma. Se espera que stos y sus sistemas de apoyo cambien a lo largo del tiempo.

En la ilustracin 18 se muestra el ciclo del modelo PDCA, el cual persigue la mejora continua de
la calidad dentro de una organizacin, utilizado sobre todo en los Sistemas de Gestin que mejora
dentro de la organizacin aspectos como la competitividad, los productos y servicios, su calidad, y
reduce costos y precios. El crculo de Deming lo componen 4 etapas cclicas, de forma que una
vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las
actividades son reevaluadas peridicamente para incorporar nuevas mejoras. (lvarez, 2015).

Ilustracin 18. Ciclo del modelo PDCA

83
5.2 Propuesta de modelo de implementacin y gestin para un Centro de
Operaciones de Seguridad (SOC).

Si bien el modelo PDCA es el estndar formal de ISO, ste se construye sobre una base que no
necesariamente se aplica a todas las organizaciones, sobre todo cuando stas no se han
involucrado en procesos relacionados con normas ISO, por ello, con una base prctica se presenta
el siguiente modelo, el cual no omite ni restringe las actividades sealadas en el modelo formal,
sino que se vale de ellas para sustentar un formato prctico de actividades que deben ser
abarcadas para lograr un adecuado nivel de seguridad de la informacin en las reas de TI en
cualquier tipo de organizacin.

Este modelo ser propuesto para ser perfeccionado y modificado en el futuro dado que su
estructura se debe ajustar a los constantes cambios que surgirn en la organizacin como sistema
dinmico.

La particularidad del modelo que se presenta a continuacin reside en su aspecto operativo y

prctico, puesto que se considera su estructuracin, formacin e implementacin bajo cuatro
grandes fases.

Fase de Anlisis
Fase de Investigacin
Fase de Aplicacin
Fase de Prevencin

Estas fases contemplan el conjunto de actividades que de ellas se desprenden y estn ligadas
mediante la secuencia de actividades que es necesario desarrollar a fin de elaborar y aplicar
correctamente el modelo.

Este modelo considera los principales elementos incluidos en las diversas normas y estndares
internacionales relacionados con la seguridad de la informacin, por lo que apoya la concrecin de
un Gobierno de TIC, lo que a su vez abarca un aspecto mayor al que su diseo se orient
inicialmente, ya que esto implica que no solo cubre temas de seguridad y de riesgos, sino a que al
mismo tiempo apoya a lograr aspectos de estructura organizacional, descripciones de cargo,
tareas, definiciones de misin y visin, no solo a nivel gerencial, sino que a nivel de cada rea de
TI.

84
 Proveedores externos
Fase de ofertarn los servicios del
SOC a efecto de evaluar el
costo beneficio para saber si
Anlisis es costeable implementar el
modelo propuesto

Indagacin de las
Fase de necesidades de la empresa
Definicin de alcance, lmites
y ubicacin del SOC
Investigacin Definicin de activos y nivel
de riesgo

Establecimiento de controles
aplicados al nivel de riesgo
Fase de calculado
Recomendaciones fsicas de
Aplicacin infraestructura, recursos
humanos, operacin y
herramientas del SOC

Desarrollo del ciclo de vida

Fase de de la informacin
Recomendaciones de
monitoreo y revisin del SOC
Prevencin

Ilustracin 19. Modelo propuesto

5.3 Fase de Anlisis

En esta fase del modelo se debe realizar un anlisis costo beneficio para conocer y evaluar si es
costeable la implementacin del modelo propuesto.

Para ello, debern implementar los puntos a continuacin mencionados:

1. Seleccionar al menos 2 proveedores externos que brinden servicios de SOC.

2. Solicitar informacin de los servicios que oferta.
3. Solicitar informacin de precios mensuales y niveles de servicio prestados en la atencin de
tickets, requerimientos e incidentes de seguridad.

85
4. Realizar una tabla de costo beneficio
5. Si el resultado del anlisis determina que si el costo proporcionado por el proveedor es mayor,
entonces se procede a continuar con el desarrollo del modelo.

5.4 Fase de Investigacin

En la fase de investigacin se debe profundizar en conocer los antecedentes, reglas de negocio y

necesidades de la empresa, razonando y entendiendo cada departamento y su relacin con el
resto. De esta manera se documenta a detalle toda su lgica y la trazabilidad de todos sus
procesos.

5.4.1 Definicin de alcance y lmites del Centro de Operaciones de Seguridad

Ambos conceptos se definirn en trminos de las caractersticas del negocio, la organizacin, su

ubicacin, activos, tecnologa e incluyendo los detalles y la justificacin de cualquier exclusin del
alcance.

Los puntos significativos a considerar para la definicin de los mismos, se referencian del
levantamiento de la informacin obtenida de la organizacin.

1. Identificar los principales servicios que presta la empresa

2. Jerarquizar los servicios entregados por la empresa.

3. Validar si existe un inventario de la infraestructura actual

4. Mencionar los principales problemas de seguridad de la informacin que han sido

detectados dentro de la organizacin.

5. De los servicios identificados cual es el servicio que desea monitorear inicialmente.

5.4.2 Ubicacin y tipo de SOC propuesto

El SOC debe mantener su propio espacio fsico en una instalacin segura.

Crear una locacin distinta para el SOC, junto con el hardware y software que necesitan, facilitar
los tiempos cortos de respuesta y promover la unidad, la comparticin de conocimientos y un
equipo de trabajo cuyas filas se encuentren ms cerradas.

Para este punto, se define la ubicacin fsica del SOC, tomando en consideracin los estados de la
Repblica Mexicana que tengan el menor porcentaje de inseguridad y riesgo calculado.

86
Asimismo, se puntualizan las caractersticas bsicas y necesarias para la definicin del tipo de
SOC, as como la infraestructura adicional requerida para la implementacin de sus servicios.

5.4.3 Definicin de activos

Para iniciar el anlisis de la informacin de la empresa, primeramente, se definirn los activos

tecnolgicos con los que cuenta actualmente y con ello se procede a calcular el nivel de riesgo de
los mismos.

5.4.4 Anlisis y evaluacin de riesgo

1. Identificar y desarrollar los criterios para aceptar los riesgos e identificar los niveles de
riesgo aceptables.
2. Identificar las amenazas para los activos previamente identificados.
3. Identificar las vulnerabilidades que podran ser explotadas por las amenazas.
4. Identificar los impactos que pueden tener las prdidas de confiabilidad, integridad y
disponibilidad sobre los activos.
5. Calcular el impacto comercial sobre la organizacin que podra resultar de una falla en la
seguridad, tomando en cuenta las consecuencias de una prdida de confidencialidad,
integridad o disponibilidad de los activos.
6. Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y
vulnerabilidades prevalecientes, los impactos asociados con estos activos, y los controles
implementados actualmente.
7. Calcular los niveles de riesgo: Determinar si el riesgo es aceptable o requiere tratamiento
utilizando el criterio de aceptacin del riesgo establecido.
8. Identificar y evaluar las opciones para el tratamiento de los riegos.

5.5 Fase de Aplicacin

En esta fase se definen los controles propuestos para mitigar los riesgos, polticas y
procedimientos que apoyan a regular los procesos de seguridad y los elementos de creacin para
el SOC.

5.5.1 Controles propuestos

Se deben seleccionar los controles para cumplir con los requerimientos identificados por el
proceso de tratamiento del riesgo, as como las polticas y procedimientos aplicables. Esta
seleccin toma en cuenta el criterio para aceptar los riegos y a su vez mitigarlos.

Las acciones posibles incluyen:

1. Aplicar los controles apropiados adecuados a los activos y nivel de riesgo calculado.

87
 2. Aceptar los riesgos consiente y objetivamente, siempre que satisfagan claramente las
polticas y el criterio de aceptacin del riesgo de la organizacin.

5.5.2 Definicin de polticas y procedimientos para el Centro de Operaciones de Seguridad

Se definen en trminos de las caractersticas del negocio, la organizacin, su ubicacin, activos y

tecnologa que:

1.- Incluir un marco referencial que defina sus objetivos y establezca un sentido de direccin
general y principios para la accin con relacin a la seguridad de la informacin.

2.- Tomar en cuenta los requerimientos comerciales, legales o reguladores, y las

obligaciones de la seguridad contractual.

3.- Establecer el criterio con el que se evaluar el riesgo aprobado por la gerencia.

5.5.3 Recomendaciones fsicas de infraestructura, recursos humanos y herramientas

seleccionadas para el SOC

Procesos bien definidos crean operaciones consistentes y resultados repetibles. El SOC necesita
documentar y comunicar procesos efectivamente e implementar mecanismos de control de
cambios para poder actualizar rpidamente los procesos cuando surjan oportunidades de mejora.
Un SOC tambin necesita crear procesos con suficiente amplitud y profundidad para atender
adecuadamente el universo de posibles escenarios de incidente y proveer gua detallada para la
respuesta.

Por ejemplo, un SOC debe documentar procesos para gestionar varios tipos de incidentes (como
puede ser phishing, infecciones de malware, incidentes de BYOD, alteracin no autorizada del sitio
web, ataques de negacin de servicio, etc.) as como guas de decisin para las medidas de
respuesta apropiadas para cada situacin (por ejemplo despliegue de un equipo de respuesta a
incidentes, investigacin forense, anlisis de malware). El SOC necesitar definir e implementar
estos procesos en colaboracin con los departamentos relacionados. La planeacin conjunta es
esencial para una respuesta oportuna y unificada as como una apropiada evaluacin del impacto a
la organizacin.

Para ello, se definen las principales recomendaciones de implementacin y gestin del SOC,
constituyendo los puntos mencionados a continuacin:

1. Definicin de hardware y software mnimo requerido.

2. Establecimiento de tiempos de atencin y niveles de servicio.
3. Definicin de herramientas de monitoreo (SIEM).
4. Definicin de la estructura funcional del SOC.

88
 5. Implementar niveles de escalacin que permitan distribuir las actividades a realizar.
6. Implementar los procedimientos capaces de permitir una pronta deteccin y respuesta a
incidentes de seguridad.

5.6 Fase de Prevencin

En esta fase se realiza el diseo de polticas y procedimientos para prevenir la fuga de informacin,
as como la revisin continua de los procesos del SOC.

5.6.1 Ciclo de vida de la Informacin

En este punto se deben disear polticas y procedimientos a implementar respecto al ciclo de vida
de la informacin (creacin, uso y destruccin) dentro de la organizacin.

5.6.2 Revisin continua del Centro de Operaciones de Seguridad

Ejecutar procedimientos de revisin para:

Detectar prontamente los errores en los resultados del procesamiento de tickets.

Identificar prontamente los incidentes de seguridad fallidos y exitosos.

Permitir a la gerencia determinar si las actividades de seguridad delegadas a las

personas o implementadas mediante la tecnologa de informacin se estn realizando
como se esperaba.

Ayudar a detectar los eventos de seguridad, evitando as los incidentes de seguridad

mediante el uso de indicadores; y determinar si son efectivas las acciones tomadas para
resolver una violacin de seguridad.

Realizar revisiones regulares de la efectividad del Centro de Operaciones de Seguridad

(Incluyendo satisfacer la poltica y objetivos de seguridad del SOC, y revisar los controles
de seguridad) tomando en cuenta los resultados de auditoras de seguridad, incidentes,
mediciones, sugerencias y retroalimentacin de todas las partes interesadas.

Medir la efectividad de los controles para verificar que se hayan cumplido los
requerimientos de seguridad.

Revisar las evaluaciones del riesgo a intervalos planeados y revisar el nivel de riesgo
residual y riesgo aceptable identificado, tomando en cuenta los cambios en:

o La organizacin

89
 o Tecnologa

o Objetivos y procesos comerciales

o Amenazas identificadas

o Efectividad de los controles implementados

o Eventos externos, como cambios en el ambiente legal o regulador, cambios en

obligaciones contractuales y cambios en el clima social.

Registrar las acciones y eventos que podran tener un impacto sobre la efectividad o
desempeo del SOC.

90
Captulo VI. Caso prctico de modelo para la implementacin de
un Centro de Operaciones de seguridad (SOC).

En este captulo, se desarrollan las 4 fases del modelo propuesto adaptado a las necesidades de
seguridad de la empresa, as como de los elementos que se requieren para poder implementarlo.

6.1 Antecedentes de la empresa

Anthares IT Services, es una empresa mexicana enfocada en la entrega de servicios profesionales

de consultora en BSM (Business Service Management) de BMC Software.

Misin

Proporcionar soluciones de software basadas en la necesidad de nuestros clientes que permitan la

agilizacin de sus metodologas, procesos e iniciativas de TI a travs de la implementacin de
tecnologa de punta, personal calificado y estrategias de implementacin prcticas, para lograr
alcanzar eficazmente las metas de negocio, incrementar la calidad y reducir los costos en la
entrega de servicios de TI.

Visin

Ser uno de los proveedores de servicios y soluciones de TI de mayor prestigio a nivel internacional,
brindando a nuestros clientes las soluciones y calidad que ellos requieren.

Valores

Responsabilidad
Confianza
Compromiso
Lealtad
Respeto

Los servicios entregados por esta empresa son los siguientes.

Consultora e implementacin de soluciones de BMC Software

Diseo, arquitectura, implementacin y despliegue.

Desarrollo de aplicaciones y automatizacin de flujos de trabajo a la medida.

91
 Personalizacin de aplicaciones en base a necesidades y requerimientos especficos del
cliente.
Integraciones con otras soluciones de BMC y productos de terceros.
Desarrollo y personalizacin de reportes.
Upgrade de versiones, migracin de aplicaciones y arquitectura.
Instalacin de parches y service packs.
Respaldo de informacin y flujos de trabajo.

Capacitacin de soluciones de BMC Software:

Capacitacin para administradores.

Capacitacin para usuarios finales.
Capacitacin para usuarios de soporte.

Soporte de soluciones de BMC Software:

Soporte en sitio.
Soporte remoto.

Consultora en Gestin de Procesos

ITIL
COBIT

Consultora e implementacin de soluciones de Virtualizacin

VMWare
Citrix

Consultora e implementacin de soluciones Microsoft

Exchange
Active Directory Domain Controller
DNS
IIS
SQL

Desarrollo de aplicaciones a la medida (Fabrica de software)

.NET

92
 JAVA
PHP
HTML
ORACLE
SQL

Administracin de redes, cableado estructurado y seguridad perimetral

Proofpoint Enterprise Protection (Secure Email Gateway)

HP TippingPoint
Checkpoint Next Generation Firewall
Palo Alto Networks Next Generation Firewall
Symantec Endpoint Protection
McAfee Network Security Sophos Unified Threat Management (UTM) con Secure Wi-Fi
Sophos Enduser Protection Suites
Sophos Endpoint Antivirus Cloud
Sophos PureMessage (Antivirus and anti-spam protection for your Microsoft Exchange
servers)
Sophos for Microsoft SharePoint
Sophos SafeGuard Encryption (Cifrado de disco y carpetas)
Sophos Mobile Control (Control Dispositivos Moviles)
Fortinet Unified Threat Management (UTM)
Cisco LAN Switches

93
La empresa Anthares IT Services consta de la siguiente estructura:

Ilustracin 20. Organigrama de la empresa

94
6.2 Aplicacin del modelo

Actualmente, la mayora de las PYMES no cuentan con un Sistema de Gestin de Seguridad de la

Informacin (SGSI) y por ello, el modelo propuesto pretende realizar como primera instancia, un
anlisis costo beneficio para corroborar que rentar servicios por medio de un proveedor externo,
tiene un costo muy elevado. Adicionalmente, plantea la creacin y gestin de un pequeo SOC
adaptado a las necesidades de la empresa, que le sea eficaz y eficiente para proteger la
integridad, disponibilidad y confidencialidad de la informacin.

Actualmente la empresa Anthares IT Services brinda servicios de soporte de TI a empresas dentro

de Mxico y Latinoamrica, en estos se obtiene informacin sensible del cliente la cual es
almacenada en los sistemas de informacin internos y en diferentes documentos por lo cual se
requiere tener una mayor seguridad en el manejo de estos de acuerdo a los requerimientos de los
clientes y a la legislacin nacional vigente como la ley general de proteccin de datos personales
entre otros.

6.3 Fase de Anlisis

Para efectos del ejemplo caso prctico, se eligen los proveedores mencionados a continuacin.

a) SICTUM
b) BESTEL

Para ambos casos, se solicita informacin de los servicios que oferta, precios mensuales y niveles
de servicio prestados en la atencin de tickets y requerimientos e incidentes de seguridad.

a) SICTUM

DESCRIPCIN GENERAL SERVICIO NIVELES DE

SEGURIDAD PERIMETRAL OFERTADO SERVICIO
(SOC)
Son servicios enfocados a Seguridad perimetral tradicional
1.- Requerimientos:
proteger las redes y la (Firewall-FW, prevencin de
infraestructura sensible-crtica intrusos-IPS, antivirus, filtrado de * 2 Horas
de ataques o explotacin de contenido Web)
vulnerabilidades que puedan 2.- Cambios y / o
afectar la disponibilidad, Seguridad Perimetral Administrada Modificaciones
integridad y confidencialidad de (SPA) * 1 hora
la informacin del negocio,
mediante el soporte de personal 3.- Reportes
altamente calificado, las mejores mensuales
prcticas, procesos en gestin,
* Semana vencido

95
 DESCRIPCIN GENERAL SERVICIO NIVELES DE
SEGURIDAD PERIMETRAL OFERTADO SERVICIO
(SOC)
monitoreo de seguridad,
4.- Incidentes
respuesta a incidentes y control
seguridad
de configuraciones.
* Urgencia 5 min

* Alta 10 min

b) BESTEL

DESCRIPCIN GENERAL SERVICIO OFERTADO NIVELES DE SERVICIO

SEGURIDAD PERIMETRAL
Bestel cuenta con un Centro de
Monitoreo y Correlacin 1.- Requerimientos:
Seguridad de la Informacin, el
de Alarmas y Eventos
cual est custodiado por un * 2 Horas
de Seguridad
circuito cerrado de vigilancia y
Informtica 2.- Cambios y / o
estrictos controles de acceso que
nicamente permiten el acceso al Modificaciones
Operacin y
personal autorizado Administracin de la * 1 hora
Infraestructura de
3.- Reportes mensuales
Seguridad
* Semana vencido
Gestin de
Vulnerabilidades 4.- Incidentes seguridad
Respuesta a Incidentes * Emergencia 5 min

* Alta 10 min

c) Tabla de costos

SICTUM BESTEL SOC PROPIO

$180,000.00 $250,000.00 $600,000.00

Mensuales Mensuales Implementacin total

96
6.4 Fase de Investigacin

En esta fase se realiza un estudio de la empresa para conocer de manera general los servicios y
necesidades en cuestin de seguridad incluyendo los servicios prestados para identificar aquellos
que sean ms importantes e iniciar la proteccin de la informacin de estos.

6.4.1 Informacin recabada dentro de la institucin

Anthares IT Services es una empresa mexicana enfocada en la entrega de servicios profesionales

de consultora en BSM (Business Service Management) de BMC Software entre los cuales ofrece
sus servicios a diversos clientes de gran magnitud entre los cuales destacan: instituciones
bancarias y proveedores de servicio de telefona.

A pesar de ser una pequea empresa, para Anthares IT Services por el rubro en el que se
encuentran sus clientes, es de suma importancia proteger la informacin proporcionada debido a
que tiene acceso a miles de datos sensibles.

Para obtener mayor confianza para clientes nuevos y existentes, la empresa considera que la
implementacin de un Centro de Operaciones de Seguridad es de prioridad para disminuir el riesgo
de prdida o robo de informacin y evitar la interrupcin de servicios brindados.

Se aplicaron cuestionarios al personal de Anthares IT Services (Anexo) y con base a los datos
proporcionados se obtuvieron los siguientes resultados jerarquizados del ms importante al menos
importante:

1. Los empleados de la empresa tienen entendimiento de los principales servicios que se ofrecen.

Identifica los principales servicios que presta la

empresa?

No Si

Ilustracin 21 Entendimiento de servicios ofrecidos

97
2. Jerarquizacin de los servicios de acuerdo a la importancia, se agrupan del ms importante al
menos importante.

Importancia Servicio
1 Consultora e implementacin de soluciones de BMC Software

2 Capacitacin de soluciones de BMC Software

3 Soporte de soluciones de BMC Software

4 Consultora en Gestin de Procesos

5 Consultora e implementacin de soluciones de Virtualizacin

6 Consultora e implementacin de soluciones Microsoft

7 Desarrollo de aplicaciones a la medida (Fabrica de software)

8 Administracin de redes, cableado estructurado y seguridad perimetral

Tabla 2 Jerarquizacin de Servicios por importancia

3. Los empleados tienen conocimiento de que existe un inventario de la infraestructura actual de la

empresa.

Existe un inventario de la infraestructura actual?

No Si

Ilustracin 22 Conocimiento de Inventario de Infraestructura

4. Principales problemas de seguridad de la informacin que han sido detectados dentro de las
organizaciones jerarquizadas del menos al ms importante.

Tipo de Problema Resultados

Accesos no autorizados a aplicaciones. 5

Fuga de Informacin 4

Prdida interna de Informacin 3

Manipulacin de Informacin 1

Denegacin de servicios 0

Tabla 3 Problemas de seguridad

98
5. De los servicios identificados en el SOC que desean monitorear inicialmente jerarquizados del
menos al ms importante.

Servicios del SOC Resultados

Gestin de incidentes 5

Monitorizacin y gestin de logs 4

Monitorizacin de intrusiones y otros eventos de seguridad 4

Deteccin y gestin de vulnerabilidades 2

Monitorizacin y gestin de cortafuegos 0

Tabla 4 Jerarquizacin de Servicios

6. Enunciado describe mejor la madurez de un programa de seguridad de la informacin

jerarquizado del ms importante al menos importante.

Programa de seguridad Resultados

Contar con un programa formal de deteccin que aprovecha tecnologas

3
modernas para monitorear ambos trficos (externo e interno)

Utilizar una solucin de seguridad para monitorear activamente la red, as como

1
las bitcoras de los IDS, IPS y de sistema

Contar con dispositivos de seguridad perimetral 0

Contar con una funcin formal y avanzada de deteccin que agrupe cada una de
las categoras de la tecnologa moderna analizando datos sofisticados para 0
identificar anomalas

Tabla 5 Madurez de Programa de Seguridad.

99
7. Actualmente cuenta con una estrategia de seguridad de la informacin o tolerancia de riesgo?

Actualmente cuenta con una estrategia de

seguridad de la informacin o tolerancia de riesgo?

No Si

Ilustracin 23 Estrategia de seguridad existente.

8. Dispone de personal capacitado para responder a las amenazas siempre cambiantes de la

seguridad?

Dispone de personal capacitado para responder a

las amenazas siempre cambiantes de la seguridad?

No Si

Ilustracin 24 Personal Capacitado ante amenazas

9. Tareas del SOC le gustara implementar en la empresa, jerarquizadas del ms al menos

importante.

Tarea Resultados

Anlisis de logs y correlacin de eventos. 5

Administracin de Soluciones de Autentificacin. 5

Anlisis de Vulnerabilidades. 3

Administracin de IDS e IPS. 2

Auditora de Redes Internas. 2

Antivirus y Anti-spywares de servidores y de 2

workstations.
Tests de Ataque y Penetracin. 1

Tabla 6 Tareas de SOC a implementar

100
10. Dispone de una base conocimientos para agilizar la resolucin de las amenazas para evitar
un retraso en la seguridad de la empresa?

Dispone de una base conocimientos para agilizar la

resolucin de las amenazas para evitar un retraso en la
seguridad de la empresa?

No Si

Ilustracin 25 Existencia de Base de Conocimiento

6.4.2 Definicin de alcance, lmites y tipo de SOC propuesto

El alcance estar definido por un SOC adaptable a las necesidades de seguridad de la empresa,
adaptable a su infraestructura tecnolgica y que permita gestionar los incidentes de seguridad de
Anthares IT Services.

El tipo de SOC a desarrollar, ser uno bsico, donde se gestione el monitoreo y reaccin ante
incidentes de los principales activos, implementando el monitoreo interno, externo y perimetral.

6.4.3 Ubicacin y tipo de SOC

De acuerdo al modelo propuesto se recomienda desarrollar el SOC en un lugar aislado de todo

riesgo, la opcin ms viable para Anthares IT Services es realizarlo en el estado de Quertaro,
donde la infraestructura se encontrar ms segura y con la menor probabilidad de una posible
contingencia de tipo geolgico, de acuerdo a estadsticas obtenidas del Servicio Geolgico
Mexicano, ya que determina que este estado se encuentra en una zona B, es decir que son zonas
intermedias, donde se registran sismos no tan frecuentemente, o son zonas afectadas por altas
alteraciones pero que no sobrepasan el 70% de la aceleracin del suelo.

6.4.4 Definicin de activos y enfoque de evaluacin del riesgo de la organizacin

La valoracin de activos comprende el proceso de determinacin de activos, establecimiento de las

amenazas sobre los mismos y clculo del impacto a partir de varias escalas de valoracin.

La infraestructura que actualmente interviene en el rea de Sistemas de la empresa Anthares IT

Services son los siguientes:

101
 Tipo de Activo Activo
Servicios Servicio de Internet
Correo Electrnico Interno
Datos Datos de Gestin Interna
Datos Sensibles de clientes
Aplicaciones Sistemas Operativos
Navegador Web
Antivirus
Equipos Informticos PC personales
Servidores
Redes de Comunicaciones Telfonos personales
Equipos de acceso a internet
Personal Direccin General
Finanzas
Request & Support
Monitor & Operate
Provision & Configure
Project Management
Ventas
Preventa

Tabla 7. Determinacin de Activos

Los activos enlistados sern ponderados con base a la escala correspondiente. Las dimensiones
referenciadas son Confiabilidad, Integridad y Disponibilidad. A continuacin, se detalla los activos y
se estipula la ponderacin de las dimensiones segn el levantamiento de informacin:

Activo: Servicio Disponibilidad Confiabilidad Integridad Total

Servicio de Internet 5 4 4 13
Correo Electrnico Interno 5 4 5 14
Gestin de Identidades 5 5 5 15

Tabla 8.Ponderacin de las Dimensiones de Activo Servicio

Activo: Datos Disponibilidad Confiabilidad Integridad Total

Datos de Gestin Interna 5 5 4 14

Datos de Carcter
5 3 3 11
Personal

Tabla 9. Ponderacin de las Dimensiones de Activo Datos

Activo: Aplicaciones Disponibilidad Confiabilidad Integridad Total

Sistema Operativo 5 4 3 12
Navegador Web 3 3 3 9

102
 Antivirus 4 4 4 12

Tabla 10. Ponderacin de las Dimensiones de Activo Aplicaciones

Activo: Equipos Disponibilidad Confiabilidad Integridad Total

Informticos
Informtica Personal 5 4 4 13
Perifricos 5 4 3 12
Soporte de Red 5 4 4 13

Tabla 11. Ponderacin de las Dimensiones de Activo Equipos Informticos

Activo: Redes de Disponibilidad Confiabilidad Integridad Total

Comunicaciones
Telfonos personales 5 5 4 14
Equipo de acceso a
internet 5 5 5 15

Tabla 12. Ponderacin de las Dimensiones de Activo Redes de Comunicaciones

Departamento Disponibilidad Confiabilidad Integridad Total

Direccin General 5 5 5 15
Departamento de
5 5 5 15
Finanzas
Departamento de Request
5 5 5 15
& Support
Departamento de Monitor
5 5 5 15
& Operate

Provision & Configure 5 5 5 15

Project Management 5 5 5 15

Departamento de Ventas 5 5 5 15

Tabla 13. Ponderacin de las Dimensiones de Activo Personal

6.4.5 Determinacin de las amenazas por activo

Activo: Servicio Amenazas

Servicio de Internet
Correo Electrnico Interno
Gestin de Identidades
Uso inapropiado / Acceso no autorizado
Falta de servicio
Interferencia
Usurpacin de identidad / Acceso no autorizado
Falta de servicio
Reencaminamiento de mensajes
Uso no previsto
Uso no previsto
Manipulacin de la credencial de acceso
Falta de energa elctrica
Manipulacin de la configuracin del aplicativo

103
 Tabla 14. Determinacin de Amenazas Activo Servicio

Activo: Datos Amenazas

Datos de Gestin Interna
Datos de Carcter Personal
Alteracin de la informacin
Destruccin de la informacin
Cambio de ubicacin de la informacin
Conocimiento no autorizado
Manipulacin de la configuracin
Divulgacin de la informacin
Errores de los usuarios
Acceso no autorizado
Conocimiento no autorizado
Destruccin de la informacin
Degradacin de la informacin
Divulgacin de la informacin

Tabla 15. Determinacin de Amenazas Activo Datos

Activo: Aplicaciones Amenazas

Sistema Operativo Suplantacin de la identidad de usuario
Errores de administracin
Propagacin de software malicioso
Acceso no autorizado
Navegador Web Abuso de privilegio de acceso
Manipulacin de configuracin de red
Manipulacin de programas
Antivirus Desactualizacin de antivirus
Errores de administracin
Manipulacin de programas

Tabla 16. Determinacin de Amenazas Activo Aplicaciones

Activo: Equipos Amenazas

informticos
Informtica Personal Acceso no autorizado
Modificacin de la asignacin del equipo
Accidentes imprevistos
Falta de energa elctrica
Manipulacin de las propiedades del equipo
Ingreso no autorizado del equipo
Perifricos Acceso no autorizado
Accidentes imprevistos
Cambio de ubicacin no autorizado
Soporte de Red Manipulacin de la configuracin de red
Errores de administracin
Falta de energa elctrica
Ausencia de puntos de red

Tabla 17. Determinacin de Amenazas Activo Equipos Informticos

Activo: Redes de Amenazas

comunicaciones
Telfonos personales Manipulacin de la asignacin de las IPs

104
 Activo: Redes de Amenazas
comunicaciones
Falta de energa elctrica
Accidentes imprevistos
Cada del servidor de la central telefnica
Equipo de Acceso a Manipulacin de la configuracin
Internet Accidentes imprevistos
Cada del servidor proveedor
Problemas con las conexiones del proveedor
Errores de administracin
Falta de energa elctrica

Tabla 18. Determinacin de Amenazas Activo Redes de Comunicaciones

Activo: Personal Amenazas

Direccin General
Departamento de Finanzas
Departamento de Request & Support
Departamento de Monitor & Operarte
Departamento de Project Management
Departamento de Ventas
Desconocimiento de sus funciones
Mala organizacin
Indisponibilidad del personal
Divulgacin de la informacin
Extorsin
Manipulacin de la informacin
Destruccin de la informacin

Tabla 19. Determinacin de Amenazas Activo Personal

6.4.6 Clculo de riesgo

A partir del levantamiento de informacin, donde se arroj el nivel de frecuencia e impacto al activo
mediante la amenaza se han calculado los riesgos por cada una:

Activo Amenazas Probabilidad Impacto Total

Uso inapropiado 3 3 9
Acceso no autorizado 2 4 8
Servicio de Internet
Falta de servicio 1 5 5
Interferencia 2 4 8
Usurpacin de identidad 2 4 8
Falta de servicio 1 4 4
Correo Electrnico Acceso no autorizado 4 3 12
Interno Reencaminamiento de
4 3 12
mensajes
Uso no previsto 3 3 9
Uso no previsto 2 4 8
Manipulacin de la
Gestin de Identidades 3 5 15
credencial de acceso
Falta de energa elctrica 4 2 8

105
 Activo Amenazas Probabilidad Impacto Total
Manipulacin de la
2 2 4
configuracin del aplicativo
Usurpacin de identidad 3 4 12
Robo o prdida de la
4 5 20
credencial de acceso
Alteracin de la
2 5 10
informacin
Destruccin de la
3 5 15
Datos de Gestin informacin
Interna Manipulacin de la
2 5 10
configuracin

Divulgacin de informacin 4 4 16

Errores de los usuarios 4 4 16

Acceso no autorizado 3 3 9

Datos de Carcter Destruccin de informacin 2 5 10

Personal
Degradacin de la
2 5 10
informacin

Divulgacin de informacin 2 3 6

Suplantacin de identidad
3 3 9
de usuario
Errores de administracin 3 4 12
Sistemas Operativos
Propagacin de software
2 3 6
malicioso
Acceso no autorizado 3 4 12
Abuso de privilegios de
4 3 12
acceso
Manipulacin de
Navegador Web 2 3 6
configuracin de red
Manipulacin de
2 2 4
programas
Desactualizacin de
1 2 2
antivirus

Antivirus Errores de administracin 2 2 4

Manipulacin de
2 2 4
programas
Acceso no autorizado 3 2 6
Modificacin de la
3 2 6
Informtica Personal asignacin del equipo
Accidentes imprevistos 3 2 6
Falta de energa elctrica 3 2 6

106
 Activo Amenazas Probabilidad Impacto Total
Manipulacin de las
3 2 6
propiedades del equipo
Ingreso no autorizado de
2 3 6
equipo

Acceso no autorizado 5 3 15
Perifricos
Impresoras Scanners Accidentes imprevistos 4 3 12
Cambio de ubicacin no
3 3 9
autorizado
Manipulacin de
2 4 8
configuracin de red

Errores de administracin 2 4 8
Soporte de Red
Falta de energa elctrica 4 5 20

Ausencia de puntos de red 4 4 16

Manipulacin de
2 4 8
asignacin de IPs

Falta de energa elctrica 3 5 15

Central Telefnica
Accidentes imprevistos 3 3 9
Cada del servidor de la
4 4 16
central telefnica
Manipulacin de
2 4 8
configuracin

Accidentes imprevistos 2 4 8

Cada del servidor

2 4 8
Equipo de Acceso a proveedor
Internet Problemas con las
2 4 8
conexiones del proveedor

Errores de administracin 2 4 8

Falta de energa elctrica 3 5 15

Desconocimientos de sus
4 4 16
funciones
Mala organizacin 3 3 9
Indisponibilidad del
Personal: 2 2 4
personal
Diferentes reas
Divulgacin de informacin 3 3 9

Extorsin 3 2 6
Manipular informacin 4 4 16

107
 Activo Amenazas Probabilidad Impacto Total
Destruir informacin 4 4 16

Tabla 20. Resultado del Clculo de Riesgo de los Activos

6.4.7 Plan de tratamiento de riesgo

ACTIVOS AMENAZAS VULNERABILIDADES PTR

No respetar los lmites de
Aceptar
acceso
Uso inapropiado
Falta de capacitacin sobre los
Reducir
lmites de acceso
Servicio de
No respetar los lmites de
Internet Acceso no autorizado Aceptar
acceso
Problemas del proveedor de
Falta de servicio Transferir
internet
Interferencia Falta de proteccin de la red Aceptar
Falta de control en el acceso Reducir
Usurpacin de identidad Divulgacin de la informacin
de acceso Reducir
Transferir
Falta del servicio de Internet
Falta de servicio Interferencia con el servidor
Reducir
Correo interno de correo
Electrnico
No respetar los lmites de
Interno Aceptar
acceso
Acceso no autorizado
Usurpacin de identidad
Reducir

Reencaminamiento de Falta de seguridad en la

Aceptar
mensajes transferencia de mensajes
Uso no previsto Falta de polticas Reducir
Uso no previsto Falta de polticas Reducir
Falta de implementacin de
Gestin de Manipulacin de la
mayor seguridades en la Reducir
Identidades credencial de acceso
credencial

Falta de energa elctrica Falta de generador elctrico Aceptar

108
ACTIVOS AMENAZAS VULNERABILIDADES PTR

Manipulacin de la
Falta de polticas Reducir
configuracin del aplicativo

Usurpacin de identidad Falta de control en el acceso Reducir

Robo o prdida de la Falta de mtodo de apoyo para

Reducir
credencial de acceso el caso
Insuficiente entrenamiento de
Alteracin de la informacin Reducir
empleados
Falta de un debido control de
Destruccin de la
acceso a usuarios y de una Reducir
informacin
proteccin fsica
Datos de Cambio de ubicacin de la Falta de proteccin fsica
Reducir
Gestin informacin adecuada
Interna Manipulacin de la Falta de un debido control de
Reducir
configuracin acceso a usuarios
Divulgacin de la
Almacenamiento no protegido Reducir
informacin
Falta de conocimiento y
Errores de los usuarios Reducir
oportuno entrenamiento
Falta de polticas y proteccin
Acceso no autorizado Reducir
fsica
Falta de un debido control de
Destruccin de la
acceso a usuarios y de una Reducir
informacin
proteccin fsica
Degradacin de la Falta de mantenimiento
Datos de Reducir
informacin adecuado
Carcter
Divulgacin de la
Personal Almacenamiento no protegido Aceptar
informacin
Falta de proteccin contra
Ataque de virus Aceptar
aplicaciones dainas

Insuficiente entrenamiento de
Manipulacin de programas Aceptar
empleados

Sistema Propagacin de software Falta de proteccin y controles

Aceptar
Operativo malicioso en las configuraciones de la red

109
ACTIVOS AMENAZAS VULNERABILIDADES PTR
Falta de polticas y proteccin
Acceso no autorizado Reducir
fsica
Abuso de privilegio de Falta de conocimiento y
Reducir
acceso oportuno entrenamiento
Manipulacin de
Falta de control de acceso Aceptar
configuracin de red
Insuficiente entrenamiento de
Manipulacin de programas Aceptar
empleados

Navegador Suplantacin de la
Falta de control de acceso Aceptar
Web identidad de usuario

Cada del servidor web Instalacin de SW no

Aceptar
Open KM Autorizado

Acceso no autorizado Falta de polticas Reducir

Modificacin de la
Falta de control de Acceso Aceptar
Antivirus asignacin del equipo
Condiciones locales donde los
Accidentes imprevistos recursos son fcilmente Reducir
afectados
Falta de acuerdos bien
Falta de energa elctrica Aceptar
definidos con terceras partes
Manipulacin de las
Falta de control de acceso Aceptar
propiedades del equipo
Ingreso no autorizado del
Falta de control de acceso Aceptar
Informtica equipo

Personal Acceso no autorizado Falta de control de acceso Reducir

Condiciones locales donde los

Accidentes imprevistos recursos son fcilmente Reducir
afectados
Cambio de ubicacin no Falta de proteccin fsica
Aceptar
autorizado adecuada
Manipulacin de la
Falta de control de seguridad Aceptar
configuracin de red
Perifricos
Falta de conocimiento de
Errores de administracin Reducir
funciones del administrador

110
ACTIVOS AMENAZAS VULNERABILIDADES PTR

Falta de acuerdos bien

Falta de energa elctrica Reducir
definidos con terceras partes

Capacidad insuficiente de los

Ausencia de puntos de red Reducir
recursos
Manipulacin de la
Falta de control de acceso Aceptar
asignacin de las IPs
Soporte de
Falta de acuerdos bien
Red Falta de energa elctrica Reducir
definidos con terceras partes
Condiciones locales donde los
Accidentes imprevistos recursos son fcilmente Reducir
afectados

Cada del servidor de la Falta de acuerdos bien

Reducir
central telefnica definidos con terceras partes

Manipulacin de la
Falta de control de acceso Aceptar
configuracin
Central
Condiciones locales donde los
Telefnica
Accidentes imprevistos recursos son fcilmente Reducir
afectados

Cada del servidor Falta de acuerdos bien

Transferir
proveedor definidos con terceras partes

Problemas con las Falta de acuerdos bien

Transferir
conexiones del proveedor definidos con terceras partes
Falta de conocimiento de
Errores de administracin Reducir
funciones del administrador
Falta de capacitacin del
Falta de energa elctrica Reducir
administrador
Equipo de
Desconocimiento de sus Falta de conocimiento y
Acceso a Reducir
funciones oportuno entrenamiento
Internet
Desconocimiento de estndares
y reglas establecidas por la
Mala organizacin Reducir
empresa
Falta de reglas segn el caso
Indisponibilidad del Falta de conocimiento y
Aceptar
personal oportuno entrenamiento

111
 ACTIVOS AMENAZAS VULNERABILIDADES PTR
Divulgacin de la
Almacenamiento no protegido Reducir
informacin
Desconocimiento de estndares
y reglas establecidas por la
Extorsin Reducir
empresa
Falta de reglas segn el caso
reas
funcionales Manipulacin de la Insuficiente entrenamiento de
Reducir
de la informacin empleados

organizacin
Falta de un debido control de
Destruccin de la
acceso a usuarios y de una Reducir
informacin
proteccin fsica

Falta de especificaciones con

Falla en la eleccin del
respecto a la seleccin de Reducir
personal
personal

Tabla 21. Plan de Tratamiento de Riesgo

6.5 Fase de Aplicacin

En esta fase se definen los controles propuestos para mitigar los riesgos, polticas y
procedimientos que apoyan a regular los procesos de seguridad y los elementos de creacin para
el SOC.

6.5.1 Controles aplicables a la operacin del SOC

Asegurar que los empleados del SOC estn conscientes de las amenazas de seguridad, de sus
responsabilidades y obligaciones y que estn equipados para cumplir con la poltica de seguridad
de la organizacin en el desempeo de sus labores diarias, para reducir el riesgo asociado a los
errores humanos.

1.- Control: Supervisin de las obligaciones

La Direccin debera requerir a empleados, usuarios y terceras partes aplicar la seguridad en

concordancia con las polticas y los procedimientos establecidos de la organizacin.

2.- Control: Polticas y procedimientos

112
Todos los empleados asignados a operar el SOC, deben seguir el manual de polticas y
procedimientos dentro de sus actividades del da a da documentados en el anexo.

3.- Control: Formacin y capacitacin en Seguridad de la Informacin

Todos los empleados de la organizacin y donde sea relevante, usuarios y proveedores deberan
recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en polticas y
procedimientos organizacionales como sean relevantes para la funcin de su trabajo.

6.5.2 Recomendaciones / Estructura funcional para la operacin del SOC

1. Definicin de hardware y software mnimo requerido.

El software y hardware requerido, sern los activos con los que cuenta actualmente la empresa, sin
embargo, se propone adquirir un IDS e IPS para complementar la infraestructura de seguridad.

2. Establecimiento de tiempos de atencin y niveles de servicio.

Incidente Tiempo de atencin

1.- Requerimientos 2 horas

2.- Cambios / Modificaciones 1 hora

3.- Reportes mensuales Semana vencida

4.- Incidentes de seguridad 5 min / Emergencia

10 min / Alto

3. Definicin de herramientas de monitoreo (SIEM).

a) Netscout (Monitoreo Perimetral y de trfico de Red)

b) Arcsight (Monitoreo Perimetral y correlacionador de eventos)
c) Sentinel (Monitoreo interno)
d) RSA (Monitoreo externo y prevencin de uso indebido de la carta)

Eventualmente, la reaccin apropiada a un ataque es sobre todo una cuestin de organizacin y

procedimientos para ser aplicados por los equipos de respuesta a incidentes. La reaccin se
extiende desde el monitoreo pasivo para obtener ms informacin pasando por un paro de
emergencia del sistema objetivo hasta reportar el incidente. Desde luego, la reaccin apropiada
debe ser determinada antes de que un ataque ocurra y los procedimientos deben ser validados
entonces de forma segura almacenando y haciendo accesible a los equipos de supervisin. En
trminos simples, un cierto nivel de escalacin debe ser definido para asegurar una reaccin rpida
y efectiva, en paralelo con el empleo de recursos humanos apropiados.

113
Otro aspecto para ser especificado es el tiempo establecido para un adecuado manejo del
incidente, definido, en el cual el procedimiento de reaccin debe ser lanzado, segn la criticidad del
ataque. Una vez que este retraso es agotado, la escalacin al siguiente nivel (superior) debe ser
automtica.

El primer nivel debe ser lo que nosotros llamamos agentes, por ejemplo, un equipo de personas
con nivel tcnico medio, que sea capaz de entender los eventos generados as como los
procedimientos de reaccin para aplicarse (esto es necesario, as como es importante ser capaz de
saber cundo la aplicacin de tal procedimiento fracaso). Los agentes escalan incidentes hacia el
nivel dos, si el evento no corresponde con los criterios "eventos conocidos" o "reaccin predefinida"
o si el tiempo lmite es alcanzado dependiendo la criticidad del incidente.

El segundo nivel debe ser un equipo de expertos tcnicos. Estos expertos son responsables del
anlisis de los eventos de intrusin que no han sido definidos a prioridad. Su prioridad es de
calificar eventos con la ayuda de la interfaz consola de SOC y la base de datos de conocimiento
(KDB) para proporcionar una solucin temporal para ser aplicado por el nivel uno (de agentes),
mantenindose pendientes para investigacin remota o soluciones permanentes.

El tercer nivel debe ser un rea especializada en el cual los paquetes sospechosos, operaciones
de sistema etc. sern reproducidos nuevamente y bajo un ambiente controlado, para determinar la
naturaleza de la intrusin desconocida y proporcionar un procedimiento de reaccin totalmente
calificado, con ello se crear una KDB que permita registrar dichos eventos y con ello agilizar la
respuesta en la operacin.

De acuerdo a esta forma de reaccionar ante incidentes y teniendo presente el modelo de

administracin planteado, se puede observar que para el correcto funcionamiento del Centro de
Operaciones de Seguridad se requiere como mnimo indispensable de un rea de gestin que se
encargue de manera general de supervisar los puntos explicados en el modelo de administracin,
asegurando el funcionamiento del SOC y favoreciendo la interaccin con las otras reas de la
organizacin, principalmente en caso de que exista un Oficial de Seguridad, el CIO, comit de
seguridad y dems figuras de la alta direccin.

Los procedimientos de reaccin generan como consecuencia lgica un reporte; el procedimiento

de reporte, as como la supervisin de la adecuada escalada de procedimientos de reaccin a
incidentes y la consecuente interaccin que generen los reportes son responsabilidad tambin del
rea de gestin. Es decir cuando menos se requiere de tres reas funcionales, que son el rea de
gestin, los agentes de monitoreo de las consolas y los analistas de seguridad. Aunque sera
deseable para favorecer la reaccin gil de incidentes de las categoras ms altas, contar con el

114
equipo de nivel 3. Que debe contar entre su personal con gente que conozca de ataques y como
montarlos para reproducir ataques de alta categora y obtener soluciones estables

Ilustracin 26.Propuesta de Organigrama de SOC

Como se puede observar en la Ilustracin 26, los Auxiliares administrativos y la mesa de

Reproduccin y Documentacin de nuevos ataques pudieran ser un equipo circunstancial. En caso
de no contar con un equipo de nivel 3, el rea de gestin deber proporcionar los procedimientos
de interaccin con otras reas funcionales de la organizacin, para integrar aunque sea de forma
circunstancial, el equipo de personas que pueda proporcionar el nivel 3 de escalacin.

6.6 Fase de Prevencin

En este punto se sugieren algunas polticas y procedimientos a implementar respecto al ciclo de

vida de la informacin (creacin, uso, almacenamiento y destruccin) dentro de la organizacin.

6.6.1 Creacin y Uso de la informacin

Para realizar la correcta aplicacin del modelo, se retoman cuestiones asociadas a la seguridad
de recursos humanos, tomando en cuenta como punto inicial los roles y responsabilidades de
empleados, contratistas y terceros en concordancia con las polticas de seguridad de la
informacin de la organizacin, as como los trminos y condiciones del empleo para satisfacer
las obligaciones contractuales, definiendo de sta manera la responsabilidad legal de ambas
partes.

115
6.6.2 Condiciones de Uso, Almacenamiento y Borrado

En relacin a los tipos de informacin con los que cuenta la organizacin, se define la jerarqua
de los responsables con respecto al uso, almacenamiento y borrado de la informacin a su
cargo, tomando en cuenta que el uso de la informacin implica la creacin, consulta y
modificacin de la misma.

Para esta accin se toma en cuenta la jerarqua del puesto, as como las condiciones
contractuales del empleado, contratista o tercero, en caso de carecer de las mismas en el
contrato de la persona fsica o moral, se solicita anexar informacin definida al menos con los
siguientes puntos:

a) Que todos los usuarios empleados, contratistas y terceros que tienen acceso a
informacin sensible debieran firmar un acuerdo de confidencialidad o no divulgacin
antes de otorgarles acceso a los medios de procesamiento de la informacin.
b) Las responsabilidades y derechos de los empleados, contratistas y cualquier otro usuario;
por ejemplo, con relacin a las leyes de derecho de autora, el derecho al secreto
profesional y legislacin de proteccin de datos.
c) Las responsabilidades para la clasificacin de la informacin y la gestin de los activos
organizacionales asociadas con los sistemas y servicios de informacin manejados por el
empleado, contratista o tercera persona.
d) Responsabilidades del usuario empleado, contratista o tercera persona con relacin al
manejo de la informacin recibida de otras compaas o partes externas.
e) Las responsabilidades de la organizacin por el manejo de la informacin personal,
incluyendo la informacin personal creada como resultado de, o en el curso del empleo
con la organizacin.
f) Las responsabilidades que se extienden fuera del local de la organizacin y fuera del
horario normal de trabajo; por ejemplo, en el caso del trabajo en casa.
g) Las acciones a tomarse si el usuario empleado, contratista o tercera persona no cumple
los requerimientos de seguridad de la organizacin.

La organizacin debe asegurarse que los usuarios empleados, contratistas y terceras personas
acepten los trminos y condiciones concernientes a la seguridad de la informacin apropiada
segn la naturaleza y extensin del acceso que tendrn a los activos de la organizacin
asociados con los sistemas y servicios de informacin.

Cuando fuese apropiado, las responsabilidades contenidas dentro de los trminos y condiciones
del empleo deben continuar por un perodo definido despus de terminado el empleo.

116
Polticas

1. Usar nicamente en equipo autorizado por la organizacin para trabajar (laptops, USB,
equipo de escritorio, dispositivos de almacenamiento externo, entre otros).

2. Generar perfiles de usuario (usuario y contrasea) de acuerdo al rea funcional de cada

empleado, contratista o tercero; estableciendo permisos y restricciones para poder
realizar sus actividades.

3. Determinar la ruta especifica de almacenamiento de la informacin de acuerdo a cada

rea funcional de la organizacin.

4. El equipo autorizado para cada empleado se debe usar exclusivamente para realizar las
labores referentes a su puesto de trabajo y no para uso personal.

Procedimientos

1. Definir qu tipo de equipo utilizara cada empleado de acuerdo al puesto desempeado,

en caso de que el equipo a utilizar sea equipo de cmputo porttil o dispositivos de
almacenamiento externo es necesario que se encuentre asegurado. El perfil de usuario
designado a cada empleado, contratista o tercero debe cubrir:

Cuenta de usuario la cual debe ser otorgada nica mente a la persona

responsable de la misma y debe tener establecida la vigencia.

Contrasea de la cuenta de usuario que debe de tener una longitud mnima

de 8 caracteres los cuales pueden ser: numricos, alfanumricos,
maysculas y/o minsculas y caracteres especiales.

2. Se debe dar a conocer en cada rea funcional de la organizacin la ruta en la que se

guarda la informacin.

117
Conclusiones

Mediante el desarrollo de este trabajo se concluye que la propuesta de modelo planteado de un

centro de operaciones de seguridad basado en las etapas de dicho modelo se hace hincapi en la
etapa del anlisis para determinar un costo-beneficio con empresas externas que otorgan el
servicio de SOC, se concluy que es ms factible tener un SOC propio ya que as su personal y
su tiempo de reaccin es ms rpido que cuando dispones de un tercero adems, de que se
utilizan sus recursos humanos, procesos y tecnologas para ayudar a su organizacin a prevenir,
detectar y responder a las vulnerabilidades y amenazas en tiempo real.

Econmicamente, el costo del SOC es mayor al momento de contratarlo aunque con empresas
externas son contratos anuales con pagos mensuales donde su costo se eleva al pagar a tantos
expertos al mes mientras que si es propio ya dispondr de ese personal y tecnologa que puede
reutilizar para la implementacin del SOC con lleva que al principio tenga que gastar en
capacitaciones y material adicional al SOC solo una vez, y solo teniendo que realizar
mantenimientos menores a la infraestructura y capacitacin constante en nuevas amenazas.

Adems, se obtuvieron resultados ptimos en los servicios a gestionar en el SOC abarcan

principalmente los siguientes puntos: la disminucin de la probabilidad de aparicin de cualquier
incidente de seguridad, una monitorizacin constante para detectar amenazas, reaccin al instante
de cualquier incidente de seguridad, centralizacin, elaboracin de planes de resolucin inmediata
que permitan neutralizar la amenaza y se propone de una capacitacin continua del capital
humano para obtener un equipo multidisciplinario que pueda aconsejar y apoyar a la direccin en
la toma de decisiones para un crecimiento exponencial del negocio basado en una seguridad
estable.

Por otra parte, es de suma importancia mencionar que la clave para obtener un mejor desempeo
del centro es que se colabore con diferentes organismos y entidades que velen por la seguridad de
los sistemas de informacin ya sea dentro y fuera de la empresa.

Se ha corroborado que este modelo no es una panacea para obtener un 100% de seguridad ya
que este porcentaje es imposible de alcanzar pero con una activada y especializada actividad de
seguridad se podr responde al momento cualquier amenaza, adems se debe mantener una
actualizacin constante de las nuevas amenazas ya que estas son nuevas cada da para infligir
dolo en las empresas.

118
Bibliografa

ACISSI (2015). Seguridad Informtica - Hacking tico (3ra Edicin). Espaa: Epsilon.

Alexander A. (2012). Diseo de un sistema de gestin de seguridad de informacin. Mxico:

Alfaomega.

Barbero C. y Ramos A. (2014). Seguridad Perimetral, Monitorizacin y Ataques en Redes. Espaa:

RA-MA.

Chicano E. (2015). Gestin de incidentes de seguridad informtica (1ra edicin). Espaa: IC

editorial.

Dulaney E. (2012). Seguridad Informtica: Comptia Security+ (1ra Edicin). Espaa: Anaya
Multimedia-Anaya Interactiva.

Gmez A. (2011). Enciclopedia de la Seguridad Informtica (2da Edicin). Espaa: Alfaomega RA-
MA.

Gmez A. (2011). Auditoria de Seguridad Informtica. Espaa: Starbook.

Margulies J y Pfleeger C. (2015). Security in Computing, Fifth Edition (5ta edicin). Estados Unidos:
Prentice Hall.New.

Northcutt S. y Novak J. (2001). Deteccin de Intrusos: Gua Avanzada (2da Edicin). Estados
Unidos: Pearson Educacin.

Padilla J. Informtica Jurdica. Mxico: Sistema Tecnolgico de edicin.

CITA DE INTERNET

Aggleton, David (2013). Buenas prcticas para disear de un SOC, recuperado el 3 de Octubre de
2015 de http://www.securityinfowatch.com/article/10893524/best-practices-for-soc-design.

Boto, Carlos (2009). Relevancia de la Seguridad informtica en la Industria, recuperado el 3 de

Octubre de 2015 de www.revistadintel.es/Revista/Numeros/Numero4/Seguridad/Industria/boto.pdf

Bestel (2012) Conceptos bsicos y funciones del SOC, recuperado el 3 de Octubre de 2015 de
http://www.bestel.com.mx/soc.html.

119
Emc2 (2013). Puntos clave para crear un Centro de Seguridad inteligente, recuperado el 3 de
Octubre de 2015 de http://mexico.emc.com/collateral/technical-documentation/h11533-intelligence-
driven-security-ops-center.pdf

Mcafee (2013) Gua de mantenimiento para la creacin de un SOC, recuperado el 3 de Octubre de

2015 de http://www.mcafee.com/ca/resources/white-papers/foundstone/wp-creating-maintaining-
soc.pdf.

120
Glosario

Amenaza: Es todo elemento o accin capaz de atentar contra la seguridad de la informacin, a

travs del aprovechamiento de una vulnerabilidad.

Anlisis de Vulnerabilidades: Es Identificar y ponderar las debilidades en la infraestructura y

aplicaciones de la organizacin.

Bitcora de Auditora: Registro de eventos durante un periodo de tiempo especfico. Con la

finalidad de obtener informacin de lo que ocurre en un dispositivo o aplicacin en particular.

Centro de Operaciones de Seguridad (SOC): Plataforma que ayuda en la administracin de la

seguridad informtica de la organizacin y tiene como propsito proveer servicios de deteccin y
reaccin a incidentes de seguridad

Controles: Las polticas, procedimientos, prcticas, dispositivos y estructuras organizacionales que

estn diseados para brindar confianza razonable de que se alcanzarn los objetivos de negocio y
que se evitarn, o bien, detectarn y corregirn los eventos no deseados.

Disponibilidad: Garantizar que los sistemas de informacin y los datos estn listos para su uso
cuando se les necesita.

Firewall: Dispositivo y/o programa que impide el acceso no autorizado desde cualquier punto
exterior de una red hacia el interior de otra red. Mecanismo que permite que las comunicaciones
entre una red y otra se realicen conforme a las polticas de seguridad previamente definidas.

Incidente: Evento nico o serie de eventos de seguridad de la informacin inesperados o no

deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y
amenazar la seguridad de la informacin.

Ingeniera Social: Es el mtodo utilizado por los atacantes para engaar a los usuarios
informticos, para que realicen una accin que normalmente producir consecuencias negativas,
como la descarga de malware o la divulgacin de informacin personal.

Integridad: La precisin y validez de la informacin; es decir, que no ha sido modificada.

Monitoreo: Valoracin peridica de un registro o control.

Riesgo: Es la probabilidad de que una amenaza aproveche una vulnerabilidad en uno o varios
activos de informacin generando un impacto a la organizacin.

121
Seguridad de la Informacin: Conjunto de medidas preventivas y correctivas que permiten
proteger la integridad, confidencialidad y disponibilidad de los activos de informacin de la
organizacin.

Vulnerabilidades: Una deficiencia en el diseo, la implementacin, la operacin o los controles

internos en un proceso, que podra explotarse para reducir la seguridad del sistema.

122
Anexos

Polticas y procedimientos para el SOC

Captulo 1 .Disposiciones Generales

Artculo 1 mbito de aplicacin y fines

1.1 Las polticas de seguridad en cmputo tienen por objeto establecer las medidas de ndole
tcnica y de organizacin, necesarias para garantizar la seguridad de las tecnologas de
informacin equipos de cmputo, sistemas de informacin, redes de (Voz y Datos) y personas que
interactan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de
cmputo la empresa Anthares IT Services.

1.2 Anthares IT Services a travs del Comit de Informtica es quien aprobar y dar a conocer
estas polticas de seguridad internamente.

1.3 El Departamento de Informtica puede agregar guas particulares complementarias de acuerdo

a su naturaleza y funciones. Adems ser el responsable de hacer cumplir las polticas de
seguridad

Artculo 2 Frecuencia de evaluacin de las polticas.

3.1 Se evaluarn las polticas del presente documento, con una frecuencia anual por el Comit de
Informtica de Anthares IT Services.

3.2 Las polticas sern evaluadas por el Departamento de Sistemas con una frecuencia semestral.

Captulo 2. Polticas de Seguridad Fsica

4.1 Todos los sistemas de comunicaciones estarn debidamente protegidos con la infraestructura
apropiada de manera que el usuario no tenga acceso fsico directo. Entendiendo por sistema de
comunicaciones: el equipo activo y los medios de comunicacin.

4.2 El acceso de terceras personas debe ser identificado plenamente, controlado y vigilado durante
el acceso portando una identificacin que les ser asignado por el rea de seguridad de acceso al
edificio.

4.3 Las visitas internas o externas podrn acceder a las reas restringidas siempre y cuando se
encuentren acompaadas cuando menos por un responsable del rea con permiso del Jefe del
Departamento de Informtica o del responsable del SOC.

123
4.4 Las visitas a las instalaciones fsicas de los centros de cmputo, SOC, laboratorios o salas de
videoconferencia se harn en el horario establecido y cumpliendo lo estipulado en el artculo 4.3.

4.5 El personal autorizado para mover, cambiar o extraer equipo de cmputo de Anthares IT
Services es el responsable del mismo o el superior responsable a travs de identificaciones y
formatos de Entrada/Salida, el cual notificar al personal de seguridad.

Captulo 3. Controles aplicables

3.1 Auditorias de redes

Debe generarse un plan de monitorizacin de red utilizando algn escner de seguridad

integral (Overall Security Scanner)
Con respecto a las conexiones a internet deben almacenarse datos sobre: Numero de IP
de la maquina conectada, direccin de las pginas visitadas, cookies guardadas, archivos
descargados, servicios utilizados, aplicaciones utilizadas.
Con respecto a la utilizacin de correo electrnico deben almacenarse datos sobre, correo
entrante y saliente, hora de envi, contenido de email, asunto de email, archivos adjuntos,
reporte de virus de cada parte del email, direcciones de maquina destino y fuente, tamao
del mensaje.

3.2 Plan de contingencia

Se deber asegurar la continuidad de la recoleccin de datos y su procesamiento ante

cualquier contingencia que afecte a los centros de procesamiento. Para ello se deber:
Generar procedimientos manuales de respaldo para cada una de las actividades
desarrolladas en la empresa, preparar, probar y mantener actualizado un plan de
contingencias coordinando el mismo con los procedimientos de copias de respaldo y
almacenamiento externo. Dicho plan deber ser desarrollado de forma tal que cubra las
distintas reas de riesgo, definir y asignar claramente las responsabilidades de las tareas
detalladas en el plan, prever un programa de entrenamiento para el personal involucrado
en el plan de contingencias.
Deber almacenarse una copia del plan de contingencias en el exterior de la empresa
protegindola contra su divulgacin y actualizndola permanentemente.

3.3 Backup de equipamiento

El equipamiento informtico de la empresa debe contar con dispositivos de respaldo, ante

cualquier tipo de incidente.

124
 Los mecanismos de recuperacin de los dispositivos de respaldo deben ser probados
peridicamente comprobando su buen funcionamiento.
El sistema informtico no deber verse afectado ante una contingencia en el centro de
cmputo, por lo que el equipamiento informtico debe distribuirse en lugares fsicos
diferentes, contando ambos con las medidas y condiciones de calidad y seguridad
especificadas en esta poltica, distribuyendo de esta manera el equipamiento redundante.
En el caso que ocurra alguna contingencia con el servidor de aplicaciones, el servidor de
internet se utilizara como servidor de aplicaciones. Este proceso no funcionara en sentido
inverso, es decir que el servidor de aplicaciones no reemplazara al servidor de internet.

3.4 Estrategias de recuperacin de desastres

Debe conformarse un grupo de desarrollo encargado de desarrollar, probar e

implementar el plan de contingencia, Este debe estar a cargo del administrador del centro de
cmputo e integrado por los lderes de cada rea de la organizacin.

Debe asignarse un orden de importancia a los sistemas de informacin y a los equipos

de la red informtica, de acuerdo al anlisis de riesgo y al impacto que representara para la
empresa su ausencia.

Los equipos debern estar sealizados o etiquetados de acuerdo a la importancia de su

contenido, para ser priorizados en caso de evacuacin.

Debern definirse las funciones o servicios crticos de la empresa, junto con los recursos
mnimos necesarios para su funcionamiento, asignndoles una prioridad en el plan de
contingencia.

Debern identificarse las contingencias que podran ocurrir para cada nivel de servicio
crtico definido.

Deber conformarse un plan de emergencias determinando los procedimientos a

ejecutar para cada contingencia identificada, considerando los distintos escenarios posibles.
Cada procedimiento deber estar claramente definido y tener asignado un responsable para
su ejecucin.

Para el desarrollo del plan de contingencias deben contemplarse las siguientes pautas:

1. Deber estar documentado y testeado antes de su puesta en prctica.

2. Deber basarse en un anlisis de riesgo, determinando que acciones merecen

estar incluidas.

125
 3. Deber abarcar la totalidad de la empresa.

4. Deber mantenerse actualizado de acuerdo a nuevos puestos de trabajo y

funciones.

5. Deber ser probado frecuentemente.

6. Deber contener la siguiente informacin:

a. Objetivo del plan.

b. Modo de ejecucin.

c. Tiempo de duracin.

d. Costes estimados.

e. Recursos necesarios.

f. Evento a partir del cual se pondr en marcha el plan.

7. Debe definirse hasta cuanto tiempo se aceptara estar en condicin de emergencia.

8. Debe documentarse la realizacin de las siguientes actividades despus de un

incidente.

a. Determinar la causa del dao.

b. Evaluar la magnitud del dao que se ha producido.

c. Que sistemas se han afectado.

d. Que modificaciones de emergencia se han realizado.

e. Que equipos han quedado no operativos.

f. Cuales se pueden recuperar y en cuanto tiempo.

Cada una de estas actividades debern ser reportadas por los lderes de cada rea a un
miembro de la gerencia.

Deber asignarse el papel de coordinador a un empleado, que se encargara de las

operaciones necesarias para que el sistema funcione correctamente despus de la
emergencia. Este deber determinar las acciones a seguir basndose en el plan de
emergencias.

Deber retroalimentarse el plan luego de una contingencia ajustando las directivas en

consecuencia.

126
 Deben establecerse planes de prueba peridicos que incluyan simulacros de siniestros para
evaluar la eficacia y eficiencia del plan.

Captulo 4. Polticas de Seguridad Lgica

4.1 Polticas de Confiabilidad

La gestin a desarrollar indica los siguientes parmetros para mantener la confiabilidad de la

informacin:

Todo cambio dentro de la informacin del sistema debe ser notificada va escrita firmada por el
jefe de departamento que comunica el cambio, directamente, al encargado del rea de
sistemas.

La informacin a ingresar debe ser correctamente revisada, y teniendo en cuenta que los datos
manejados son de vital importancia para el desempeo de las funciones de la compaa y an
ms relevantes para los clientes de la misma.

La eliminacin de la informacin no es permitida, solamente se pueden realizar registros

nuevos con la modificacin

4.2 Polticas de Integridad

Se sugiere a la compaa seguir los siguientes lineamientos para mantener la integridad de su

informacin:

Cada acceso al sistema deber mediante nombre de usuario y clave.

El nombre de usuario y clave ser dado al momento de la incorporacin a la empresa.

En caso de cambio de los datos de acceso, deber ser notificado por escrito, detallando la
causa del cambio y firmado por el responsable y el jefe del departamento de recursos
humanos. Los cambios de cargo, sueldo, carga familiar, etc. se podrn realizar directamente
en el sistema asignado al rea de recursos humanos.

En caso de finalizacin de la relacin laboral, deber ser notificado por escrito, detallando la
causa y firmado por el responsable y el jefe del departamento de recursos humanos. El cambio
cambiar el estado de la informacin de acceso a inactivado. Una vez inactivado esta
informacin no podr ser cambiado a ningn otro estado.

127
 Al intentar ingresar al sistema, solo se podr escribir la clave hasta cinco veces. Al completar el
lmite, el usuario de bloquear.

El bloqueo de un usuario solo podr ser inhabilitado, mediante un oficio escrito donde se
detalle la causa del bloqueo firmado por el responsable y el jefe del departamento referido.
Este documento debe ser entregado al encargado del rea de sistemas.

La informacin de acceso es responsabilidad, totalmente, del empleado a la cual fue asignada

y no debe ser divulgada a ningn tercero.

La informacin de acceso es considerada de carcter secreto e intransferible.

4.3 Polticas de disponibilidad

Las polticas de disponibilidad detallan las especificaciones para mantener la informacin correcta
para quienes la puedan consultar:

El ingreso o modificacin de la informacin del sistema ser un proceso en lnea.

La informacin de los clientes es considerada de carcter privado.

En caso de modificacin de la informacin del sistema, el registro o los registros utilizados

sern bloqueados para evitar error en el cambio de los datos.

128