INSTITUTO POLITÉCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA

DE INGENIERÍA Y CIENCIAS SOCIALES
Y ADMINISTRATIVAS

PROPUESTA DE MODELO DE IMPLEMENTACIÓN Y GESTIÓN

PARA UN CENTRO DE OPERACIONES
DE SEGURIDAD (SOC)

T E S I N A

QUE PARA OBTENER EL TÍTULO DE

INGENIERO EN INFORMÁTICA

P R E S . E N T A N
RIJKAARD GARDUÑO CALDERON
MARIO ALFONSO GOMORA OLALDE
JESUS RESENDIZ PARDO
ENNYSMARIANELATORICES COTARELO

QUE PARA OBTENER EL TÍTULO DE

LICENCIADO EN CIENCIAS DE LA INFORMÁTICA

P R E S E N T A
GEORGINA GIOVANA VÁZQUEZ GARCÍA

CIUDAD DE MÉXICO 2016

ÍNDICE
Resumen……….……….……….……….……….……….……….……….….……….…….………………..i
Introducción……….……….……….……….……….……….………….……….………………………...…iii
Capítulo I. Marco Metodológico……….……….……….……….……….……….…………..…………..1
1.1 Planteamiento del problema ...…………………………………………………………....…………….1
1.2 Objetivo general………………………………………………………………………………………..…2
1.3 Técnicas e instrumentos de medición…………………………………………………...................…2
1.4 Objetivos específicos………………………………………………………………………….....………3
1.5 Universo y/o muestra……………………………………………………………………...........…….…3
1.6 Justificación ...…………………………………………………………………………………………….8
1.7 Hipótesis……………………………………………………………………………………...…………...9
Capítulo II. Marco Teórico………………………………………………………………………………...10
2.1 Modelo……………………………………………………………………………………………………10
2.2 Seguridad Informática…………………………………………………………………………………..10
2.2.1 Disponibilidad………….........……………………………………………………….………11
2.2.2 Integridad ………...…………..……………………………………………………………...12
2.2.3 Confidencialidad .......………….……………… …………………………………………...12
2.3 Diseño de la Seguridad de la Información……………………………………………………………13
2.3.1 Políticas y procedimientos ………………………………..………………………………..13
2.3.2 Evaluación de la seguridad …...……………….………………………………………..…15
2.3.3 Mejora de la seguridad …………………………………………………………….……….15
2.4 Objetivos de la Seguridad de la Información ……………………………………………….............15
2.5 Sistema de Gestión de Seguridad de la Información …………………………………...............…16
2.6 Servicios de Seguridad de la Información……………..……………………………………………..16
2.6.1 Protocolos de Seguridad de la Información………………………………………………17
2.7 Consecuencias de la falta de Seguridad de la Información……………………………...........…..17
2.8 Análisis y gestión de riesgos en un sistema informático……………………………………………18
2.8.1 Riesgos………………………………………………..……………………………………...18
2.8.2 Definición de Riesgo………………………………………...………………………………19
2.8.3 Análisis de Riesgos …...…………………………………………..………………………..19
2.8.4 Tipos de análisis del riesgo …….………………………………………………………….19
2.8.5 Gestión de Riesgos …...……………..……………………………………………………..20
2.9 Amenazas……………………………………………………………………………………………..…22
2.9.1 Tipos de Amenazas………………………………………………………………………....22
2.10 Vulnerabilidades…………………………………………………………………………...................24
2.10.1 Tipos de Vulnerabilidades………………………………………………….....................25
2.11 Centro de Operaciones de Seguridad (SOC)………………………………………………………27
 2.11.1 Definición ……...…………………………………………………....................………….27
2.11.2 Funciones…………………………………………………………………………...………28
2.11.3 Servicios de un SOC……...……………………………………………………………….28
2.11.3.1 Monitoreo y correlación de eventos …………………………...............……28
2.11.3.2 Monitorización y gestión de logs……………..……………………………….30
2.11.3.3 Monitorización y gestión de cortafuegos…………………………….....……31
2.11.3.4 Operación y Administración de la Infraestructura…….…………………….33
2.11.3.5 Identificación y gestión de eventos………………………………………......33
2.11.3.6 Incidentes de seguridad………………………………………….……………33
2.11.4 Plan de respuesta a incidentes de seguridad……………………………….………….36
2.11.5 Estructura y Características………………………………………………………..……..36
2.11.5.1 Etapa de reacción ……...………………………………………………….…..38
2.11.5.2 Restauración………………..…………………………………………………..39
2.11.5.3 Equipo de Respuesta a Incidentes de Seguridad…………….…………….39
2.11.6 Impactos……………………………………………………………………………..……. .40
2.11.7 Plan de contingencia………………………………………………………………..……..42
2.11.8 Estadísticas de seguridad en las organizaciones.…...…………………………….…..47
2.11.9 Infraestructura tecnológica para la creación de un SOC……….……………………..50
2.11.9.1 Firewalls………………………………………………………..………………..52
2.11.9.2 Sistema de detección de intrusos (IDS)…………………………..…………53
2.11.9.3 Sistema de prevención de intrusos (IPS)……………………………..……..54
2.11.9.4 Servidores ………...…………………………………………………………....54
2.12 DMZ……………………………………………………………………………………………………..57
Capítulo III. Marco contextual…………………………..………………………………………………..58
3.1 Problemática en materia de seguridad del SOC……….……………………......................………58
3.2 Problemática en la operación del SOC……………………………………..........................………60
3.2.1 Niveles de Servicio ………...……………………….………………………………………60
3.2.2 Calidad en el servicio proporcionado…………..………………………………………….62
3.2.3 Niveles de atención y respuesta al cliente…………..……………………………………63
3.3 Ventajas y Desventajas de un SOC………………………….………...........……………………….64
3.4 Los retos de seguridad para las Pymes……………………………….................................……...66
Capítulo IV. Buenas prácticas y estándares aplicados a la problemática……….………………68
4.1 Estándares de seguridad………………………………………………………………............……...68
4.2 ISO 27002:2013………………………………………………………………………………………....68
4.3 ISO 27005:2011……………………………………………………………………………....…………71
4.4 ISO 27032:2012…………………………………………………………………………………………72
4.5 Estándares de calidad ……………... ...…………………………………………………………….…73
4.5.1 ISO IEC 9001………………………………………………………………………………...74
4.6 Buenas prácticas …...……..……………………………………………………………………………76
4.6.1 COBIT ……..……………………………………………………………………….……….. 77
4.6.2 ITIL………….…………………………………………………………………………………80
Capítulo V. Propuesta de modelo para la implementación de un Centro de Operaciones
de Seguridad (SOC).....…………………………………………………………...........…..83
5.1 Diseño y definición del modelo propuesto…….……………………………………………………...83
5.2 Propuesta de modelo de implementación y gestión para un Centro de Operaciones
de Seguridad (SOC)…………………………………………………………………………………….84
5.3 Fase de Análisis……………….………………………………………………………………........…..85
5.4 Fase de Investigación……………..……………………………………………………………………86
5.4.1 Definición de alcance y límites del Centro de Operaciones de Seguridad……………86
5.4.2 Ubicación y tipo de SOC propuesto…………………………………………………….…86
5.4.3 Definición de activos………………………………………………………………………...87
5.4.4 Análisis y evaluación de riesgo…………………………………………………………….87
5.5 Fase de Aplicación……………………………………………………………………………………...87
5.5.1 Controles propuestos……………..………………………………………………………...87
5.5.2 Definición de políticas y procedimientos para el Centro de Operaciones
de Seguridad (SOC)...……………………………………………………………………...88
5.5.3 Recomendaciones físicas de infraestructura, recursos humanos y
herramientas seleccionadas para el SOC………………...........………………..……...88
5.6 Fase de Prevención …………………………......……………………………………………………..89
5.6.1 Ciclo de vida de la Información………………….…………………………………………89
5.6.2 Revisión continua del Centro de Operaciones de Seguridad……….………………….89
Capítulo VI. Caso práctico de modelo para la implementación de un Centro de
Operaciones de seguridad (SOC)…………..…………………………………………...91
6.1 Antecedentes de la empresa……………………………………………………………….………….91
6.2 Aplicación del modelo…………………………………………………………………………..………95
6.3 Fase de Análisis………………………………………………………………………………………...95
6.4 Fase de Investigación…………………………………………………………………………………..97
6.4.1 Información recabada dentro de la institución………………………………….………..97
6.4.2 Definición de alcance, límites y tipo de SOC propuesto……………………………….101
6.4.3 Ubicación y tipo de SOC…………………………………………………………………..101
6.4.4 Definición de activos y enfoque de evaluación del riesgo de la
Organización …..…………………………………………………………………....……..101
6.4.5 Determinación de las amenazas por activo…………………………………....…….…103
6.4.6 Cálculo de riesgo…………………………………………………………………........….105
6.4.7 Plan de tratamiento de riesgo………………………………………………….…………108
6.5 Fase de Aplicación………………………………………………………………………………….…112
 6.5.1 Controles aplicables a la operación del SOC…………………………………...……...112
6.5.2 Recomendaciones / Estructura funcional para la operación del SOC……………….113
6.6 Fase de Prevención ………………………………………………………………...…….……….....115
6.6.1 Creación y Uso de la información………………………………………………………..115
6.6.2 Condiciones de Uso, Almacenamiento y Borrado .…....……....…………..…...……..116
Conclusiones ........………………………………………………………………………………...………118
Bibliografía .….……………………………………………………………………………………………..119
Glosario .…………………………………………………………………………………………………....121
Anexos ...……………………………………………………………………………………………………123
Resumen
En esta tesina se abarcan todos los aspectos necesarios que requiere un centro de operaciones de
seguridad (comúnmente denominado SOC por sus siglas en inglés) para su realización y
administración, y con ello se proporciona una propuesta que evalúe si es factible y costeable
implementarlo en las empresas o de lo contrario rentar los servicios para hacer frente a las
amenazas en este mundo vertiginoso y cambiante día a día. Con esta propuesta se le informa a la
empresa Anthares IT Services que el modelo hace posible mejorar su rendimiento a los fallos más
comunes y graves de la gestión de acceso de la información para esto se propone implementar
niveles de servicio y gestión de incidentes de seguridad para definir, notificar, confirmar y
monitorizar la actividad sospechosa de la infraestructura de seguridad así se obtiene un máximo de
calidad de los servicios de TI ofrecidos.

Los objetivos principales consisten en revisar las tecnologías con las que cuenta la empresa
Anthares IT Services para así disminuir el impacto económico y a fin de establecer medidas, guías
y procedimientos adaptables a las mejores prácticas existentes de la seguridad informática. Se
propone un sistema de gestión de seguridad de la información para la empresa Anthares IT
Services que mejora los procesos de capacitación y formación de seguridad de información y
demuestra que se aplica el conocimiento transmitido, mediante el establecimiento de
procedimientos y lineamientos referentes al tema ajustado a controles de actualización.

La propuesta engloba tres puntos importantes que se desarrollaron, los cuales son:

1. Evaluación y costo beneficio del modelo versus soluciones ofertadas por proveedores
2. Definición del alcance, límites y ubicación del SOC
3. Establecer el tipo de SOC a desarrollar, así como los controles, políticas y procedimientos
para su versión final .

El diseño del modelo del SOC se adapta a las necesidades de la institución, se promueve la
adopción de un enfoque de procesos para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar el SGSI de la organización. Para la ubicación física del SOC se toma en
consideración los Estados de la República Mexicana con menor porcentaje de riesgo calculado,
por lo tanto se propone que sea desarrollado en el estado de Querétaro donde la infraestructura se
encontrará más segura y libre de toda contingencia, se cuenta con una relación de infraestructura
ya existente y la estipulación con realizada con el levantamiento de información.

Eventualmente, se proponen reacciones que las llamamos apropiadas a un ataque, sobre todo se
habla de una cuestión de organización y procedimientos para ser aplicados por los equipos de
respuesta a incidentes. La reacción se extiende desde el monitoreo pasivo para obtener más

i
información pasando por un paro de emergencia del sistema objetivo hasta reportar el incidente. La
reacción apropiada debe ser determinada antes de que un ataque ocurra y los procedimientos
deben ser validados entonces de forma segura almacenando y haciendo accesible a los equipos
de supervisión.

ii
Introducción
Con el entendimiento de que los ataques pueden ser prevenidos antes de que sean un riesgo para
la organización, mediante la oportuna detección y respuesta de las amenazas en tiempo real, para
así obtener y mantener actualizada una base de conocimientos para reaccionar a posibles
amenazas en el futuro casi al instante. Las compañías deberían reforzar sus capacidades para
poder responder apropiadamente a la eventualidad que les corresponde al momento, dando
hincapié a la resolución de este tema para así mantener la estabilidad del negocio.

Incluso cuando un sistema es seguro, los métodos de prevención tradicionales pueden no detectar
todos los fraudes y ataques cibernéticos. Es por ello que las empresas deben permitirse el lujo de
tener a la seguridad como su principal aliado en todas las actividades que realice la empresa.

En esta tesina se abarcan todos los aspectos necesarios que requiere un centro de operaciones de
seguridad para su realización y administración, y con ello proporcionar una propuesta que evalúe si
es factible y costeable implementarlo en las empresas o de lo contrario rentar los servicios para
hacer frente a las amenazas en este mundo vertiginoso y cambiante día de día.

Con esta propuesta se le informa a la empresa Anthares IT Services que el modelo hará posible
mejorar su rendimiento a los fallos más comunes y graves de la gestión de acceso de la
información para esto se propone implementar niveles de servicio y gestión de incidentes de
seguridad para definir, negociar, notificar, confirmar, monitorizar y contener la actividad sospechosa
de la infraestructura de seguridad así se obtiene un máximo de calidad de los servicios de TI
ofrecidos.

La presente tesina se compone por seis capítulos en los cuales se muestran los conceptos básicos
y normativas necesarias para proponer un centro de operaciones con fundamento en el diseño
presentado, que permita la implementación y administración de un SOC que apoye a mitigar el
riesgo de ocurrencia de incidentes perjudiciales en la infraestructura tecnológica que comprometan
las operaciones del negocio y amenacen la seguridad de la información dentro de la empresa
tomando como base estándares internacionales y mejores prácticas.

Por lo tanto en el primer capítulo se expone el problema a realizar en esta tesina, así como los
objetivos que se buscan para solucionarlo y el fundamento del porqué es necesario realizarlo. A su
vez, en el siguiente capítulo se da un desglose del marco teórico a desarrollar propiciando una
visión general de lo que es la seguridad de la información, posibles riesgos en un sistema
informático, los mecanismos preventivos, las estadísticas en las organizaciones, el concepto de
que es un SOC, diferentes tipos de SOC, además de la infraestructura necesaria para
implementación del SOC.

iii
Con toda esta investigación recabada se lleva a cabo el capítulo tres donde se da un análisis
exhaustivo del SOC para disminuir los posibles actos que están enfocados en nuestro objetivo para
atacar rápidamente cualquier anomalía.

En el capítulo cuatro se brinda un contexto de las buenas prácticas de implementación más

conocidas en la nación acerca de seguridad en informática teniendo una visión general de los
estándares, normas y objetivos a brindar en la problemática desarrollada.

A su vez el capítulo cinco es la pieza que engloba toda la tesina ya que en él se desglosa el
modelo propuesto para la implementación de un centro de operaciones de seguridad (SOC)
recabando toda la información de capítulos anteriores para llegar a la definición de dicho modelo.

En el capítulo seis, después del análisis e investigación realizada en los capítulos anteriores se
hace frente a proponer el modelo a la empresa para mejorar y establecer políticas necesarias para
obtener los servicios de un centro de operaciones englobando así las opiniones del cliente para
una toma de decisiones eficaz dentro de la empresa Anthares IT Services.

iv
Capítulo I. Marco Metodológico
En este capítulo se expone el por qué se la elección de este tema enfocado en resolver la
problemática a través de establecer un objetivo principal desglosándolo en específicos con lo cual
se define dicho documento basado en técnicas e instrumentos de medición para el universo de la
problemática en cuestión.

Asimismo, se indica qué tipo de investigación se usa para el desarrollo y la forma en que se
desenvuelve para efectos del proyecto.

1.1 Planteamiento del problema

Actualmente, se sabe que la información es el activo más valioso dentro de las empresas y su
seguridad se ha vuelto de misión crítica dado que la mayoría es almacenada en forma digital y el
riesgo de sufrir algún tipo de ataque o riesgo va en aumento.

El empleo de las nuevas tecnologías y el amplio crecimiento de las instituciones, hace que la
información se vuelva más susceptible a ser usada para fines que comprometen su integridad,
disponibilidad y confidencialidad. El uso inadecuado de internet, correo electrónico, mensajería
instantánea o información en papel, puede tener graves consecuencias tanto legales como
económicas, ya que desatenderlas podría suponer pérdidas incalculables que pondrían en riesgo
la continuidad de la empresa. Además, de la complejidad de la mayoría de los ambientes
empresariales de TI, combinada con el predominio de los servicios móviles, de nube y la
accesibilidad cada vez mayor de las redes empresariales a redes externas, ofrece a los atacantes
muchos lugares para ocultarse y mucho más puntos para una posible intrusión.

La seguridad de la Información tiene como fin la protección de la información, así como

concientizar sobre su uso, divulgación, interrupción o destrucción no autorizada, y por ello,
conviene aclarar que la seguridad absoluta no es posible, puesto que no existe un sistema 100%
seguro, de forma que el elemento de riesgo está siempre presente, independiente de las medidas
preventivas y correctivas implementadas.

Para mejorar la detección y la respuesta a las amenazas se necesita un enfoque de seguridad

basada en inteligencia que ayude a las organizaciones a usar toda la información disponible
relacionada con la seguridad, tanto de fuentes internas como externas, para detectar amenazas
ocultas e incluso predecir amenazas futuras. Para llevar a cabo esto se necesita optimizar la
manera en que las tecnologías, el personal y los procesos trabajan en conjunto, ya que es
fundamental para escalar las funcionalidades de seguridad con los crecientes riesgos que
presentan las amenazas cibernéticas avanzadas, todo ello sin dejar de proporcionar eficiencia y
valor a la organización.

1
La automatización de la tecnología puede ayudar a los analistas a aprovechar al máximo su tiempo
al reducir drásticamente la carga de trabajo que implica el cierre de incidentes de rutina de bajo
nivel. La automatización le da tiempo a los analistas para concentrarse en riesgos de mayor
prioridad que afectan a los activos más críticos de la organización.

Los resultados de los mejores equipos de operaciones de seguridad ilustran el impacto que se
produce al optimizar la interacción de personas, procesos y tecnologías en las operaciones de
seguridad. Al apoyarse en un programa de seguridad basada en inteligencia, las organizaciones
líderes pueden lograr resultados satisfactorios (como reducir el tiempo promedio para resolver
incidentes hasta en un 60%).

Un Centro de Operaciones de Seguridad (SOC por sus siglas en inglés) funcionando en forma,
puede ser el corazón de la detección efectiva. Ya que tiene como propósito proporcionar servicios
de detección y reacción a incidentes de seguridad, lo que permitirá a los responsables de la
Seguridad de la Información tomar decisiones oportunas que apoyen a la continuidad de la
operación de la infraestructura de TI que conforman los activos informáticos.

En el núcleo de un SOC exitoso están unos cimientos fuertes para la excelencia operacional,
impulsada por procesos bien diseñados y ejecutados, un gobierno fuerte, individuos capaces y en
constante motivación para mejorar y estar delante de sus ciberadversarios. Un buen SOC es aquel
que soporta los objetivos del negocio, mejora efectivamente la postura de riesgo de una compañía
y provee un ambiente de seguridad para que el negocio pueda generar sus objetivos primordiales,
alineado con su dirección y visión estratégicas.

Para mantener la operación del centro se toma como base la norma internacional ISO/IEC 27001,
la cual es la norma principal para la gestión de la seguridad de la información que ayudara a tener
una adecuada gestión y cumplimiento de los estándares de calidad en cuanto a niveles de servicio
y cumplimiento de normas.

1.2 Objetivo general

Proponer un modelo adaptado a las necesidades institucionales que permita definir los elementos
necesarios que se requiere para implementar y administrar un centro de operaciones de seguridad
que apoye el monitoreo integral de dispositivos de ante incidentes y delitos informáticos.

1.3 Técnicas e instrumentos de medición

En el presente trabajo se hace uso de cuestionarios y entrevistas, aplicando técnicas de muestreo

estadístico para evaluar la información y verificar los principales problemas que tiene la empresa

2
Anthares IT Services y con base en este análisis desarrollar el modelo planteado estableciendo
instrumentos de medición para la aplicación correcta de estas herramientas.

1.4 Objetivos específicos

a) Realizar una evaluación costo – beneficio con base a la oferta de proveedores externos
para saber si es costeable o no la implementación del modelo propuesto.
b) Revisar los activos y las diferentes tecnologías con las que cuenta actualmente la
organización e identificar el nivel de riesgo de los mismos.
c) Definir controles y medidas de seguridad que permitan mitigar el riesgo operativo, así como
definir políticas y procedimientos que apoye a puntualizar una arquitectura de seguridad
que proporcione las funciones de autenticación, autorización y registro de actividades.
d) Desarrollo de la propuesta del modelo.

1.5 Universo y/o muestra

El universo de la presente tesina está basado en el estudio estadístico enfocado a los problemas
de seguridad que se presentan en Latinoamérica de acuerdo a los estudios realizados por Eset en
el año 2014.

Una de las cuestiones que resulta interesante conocer para determinar en qué se enfocan las
empresas cuando se trata de la Seguridad de la Información, son aquellas preocupaciones por las
cuales invierten recursos para evitar problemas. Además de conocer solamente las
preocupaciones, es interesante analizar cómo cambian de acuerdo al tamaño de la empresa.

Tal como se puede observar en la Ilustración 1, resulta que la mayor preocupación para cerca del
70% de las empresas encuestadas en Latinoamérica son las vulnerabilidades de software y sus
sistemas. Esta preocupación se mantiene en el primer lugar independiente del tamaño de la
empresa, seguida por la infección con códigos maliciosos. En este caso, cabe resaltar que la
infección con malware tiene más impacto como preocupación entre las pequeñas y medianas
empresas en comparación con las grandes.

3
 Ilustración 1.Preocupaciones de la Seguridad de la Información de las empresas de acuerdo a su tamaño.

¿Qué incidentes sufrieron las empresas durante 2014?

Tal como se muestra en la Ilustración 2 la distribución de los incidentes es muy similar

independiente del tamaño de la organización, sobre todo para los incidentes más recurrentes como
los accesos indebidos, la infección con malware y los ataques de denegación de servicio (DoS por
sus siglas en ingles).

Esta tendencia demuestra que a un ciberdelincuente no le interesa el tamaño de la empresa

siempre y cuando pueda obtener algún tipo de ganancia económica; es crucial que los
responsables de la seguridad de las compañías conozcan esto y no pase inadvertido en ninguna
reunión de planificación e implementación de planes de seguridad. Un caso interesante y que vale
la pena resaltar está relacionado con los incidentes asociados al phishing, como se observa en la
Ilustración 1 es el tipo de amenaza que menos preocupa a las empresas, y particularmente a las
de mayor tamaño como el incidente que menos reportan como parte de sus principales
preocupaciones. Sin embargo, en la Ilustración 2 se observa que casi el 20% de empresas grandes
sufrieron algún incidente de phishing que afecta directamente a la información que manejan los
empleados y que puede exponer de forma crítica datos sensibles. Se tiene un panorama de cómo
se dieron los incidentes de seguridad en las empresas a nivel general en Latinoamérica; ahora es
importante ver la tendencia de incidentes país por país.

4
 Ilustración 2.Incidentes sufridos en las empresas de Latam.

Como se puede observar en la Ilustración 3 el Malware a nivel regional, las empresas encuestadas
en Colombia, Venezuela, Ecuador, Perú y Nicaragua son la que reportaron mayores niveles de
infecciones con códigos maliciosos. Esto no es una sorpresa cuando se observa que, por ejemplo,
en Colombia las detecciones de botnets crecieron un 10% durante 2014, y en países como
Ecuador y Venezuela se encuentran variantes de códigos maliciosos que no son los más comunes
comparados con el resto de Latinoamérica. En el caso de Perú, se muestra que es uno de los
países de la región con más detecciones de uno de los gusanos más propagados en la región,
VBS/Agent.NDH4. Tanto esta amenaza como JS/Bondat han causado un dolor de cabeza a más
de una empresa.

5
 Ilustración 3.Infecciones con malware por país.

A diferencia de lo ocurrido en años anteriores, los incidentes relacionados con accesos indebidos a
la información fueron los más reportados por las empresas de la región como se observa en la
Ilustración 4. De hecho, tan solo fueron 5 de los 14 países encuestados en los que menos de la
mitad de las empresas tuvieron algún incidente de este tipo. En los 9 países restantes, más de la
mitad de las empresas declararon haber tenido un incidente de este tipo. Encontrar este incidente
en la primera posición en todos los países de Latinoamérica es el reflejo de lo que se vio durante
todo el año. Casos como los de Sony, Home Depot, eBay o Target dejaron en evidencia lo que
sucede con la información si no se toman las precauciones de seguridad adecuados. La pérdida y
exposición de información confidencial no es el único problema de un incidente de este tipo sino
que también supone un problema para la reputación de la empresa, y una probable disminución de

6
la confianza por parte de los clientes. De todas maneras, más allá de esto, cuando ocurre un
incidente de seguridad ya sea detectado de manera interna o a través de algún agente externo a la
compañía es notificado, las empresas deben relevar a qué información confidencial se tuvo acceso
y cómo es que los cibercriminales o atacantes lograron poner sus manos sobre esos datos.
Asimismo, estos incidentes pueden darse cuando no existen controles o perfiles correctos en las
redes de las empresas, y permiten que personal de otras áreas o sectores logren acceder a planes
confidenciales de la gerencia, administración, recursos humanos y demás.

Ilustración 4.Acceso indebido por país.

7
Con el conocimiento de los principales problemas del universo seleccionado se hace uso de la
elaboración de esta tesina y proyecto de investigación, los datos entregados por la empresa
Anthares IT Services en la cual se selecciona a directores y jefes de área que conocen la
operatividad de la empresa así como las principales problemáticas de la seguridad en la
información tomando como base la interpretación que ellos tienen respecto a los problemas de
seguridad que existen en la organización, así como también estadísticas de incidentes que han
sido atendidos y registrados por el área de soporte existente actualmente.

1.6 Justificación

Desde que se incorpora la informática y la tecnología a los procesos de las empresas ha implicado
que las actividades que se realicen sean sistemáticas, sean más ágiles y sencillas. Sin embargo,
toda facilitación debe ir de la mano con la seguridad y protección.

La seguridad informática debe ser parte de la cultura de una organización donde sean utilizados
los recursos y activos de la manera que se decidió y que el acceso a la información ahí contenida,
así como su modificación solo sea posible a las personas que se encuentren acreditadas y dentro
de los límites de su autorización.

Los sistemas de hardware y software al ser creados por seres humanos y, más aún, los usuarios
en sí por su naturaleza, le imprimen a la Informática un sentimiento de inseguridad que debe estar
controlado; y nadie mejor que los dueños de cada proceso en conjunto con algún especialista en
esta materia, para orientarnos hacia qué medidas efectivas adoptar para estar protegidos.

Un modelo de seguridad o diseño de la seguridad enmarcado en una plataforma de administración

de seguridad como un SOC, ayuda a tener una selección eficiente de las tecnologías de la
información que proveen seguridad, basada en políticas y atendiendo a necesidades propias de la
organización.

El Centro de Operaciones debe basar sus servicios en cuatro pilares fundamentales:

Prevención. Tiene como principal objetivo disminuir la probabilidad de aparición de cualquier

incidente. La prevención implica realizar vigilancia permanente de nuevos ataques que puedan
comprometer la seguridad, así como la aplicación de medidas preventivas que reduzcan la
probabilidad de materialización de amenazas.

Detección. Es la monitorización constante con el único propósito de detectar amenazas,

vulnerabilidades, intrusiones, ataques de seguridad, o cualquier indicio que refleje un posible
incidente de seguridad.

8
Análisis. Estudio de los incidentes descubiertos por la detección. Con el análisis se pretende
discernir entre amenazas reales o falsos positivos.

Respuesta. Reacción ante cualquier incidente real de seguridad.

Sus funciones principales son:

 Monitorización continúa de la seguridad.

 Detección y gestión de vulnerabilidades.
 Centralización, tratamiento y custodia de logs.
 Respuesta de resolución.
 Asesoría de seguridad.
 Programas de prevención.

Basándose en lo anterior, es de suma importancia que las empresas en colaboración con sus
especialistas y equipos de trabajo, tengan la obligación de proteger y resguardar su activo más
valioso: la información.

Esta tesina, busca aplicar los conocimientos de la Ingeniería en Informática empleando las
metodologías de normalización y calidad en el proceso de desarrollo e implementación del SOC,
garantizando con ello la integridad de la información en el campo de la seguridad informática. De la
Licenciatura en Ciencias de la Informática, se aplicaran los conocimientos necesarios para
proponer procesos planificados de gestión en las organizaciones.

Se fundamenta la base del proyecto en ambas carreras, creando un modelo interdisciplinario que
permita implementar métodos, procesos, procedimientos y técnicas mediante el uso de la
tecnología, que propongan soluciones competitivas.

Asimismo, aportar ideas sólidas, de carácter científico y tecnológico, en el cual se aplican las
habilidades de diseño, construcción, transferencia y adaptación de las tecnologías de información,
cuya implementación, coadyuve en el incremento de la calidad y productividad eficaz y eficiente de
sus servicios.

1.7 Hipótesis

Se espera que al proponer el modelo, el análisis comparativo sea costeable y permita desarrollar el
modelo de implementación y gestión del Centro de Operaciones de Seguridad (SOC), mitigando
con ello el nivel de riesgo y las vulnerabilidades en la infraestructura tecnológica en la empresa
Anthares IT Services.

9
Capítulo II. Marco Teórico
En este capítulo se da a conocer el concepto de modelo para posteriormente desglosar el tema
central que es un centro de operaciones de seguridad (SOC), además, se desglosan los términos
que abarcan tanto en su especificación, como en su funcionamiento a través de la descripción de
términos fundamentales de seguridad (amenaza y riesgo).

2.1 Modelo

Un modelo es un bosquejo que representa un conjunto real con cierto grado de precisión y en la
forma más completa posible, pero sin pretender aportar una réplica de lo que existe en la realidad.
Los modelos son muy útiles para describir, explicar o comprender mejor la realidad, cuando es
imposible trabajar directamente en la realidad en sí (FAO, 1997).

Para efectos de la tesina se usa el concepto de modelo a aquello que se toma como referencia
para tratar de producir algo igual. En este caso, el modelo será un arquetipo, es decir un punto de
partida para lograr la implementación de un SOC en empresas de una manera más sencilla.

2.2 Seguridad Informática

La seguridad informática está definida como cualquier medida que impida la ejecución de
operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar
daños sobre la información, comprometer su confidencialidad, integridad y disponibilidad, disminuir
el riesgo de los equipos o bloquear el acceso de usuarios no autorizados al sistema (Gómez,
2007).

Desde el punto de vista informático, existen 3 tipos de elementos que pueden sufrir amenazas:
hardware, software y datos.

El más sensible, y en el que se basa casi toda la literatura sobre seguridad, son los datos, ya que
es el único elemento que depende exclusivamente de la organización.

Como se muestra en la ilustración 5 la información tiene las siguientes características:

10
 Ilustración 5.Elementos de la seguridad de la Información

La confidencialidad, la integridad y la disponibilidad aparecen como conceptos fundamentales tanto

de normativa vigente relacionada con la protección de datos de carácter personal, como de
códigos de buenas prácticas o recomendaciones sobre gestión de la seguridad de la información y
de prestigiosas certificaciones internacionales, éstas últimas, relacionadas con la auditoría de los
sistemas de información.

2.2.1 Disponibilidad

La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los
procesos del negocio en cualquier momento. También concierne a la protección de los recursos y
las capacidades necesarias asociadas. (ITGI, 2007).

Asegura que el acceso a los datos o a los recursos de información por personal autorizado se
produce correctamente y en tiempo. Es decir, la disponibilidad garantiza que la información
siempre estará disponible cuando esta sea requerida, esto implica que los sistemas usados para el
almacenamiento, procesamiento de la información, los controles de seguridad y canales de
comunicación utilizados para protegerla estén funcionando correctamente.

Mantener la disponibilidad de los servicios y la información implica asegurar que el acceso a la

información y servicios no sea interrumpido aun cuando existan fallas de hardware, software o
durante un mantenimiento rutinario a los sistemas y poder reconocer y responder a incidentes de
seguridad de manera oportuna.

La integridad está relacionada con la precisión y completitud de la información, así como con su
validez de acuerdo a los valores y expectativas del negocio (ITGI, 2007).

Es un servicio de seguridad que garantiza que el receptor de un mensaje puede verificar que este
no ha sido modificado durante el tránsito por el medio de comunicación, de tal manera que, un
intruso no podría ser capaz de sustituir un mensaje falso por uno legítimo sin ser detectado.

11
Según el Instituto Nacional de Estándares y Tecnología de Estados Unidos Cambiar (NIST por sus
siglas en ingles), en su publicación FIPS PUB 140-2 “Security Requiriments for Cryptographic
Modules”, la Integridad se define como la propiedad de que los datos sensibles no se han
modificado o eliminado en una forma no autorizada y no detectada.

2.2.2 Integridad

La integridad se refiere a la seguridad de que una información no ha sido alterada, borrada,

reordenada, copiada, etc., ya sea durante el proceso de transmisión o en su propio equipo de
origen. Es un riesgo común que el atacante al no poder descifrar un paquete de información y,
sabiendo que es importante, simplemente lo intercepte y lo borre (Valdivia, 2015).

La integridad asegura que:

 No se realizan modificaciones de datos en un sistema por personal o procesos no

autorizados.
 No se realizan modificaciones no autorizadas de datos por personal o procesos
autorizados.
 Los datos son consistentes, es decir, la información interna es consistente entre sí misma y
respecto de la situación real externa.

2.2.3 Confidencialidad

La confidencialidad se refiere a la protección de la información sensitiva contra revelación no

autorizada (ITGI, 2007).

La confidencialidad es un servicio de seguridad usado para conservar el contenido de la

información solo disponible a aquellas personas autorizadas para accederla. Esto se logra
comúnmente protegiendo los datos a través de algoritmos matemáticos que vuelven los datos
inteligibles (Gómez, 2007).

Mediante la confidencialidad se garantizará el acceso a la misma solo por parte de las personas
que estén autorizadas. El mantenimiento de la confidencialidad involucra asegurar que solo los
usuarios autorizados pueden acceder a los servicios e información para los cuales están
autorizados y que la información es divulgada solo de acuerdo con la política.

Para garantizar la confidencialidad de una carta, de un informe, entre otros, se pondrán en práctica
diferentes cuidados que dependerán del contexto en cuestión. Por ejemplo, una carta entre amigos
o entre novios exigirá la existencia de un sobre en el cual depositar la nota o carta, el que luego se
cerrará amparándose en la convención existente que nadie que no sea el destinatario intentará
abrirlo y aunque ocurra el riesgo será mínimo.

12
La confidencialidad intenta prevenir la revelación no autorizada, intencional o no, del contenido de
un mensaje o de información en general. La pérdida de información puede producirse de muchas
maneras, por ejemplo, por medio de la publicación intencional de información confidencial de una
organización o por medio de un mal uso de los derechos de acceso en un sistema.

2.3 Diseño de la Seguridad de la Información

La planeación de la seguridad involucra el desarrollo del análisis de vulnerabilidades, análisis de

riesgo y evaluaciones de amenazas. Las anteriores fases comprenden; la evaluación e
identificación de activos; la postulación y evaluación de amenazas; evaluación de vulnerabilidades;
la evaluación de contramedida y análisis de costo-beneficio. Por lo tanto, se incluyen factores de
cómo la información es usada y gestionada, y que tan buenas y relevantes son las medidas de
seguridad existentes.

2.3.1 Políticas y procedimientos

Una Política de Seguridad es una "declaración de intenciones de alto nivel que cubre la seguridad
de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades
para las diversas actuaciones técnicas y organizativas que se requieran”. Es una forma de
comunicarse con los usuarios y los gerentes, establecen el canal formal de actuación del personal,
en relación con los recursos y servicios informáticos, importantes de la organización (Gómez,
2007).

No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que
involucre sanciones a conductas de los empleados. Es más bien una descripción de lo que se
desea proteger y el porqué de ello.

Cada política es consciente y vigilante del personal por el uso y limitaciones de los recursos y
servicios informáticos críticos de la compañía.

Objetivos de una política de seguridad:

 Reducir los riesgos a un nivel aceptable.

 Garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información.
 Cumplir con las leyes y reglamentaciones vigentes

Para desarrollar una política de seguridad, es necesario identificar y evaluar los activos,
especificando qué activos deben protegerse y cómo protegerlos de forma que permitan la
prosperidad de la empresa:

13
  Hardware: terminales, estaciones de trabajo, procesadores, teclados, unidades de disco,
computadoras personales, tarjetas, router, impresoras, líneas de comunicación, cableado
de la red, servidores de terminales, bridges.
 Software: sistemas operativos, programas fuente, programas objeto, programas de
diagnóstico, utilerías, programas de comunicaciones.
 Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back-up,
bases de datos, en tránsito sobre medios de comunicación.
 Personas: usuarios, personas para operar los sistemas.
 Documentación: sobre programas, hardware, sistemas, procedimientos administrativos
locales.
 Identificación de amenazas:
o ¿Cuáles son las causas de los potenciales problemas de seguridad?
o Considerar la posibilidad de violaciones a la seguridad y el impacto que tendrían si
ocurrieran.
o Estas amenazas son externas o internas:
 Amenazas externas: Se originan fuera de la organización y son los virus,
intentos de ataques de los hackers, agresiones de ex-empleados o
espionaje industrial.
 Amenazas internas: Son las amenazas que provienen del interior de la
empresa y que pueden ser muy costosas porque el infractor tiene mayor
acceso y perspicacia para saber dónde reside la información sensible e
importante.
 Evaluar los riesgos: Debe calcularse la probabilidad de que ocurran ciertos sucesos y
determinar cuáles tienen el potencial para causar mucho daño. El costo puede ser más que
monetario, se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad
legal, etc.
 Asignar las responsabilidades: Seleccionar un equipo de desarrollo que ayude a identificar
las amenazas potenciales en todas las áreas de la empresa. Los principales integrantes
del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y
representantes de los departamentos de recursos humanos y relaciones públicas.

2.3.2 Evaluación de la seguridad

En el momento de evaluar la seguridad de los Sistemas Informáticos (SI) de una organización, o de

proceder a la implementación de las políticas de seguridad sobre estos Sistemas Informáticos,
conviene conocer cuál es la terminología que se emplea, cuáles son las áreas en las que se puede
aplicar y cuál es el entorno normativo y legislativo en el que nos podemos mover.

14
En primer lugar, se repasan los principales estándares (ISO 27000) y legislaciones, que ayudan a
tener una visión global de los elementos que intervienen en la infraestructura de seguridad y los
controles que pueden establecerse.

Se puede evaluar la infraestructura de seguridad para detectar y clasificar los activos de

información y verificar el grado de cumplimiento de los requisitos de seguridad o el grado de
madurez de la organización respecto a la seguridad de los Sistemas Informáticos.

2.3.3 Mejora de la seguridad

El monitoreo y evaluación de la seguridad proveen los datos necesarios para la mejora de

seguridad en la red. Con la información obtenida se puede mejorar la implementación de seguridad
con una mejor aplicación de la política de seguridad y modificación de la política para que incluyan
respuestas a nuevos incidentes.

2.4 Objetivos de la Seguridad de la Información

La seguridad informática tiene como objetivo preservar los servicios de seguridad de los bienes
informáticos.

Un bien informático o activo, es todo aquél recurso que posee valor o importancia para una
persona u organización. Un activo puede ser desde un archivo de datos, hasta un centro de
cómputo (López, 2014).

Los principales objetivos de un buen administrador de sistemas y encargado de la seguridad

informática son:

 Minimizar y gestionar los riesgos, así como identificar las posibles amenazas a la
seguridad.
 Garantizar el uso adecuado de los recursos informáticos como aplicaciones, cuentas,
comunicaciones, etc.
 Establecer los mecanismos adecuados para una inmediata recuperación después de un
desastre en la menor cantidad de tiempo con el menor daño posible.
 Cumplir con el marco legal vigente referente a la función informática.

2.5 Sistema de Gestión de Seguridad de la Información

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la

Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security
Management System.

15
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de
administración de la información (ISO, 2013).

El término SGSI es utilizado principalmente por la ISO/IEC 27001, que es un estándar internacional
aprobado en octubre de 2005 por la International Organization for Standardization y por la comisión
International Electrotechnical Commission.

La ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo
de Deming": PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), siendo
éste un enfoque de mejora continua:

 Plan (planificar): es una fase de diseño del SGSI de evaluación de riesgos de

seguridad de la información y la selección de controles adecuados.
 Do (hacer): es una fase que envuelve la implantación y operación de los controles.
 Check (controlar): es una fase que tiene como objetivo revisar y evaluar el
desempeño (eficiencia y eficacia) del SGSI.
 Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de
vuelta el SGSI a máximo rendimiento.

El concepto clave de un SGSI es el diseño, implantación y mantenimiento de un conjunto de

procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los
riesgos de seguridad de la información.

Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo
adaptándose a los cambios internos de la organización, así como los externos del entorno.

2.6 Servicios de Seguridad de la Información

El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento

de datos y la transferencia de información en las organizaciones. Los servicios de seguridad están
diseñados para contrarrestar los ataques a la seguridad y hacen uso de uno o más mecanismos de
seguridad para proporcionar el servicio (Gómez, 2007).

2.6.1 Protocolos de Seguridad de la Información.

Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisión de
datos entre la comunicación de dispositivos para ejercer una confidencialidad, integridad,
autenticación y el no repudio de la información (Alonzo, 2014).

16
Se componen de:

 Criptografía (Cifrado de datos). Se ocupa de transposición u ocultar el mensaje enviado por el

emisor hasta que llega a su destino y puede ser descifrado por el receptor.
 Lógica (Estructura y secuencia). Llevar un orden en el cual se agrupan los datos del mensaje el
significado del mensaje y saber cuándo se va enviar el mensaje.
 Identificación (Autenticación). Es una validación de identificación es la técnica mediante la cual
un proceso comprueba que el compañero de comunicación es quien se supone que es y no se
trata de un impostor.

2.7 Consecuencias de la falta de Seguridad de la Información

Cualquier riesgo o amenaza deberá ser tomado en cuenta con la mayor seriedad posible, puesto
que la fortaleza de la cadena de medidas de seguridad organizacional no se mide por el eslabón
más fuerte, ni tampoco por el valor promedio de sus eslabones, sino por el eslabón más débil, pues
es generalmente el que rompe con el esquema de la seguridad organizacional, con efectos que
pudieran considerarse desde moderados a severos.

Dado que la correcta funcionalidad de las organizaciones en la actualidad se encuentra bien

soportada en los servicios informáticos, es necesario proteger dichos servicios con la mayor
seriedad posible tanto de manera física como de manera lógica, de modo que los principales
elementos a proteger son hardware, software, redes, datos al igual que a los usuarios.

De modo que al momento de analizar las posibles consecuencias de la ausencia o deficiencia de

los mecanismos de seguridad, el impacto global para la organización resulta demasiado difícil de
evaluar ya que adicionalmente a los posibles daños ocasionados a la información así como a los
equipos es conveniente tomar en cuenta otros perjuicios como los siguientes por mencionar solo
algunos:

 Costo de horas de trabajo invertidas para intentar recuperar las horas de trabajo perdidas
ante una eventualidad.
 Costo de oportunidad ocasionado por la indisponibilidad de aplicaciones y/o servicios
informáticos perdidos, entre otros recursos.
 Costo por la exposición de información a terceros de la información robada, con valores
estimativos según su valor de acuerdo al grado y nivel de importancia de la información
como lo pueden ser fórmulas, diseños de productos, planes estratégicos, carteras de
clientes y de proveedores, plantilla de personal, etc.

17
  El impacto negativo en la imagen organizacional, dado por la desconfianza en la oferta de
sus productos y/o servicios después de conocerse algún evento de este tipo tanto por parte
de sus clientes como de sus proveedores.
 En casos más delicados, el posible daño a nivel personal de los usuarios, desde la
exposición de los datos personales, e incluso aquellos que tienen que ver con su integridad
física y moral.

Los riesgos varían según la naturaleza de la organización, aunque los más usuales son los que a
continuación se indican:

 Información dispersa, con el creciente uso de la tecnología, la información tiende a

almacenarse en los discos duros locales de cada equipo creando a veces problemas de
redundancia e inconsistencia: estos consisten en que una misma información que debiera
tener el mismo valor, está almacenada en dos o más lugares con diferentes valores. Esta
dispersión, aunque impide un control centralizado de la información como en los sistemas
antiguos ha mostrado también beneficios respecto a la seguridad. En los sistemas
modernos se trabaja deliberadamente con dispersión y redundancia, por ejemplo en los
sistemas RAID.
 Robos y copias no autorizadas, adulteración, revelación de secretos, sabotaje, vandalismo,
etc. Estas amenazas se combaten con dos clases de política restricción de acceso y
asignación estricta de responsabilidades.
 Pérdidas de información por efecto de virus o monitoreo remoto con troyanos.
 Fallas técnicas del disco, cortes de suministro eléctrico, operación inadecuada,
recalentamiento, desastres naturales, incendios, inundaciones, etc. Para estas amenazas
se usan las políticas usuales de seguridad industrial.

2.8 Análisis y gestión de riesgos en un sistema informático

Las organizaciones son cada vez más dependientes de la tecnología informática. Sin sistemas
informáticos, los procesos de negocio de cualquier organización no funcionan. Hoy en día para
todas las actividades que realiza una compañía, la información es un activo esencial. La seguridad
de la información nos permite proteger ese activo.

2.8.1 Riesgos

El riesgo es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al equipo.
Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la amenaza
(Santana, 2013).

18
El riesgo se utiliza sobre todo el análisis de riesgos de un sistema informático. Esté riesgo permite
tomar decisiones para proteger mejor al sistema. Se puede comparar con el riesgo límite que
acepte para su equipo, de tal forma que si el riesgo calculado es inferior al de referencia, éste se
convierte en un riesgo residual que podemos considerar cómo riesgo aceptable.

2.8.2 Definición de Riesgo

Se define el riesgo como: la posibilidad de que ocurra algún evento negativo para las personas y/o
empresas. Ya que cualquier persona o entidad está expuesta a una serie de riesgos derivados de
factores internos y externos, tan variables como su propio personal, su actividad, la situación
económica, la asignación de sus recursos financieros o la tecnología utilizada (López, 2014).

Los equipos de cómputo que habitualmente se utilizan en las empresas están sujetos al riesgo de
que ocurra alguna eventualidad que los dañe y debido a que no existe una seguridad total y las
medidas de seguridad no pueden asegurar al 100% la protección en contra de las vulnerabilidades,
es imprescindible realizar periódicamente en una organización, un análisis de riesgos, para
identificar las consecuencia probables o los riesgos asociados con las vulnerabilidades, y así,
lograr un manejo de riesgo tras la implementación y mantenimiento de controles que reduzcan los
efectos de éste a un nivel aceptable.

2.8.3 Análisis de Riesgos

El análisis de riegos proporciona herramientas útiles para cuantificar el riesgo y evaluar si este
análisis es adecuado, tomar medidas para reducirlo, además intenta mantener un balance
económico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de
seguridad destinadas a manejarlos.

2.8.4 Tipos de análisis del riesgo

Una de las principales funciones del análisis del riesgo de seguridad es poner este proceso sobre
una base más objetiva.

Existen dos tipos esenciales del análisis del riesgo:

Análisis cuantitativo del riesgo

Todos los activos, sus recursos y los controles se identifican, y se evalúan en términos monetarios.
Todas las amenazas potenciales se identifican y se estima la frecuencia de su ocurrencia, estas
amenazas se comparan con las vulnerabilidades potenciales del sistema de tal forma que se
identifiquen las áreas que son sensibles.

19
Posteriormente el análisis cuantitativo del riesgo hace uso del término Expectativa de Pérdida
Anual (ALE) o Costo Anual Estimado (EAC), el cual es calculado para cierto acontecimiento
simplemente multiplicando la frecuencia de la ocurrencia de la amenaza por el valor del activo o
clasificación del daño. Para esto, es necesario recolectar con detalle estimaciones exactas
utilizando técnicas matemáticas y estadísticas.

De esta forma se puede decidir si los controles existentes son adecuados o si se requiere la
implementación de otros, esto se observa cuando el producto obtenido tras multiplicar el valor del
activo por la frecuencia de la ocurrencia de la amenaza en un período de tiempo determinado por
la duración del control es menor que el costo de dicho control.

Los problemas con este tipo de análisis de riesgo se asocian generalmente a la falta de fiabilidad y
a la inexactitud de los datos y algunas veces puede interpretarse erróneamente los resultados.

Análisis cualitativo del riesgo

En lugar de establecer valores exactos sedan notaciones como alto, bajo, medio que representan
la frecuencia de ocurrencia y el valor de los activos. La desventaja es que pueden existir áreas
significativamente expuestas que no hayan sido identificadas como posibles fuentes de riesgo.

Ambos tipos de análisis del riesgo hacen uso de los siguientes elementos interrelacionados:

 Amenazas: las amenazas están siempre presentes en cada sistema.

 Vulnerabilidades: las vulnerabilidades permiten que un sistema sea más propenso a ser
atacado por una amenaza o que un ataque tenga mayor probabilidad de tener éxito o
impacto.
 Controles: son las medidas contra las vulnerabilidades. Existen cuatro tipos:
o Los controles disuasivos reducen la probabilidad de un ataque deliberado.
o Los controles preventivos protegen vulnerabilidades y hacen que un ataque
fracase o reduzca su impacto.
o Los controles correctivos reducen el efecto de un taque.
o Los controles detectores descubren ataques y disparan controles preventivos o
correctivos.

2.8.5 Gestión de Riesgos

La Gestión de riesgos (traducción del inglés Risk Management) es un enfoque estructurado para
manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades
humanas que incluyen evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigación
del riesgo utilizando recursos gerenciales como se muestra en la Ilustración 6. Las estrategias

20
incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y
aceptar algunas o todas las consecuencias de un riesgo particular.

Algunas veces, el manejo de riesgos se centra en la contención de riesgo por causas físicas o
legales (por ejemplo, desastres naturales o incendios, accidentes, muerte o demandas).

Ilustración 6.Proceso de Evaluación del Riesgo.

En este sentido el objetivo de la gestión de riesgos es reducir diferentes riesgos relativos a un

ámbito preseleccionado a un nivel aceptado por la sociedad. Puede referirse a numerosos tipos de
amenazas causadas por el medio ambiente, la tecnología, los seres humanos, las organizaciones y
la política. Por otro lado, involucra todos los recursos disponibles por los seres humanos o, en
particular, por una entidad de manejo de riesgos (persona, staff, organización).

El análisis de riesgos proporciona un modelo del sistema en términos de activos, amenazas y

salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La
gestión de riesgos es la estructuración de las acciones de seguridad para satisfacer las
necesidades detectadas por el análisis como se muestra en la Ilustración 7.

21
 Ilustración 7.Análisis de y gestión de riesgos.

2.9 Amenazas

Una amenaza se representa a través de una persona, una circunstancia o evento, un fenómeno o
una idea maliciosa, las cuales pueden provocar daño en los sistemas de información, produciendo
pérdidas materiales, financieras o de otro tipo. Las amenazas son múltiples desde una inundación,
un fallo eléctrico o una organización criminal o terrorista. Así, una amenaza es todo aquello que
intenta o pretende destruir (López, 2014).

2.9.1 Tipos de Amenazas

1. Amenazas humanas

Surge por ignorancia en el manejo de la información, por descuido, por negligencia, por
inconformidad. Para este caso se pueden considerar a los hackers, crakers, phreakers, carding,
trashing, gurús, lamers o scriptkiddies, copyhackers, bucaneros, newbie, wannabers, samurai,
creadores de virus, por ejemplo:

Amenazas de Ingeniería Social

Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que
normalmente no realizan de forma que revelen datos indispensables que permitan superar las
barreras de seguridad. Esta técnica es una de las más usadas y efectivas al momento de averiguar
nombres de usuarios y contraseñas (López, 2014).

2. Amenazas de Hardware

22
Este tipo de amenazas se da por fallas físicas que se encuentra presente en cualquier elemento de
dispositivos que conforman la computadora. Los problemas más identificados para que el
suministro de energía falle son el bajo voltaje, ruido electromagnético, distorsión, interferencias,
alto voltaje, variación de frecuencia, etc.

3. Amenazas de Red

Se presenta una amenaza cuando no se calcula bien el flujo de información que va a circular por el
canal de comunicación, es decir, que un atacante podría saturar el canal de comunicación
provocando la no disponibilidad de la red. Otro factor es la desconexión del canal.

4. Amenazas Lógicas

Se presenta una amenaza cuando no se calcula bien el flujo de información que va a circular por el
canal de comunicación, es decir, que un atacante podría saturar el canal de comunicación
provocando la no disponibilidad de la red. Otro factor es la desconexión del canal.

La amenaza se hace presente cuando un diseño bien elaborado de un mecanismo de seguridad se

implementa mal, es decir, no cumple con las especificaciones del diseño. La comunicación entre
procesos puede resultar una amenaza cuando un intruso utilice una aplicación que permita evitar y
recibir información, ésta podría consistir en enviar contraseñas y recibir el mensaje de contraseña
válida; dándole al intruso elementos para un posible ataque.

En la mayoría de los sistemas, los usuarios no pueden determinar si el hardware o el software con
que funcionan son los que supone que deben ser. Esto facilita al intruso para que pueda
reemplazar un programa sin conocimiento del usuario y éste pueda inadvertidamente teclear su
contraseña en un programa de entrada falso al cual también se les denominan códigos maliciosos.

Los tipos de códigos maliciosos más comunes son: caballos de troya, virus, gusanos, bombas de
tiempo y keyloggers.

Caballos de Troya: Es un programa aparentemente útil que contiene funciones escondidas y

además pueden explotar los privilegios de un usuario dando como resultado una amenaza hacia la
seguridad. Un caballo de Troya es más peligroso que un administrador del sistema o un usuario
con ciertos privilegios, ya que se introducen al sistema bajo una apariencia totalmente diferente a
la de su objetivo final; esto es, que se presente como información pérdida o basura, sin ningún
sentido. Pero al cabo de algún tiempo, y esperando la indicación del programa, despierta y
comienzan a ejecutarse y a mostrar sus verdaderas intenciones. También pueden aparentar ser un
programa de juegos o entretener al usuario mostrando pantallas de espectáculos y sonidos
agradables, mientras realizan operaciones dañinas para el sistema.

23
5. Amenazas por Fenómenos Naturales

Los diferentes fenómenos naturales que provocan desastres representan uno de los riesgos más
fuertes y debido a la existencia de éstos se convierte en una de las razones por la cuales deben
desarrollarse planes de contingencia y aplicarse medidas en pro de la seguridad de la información.

La clasificación de fenómenos naturales que causan desastres utilizados en las Bases para el
Establecimiento del Sistema Nacional de Protección Civil:

Geológicos

Tienen sus orígenes en la actividad de las placas tectónicas y fallas continentales y regionales que
cruzan y circundan a la República Mexicana.

Como son:

 Sismos
 Vulcanismo
 Colapso de suelos
 Hundimiento regional y agrietamiento
 Algunas consecuencias de los sismos y erupciones tales como maremotos (tsunami) y
lahares.

2.10 Vulnerabilidades

Dependiendo del enfoque que se le dé a la seguridad informática, un sistema informático está

expuesto al peligro por medio de dos factores: Las amenazas y las vulnerabilidades.

Las vulnerabilidades constituyen el otro factor que pone en peligro la seguridad de un sistema,
generalmente se cree que una vulnerabilidad es un punto débil de un sistema y aunque no es una
definición incorrecta, tampoco expresa en su totalidad lo que es una vulnerabilidad.

Una vulnerabilidad informática es un elemento de un sistema informático que puede ser

aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por sí
mismos sin tratarse de un ataque intencionado (López, 2014).

A las vulnerabilidades se les consideran un elemento interno del sistema, por lo que es tarea de los
administradores y usuarios el detectarlos, valorarlos y reducirlos.

24
2.10.1 Tipos de Vulnerabilidades

Las vulnerabilidades son el resultado de errores de programación (bugs), fallos en el diseño del
sistema, incluso las limitaciones tecnológicas pueden ser aprovechadas por los atacantes (López,
2014).

Para esta investigación, se clasifican las vulnerabilidades en seis tipos: Físicas, naturales, de
hardware, de software, de red y de factor humano.

1. Físicas

Está relacionada con el acceso físico al sistema. Es todo lo referente al acceso y de las
instalaciones donde se tienen los equipos de cómputo que contienen la información o forman
partes de los procesos esenciales del sistema.

Las vulnerabilidades de este tipo se pueden presentar en forma de malas prácticas de las políticas
de acceso de personal a los sistemas y uso de medios físicos de almacenamiento de información
que permitan extraer datos del sistema de manera no autorizada.

2. Naturales

Las amenazas naturales son todo tipo de desastres causados por fuerzas naturales que causan
daño a un sistema, por el lado de las amenazas naturales, estas se refieren al grado en que el
sistema se puede ver afectado por este tipo de eventos.

Las vulnerabilidades de tipo natural se presentan principalmente en deficiencias de las medidas

tomadas para afrontar los desastres, por ejemplo, no disponer de reguladores, no-breaks, mal
sistema de ventilación o calefacción, etc.

3. Hardware

Las vulnerabilidades de hardware representan la probabilidad de que las piezas físicas del sistema
fallen (ya sea por mal uso, descuido, mal diseño etc.) dejando al sistema desprotegido o
inoperable. También trata sobre las formas en que el hardware puede ser usado por personas para
atacar la seguridad del sistema, por ejemplo el sabotaje de un sistema al sobrecargarlo
deliberadamente con componentes de hardware que no han sido diseñados correctamente para
funcionar en el sistema.

4. Software

Cada programa (ya sea de paquetería o de sistema operativo) puede ser usado como medio para
atacar a un sistema más grande, esto se da debido a errores de programación, o porque en el

25
diseño no fueron considerados ciertos aspectos (por ejemplo, controles de acceso, seguridad,
implantación, etc.).

5. Red

Las redes pueden llegar a ser sistemas muy vulnerables, al tratarse de una serie de equipos
conectados entre sí compartiendo recursos, es posible atacar a toda la red penetrando primero en
uno de los equipos y posteriormente expandirse al resto.

En una red la prioridad es la transmisión de la información, así que todas las vulnerabilidades están
relacionadas directamente con la posible intercepción de la información por personas no
autorizadas y con fallas en la disponibilidad del servicio.

Estos dos puntos hacen que las vulnerabilidades de las redes lleguen a ser una combinación de
vulnerabilidades de hardware, software, físicas e incluso naturales.

6. Factor Humano

Los elementos humanos de un sistema son los más difíciles de controlar lo que los convierte en
constantes amenazas y al mismo tiempo una de las partes más vulnerables del sistema.

Las vulnerabilidades de origen humano más comunes son la falta de capacitación y

concientización, lo que puede dar lugar a la negligencia en el seguimiento de las políticas de
seguridad, y mal uso del equipo de cómputo.

Los actos contra la seguridad realizados a conciencia por un elemento humano (Como el robo de
información o la destrucción de los sistemas) pueden ser el resultado de una vulnerabilidad
humana, ya sea por un usuario que accidentalmente revela las contraseñas de acceso o no revisa
periódicamente las bitácoras de actividades de los equipos de cómputo a fin de buscar actividades
sospechosas por citar algunos ejemplos.

Un usuario resentido o con poca lealtad a la organización es una amenaza y una vulnerabilidad
humana al mismo tiempo, pues él puede convertirse en el autor directo de ataques al sistema o
revelar intencionalmente información del sistema a personas no convenientes.

Finalmente es importante hacer una reflexión en el sentido de que las vulnerabilidades se pueden
reducir, eliminar o controlar lo que ayuda entonces a contrarrestar la posibilidad de que una
amenaza se materialice y llegue a convertirse en un ataque.

De manera que el riesgo es el daño potencial que puede surgir por un proceso presente o suceso
futuro, es decir, es la posibilidad de que un peligro pueda materializarse.

26
2.11 Centro de Operaciones de Seguridad (SOC)

Un SOC o Centro de Operaciones de Seguridad, es un centro de trabajo destinado a dar un

servicio de seguridad gestionada externalizado a una serie de clientes (Inno Tec, 2015).

Para ello debe contar con un equipo con personal especialista en varias áreas complementarias
que permitan dar un servicio global y efectivo, sumando los conocimientos para que el resultado
sea mayor que las partes.

El centro debe estar altamente securizado (control de acceso físico, protección de equipos frente a
fluctuaciones eléctricas, cifrado de datos, etc.) para asegurar la protección de los datos de los
clientes, debido a que se maneja información sensible.

Un Centro de Operaciones de Seguridad permite controlar el estado de seguridad de una empresa

a través de la monitorización de dispositivos, de la gestión integral de dispositivos de seguridad
perimetral, de la respuesta ante incidentes de seguridad y delitos informáticos, del análisis
automático de las vulnerabilidades, de la disposición de soporte técnico de seguridad y del servicio
antifraude.

Ya sea que una organización esté construyendo un nuevo SOC o buscando expandir sus
capacidades existentes, se mencionan diez consideraciones para el éxito:

1. Soporte ejecutivo y del comité directivo.

2. Inversión.
3. Estrategia.
4. Gente.
5. Procesos.
6. Tecnología.
7. Entorno.
8. Análisis y reportes.
9. Espacio físico.
10. Mejora continua.

2.11.1 Definición

El SOC es un centro donde se gestiona la seguridad de una organización. En él cual el personal

especializado, con altos conocimientos de la infraestructura la cual es el objeto de protección,
monitoriza en tiempo real el estado de la seguridad durante las 24 horas del día y los 7 días de la
semana (Boto, 2011).

27
2.11.2 Funciones

Las funciones básicas de un centro de operaciones de seguridad se encuentran divididas en estas

vertientes:

 Monitorización y gestión en tiempo real.

 Gestión de informes.
 Análisis postincidentes.
 Solución de incidentes.

2.11.3 Servicios de un SOC

Tanto los objetivos como el catálogo de servicios del Centro de Operaciones de Seguridad deben
estar alineados con los objetivos propios del negocio, por lo que dependiendo de la organización,
los servicios del SOC pueden variar. Sin embargo, se mencionan a continuación los más
importantes a considerar.

2.11.3.1 Monitoreo y correlación de eventos

Uno de los pilares en los que se basa la gestión de riesgos de seguridad de la información es el
análisis y la gestión de logs y la correlación de eventos. La confluencia de este pilar de la
seguridad con el de la gestión de identidades y accesos a sistemas, redes y aplicaciones, la
gestión de documentos y la gestión de evidencias, permitirá al responsable de seguridad TIC
alcanzar su objetivo específico en la cadena de protección: saber en tiempo real que está pasando
en los sistemas tecnológicos que pueda ser relevante para la seguridad de la compañía.

La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas
por el hardware y software de red. Las soluciones SIEM pueden venir como software, appliance, o
administración de servicios, y también son utilizados para loguear datos de seguridad y generar
reportes para fines de complimiento.

El segmento de gestión de la seguridad que se ocupa del monitoreo en tiempo real, correlación de
eventos, notificaciones y vistas de la consola que comúnmente se conoce como Gestión de
Eventos de Seguridad (SEM). La segunda área ofrece almacenamiento a largo plazo, el análisis y
la comunicación de los datos de registro, y se conoce como Gestión de Seguridad de la
Información (SIM).

El término Información de Seguridad y Gestión de Eventos (SIEM), acuñado por Mark Nicolett y
Amrit Williams, de Gartner, en 2005, describe las capacidades de los productos de la recopilación,
análisis y presentación de información de la red y los dispositivos de seguridad, las aplicaciones de
gestión de identidades y accesos, gestión de vulnerabilidades y los instrumentos de política de

28
cumplimiento, sistema operativo, base de datos y registros de aplicaciones. Un punto clave es
monitorear y ayudar a controlar los privilegios de usuario y de servicio, servicios de AD y otros
cambios de configuración del sistema, así como el abastecimiento de auditoría de registro, revisión,
y respuesta a incidentes.

Capacidades de un SIEM:

 Agregación de datos: SIEM / LM (administración de logs) soluciones para administración

de logs desde muchas fuentes, incluyendo redes, seguridad, servidores, bases de datos,
aplicaciones, proporcionando la capacidad de consolidar los datos monitoreados para
ayudar a evitar la pérdida de los acontecimientos cruciales.

 Correlación: busca los atributos comunes, y relaciona eventos en paquetes o incidentes.

Esta tecnología proporciona la capacidad de realizar una variedad de técnicas de
correlación para integrar diferentes fuentes, con el fin de convertir los datos en información.
La correlación es típicamente una función de la parte de gestión de la seguridad en una
solución SIEM completa.

 Alerta: el análisis automatizado de eventos correlacionados y la producción de alertas,

para notificar a los destinatarios de los problemas inmediatamente. Una alerta puede ser
un tablero de instrumentos, o enviarse a través de canales de terceros, tales como el
correo electrónico.

 Dashboards: Herramientas para tomar los datos del evento y convertirlo en tablas
informativas para ayudar a ver patrones o identificar una actividad que no está siguiendo
un patrón estándar.

 Cumplimiento: Las aplicaciones SIEM se pueden emplear para automatizar la

recopilación de datos y la elaboración de informes que se adapten a los procesos
existentes de seguridad, gobernabilidad y auditoría.

 Retención: SIEM emplea soluciones a largo plazo de almacenamiento de datos para

facilitar la correlación de datos con el tiempo, y para proporcionar la retención necesaria
para los requisitos de cumplimiento. Un largo plazo de retención de registros de datos es
crítica en la investigación forense, ya que es poco probable que el descubrimiento de una
violación de la red sea en el momento de la infracción se produzcan.

29
La correlación es la interrelación entre los eventos, y el sistema es capaz de generar una respuesta
ante un comportamiento anómalo (Romero, 2011). Identifica y califica los eventos de amenaza en
tiempo real usando simultáneamente motores de correlación con reglas y sin reglas.

El propósito de la correlación es analizar secuencias complejas de la información y producir

eventos simples, sintetizados y exactos. Para generar tales eventos calificados, se deben realizar
cinco operaciones:

 Identificación de duplicados, la primera operación, es identificar duplicados y colocar

una bandera específica para conservar la información y seguir sin la necesidad de
guardar múltiples mensajes idénticos.

 Correspondencia de patrones de secuencia, es la operación más común realizada por

un motor de correlación. Su propósito es identificar una secuencia de mensajes que
serían característicos de un intento de intrusión. Esto hace posible identificar procesos de
intrusión en curso, así como escenarios de intrusión complejos.

 Correspondencia de patrones de tiempo, está diseñada para incluir otra dimensión

importante en el análisis de intrusión: el tiempo. Esto principalmente es usado para la
administración de contextos (mirar debajo), así como procesos de intrusión lentos y
distribuidos.

 Exposición de sistema y análisis de criticidad, proporciona la información sobre la

vulnerabilidad del sistema objetivo a los intentos de intrusión detectados, además aporta
información de la criticidad de la intrusión, por ejemplo, su impacto total sobre el sistema
supervisado. Esto ayuda a manejar las prioridades en términos de reacción a múltiples
incidentes.

 Correspondencia de políticas de seguridad, es un filtro basado en comportamiento que

elimina eventos específicos si tienen correspondencia con criterios de política de seguridad
tales como el inicio de sesión de administrador, procesos de identificación y autorizaciones
o restricciones. Una visión global de las operaciones de correlación

Las operaciones de correlación avanzadas son ejecutadas para definir la criticidad de un intento de
intrusión y evaluar si tal intento de intrusión es permitido de acuerdo con la política de seguridad.

2.11.3.2 Monitorización y gestión de logs

La gestión manual de millones de logs generados a diario por múltiples dispositivos, impone un
gran reto para el personal de seguridad. Ante esta problemática el SOC se apoya en el uso de

30
sistemas SIEM (Security Information and Event Management) que permiten correlacionar eventos
de seguridad de múltiples fuentes con la intención de detectar situaciones anómalas. Por otra
parte, estos sistemas también permiten almacenar logs para posteriormente poder realizar análisis
y búsquedas complejas sobre los eventos ya ocurridos.

Las redes corporativas generan volúmenes inmensos de datos en forma de logs de mensaje.
Existen diversas formas de logs: registro de auditoría y logs de eventos. La principal función de un
administrador de logs es recolectar los datos, agregarlos, analizarlos y retenerlos a largo plazo, así
como crear informes e investigarlos.

Existen diferentes discusiones acerca de la semejanza que existe entre un administrador de logs y
un SIEM. Es normal definir que los administradores de logs únicamente reciben logs, mientras que
los SIEM son herramientas más sofisticadas que pueden acceder a sistemas, buscar información,
datos y configuraciones de una forma más profunda. En muchos casos, el administrador de logs
hace parte de una solución completa de SIEM (Security Information and Event Management).

Los motivos que llevan a la utilización de un administrador de logs son muchos, desde
preocupaciones con la seguridad de los sistemas y la red, hasta reglamentos y mejores prácticas.

Se consideran 5 niveles para la implementación de un sistema de administración de logs:

 Nivel 1: Identificación de patrones de ataque en el perímetro de seguridad

 Nivel 2: Acceso y uso interno y externo de datos confidenciales
 Nivel 3: Desempeño y disponibilidad de los sistemas de la empresa
 Nivel 4: Integración de datos de negocio para una mejor propuesta de valor
 Nivel 5: Consolidación de la gestión y supervisión en un único punto

2.11.3.3 Monitorización y gestión de cortafuegos

Firewall

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce una política
de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que
no lo es (Hernández, 2000).

Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

- Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
- Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.

31
El firewall sólo sirve de defensa perimetral de las redes, no defienden de ataques o errores
provenientes del interior, como tampoco puede ofrecer protección una vez que el intruso lo
traspasa.

Restricciones en el Firewall

La parte más importante de las tareas que realizan los Firewalls, es la de permitir o denegar
determinados servicios, se hacen en función de los distintos usuarios y su ubicación:

Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie
de redes y direcciones a los que denomina Trusted (validados). Estos usuarios, cuando provengan
del interior, van a poder acceder a determinados servicios externos que se han definido.

Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la hora
de vigilarse. Suele tratarse de usuarios externos que por algún motivo deben acceder para
consultar servicios de la red interna.

El servicio de Gestión de Firewalls permite analizar de manera remota u on-site los sistemas de
defensa perimetrales de los clientes. Esta actividad permite realizar correcciones sobre las
medidas de defensa en tiempo y forma.

Gestión de Eventos

Mediante el análisis de los eventos realizamos la correlación de los eventos generados por las
diferentes fuentes.

Dentro de los servicios provistos en un centro de operaciones de seguridad, se desarrollan las

siguientes actividades:

- Captura y análisis de los eventos de los firewalls del cliente.

- Centralización y consolidación de los eventos de los diferentes tipos de dispositivos que se
encuentran en la frontera de la compañía.
- Generación de informes sobre alertas y amenazas detectadas.
- Generación de informes con propuestas de mejoras a la configuración.

Gestión de Dispositivos

Una vez implementados los dispositivos de seguridad se tiene definidos los siguientes procesos
para su seguimiento y control:

- Gestión de reglas en las políticas de seguridad.

32
 - Actualización de los patrones y versiones de Firmware de los dispositivos, manteniendo
homogénea la plataforma hacia las últimas versiones disponible, estables, verificadas.

2.11.3.4 Operación y Administración de la Infraestructura

Se asume que todo tipo de infraestructura de TI, es susceptible a Incidentes de Seguridad y que
estos incidentes tienen un impacto potencial que podría clasificarse como bajo, moderado o alto.
Para detectar oportunamente estos incidentes y en su caso mitigar su impacto se colocan
Controles de Seguridad.

2.11.3.5 Identificación y gestión de eventos

Antes de la instalación de sensores y del diseño de cualquier regla de correlación o de análisis,

es necesario evaluar el nivel de seguridad total de la infraestructura de TI que será supervisada.
Esto hará posible determinar si una ruta de intrusión puede efectivamente conducir a una
intrusión sobre el sistema supervisado y la gravedad asociada a ese intento de intrusión. Otro
punto que debe ser definido es la política de seguridad, sobre todo en términos de derechos de
acceso, operaciones permitidas, etc.

2.11.3.6 Incidentes de seguridad

Por incidente de seguridad entendemos cualquier evento que pueda provocar una interrupción o
degradación de los servicios ofrecidos por el sistema, o bien afectar a la confidencialidad,
disponibilidad o integridad de la información (Iglesias, 2014).

Un incidente de seguridad puede ser causado por un acto intencionado realizado por un usuario
interno o un atacante externo para utilizar, manipular, destruir o tener acceso a información y/o
recursos de forma no autorizada. Aunque un incidente también podría ser la consecuencia de un
error o transgresión (accidental o deliberada) de las políticas y procedimientos de seguridad, o de
un desastre natural, o del entorno.

Los diferentes ataques que sufren los sistemas conectados a Internet son conocidos como
incidentes de seguridad informática. Éstos amenazan el buen funcionamiento de cualquier
organización y violan implícita o explícitamente las políticas de seguridad. Al aceptar Internet como
medio de interconexión global, gran cantidad de transacciones de negocios se realizan de esta
forma, por lo que se requieren mecanismos de respuestas rápidas a incidentes de seguridad para
evitar que la organización se exponga a pérdidas irreversibles. Se le denomina un incidente de
seguridad informática a cualquier evento que sea considerado una amenaza para la seguridad de
un sistema.

Es posible clasificar los incidentes de seguridad en dos tipos:

33
  Incidentes automáticos
 Incidentes manuales

Se denominan incidentes automáticos a los incidentes producidos por programas de cómputo tales
como virus, gusanos y troyanos. Los incidentes manuales son aquellos incidentes en los que de
manera intencional se ataca un sistema utilizando, por ejemplo, escaneo de vulnerabilidades,
inyección SQL o ingeniería social, aunque bajo ciertas circunstancias, también se pueden realizar
de forma automática (Villalobos, 2012).

Ejemplos de Incidentes de Seguridad:

 Un acceso no autorizado.
 El robo de contraseñas.
 Prácticas de Ingeniería Social.
 La utilización de fallas en los procesos de autenticación para obtener accesos indebidos.
 El robo de información.
 El borrado de información de terceros.
 La alteración de la información de terceros.
 El abuso y/o mal uso de los servicios informáticos internos o externos de una organización.
 La introducción de código malicioso en la infraestructura tecnológica de una entidad (virus,
troyanos, gusanos, malware en general).
 La denegación del servicio o eventos que ocasionen pérdidas, tiempos de respuesta no
aceptables o no cumplimiento de Acuerdos de Niveles de Servicio existentes de
determinado servicio.
 Situaciones externas que comprometan la seguridad de sistemas, como quiebra de
compañías de software, condiciones de salud de los administradores de sistemas, entre
otros

La gestión de los incidentes de seguridad es un aspecto muy importante para lograr el

mejoramiento continuo de la seguridad de la información de cualquier compañía, el principal
inconveniente es que muchas organizaciones no lo utilizan adecuadamente.

A pesar que la norma ISO 27001, hace mención de este tema como uno de los dominios
fundamentales, se le presta más importancia a temas de índole tecnológico dejando de lado los
temas de gestión. En la búsqueda del mejor estándar para gestionar la seguridad de la información
en una compañía, es vital tener presente que la revisión y la mejora continua del sistema son muy
importantes para garantizar la disponibilidad, integridad y confidencialidad de la información.

34
Cuando se habla de la gestión de incidentes, la norma hace referencia a recomendaciones
relacionadas con la notificación de eventos y puntos débiles de seguridad de la información y los
procedimientos y responsabilidades que se deberían asignar para la gestión de incidentes y
mejoras de seguridad de la información.

El objetivo que se persigue con la comunicación de los eventos que se presenten relacionados con
la seguridad de la información, es el de garantizar que las causas, los tratamientos y la solución de
dichos eventos sirvan para la implementación de acciones correctivas y preventivas oportunas en
casos similares que pudieran presentarse en un futuro. Para lograrlo se deben implementar los
canales apropiados que garanticen la agilidad en la comunicación de los eventos de seguridad que
pudieran presentarse y permitir que los usuarios reporten las debilidades encontradas o que crean
que pueden utilizarse para poner en riesgo la seguridad de la información.

Estos sistemas pueden apoyarse en los desarrollos que se tengan alrededor de las mesas de
ayuda y las estrategias de gestión de solicitudes para atender inconvenientes de tipo tecnológico
en la compañía. Algunas recomendaciones cómo las de la Agencia Europea de Redes y Seguridad
Informática (ENISA, por sus siglas en inglés) proporcionan orientaciones prácticas para la gestión
de incidentes.

Además de tener una herramienta para la gestión de incidentes es necesario establecer las
responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, efectiva y
ordenada a los incidentes en la seguridad de información. Estos procesos deben contribuir al logro
de la mejora continua en la evaluación y monitoreo de los incidentes en la seguridad de
información. Quizá uno de los aspectos más complejos en la gestión de incidentes, pero que puede
aportar mayor información para el negocio, es cuantificar el impacto los incidentes de seguridad,
para lo cual es recomendable tener un modelo que en función del volumen, los costos asociados y
el tipo de incidente permita aproximar a valores en dinero las consecuencias de su ocurrencia.

Por último, es vital que toda organización tenga definido claramente los pasos a seguir después
que se presente un evento que afecte la seguridad de la información, ya que al momento de
entablar una acción legal, sea de carácter civil o penal contra un individuo la evidencia debe ser
recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la
jurisdicción relevante, esto es lo que es conoce cómo Informática Forense. CAINE (Computer
Aided Investigative Environment) es una distribución de Linux creada cómo proyecto con
herramientas para tratar evidencia digital de tipo forense, la cual provee una serie de módulos y
herramientas a través de una interfaz gráfica.

35
2.11.4 Plan de respuesta a incidentes de seguridad

Es fundamental identificar las necesidades de seguridad de una organización para establecer las
medidas que permitirán a dicha organización evitar una situación catastrófica, como una intrusión,
una falla en los equipos o incluso un daño por filtración de agua. No obstante, es imposible evitar
por completo todo tipo de riesgos, por lo que todas las empresas deben estar preparadas para
experimentar algún día una situación catastrófica.

En estas circunstancias, resulta fundamental una reacción rápida, ya que una máquina afectada
hace peligrar el sistema de información de la compañía en su totalidad. Además, cuando el
compromiso provoca el mal funcionamiento del servicio, una interrupción prolongada puede
aparejar pérdidas económicas. Por último, en los casos en los que se ha alterado un sitio web
(modificación de páginas) la reputación de la compañía está en juego. La definición e implantación
de un Plan de respuesta a incidentes debería tener en cuenta una serie de actividades y tareas,
entre las cuales podríamos destacar todas las que se presentan en la siguiente relación:

 Constitución de plan de respuesta a incidentes.

 Definición de una guía de procedimientos.
 Detección de un incidente de seguridad.
 Contención, erradicación y recuperación.
 Identificación del atacante y posibles actuaciones legales.
 Comunicación con terceros y relaciones públicas.

2.11.5 Estructura y Características

La estructura de un SOC se estructura de acuerdo a tres niveles de actuación, cada uno de los
cuales debe estar representado por un equipo especializado.

Nivel 1:

 Incidentes documentadas que no requieren un técnico de soporte especializado.

 Atención directa por parte del equipo.
 Plazos de respuesta inmediatos.
 Monitorización continúa.
 Prácticas de constante monitorización en modalidad 24x7.

Nivel 2:

 Resolución de incidencias no documentadas en nivel 1

 Atención bajo demanda a través del equipo de nivel 1

36
  Plazos de respuesta conforme a niveles de servicio
 Técnicos especializados en sus tecnologías objeto de soporte
 Posibilidad de desplazamiento fuera del SOC

Nivel 3:

 Soporte Premium proporcionado por los fabricantes de seguridad

 Proporcionar soporte a casos en el nivel 2 que requieren asistencia adicional de expertos
en el producto

Las características que tiene un SOC son:

 Detección en tiempo real de amenazas y actividades anómalas.

 Correlación de eventos.
 Auditoría de políticas de red y de servidores.
 Gestión de logs.
 Análisis de seguridad orientado al riesgo.
 Arquitectura escalable y de alta disponibilidad.
 Prevención y detección de intrusiones y vulnerabilidades.
 Gestión de infraestructuras de seguridad.
 Protección de credenciales y robo de Información Confidencial.
 Protección de marca contra posibles abusos y daños en la reputación.
 Protección de riesgo corporativo.

Existen dos tipos de SOC los cuales son propio o externo donde cada uno de estos tendrá sus
propias cualidades.

SOC propio

 La inversión puede ser elevada ya que se requiere de profesionales cualificados y

tecnología.
 Dificultad y tiempo necesario para adquirir la curva de aprendizaje del manejo correcto del
SOC.
 Inversión en formación continua del personal que administra el SOC.
 Amplio conocimiento de la empresa.
 Estimar el costo del daño potencial que se producirá ante un incidente.

37
SOC externo

 Un equipo altamente cualificado a disposición del cliente.

 Curva de aprendizaje nula, puesta en marcha inmediatamente.
 Conocimiento cruzado y experiencia acumulada por la prestación de múltiples clientes.
 Inversión baja pero constante para manutención del SOC.

2.11.5.1 Etapa de reacción

Generalmente, la etapa de reacción es la que menos se toma en cuenta en los proyectos de

seguridad informática. Esta etapa consiste en prever eventos y planificar las medidas que deben
tomarse si surge un problema (CCM, 2016).

En el caso de una intrusión, por ejemplo, el administrador de sistemas puede reaccionar de una de
las siguientes maneras:

 Obtener la dirección del hacker y contraatacar

 Cortar el suministro eléctrico de la máquina
 Desconectar la máquina de la red
 Reinstalar el sistema

El problema es que cada una de estas acciones puede resultar más perjudicial (particularmente en
términos de costos) que la intrusión en sí misma. En efecto, si el funcionamiento de la máquina
comprometida es fundamental para el funcionamiento del sistema de información o si se trata de
un sitio web de ventas online, una interrupción prolongada del servicio podría ser catastrófica.

A su vez, en este tipo de situaciones es importante establecer pruebas en caso de que se realice
una investigación judicial. De lo contrario, si la máquina comprometida se ha usado para realizar
otro ataque, la compañía corre el riesgo de ser considerada responsable.

La implementación de un plan de recuperación de desastres permite a la organización evitar que el

desastre empeore y tener la certeza de que todas las medidas tomadas para establecer pruebas
se aplicarán correctamente.

Asimismo, un plan contra desastres desarrollado correctamente define las responsabilidades de

cada individuo y evita que se emitan órdenes y contraórdenes, que impliquen una pérdida de
tiempo.

38
2.11.5.2 Restauración

En el plan de recuperación, se debe especificar en detalle cómo hacer que el sistema

comprometido vuelva a funcionar correctamente. Es necesario tomar en cuenta los siguientes
elementos:

 Anotar la fecha de intrusión: conocer la fecha aproximada en la que se ha comprometido la

máquina permite a la organización evaluar el nivel de riesgo de intrusión para el resto de la red
y el grado de compromiso de la máquina.

 Restringir el compromiso: tomar las medidas necesarias para que el compromiso no se

expanda.

 Estrategia de seguridad: si la compañía tiene una estrategia de seguridad, se recomienda

comparar los cambios que se realizaron a los datos del sistema comprometido con los datos
supuestamente fiables. Si los datos están infectados con un virus o un troyano, la restauración
de éstos puede expandir aún más el daño.

 Establecer pruebas: por razones legales, es necesario guardar los archivos de registro diario
del sistema corrompido para poder restituirlos en caso de una investigación judicial.

 Cómo configurar un sitio de reemplazo: en lugar de reinstalar el sistema comprometido, es

preferible desarrollar y activar a tiempo un sitio de reemplazo que permita que el servicio
continúe activo cuando sea necesario.

2.11.5.3 Equipo de Respuesta a Incidentes de Seguridad

El equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT, Computer Security Incident

Response Team) está constituido por las personas que cuentan con la experiencia y la formación
necesaria para poder actuar ante las incidencias y desastres que pudieran afectar a la seguridad
informática de una organización (Zakon, 1997).

Existen diversos tipos de CSIRTs. Un equipo CSIRT interno forma parte de una organización
mayor, como un gobierno, una empresa, una universidad o una red de investigación. Los CSIRTs
(un tipo de CSIRT interno) por ejemplo, gestionan todas las incidencias de un país. Normalmente
los CSIRT evalúan las situaciones de forma periódica mediante tareas proactivas como el DR, y a
medida que es necesario ante brechas de seguridad existentes. Un CSIRT ofrece servicios de
pago bajo demanda o a nivel tradicional.

El CERT (Equipo de Disponibilidad de Emergencia Informática) incluye las siguientes funciones

entre los miembros del CSIRT:

39
  Gestionar o liderar el equipo.
 Ayudar a los gestores, supervisores y líderes de grupo.
 Personal de Hotline, help desk, o triage.
 Gestión de incidentes.
 Tratamientos de vulnerabilidad.
 Personal de análisis de artefactos.
 Especialistas de plataforma.
 Formadores.
 Control de tecnología.

Un incidente informático puede ser un hecho real o una sospecha que puede provocar una
vulnerabilidad o un incidente. Los incidentes típicos incluyen los virus y gusanos que afectan a una
red, los ataques DoS (denegación de servicio), las alteraciones no autorizadas de software o
hardware y la identificación de ladrones en redes individuales o institucionales. El hacking en
general debe ser considerado como incidente salvo que los atacantes hayan sido contratados para
probar un sistema o buscar vulnerabilidades. (En este caso los hackers forman parte del CSIRT en
un trabajo preventivo). Los CSIRT ofrecen servicios proactivos como formación de seguridad, más
que responder ante incidencias.

El tiempo de respuesta es algo vital a la hora de crear, mantener y desplegar un CSIRT efectivo.
Una respuesta rápida y efectiva puede minimizar el daño financiero, de hardware y software
causado por un incidente concreto. Otra cuestión importante es la capacidad del CSIRT para
identificar a los causantes del incidente, de manera que los atacantes puedan ser perseguidos y
castigados. La tercera cuestión se refiere al endurecimiento del software y la estructura para
reducir el número de ataques a lo largo del tiempo.

2.11.6 Impactos

De acuerdo al impacto potencial para el negocio con respecto a los diversos incidentes que se
deben resolver, asignar estratégicamente los recursos para cada equipo de seguridad y bienes que
intervengan se vuelve un gran reto para la organización. Es por eso que se debe determinar el
establecimiento de prioridades y el sistema de gestión de incidentes debe saber el valor de los
sistemas de información que pueden ser potencialmente afectados por incidentes de seguridad.

Los daños causados por los ataques, independientemente de la fuente, se dividen en dos
categorías principales: la filtración de datos y la pérdida de servicio.

La filtración de datos siempre da lugar a noticias sensacionalistas, pues la extracción de

información corporativa confidencial va a parar a manos de criminales o competidores. Los daños

40
causados por las filtraciones de datos son visibles y muy graves. Pueden ser daños de carácter
financiero (pérdida de ingresos, costes legales y normativos, costes derivados de procesos
judiciales y multas), costes 'blandos' (pérdida de la confianza y fidelidad de los clientes) y pérdida
de competitividad (como resultado de la pérdida de propiedad intelectual).

Después de sufrir filtraciones de información, las empresas se gastan cantidades enormes de

tiempo y dinero en tareas de detección y corrección técnica, en la identificación y el bloqueo de
ataques, así como en la valoración de los daños causados y en la aplicación de medidas
correctivas. Además, los casos de filtración de datos generan una publicidad negativa que dura
mucho más que el ataque en sí.

Los ataques por denegación de servicio resultan en la degradación o en la total inoperatividad de

los sistemas informáticos, tanto de estaciones de trabajo como de servidores web, de aplicaciones
o de bases de datos. Pero los daños colaterales en el ámbito financiero de estos daños también
pueden ser catastróficos. El comercio se ralentiza o se detiene por completo, lo cual repercute
directamente en los ingresos. Los procesos cotidianos se interrumpen o los empleados no pueden
desempeñar sus tareas porque la red está fuera de servicio.

Al igual que ocurre con las filtraciones de datos, se produce un coste real relacionado con el
departamento de TI y el personal de soporte, que tienen que diagnosticar los problemas, ayudar a
los empleados, reiniciar los servicios y restablecer la imagen inicial de los PC.

Una vez que se tiene el análisis de riesgos, este se convierte en el punto de partida del Análisis de
Impacto de Negocios y/o Business Impact Analysis (BIA). Este BIA se constituye así en el pilar
sobre el que se va construir el Plan de Recuperación de Negocios.

El BIA será la guía que determine que necesita ser recuperado y el tiempo que tarde dicha
recuperación, actividades que en el Plan de Continuidad de Negocios se convierte quizás en las
más difíciles y críticas por realizar adecuadamente. El apoyo del BIA es invaluable para identificar
que está en riesgo una vez se presente un riesgo permitiendo así justificar los gastos que se
requieran en protección y capacidad de recuperación. Usualmente se habla de “critico” o “esencial”
cuando se listan las actividades desarrolladas en una organización.

Al hacer un BIA quizás resulte más útil hablar de “tiempos inactivos”, puesto que ninguna
organización contrata un empleado para que realice labores “no esenciales”, cada labor tiene un
propósito, pero hay unas labores que son más exigentes en su tiempo de ejecución que otras
cuando hay límites de recursos o tiempos apretados de entrega para su realización.

Por ejemplo: Un banco que haya sufrido un percance por un pequeño incendio en la bodega puede
detener su campaña publicitaria pero no podrá detener los procesos de retiros y depósitos de sus

41
cuando se presenta una emergencia o desastre puede ser aplazada no por su criticidad sino
porque su “tiempo de inactividad” puede ser mucho mayor y no afectar la operación del banco. La
organización debe revisar cada una de las tareas que se realizan con el mismo patrón de
referencia.

¿Por cuánto tiempo puede dejar de realizarse esta actividad sin que ello cause pérdidas
financieras, quejas de los clientes, y/o penalizaciones legales o contractuales?

Cuando se trata el tema de continuidad, todo gira alrededor del impacto. Es acerca de sostener la
operación básica de la Organización mientras que lo demás se puede dejar en espera. Es
centrarse en las operaciones que le permiten sobrevivir a la Organización. Todos los procesos de
la Organización, así como los recursos tecnológicos en los que se soportan tales procesos deben
ser clasificados de acuerdo a su prioridad de recuperación. Los tiempos de recuperación de los
procesos para una organización están medidos por las consecuencias de no poder ejecutarlos.

2.11.7 Plan de contingencia

Un Plan de Contingencia de Seguridad Informática consiste en los pasos que se deben seguir,
luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema
aunque, y por lo general, constan de reemplazos de dichos sistemas (Borghello, 2009).

Se entiende por Recuperación, "tanto la capacidad de seguir trabajando en un plazo mínimo

después de que se haya producido el problema, como la posibilidad de volver a la situación
anterior al mismo, habiendo reemplazado o recuperado el máximo posible de los recursos e
información" (Poyato, 2000).

Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre. De hecho los expertos en
seguridad afirman "sutilmente" que hay que definir un plan de recuperación de desastres "para
cuando falle el sistema", no "por si falla el sistema".

Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperación de
desastres, el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente
y con el menor costo y pérdidas posibles.

Si bien es cierto que se pueden presentar diferentes niveles de daños, también se hace necesario
presuponer que el daño ha sido total, con la finalidad de tener un Plan de Contingencias lo más
completo y global posible. El plan de contingencia debe considerar todos los componentes del
sistema: Datos críticos, equipo lógico de base, aplicaciones, equipos físicos y de comunicaciones,
documentación y personal. Además, debe contemplar también todos los recursos auxiliares, sin los
cuales el funcionamiento de los sistemas podría verse seriamente comprometido: suministro de

42
potencia; sistemas de climatización; instalaciones; etc. Finalmente, debe prever también la
carencia de personal cualificado (por ejemplo, por una huelga que impida el acceso del mismo)
para el correcto funcionamiento del sistema. Se debe destacar, que previo al comienzo del trabajo,
se debe obtener el pleno compromiso de los máximos responsables de la organización. Sin su
apoyo decidido y constante, el fracaso del plan está garantizado.

El plan de contingencias debe ser comprobado de forma periódica para detectar y eliminar
problemas. La manera más efectiva de comprobar si funciona correctamente, es programar
simulaciones de desastres. Los resultados obtenidos deben ser cuidadosamente revisados, y son
la clave para identificar posibles defectos en el plan de contingencia. Además el plan de
contingencia debe contemplar los planes de emergencia, backup, recuperación, comprobación
mediante simulaciones y mantenimiento del mismo. Un plan de contingencia adecuado debe
ayudar a las empresas a recobrar rápidamente el control y capacidades para procesar la
información y restablecer la marcha normal del negocio.

Etapas fundamentales de un Plan de Contingencia:

 Definición general del plan.

 Determinación de vulnerabilidades.
 Selección de los recursos alternativos.
 Preparación detallada del plan.
 Pruebas y mantenimiento.

a) Definición general del plan.

En esta etapa los altos responsables del organismo deben establecer: quiénes, y cómo, deben
elaborar el plan, implementarlo, probarlo y mantenerlo; qué acontecimientos debe contemplar y
dónde se debe desarrollar el plan. Los aspectos principales de esta etapa son:

b) Marco del plan

¿Debe limitarse a los equipos centrales?

¿Debe incluir los equipos departamentales, PC's y LAN's?

¿Qué procesos son, estratégicamente, más importantes?

c) Organización.

¿Quiénes deben componer el equipo de desarrollo del plan?

43
 ¿Quién será el responsable de este equipo?

¿Cómo se relacionarán con el resto de la institución?

¿Qué nivel de autonomía tendrá el equipo?

¿A quién reportará?

Apoyo institucional.

Un alto responsable (idealmente el máximo) de la institución remitirá una circular a todos los
departamentos involucrados, comunicándoles el proyecto y su importancia estratégica para el
organismo. Asimismo, debe solicitar su total colaboración e informarles de su responsabilidad
en la elaboración del mismo.

d) Presupuesto.

Debe prever los gastos asociados con:

 La adquisición del paquete informático, o contratación de la empresa de servicios, para

la elaboración del proyecto.
 Reuniones, viajes, formación del personal.
 Costos del personal que constituye el equipo de elaboración del plan.
 Almacenamiento externo y transporte de los soportes de respaldo de la información.
 Adquisición o contratación de equipos.
 Determinación de vulnerabilidades.

El propósito es obtener información de las consecuencias, de todo tipo, que tendría la

ocurrencia de un siniestro.

Identificación de aplicaciones críticas.

Se determinarán las aplicaciones críticas priorizándolas en orden de importancia. Se obtendrá

así un listado en el que las aplicaciones más vitales, que ocuparán los primeros lugares de la
lista, serán las que se deban recuperar primero, y siempre en el orden de aparición.

e) Identificación de recursos.

Se especificarán los recursos de los que dependen las aplicaciones críticas. Estos recursos
serán: equipo lógico de base, equipos físicos, de comunicaciones, etc.

f) Período máximo de recuperación.

44
 Cada departamento dependiente de aplicaciones críticas determinará el período máximo que
puede permanecer sin dichas aplicaciones tras un colapso de las mismas.

Como consecuencia, se obtendrá una nueva lista de aplicaciones según el período máximo de
recuperación. Este período podrá ser de minutos, horas, semanas, etc.

Las informaciones de los apartados Identificación de aplicaciones críticas y periodo máximo de

recuperación se obtendrán mediante formularios y entrevistas a realizar a los máximos
responsables de los departamentos de la organización. Una vez concluida esta etapa el equipo
de desarrollo del PC deberá obtener la conformidad de los departamentos implicados y de los
máximos responsables de la institución.

g) Selección de los recursos alternativos.

Con los datos anteriores es fácil analizar y determinar las alternativas más convenientes en
términos de costo-rendimiento. Estas alternativas pueden ser procesos manuales, acuerdos
mutuos, salas vacías ("cold-site") o salas operativas ("host-site").

h) Recuperación manual

Es sólo posible en un número muy escaso y decreciente con los años de aplicaciones.

i) Salas vacías

Sólo son viables si la institución puede resistir sin sus recursos de Tecnologías de la
Información durante un tiempo determinado. Es necesario que el fabricante de los equipos a
reponer se comprometa por escrito a dicha reposición dentro del período máximo de
recuperación.

j) Salas operativas.

Son necesarias si el período máximo de recuperación es de minutos u horas.

Una posibilidad es utilizar dos instalaciones diferentes y separadas, una trabajando

normalmente como centro de desarrollo y otra de producción. El centro de desarrollo debe
estar dimensionado con la suficiente holgura para alojar las aplicaciones críticas de producción
caso de ser necesario.

Otra posibilidad, la más usual, es la contratación del servicio de respaldo a una empresa
especializada.

45
k) Preparación detallada del plan.

Incluye la documentación de las acciones a tomar, los actores a involucrar, los recursos a
emplear, procedimientos a seguir, etc. en un formato adecuado para su uso en situaciones
críticas. Esta documentación debe estar disponible en varios lugares accesibles
inmediatamente.

l) Pruebas y mantenimiento.

Si se quiere garantizar que el plan de contingencia, que usualmente se realiza durante un

período de tiempo no muy extenso (pocos meses), sea operativo durante años, esta etapa es
absolutamente fundamental. De no cuidar esta fase, el plan se convertirá en un costoso
ejercicio académico de validez muy limitada en el tiempo. Un aspecto crucial es la formación
del personal para asegurar que el plan está vigente en cada momento y funciona
correctamente.

m) Pruebas.

Las pruebas no deben alterar el funcionamiento de los departamentos, por lo que se pueden
realizar pruebas parciales en estos departamentos aisladamente. Con mayor periodicidad se
pueden realizar pruebas totales, en horario nocturno o en un fin de semana.

n) Mantenimiento.

Comprende la actualización del plan según nuevas aplicaciones se implementen, otras dejen
de ser operativas, se sustituyan equipos, cambie el personal o su ubicación, varíe la
legislación, se transformen los objetivos estratégicos, etc. Las etapas citadas deben realizarse
consecutivamente en el orden expuesto y sólo se pasará de una a otra tras haber concluido
satisfactoriamente la previa. El Plan de Contingencias implica un análisis de los posibles
riesgos a los cuales pueden estar expuestos nuestros equipos de procesamiento y la
información contenida en los diversos medios de almacenamiento, por lo que previamente se
debe haber realizado un análisis de riesgo al sistema al cual se le va a realizar el plan de
contingencia.

o) Plan de contingencia de las áreas de servicio.

Comprende el establecimiento del equipo humano de recuperación, localización de las

instalaciones de emergencia, inventario de recursos de respaldo y su ubicación, lista del
personal involucrado y su localización en todo momento, lista de empresas a contactar, sitios
de almacenamiento de los soportes de respaldo de información, etc. Así mismo, se detallarán

46
p) Plan de contingencia de servicios.

Consta de la documentación de los procedimientos de recuperación de los servicios con

aplicaciones críticas. Incluye el equipo humano de recuperación, el inventario de
informaciones, localización de las instalaciones de emergencia, etc.

q) Plan de almacenamiento de información.

Mientras todos los CPD que se precian disponen de soportes de respaldo de la información
debidamente almacenados en instalaciones externas, no sucede lo mismo con los
departamentos informatizados autónomamente. Es vital que estos departamentos identifiquen,
dupliquen y almacenen externamente en lugares seguros las informaciones críticas. Se
recomienda el establecimiento de una estrategia, general para toda la institución, de
información de respaldo.

2.11.8 Estadísticas de seguridad en las organizaciones

Según datos difundidos por Eset, la experiencia hasta ahora demuestra que las empresas más
expuestas al robo de información son las que se dedican a las finanzas y negocios. En segundo
lugar aparecen los gobiernos, luego los sectores de educación y medicina como se muestra en la
Ilustración 8.

El reporte refleja las opiniones, percepciones y políticas de la seguridad de la información de

distintos profesionales de México.

Ilustración 8.Preocupaciones en la seguridad de la información

47
Los resultados están basados en las encuestas realizadas en diferentes países de Latinoamérica
en el marco de la asistencia a eventos de la industria por parte de los representantes de ESET. El
presente informe recopila los datos obtenidos a partir de más de 750 encuestas llevadas a cabo a
gerentes de empresas y profesionales del área TI y de la seguridad de la información durante la
realización del B3 Forum, que tuvo lugar en febrero de 2010 en México D.F.

Entre las temáticas analizadas y reflejadas en el Reporte México 2010, se destacan las siguientes:

Los niveles de preocupación según la amenaza a la seguridad de la empresa como se muestra en

la ilustración 9: Identificada por el 57.62 % de los entrevistados, la amenaza más relevante es la
pérdida de datos. Este resultado es un claro indicador del grado de madurez alcanzado por parte
de las empresas que comprendieron que los datos e información que poseen constituyen un valor
de suma importancia para la organización y coincide con los resultados obtenidos previamente en
los informes presentados por ESET para Argentina, Centroamérica y Latinoamérica.

En segundo lugar, la opción de vulnerabilidades de software y sistemas fue seleccionada por casi
el 40% de los encuestados, ratificando la relevancia de los problemas de seguridad en aplicaciones
dentro del marco general de la seguridad de la información. Sin embargo, ante la consulta respecto
a cuál es la política de la empresa en la instalación de parches de seguridad, un 11,6% manifestó
que no se implementan actualizaciones y un 46,6% indicó que se realizan sólo para el sistema
operativo o aplicaciones.

Completando las tres preocupaciones más importantes, el fraude informático fue seleccionado en
tercera ubicación en partes prácticamente iguales sea tanto externo (37.60%) como interno
(37.24%).

48
 Ilustración 9.Seguridad en la empresa.

La relevancia del malware: A diferencia de otras regiones donde también fue realizado el ESET
Security Report, México, es el primer país donde el malware no fue seleccionado entre los tres
temas de mayor preocupación entre los encuestados, lo cual resulta curioso teniendo en cuenta el
crecimiento en la cantidad de códigos maliciosos que están afectando en la actualidad a las redes
corporativas. Tan sólo un 21,32% indicó al malware como un tema de preocupación.

Esto puede deberse, por un lado, a que los profesionales no sean conscientes de los peligros que
puede representar una infección para una red empresarial o a que la cuestión no les resulta
preocupante ya que prácticamente todos manifestaron contar con soluciones antivirus en los
sistemas de la empresa (sólo 3 personas indicaron no utilizar software de seguridad contra
malware).

De cualquier manera, el resultado no deja de ser llamativo y es una señal de alerta sobre la
necesidad de que los usuarios sean más conscientes ante la amenaza que representa el malware
y reflexionen sobre la importancia de una mayor educación en la materia.

Asignación del presupuesto a seguridad informática: Más de la mitad de los encuestados indicaron
que del presupuesto de IT, menos del 5% es asignado a la seguridad de la información. Mientras
que sólo el 20% de los encuestados dijeron que este número ascendía a más del 10% del total.

49
La falta de recursos para la asignación de controles de seguridad es un claro impedimento y una
expresión de la falta de procesos de decisión respecto a la medición de costos en lo referido a
seguridad y a los cálculos y análisis respecto a las inversiones en dicho campo como se muestra
en la ilustración 10.

La importancia en la concientización del personal: Al igual que en reportes previos, ante la consulta
sobre la importancia de la concientización en seguridad, los encuestados dan como respuesta
predilecta que la misma es esencial (con el 54,67% de las respuestas), siendo muy alta la segunda
respuesta seleccionada (30,58%).

A la vez, casi la mitad de los profesionales indicaron que realizan periódicamente actividades de
concientización en la empresa.

Ilustración 10.Perdida de datos experimentado.

2.11.9 Infraestructura tecnológica para la creación de un SOC

Con frecuencia las organizaciones despliegan tecnología como medio de atender temas
imperativos de seguridad. Los proyectos que son nombrados como soluciones técnicas están
frecuentemente medidos por el éxito de la implementación más que por el valor que la tecnología
provee. Por ejemplo, en las preguntas alrededor de la protección de datos, los encuestados de la
GISS hicieron referencia a la implementación de un sistema DLP y prestan poca atención en los
otros componentes de un programa de Prevención de Pérdida de Datos como el desarrollo de una

50
política o un estándar, gobierno, inventario y seguimiento de activos de información, clasificación y
ciclo de vida de la información, y soportar los procesos y los procedimientos para el manejo de
alertas.

Para obtener el mayor valor de una solución tecnológica, las organizaciones deben suplementar
sus esfuerzos de despliegue tecnológico con iniciativas estratégicas que traigan a la mesa la
gobernanza apropiada, procesos, entrenamiento y concientización. Retos similares existen, cuando
la implementación de un SOC se iguala al despliegue de un sistema SIEM. La implementación de
un SOC bien diseñado es el paso que las compañías deben dar para obtener el mayor beneficio de
una implementación SIEM.

Un SOC debe estar equipado con una suite de productos tecnológicos que provean la visibilidad
adecuada hacia el entorno que coadyuve a la postura de seguridad de la organización. Al
seleccionar la tecnología correcta, el SOC necesita asignar un equipo de seguridad calificado que
pueda identificar exactamente cuáles son las herramientas adecuadas para el trabajo. Este equipo
será responsable de evaluar los RFP de distintos proveedores, considerar los requerimientos de
integración del sistema, evaluar la interoperabilidad con la infraestructura existente y realizar
demostraciones y pruebas de las soluciones.

Algunas de las herramientas requeridas pueden incluir la tecnología de detección y prevención de

intrusiones; soluciones SIEM; herramientas de administración de amenazas y vulnerabilidades;
tecnologías de filtrado; herramientas de prevención de pérdida de datos; soluciones de inspección
de tráfico/paquetes; y plataformas de análisis de datos y tecnologías de reporteo. Además,
dependiendo del alcance de las responsabilidades, el SOC podría tener acceso a otros sistemas
de negocio como herramientas forenses para soportar los esfuerzos de investigación de la
respuesta a incidentes.

Aunque las herramientas técnicas son importantes, el desplegar tecnología simplemente por
hacerlo es costoso e inefectivo. Los planes de tecnología del SOC deben primer considerar lo que
está disponible en casa para satisfacer sus necesidades: entonces, se podrá mejorar y ampliar las
capacidades actuales a través del despliegue de herramientas y tecnologías suplementarias.

El abordar las inversiones en aspectos técnicos del SOC como parte de la perspectiva más amplia
de la estrategia de TI así como de los procesos de administración de portafolio es una mejor
opción que perseguir adquisiciones de tecnología de seguridad de manera aislada.

Implementar la combinación correcta de tecnologías que funcionen bien en conjunto como parte de
un programa de seguridad basada en inteligencia puede ser todo un desafío. Sin embargo, las
tecnologías disponibles actualmente para los SOC pueden ser el elemento más maduro en el trío

51
compuesto por el personal, los procesos y la tecnología. A pesar de que las nuevas herramientas
como las plataformas de análisis de seguridad son muy prometedoras, solo son buenas en la
medida en que el personal que las usa también sea bueno y en la medida en que las mejores
prácticas operacionales implementadas para ayudar a la organización funcionen en conjunto de
manera eficaz y eficiente.

Luego de proporcionar consultoría a cientos de organizaciones de clientes, RSA considera que el

personal y los procesos suelen ser más difíciles de alinear con un método de seguridad basada en
inteligencia que la tecnología. Esto se debe a que desarrollar, probar y establecer nuevos
procedimientos para administrar y responder a los incidentes de seguridad requiere de
conocimientos especializados y tiempo. También se necesita tiempo para que el personal de
operaciones de seguridad llegue a conocer los procesos de negocios críticos de su organización lo
suficientemente bien para defenderlos de los ataques.

La manera de optimizar el personal, los procesos y la tecnología será diferente para cada SOC, ya
que depende de las condiciones y necesidades únicas de sus organizaciones.

Sin embargo, es posible aplicar pautas comunes a la mayoría de los SOC que intentan
implementar un método de seguridad basada en inteligencia.

2.11.9.1 Firewalls

Un firewall es software o hardware que comprueba la información procedente de Internet o de una

red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración
del firewall. Los firewalls de red son dispositivos o sistemas que controlan el flujo de tráfico entre
redes que emplean diferentes posturas de seguridad (Microsoft, 2016).

Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos)
obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a
impedir que el equipo envíe software malintencionado a otros equipos.

En la Ilustración 11 se muestra el funcionamiento de un firewall.

52
 Ilustración 11.Funcionamiento firewall.

Un firewall crea una barrera entre Internet y el equipo, igual que la barrera física que constituiría
una pared de ladrillos.

El firewall está basado en las capas del Modelo de referencia OSI (Open Systems Interconnect, por
sus siglas en ingles), los firewalls modernos operan en las capas mostradas en la Ilustración 12.

Ilustración 12.Capas del Modelo OSI donde operan los firewalls modernos.

2.11.9.2 Sistema de detección de intrusos (IDS)

La detección de intrusos es el proceso de monitorear los eventos ocurridos en un sistema de

cómputo o red y analizarlos en busca de señales de posibles incidentes, los cuales son violaciones
o inminentes amenazas de violación de políticas de seguridad de cómputo, políticas de uso
aceptable o prácticas de seguridad estándar (González, 2013) .

53
Un Sistema de Detección de Intrusos o IDS (Intrusion Detection System, por sus siglas en inglés)
es un software que automatiza el proceso de detección de intrusos (González, 2003). Después de
detectar actividad maliciosa, el IDS envía mensajes de alerta a una consola central de monitoreo
de modo que la acción pueda ser tomada por el administrador de la red. Las alertas son enviadas
en forma de mensajes de syslog o alertas vía correo electrónico. Los IDS están disponibles como
dispositivos basados en hardware así como en agentes o sensores basados en software. El
desempeño de los IDS es evaluado en términos de la precisión para generar alertas.

Un IDS provee las siguientes ventajas para un administrador de la red:

 Exponer las vulnerabilidades de seguridad presentes en la red.

 Proveer monitoreo y alertas 24/7, liberando de esta forma tiempo y recursos para el
administrador de la red.
 Proveer registros para análisis forense de ataques e intrusiones.

2.11.9.3 Sistema de prevención de intrusos (IPS)

Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el
control de acceso en una red informática para proteger a los sistemas computacionales de ataques
y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión
de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso,
más cercano a las tecnologías de firewall (González, 2003).

Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver
ambigüedades en la monitorización pasiva de redes de computadoras, al situar sistemas de
detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías
de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos
del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron
comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen
Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron
extensiones literales de los sistemas IDS, continúan en relación.

También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir
actividades potencialmente maliciosas.

2.11.9.4 Servidores

Un servidor es una aplicación en ejecución (software) capaz de atender las peticiones de un cliente
y devolverle una respuesta en concordancia. Los servidores se pueden ejecutar en cualquier tipo
de computadora, incluso en computadoras dedicadas a las cuales se les conoce individualmente
como "el servidor". En la mayoría de los casos una misma computadora puede proveer múltiples

54
servicios y tener varios servidores en funcionamiento. La ventaja de montar un servidor en
computadoras dedicadas es la seguridad. Por esta razón la mayoría de los servidores son
procesos daemon diseñados de forma que puedan funcionar en computadoras de propósito
específico (Wiley, 2011).

Los servidores operan a través de una arquitectura cliente-servidor. Los servidores son programas
de computadora en ejecución que atienden las peticiones de otros programas, los clientes. Por
tanto, el servidor realiza otras tareas para beneficio de los clientes. Ofrece a los clientes la
posibilidad de compartir datos, información y recursos de hardware y software. Los clientes
usualmente se conectan al servidor a través de la red pero también pueden acceder a él a través
de la computadora donde está funcionando. En el contexto de redes Internet Protocol (IP), un
servidor es un programa que opera como oyente de un socket.

Comúnmente los servidores proveen servicios esenciales dentro de una red, ya sea para usuarios
privados dentro de una organización o compañía, o para usuarios públicos a través de Internet. Los
tipos de servidores más comunes son servidor de base de datos, servidor de archivos, servidor de
correo, servidor de impresión, servidor web, servidor de juego, y servidor de aplicaciones.

Un gran número de sistemas usa el modelo de red cliente-servidor, entre ellos los sitios web y los
servicios de correo. Un modelo alternativo, el modelo red peer-to-peer permite a todas las
computadoras conectadas actuar como clientes o servidores acorde a las necesidades.

Esta lista categoriza los diversos tipos de servidores del mercado actual:

 Plataformas de Servidor (Server Platforms): Un término usado a menudo como sinónimo

de sistema operativo, la plataforma es el hardware o software subyacentes para un
sistema, es decir, el motor que dirige el servidor.

 Servidores de Aplicaciones (Application Servers): Designados a veces como un tipo de

middleware (software que conecta dos aplicaciones), los servidores de aplicaciones
ocupan una gran parte del territorio entre los servidores de bases de datos y el usuario, y
a menudo los conectan.

 Servidores de Audio/Video (Audio/Video Servers): Los servidores de Audio/Video añaden

capacidades multimedia a los sitios web permitiéndoles mostrar contenido multimedia en
forma de flujo continuo (streaming) desde el servidor.

55
 Servidores de Chat (Chat Servers): Los servidores de chat permiten intercambiar
información a una gran cantidad de usuarios ofreciendo la posibilidad de llevar a cabo
discusiones en tiempo real.

 Servidores de Fax (Fax Servers): Un servidor de fax es una solución ideal para
organizaciones que tratan de reducir el uso del teléfono pero necesitan enviar
documentos por fax.

 Servidores FTP (FTP Servers): Uno de los servicios más antiguos de Internet, File
Transfer Protocol permite mover uno o más archivos con seguridad entre distintos
ordenadores proporcionando seguridad y organización de los archivos así como control
de la transferencia.

 Servidores Groupware (Groupware Servers): Un servidor groupware es un software

diseñado para permitir colaborar a los usuarios, sin importar la localización, vía Internet o
vía Intranet corporativo y trabajar juntos en una atmósfera virtual.

 Servidores IRC (IRC Servers): Otra opción para usuarios que buscan la discusión en
tiempo real, Internet Relay Chat consiste en varias redes de servidores separadas que
permiten que los usuarios conecten el uno al otro vía una red IRC.

 Servidores de Listas (List Servers): Los servidores de listas ofrecen una manera mejor de
manejar listas de correo electrónico, bien sean discusiones interactivas abiertas al público
o listas unidireccionales de anuncios, boletines de noticias o publicidad.
 Servidores de Correo (Mail Servers): Casi tan ubicuos y cruciales como los servidores
web, los servidores de correo mueven y almacenan el correo electrónico a través de las
redes corporativas (vía LANs y WANs) y a través de Internet.

 Servidores de Noticias (News Servers): Los servidores de noticias actúan como fuente de
distribución y entrega para los millares de grupos de noticias públicos actualmente
accesibles a través de la red de noticias USENET.

 Servidores Proxy (Proxy Servers): Los servidores proxy se sitúan entre un programa del
cliente (típicamente un navegador) y un servidor externo (típicamente otro servidor web)
para filtrar peticiones, mejorar el funcionamiento y compartir conexiones.

56
  Servidores Telnet (Telnet Servers): Un servidor telnet permite a los usuarios entrar en un
ordenador huésped y realizar tareas como si estuviera trabajando directamente en ese
ordenador.

 Servidores Web (Web Servers): Básicamente, un servidor web sirve contenido estático a
un navegador, carga un archivo y lo sirve a través de la red al navegador de un usuario.
Este intercambio es mediado por el navegador y el servidor que hablan el uno con el otro
mediante HTTP.

2.12 DMZ

Una DMZ, zona desmilitarizada o red perimetral es una red local que se ubica entre la red interna
de una organización y una red externa, generalmente Internet (Morales, 2014).

El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén
permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa, es decir:
los equipos locales (hosts) en la DMZ no pueden conectar con la red interna.

Esto permite que los equipos (hosts) de la DMZ's puedan dar servicios a la red externa a la vez
que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos
(host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse
ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.

La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde
fuera, como servidores de e-mail, Web y DNS.

Los servidores en la DMZ se denominan "anfitriones bastión" ya que actúan como un puesto de
avanzada en la red de la compañía.

Por lo general, la política de seguridad para la DMZ es la siguiente:

 El tráfico de la red externa a la DMZ está autorizado

 El tráfico de la red externa a la red interna está prohibido
 El tráfico de la red interna a la DMZ está autorizado
 El tráfico de la red interna a la red externa está autorizado
 El tráfico de la DMZ a la red interna está prohibido
 El tráfico de la DMZ a la red externa está denegado
 De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es lo
suficientemente alto para almacenar datos imprescindibles de la compañía.

57
Debe observarse que es posible instalar las DMZ en forma interna para aislar la red interna con
niveles de protección variados y así evitar intrusiones internas como se muestra en la Ilustración
13.

Ilustración 13.Diagrama de ejemplificación DMZ

58
Capítulo III. Marco contextual
En este capítulo se mencionan los principales compromisos y retos del día a día a los que se
enfrenta un Centro de Operaciones de Seguridad (SOC), así como el fundamento para gestionar
los niveles de servicio que manejan para medir su eficiencia y eficacia ante la seguridad de la
empresa brindando el respaldo y confiabilidad de la empresa

3.1 Problemática en materia de seguridad del SOC

La mayoría de los problemas presentados en materia de seguridad dentro de un SOC, se debe a

un conjunto de fallas básicas en la implementación y desarrollo del proceso de seguridad de la
información.

Los fallos más comunes y más graves son:

1. La ausencia de una estructura de políticas, normas y procedimientos.

Las normativas (políticas, normas y procedimientos) existen para regir como una organización
desea que los recursos informáticos sean usados. Como no existe legislación con ciertos asuntos,
como por ejemplo el control de los mensajes de correo electrónico, la organización necesita
informar sobre el uso a sus usuarios.

2. La gestión del control de acceso permite una identificación para el uso común.

Muchas organizaciones poseen identificaciones que no son individuales y son utilizadas por un
grupo determinado de usuarios. Son casos normales de acceso a la información. Con ese acceso
común es muy difícil identificar que usuario hizo determinada acción.

3. Ausencia de un administrador de la información.

Es un factor crítico para el éxito en el proceso de seguridad, el administrador de la información

debe ser la persona del área de negocio o del área administrativa responsable de la información.
Es quien autoriza (o no) el acceso de los demás usuarios de la empresa a determinada
información.

4. Planes de continuidad.

Los planes de continuidad de negocio o planes para situaciones de contingencia debe ser un
proceso actualizado. Pero, muchas empresas desarrollan sus planes y estos quedan estancados.
Un plan de continuidad tiene que ser activo: actualizado constantemente, probado y en crecimiento
continuo.

59
 5. Registros de acciones realizadas.

Se recomienda que exista siempre un registro de acceso y modificaciones en los sistemas.

También es importante la existencia del registro de tentativas de acceso y errores de identificación
y contraseña.

6. Copias de seguridad.

Las copias de seguridad deben existir por razones legales y por la necesidad de mantener a salvo
las transacciones históricas de la empresa. El procedimiento para la creación de las copias de
seguridad debe mantenerse permanentemente actualizado. Es muy importante asegurarse que las
copias de seguridad que se realizan puedan ser restauradas en caso de necesitarse.

7. Ausencia de un administrador del proceso de seguridad.

La seguridad de la información es una responsabilidad de todos. Sin embargo, un profesional debe

ser responsable de la existencia del proceso de seguridad de la información. Pequeñas y medianas
empresas suelen disponer de una persona capacitada y dedicada a esta función.

8. La falta de una gestión de riesgo.

Cuando no existe una gestión de riesgo, los análisis de riesgo y de amenazas son hechos
aleatoriamente y normalmente sólo cuando se está ante un riesgo inminente. Toda organización
debe poseer una gestión de riesgo continua.

9. Usuarios: poco entrenamiento y concientización.

La persona es el factor determinante para el éxito o fracaso del proceso de seguridad de la

información en una organización. Cada usuario necesita ser capacitado. Necesita saber sus
responsabilidades, lo que puede y lo que no puede hacer.

Si logras esto, con certeza tu organización tendrá un excelente nivel de protección de la

información.

3.2 Problemática en la operación del SOC

En el núcleo de un SOC exitoso están unos cimientos fuertes para la excelencia operacional,
impulsada por procesos bien diseñados y ejecutados, individuos capaces y en constante
motivación para mejorar y estar delante de sus ciberadversarios.

Su principal problemática, se debe a la alta demanda de los servicios y de ellos se derivan

actividades subsecuentes para el mal desempeño y organización.

60
  Falta de atención de tickets
 Falta de atención en el monitoreo 24x7
 Falta de seguimiento y aviso ante eventos correlacionados definidos anteriormente
 Elaboración de informes y reportes incompletos

En este punto se observó que, al tener una carga excesiva de trabajo, los SOC presentan la
problemática de no lleva registro constante de registros, soluciones y trabajos realizados.

3.2.1 Niveles de Servicio

De acuerdo a ITIL, la Gestión de Niveles de Servicio es el proceso por el cual se definen, negocian
y supervisan la calidad de los servicios TI ofrecidos, la Gestión de Niveles de Servicio es
responsable de buscar un compromiso realista entre las necesidades y expectativas del cliente y
los costes de los servicios asociados, de forma que estos sean asumibles tanto por el cliente como
por la organización TI.

El objetivo primordial de la Gestión de Niveles de Servicio es definir, negociar y monitorizar la

calidad de los servicios TI ofrecidos. Si los servicios no se adecuan a las necesidades del cliente, la
calidad de los mismos es deficiente o sus costes son desproporcionados, tendremos clientes
insatisfechos y la organización TI será responsable de las consecuencias que se deriven de ello.

Para la implementación del SOC, se recomienda el manejo de niveles de servicio considerando lo

siguiente:

1.- Control de cambios.

Este nivel de servicio cubre la aplicación correcta y oportuna de los cambios realizados sobre las
configuraciones de la infraestructura de seguridad gestionada desde el SOC.

2.- Soporte a fallos.

Este nivel de servicio cubre el tiempo de atención sobre fallos en la infraestructura de seguridad
gestionada desde el SOC, y puede calcularse mediante la siguiente clasificación:

 Tiempo promedio de atención (el tiempo que transcurre entre que se recibe la solicitud de
soporte hasta que sea asignado un número de evento).
 Tiempo promedio de respuesta (el tiempo que transcurre entre que se asigna el número de
evento hasta que el personal del licitante inicia actividades de soporte).
 Tiempo promedio de restauración (el tiempo que transcurre entre que se diagnostica un
fallo en un dispositivo hasta que se restaura su funcionamiento).

61
3.- Monitorización de actividad sospechosa

Este nivel de servicio cubre la monitorización en línea de la infraestructura de seguridad para

detectar la existencia de actividades sospechosas y puede calcularse mediante la siguiente
clasificación:

 Tiempo promedio de notificación de actividades sospechosas.

 Tiempo promedio de entrega/envío de dictamen de actividades sospechosas.

4.- Gestión de incidentes de seguridad

Este nivel de servicio cubre la confirmación, notificación y contención de incidentes de seguridad

derivados de una Actividad Sospechosa que se haya presentado sobre la infraestructura de
seguridad y puede calcularse mediante la siguiente clasificación:

 Tiempo promedio de notificación/contención de incidentes de seguridad: La acción a medir

(notificación o contención) será la que se haya predefinido en los procedimientos de
actuación.
 Acción de contención se considera aquella acción tomada para evitar que el ataque sea
exitoso.

5.- Entrega de informes.

Entrega de Informes mensuales de servicios sujetos a algún nivel de servicio.

La definición de los niveles de servicios conllevara a la definición de indicadores los cuales nos
ayudaran a analizar de una manera más rápida el cumplimiento de la entrega del servicio de
acuerdo a los objetivos establecidos.

Además de esto se podrán considerar penalizaciones ya sean económicas o de otra índole que
sean acordados por el prestador de servicio y el usuario las cuales dependerán de los niveles de
servicio definidos y de los indicadores.

3.2.2 Calidad en el servicio proporcionado

Calidad en el servicio, es la manera de ser y el conjunto de características peculiares y esenciales

que identifican a las actividades y procedimientos de conformidad con ciertos requisitos
preestablecidos.

La falta de calidad trae consigo costos adicionales:

 Se le paga a alguien un salario por hacer las cosas mal.

62
  Alguien más gana por inspeccionarlas y rechazarlas.
 Un tercero cobra por corregirlas.
 Alguien recibe la reclamación del cliente, la procesa y le entrega otro producto nuevo.

Para lograr la calidad total existen dos enfoques. El primero se deriva de las aseveraciones de los
grandes tratadistas de la administración y la calidad, se basa en las acciones de la administración,
por lo cual se denomina enfoque directivo de la calidad total:

 Drucker: los cuellos de botella en las organizaciones están al igual que en las botellas:
arriba.
 Deming: 85% de los problemas en las organizaciones se deben a la administración, y sólo
15% a la operación.
 Juran: los problemas siempre surgen uno o dos niveles debajo de donde se manifiestan.
Dicho popular: “Las escaleras se barren de arriba para abajo”.

El segundo enfoque destaca que la calidad total se logra mediante la participación del personal en
una continua búsqueda de solución de los problemas de su trabajo, para lo cual deberán formar
equipos de trabajo efectivos y aplicar una metodología estadística de detección, análisis y solución
de problemas el cual se conoce como enfoque operativo.

Problemas y obstáculos frente a la calidad.

 Falta de consistencia en el diseño de productos y servicios orientados a la satisfacción del

consumidor para capturar y conservar parte del mercado.
 Énfasis en las ganancias a corto plazo.
 Evaluación.

La calidad dejó de ser una opción. Resulta fundamental para lograr ventajas competitivas, una
mayor rentabilidad y satisfacción de los clientes. El motivo principal: garantizar la permanencia en
el mercado y crecer con mayor facilidad. Gestionar la calidad ya no es una opción que algunos
pueden tomar para generar una imagen positiva o aumentar los precios: la calidad se convirtió en
una cuestión de supervivencia empresarial. En el entorno cada vez más competitivo la satisfacción
del cliente debe colocarse en un plano primordial, si es que la empresa quiere seguir en carrera.

Un sistema de gestión de la calidad puede implementarse en cualquier empresa, sin importar su

tamaño, actividad, productos o servicios que comercializa, tecnologías utilizadas o exigencias de
los clientes. Ninguna queda excluida, ya que puede diseñarse un modelo adecuado a las
condiciones propias de cada organización.

63
Claro que la calidad no es gratuita, pero el costo adicional (en tiempo y dinero) se recupera a largo
plazo. Los niveles altos de calidad dan como resultado una mayor satisfacción del cliente, lo que a
menudo termina reduciendo costos (por ejemplo, exigiendo menos publicidad para captar nuevos
clientes). Por lo tanto, los programas de mejoramiento de la calidad normalmente logran también
incrementar la rentabilidad.

3.2.3 Niveles de atención y respuesta al cliente

La calidad de atención al cliente es un proceso para la satisfacción total de los requerimientos y

necesidades de los mismos. Los clientes constituyen el elemento vital de cualquier organización.
Sin embargo, no todas las organizaciones consiguen adaptarse a las necesidades de sus clientes
ya sea en cuanto a calidad, eficiencia o servicio personal. Es por ello que los directivos deben
iniciar el proceso de mejorar la calidad del servicio que ofrecen a sus clientes, ya que no es
cuestión de elección: la imagen de la organización depende de ello.

Para mantener la imagen de la organización, es necesario entre otras cosas mejorar

continuamente el lugar de trabajo, enfocándolo hacia la calidad y la mejora continua.

En la Ilustración 14 se muestra el esquema del proceso de atención y servicio al cliente.

Ilustración 14.Esquema atención al cliente.

La calidad de atención al cliente es un proceso encaminado a la consecución de la satisfacción

total de los requerimientos y necesidades de los mismos, así como también atraer cada vez un
mayor número de clientes por medio de un posicionamiento tal, que lleve a éstos a realizar
gratuitamente la publicidad persona a persona (Fernández, 2009).

En tal sentido, los clientes constituyen el elemento vital de cualquier organización. Sin embargo,
son pocas las organizaciones que consiguen adaptarse a las necesidades de sus clientes ya sea
en cuanto a calidad, eficiencia o servicio personal. Es por ello que los directivos deben mejorar la

64
calidad del servicio que ofrecen a sus clientes, ya que no es cuestión de elección: la vida de la
organización depende de ello.

De tal forma, para mantener una organización en el mercado, es necesario entre otras cosas
mejorar continuamente el lugar de trabajo, enfocándolo hacia la calidad de bienes y servicios,
haciendo que esta actitud sea un factor que prevalezca en todas las actuaciones.

3.3 Ventajas y Desventajas de un SOC

En nuestro país y en general en américa latina es muy escasa la inversión que se ha realizado en
este aspecto. Se entiende por inversión no solo el recurso económico, sino además el tecnológico
y particularmente el humano. Y no es porque falten profesionales capacitados, sino porque las
organizaciones no toman conciencia del riesgo que corren. Organizaciones tanto privadas como
gubernamentales, siguen sin priorizar su bien más preciado: la información.

Po lo tanto se va a citar a continuación las ventajas y desventajas que se tienen al invertir en un

SOC.

Ventajas

 Reducción de Riesgos y Amenazas.

 Mayor Disponibilidad de sus servicios
 Identificación y Prevención de Vulnerabilidades.
 Optimizar la capacidad de respuesta operativa.
 Implementación de políticas y reglas claras.
 Centralización de los Registros de Datos.
 Mejorar la generación de informes y reportes.
 Mayor seguridad para sus servicios y productos.
 Prevención, protección y eliminación de los riegos asociados con los fraudes
informáticos (Phishing, Pharming, etc.)

Desventajas

 Es una solución a la parte de seguridad lógica: No debe perderse de vista que lo que se
debe proteger es aquello que es más valioso para la organización. Estos servicios pueden
crear la "ilusión" de seguridad mientras la puerta de atrás de la empresa está abierta 24/7.
En ningún caso es una solución global puesto que aquello a lo que cada organización debe
prestar especial atención debe venir dado por los objetivos de negocio de la organización y
aquellos elementos que resulten determinantes tras el análisis de riesgos.

65
  Intrusivo: Algunos de estos servicios pueden no ser recomendables dependiendo de cómo
de crítica sea la información que se maneje. Hay que tener en cuenta que algunos de los
sensores que se instalan en los sistemas capturan llamadas al sistema con el objeto de
crear un perfil de comportamiento del sistema y poder reportar cualquier anomalía que
pueda surgir en el funcionamiento del mismo.

 Regulación contractual: Ojo porque estamos externalizando la seguridad lógica de la

empresa y a nivel contractual esto debe quedar bien amarrado, en caso de duda no estaría
demás recurrir a un tercero independiente no vinculado con el SOC con conocimientos
legales para que analice las cláusulas del contrato y asegure la correcta inclusión de
obligaciones y responsabilidades por su parte.

 El tercero que hace seguimiento de los terceros: El seguimiento de los terceros con el
objetivo de verificar si éstos cumplen con los acuerdos firmados sean confusos
especialmente con este tipo de servicios que pueden ofrecer monitorización de los terceros
de la organización, por ejemplo los ISP.

3.4 Los retos de seguridad para las Pymes

Las PyMES repiten errores en común lo cual las hace más vulnerables a los problemas de
seguridad que se presentan hoy en día.

1. Pensar que a nadie le interesan mis datos. Hay empresarios que piensan que los hackers sólo
se dedican a tratar de buscar agujeros de seguridad en los servidores y sistemas de grandes
multinacionales. Pero no suele ser así. De hecho, las pequeñas empresas suelen ser más
vulnerables porque invierten menos en la seguridad de su negocio y suele ser más fácil
perjudicarlas.

2. No incluir la seguridad en los contratos. Una cláusula que debe integrarse en los contratos,
siempre que se trabaja con personal externo a la empresa, pero también con empleados, es la
confidencialidad. También es importante que cuando adquirimos un servicio online, sea del
carácter que sea, nos informemos bien de si cumple con la Ley Orgánica de Protección de Datos
Personales entre otros.

3. Olvidar la gestión de la red informática. En muchos negocios se utilizan redes Wifi para acceder
a Internet, pero no se han comprobado los niveles de seguridad de esta red. Probablemente,
personal ajeno a la empresa pueda conectarse a nuestra red o incluso interceptar transferencias
de datos si sabe cómo hacerlo. La gestión de la red informática y su nivel de seguridad es clave.

66
4. Pensar en reparar, no en mantener. Muchas empresas sólo piensan en reparar los problemas
informáticos cuando estos se producen. Pero, ¿y todo el tiempo que sucede entre incidencia e
incidencia? ¿No es ésta la causa de muchos problemas informáticos? El mantenimiento debe ser
diario y hay que ajustarse también a un código de buenas prácticas. Si no disponemos de un
departamento de informática, podemos contratar servicios profesionales en mantenimiento
informático a precio más económico.

5. Basta con tener un antivirus y un firewall. Lamentablemente, no es tan sencillo. Un antivirus y un

firewall nos protegen en cierta medida de los problemas de seguridad más comunes relacionados
con software espía, intrusos y malware conocido. Pero es necesario actualizar los antivirus,
comprobar si existen agujeros de seguridad, ver si se está cumpliendo el código de buenas
prácticas informáticas, etc.

Las Pymes se están convirtiendo en un blanco muy atractivo para los ladrones digitales, que están
aprovechando la poca seguridad de estas empresas para adquirir secretos industriales y demorar
los planes de la competencia.

Según McAfee, solo el 8% del gasto en TI de las pequeñas y medianas empresas está destinado a
la seguridad informática. Teniendo en cuenta que el 73% de las Pymes sufrieron por lo menos un
ataque informático, y que estas compañías mueven el 96% de la economía del país, es
preocupante la falta de aseguramiento informático.

La tendencia de atacar a las Pymes empezó con un incremento de amenazas sofisticadas en

2012, y está dirigida a vulnerar las bases de datos y los sistemas productivos de gestión
empresarial”, agregó Gómez. A medida que las empresas van incrementando su dependencia a
los sistemas de tecnología, también incrementan los riesgos informáticos.

La ingeniería social será más prominente. Esta consiste en extraer información del sistema por
medio de las redes sociales y el correo electrónico, por ejemplo. Los ataques de phising son una
forma de ingeniería social muy popular por estos días. McAfee también asegura que las amenazas
internas tendrán que ser contrarrestadas. “Cada día son más frecuentes los casos donde el robo
de la información se da desde el interior de la compañía”, explicó la compañía de seguridad. La
tecnología tiene que proponer soluciones para que los mismos empleados no puedan extraer
información confidencial de la empresa. La situación de las Pymes es complicada. Obviamente
tienen recursos limitados y la seguridad en TI no está entre las prioridades. Sin embargo, las
empresas deberían entender que la realidad es diferente. Los piratas informáticos son lo
suficientemente inteligentes para saber dónde hay menos resistencia, y por ahí atacan.

67
Capítulo IV. Buenas prácticas y estándares aplicados a la
problemática

En este capítulo se mencionan los estándares y buenas prácticas que existen y aplican para el
diseño del modelo para la implementación de un Centro de Operaciones de seguridad (SOC).

4.1 Estándares de seguridad

Un estándar es un documento que proporciona requisitos, especificaciones, directrices o

características que pueden ser utilizadas consistentemente para asegurar que los materiales,
productos, procesos y servicios son adecuados para su propósito (ISO, 2013).

4.2 ISO 27002:2013

Proporciona directrices para las normas de seguridad de la información de la organización y las

prácticas de gestión de seguridad de la información, incluyendo la selección, implementación y
gestión de los controles, teniendo en cuenta el medio ambiente riesgo seguridad de la información
de la organización.

Está diseñado para ser utilizado por las organizaciones que tengan la intención de:

1. Seleccionar los controles dentro del proceso de implantación de un Sistema de

Gestión de Seguridad de la Información basado en ISO / IEC 27001.
2. Implementar controles de seguridad de información comúnmente aceptadas.
3. Desarrollar sus propias directrices de gestión de seguridad de la información.

En la Tabla 1 se describen los objetivos de control.

Núm. Dominio Objetivos de control y controles.

5.1 Directrices de la Dirección en seguridad de la

5 Políticas de Seguridad
8 Gestión de activos
información.
5.1.1 Conjunto de políticas para la seguridad de la información.
5.1.2 Revisión de las políticas para la seguridad de la información.
8.1 Responsabilidad sobre los activos.
8.1.1 Inventario de activos.
8.1.2 Propiedad de los activos.
8.1.3 Uso aceptable de los activos.
8.1.4 Devolución de activos.
8.2 Clasificación de la información.
8.2.1 Directrices de clasificación.
8.2.2 Etiquetado y manipulado de la información.
8.2.3 Manipulación de activos.

68
Núm. Dominio Objetivos de control y controles.

9.1 Requisitos de negocio para el control de accesos.

9 Control de acceso 9.1.1 Política de control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados.
9.2 Gestión de acceso de usuario.
9.2.1 Gestión de altas/bajas en el registro de usuarios.
9.2.2 Gestión de los derechos de acceso asignados a usuarios.
9.2.3 Gestión de los derechos de acceso con privilegios
especiales.
9.2.4 Gestión de información confidencial de autenticación de
usuarios.
9.2.5 Revisión de los derechos de acceso de los usuarios.
9.2.6 Retirada o adaptación de los derechos de acceso
9.3 Responsabilidades del usuario.
9.3.1 Uso de información confidencial para la autenticación.
9.4 Control de acceso a sistemas y aplicaciones.
9.4.1 Restricción del acceso a la información.
9.4.2 Procedimientos seguros de inicio de sesión.
9.4.3 Gestión de contraseñas de usuario.
9.4.4 Uso de herramientas de administración de sistemas.
9.4.5 Control de acceso al código fuente de los programas.
11.1 Áreas seguras.
11 Seguridad física y 11.1.1 Perímetro de seguridad física.
11.1.2 Controles físicos de entrada.
ambiental
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Protección contra las amenazas externas y ambientales.
11.1.5 El trabajo en áreas seguras.
11.1.6 Áreas de acceso público, carga y descarga.
11.2 Seguridad de los equipos.
11.2.1 Emplazamiento y protección de equipos.
11.2.2 Instalaciones de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
11.2.5 Salida de activos fuera de las dependencias de la
empresa.
11.2.6 Seguridad de los equipos y activos fuera de las
instalaciones.
11.2.7 Reutilización o retirada segura de dispositivos de
almacenamiento.
11.2.8 Equipo informático de usuario desatendido.
11.2.9 Política de puesto de trabajo despejado y bloqueo de
pantalla.
12.1 Responsabilidades y procedimientos de operación.
12 Seguridad de las 12.1.1 Documentación de procedimientos de operación.
12.1.2 Gestión de cambios.
operaciones
12.1.3 Gestión de capacidades.
12.1.4 Separación de entornos de desarrollo, prueba y
producción.
12.2 Protección contra código malicioso.
12.2.1 Controles contra el código malicioso.
12.3 Copias de seguridad.
12.3.1 Copias de seguridad de la información.
12.4 Registro de actividad y supervisión.

69
Núm. Dominio Objetivos de control y controles.

12.4.1 Registro y gestión de eventos de actividad.

12.4.2 Protección de los registros de información.
12.4.3 Registros de actividad del administrador y operador del
sistema.
12.4.4 Sincronización de relojes.
12.5 Control del software en explotación.
12.5.1 Instalación del software en sistemas en producción.
12.6 Gestión de la vulnerabilidad técnica.
12.6.1 Gestión de las vulnerabilidades técnicas.
12.6.2 Restricciones en la instalación de software.
12.7 Consideraciones de las auditorías de los sistemas de
información.
12.7.1 Controles de auditoría de los sistemas de información.
13.1 Gestión de la seguridad en las redes.
13 Seguridad de las 13.1.1 Controles de red.
13.1.2 Mecanismos de seguridad asociados a servicios en red.
comunicaciones
13.1.3 Segregación de redes.
13.2 Intercambio de información con partes externas.
13.2.1 Políticas y procedimientos de intercambio de información.
13.2.2 Acuerdos de intercambio.
13.2.3 Mensajería electrónica.
13.2.4 Acuerdos de confidencialidad y secreto.
14.1 Requisitos de seguridad de los sistemas de información.
14 Adquisición, desarrollo y 14.1.1 Análisis y especificación de los requisitos de seguridad.
14.1.2 Seguridad de las comunicaciones en servicios accesibles
mantenimiento de
por redes públicas.
sistemas 14.1.3 Protección de las transacciones por redes telemáticas.
14.2 Seguridad en los procesos de desarrollo y soporte.
14.2.1 Política de desarrollo seguro de software.
14.2.2 Procedimientos de control de cambios en los sistemas.
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios
en el sistema operativo.
14.2.4 Restricciones a los cambios en los paquetes de software.
14.2.5 Uso de principios de ingeniería en protección de sistemas.
14.2.6 Seguridad en entornos de desarrollo.
14.2.7 Externalización del desarrollo de software.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los
sistemas.
14.2.9 Pruebas de aceptación.
14.3 Datos de prueba.
14.3.1 Protección de los datos utilizados en pruebas.
15.1 Seguridad de la información en las relaciones con
15 Relaciones con suministradores.
15.1.1 Política de seguridad de la información para
proveedores
suministradores.
15.1.2 Tratamiento del riesgo dentro de acuerdos de
suministradores.
15.1.3 Cadena de suministro en tecnologías de la información y
comunicaciones.
15.2 Gestión de la prestación del servicio por
suministradores.
15.2.1 Supervisión y revisión de los servicios prestados por

70
Núm. Dominio Objetivos de control y controles.

terceros

16.1 Gestión de incidentes de seguridad de la información y

16 Gestión de incidentes mejoras.
16.1.1 Responsabilidades y procedimientos.
de seguridad de la
16.1.2 Notificación de los eventos de seguridad de la información.
información 16.1.3 Notificación de puntos débiles de la seguridad.
16.1.4 Valoración de eventos de seguridad de la información y
toma de decisiones.
16.1.5 Respuesta a los incidentes de seguridad.
16.1.6 Aprendizaje de los incidentes de seguridad de la
información.
16.1.7 Recopilación de evidencias.
18.1 Cumplimiento de los requisitos legales y contractuales.
18 Cumplimiento 18.1.1 Identificación de la legislación aplicable.
18.1.2 Derechos de propiedad intelectual (DPI).
18.1.3 Protección de los registros de la organización.
18.1.4 Protección de datos y privacidad de la información
personal.
18.1.5 Regulación de los controles criptográficos.
18.2 Revisiones de la seguridad de la información.
18.2.1 Revisión independiente de la seguridad de la información.
18.2.2 Cumplimiento de las políticas y normas de seguridad.
18.2.3 Comprobación del cumplimiento.

Tabla 1 Objetivos de control ISO 27002:2013

4.3 ISO 27005:2011

Proporciona directrices para la gestión de riesgos de seguridad de la información.

Es compatible con los conceptos generales especificados en la norma ISO / IEC 27001 y está
diseñado para ayudar a la ejecución satisfactoria de seguridad de la información basado en un
enfoque de gestión de riesgos.

El conocimiento de los conceptos, modelos, procesos y terminologías que se describen en la

norma ISO / IEC 27001 e ISO / IEC 27002 es importante para una comprensión completa de la
norma ISO / IEC 27005: 2011.

71
 Ilustración 15.Riesgo

Como se muestra en la Ilustración 15, La importancia del análisis de riesgos según ISO 27005 nos
permite identificar las amenazas a las que se encuentran expuestos todos los activos, se estima la
frecuencia en la que se materializan todas las amenazas y valora el impacto que supone que se
materialice en nuestra organización.

Es aplicable a todo tipo de organizaciones (por ejemplo, las empresas comerciales, agencias
gubernamentales, organizaciones sin fines de lucro), que tienen la intención de gestionar los
riesgos que podrían comprometer la seguridad de la información de la organización.

Esta norma no recomienda una metodología concreta, puesto que dependerá de una serie de
factores relativos a cada empresa que se plantee implantarla como por ejemplo: el alcance real del
Sistema de Gestión de Seguridad de la Información (SGSI) o el sector comercial de la propia
industria.

4.4 ISO 27032:2012

Proporciona un marco seguro para el intercambio de información, el manejo de incidentes y la

coordinación para hacer más seguros los procesos. Además de facilitar la colaboración segura y
fiable para proteger la privacidad de las personas en todo el mundo. De esta manera, puede
ayudar a prepararse, detectar, monitorizar y responder a los ataques.

También aborda los riesgos no cubiertos por la Internet actual, las redes y la seguridad de las
tecnologías de la información y de la comunicación, sacando los aspectos únicos de esa actividad
y sus dependencias en otros dominios de seguridad, en particular:

72
 1. seguridad de información
2. Seguridad de la red
3. La seguridad de Internet
4. Protección de infraestructuras críticas de información ( PICI )

Esta Norma Internacional proporciona:

1. Una visión general de la Seguridad Cibernética

2. Una explicación de la relación entre la seguridad cibernética y otros tipos de seguridad
3. Una definición de las partes interesadas y una descripción de su papel en la seguridad
cibernética
4. Orientación para abordar las cuestiones de seguridad cibernética comunes
5. Un marco para que las partes interesadas a colaborar en la resolución de cuestiones de
seguridad cibernética.

4.5 Estándares de calidad

Los estándares no son más que los niveles mínimo y máximo deseados, o aceptables de calidad
que debe tener el resultado de una acción, una actividad, un programa, o un servicio. En otras
palabras, el estándar es la norma técnica que se utilizará como parámetro de evaluación de la
calidad.

Una vez programadas las actividades de solución al problema de gestión, los círculos de calidad
deberán definir los estándares de calidad del resultado, o los resultados esperados.

En el desarrollo de los estándares deben participar los miembros del equipo coordinador de la
gestión de calidad, en la unidad de salud y representantes de los usuarios internos y externos del
programa de atención integral en el cual se identificaron los problemas.

Se debe cuidar que los estándares no sean influenciados por lo que actualmente hace el personal,
quienes son los responsables de la gestión o ejecución de la actividad, componente o programa
con un problema. Los estándares deben ser monitoreados y evaluados periódicamente, aplicando
indicadores, para saber si se está asegurando la calidad.

Las ISO 9000 son normas establecidas por la Organización Internacional para la Estandarización
(ISO, por sus siglas en inglés), a través de las cuales se pueden medir los sistemas de gestión de
calidad de una empresa y verificar si realmente ésta satisface las expectativas y necesidades de
sus clientes.

73
Desde su aparición, en 1987, se han venido modificando y actualizando hasta llegar a su última
versión en el año 2000. Actualmente, estas normas se pueden aplicar tanto en el sector privado,
como en la administración pública, y poseen todo un marco conceptual y un proceso detallado para
la debida certificación de calidad de las empresas.

NORMAS DE CALIDAD

CALIDAD

Las empresas deben afrontar que los clientes son cada vez más exigentes, en cuanto a la calidad
de los productos, las prestaciones y la fiabilidad. La mejor calidad no es siempre la más cara, si no
la que más se adapta en características y precio a las necesidades del cliente.

Los problemas que tienen las empresas con sus costos excesivos, la competencia
Tradicionalmente las empresas han trabajado con la creencia que la productividad está reñida con
la calidad, teniendo que optar por una u otra.

ESTANDARIZACIÓN

Se conoce como estandarización al proceso mediante el cual se realiza una actividad de manera
estándar o previamente establecida. El término estandarización proviene del término estándar,
aquel que refiere a un modo o método establecido, aceptado y normalmente seguido para realizar
determinado tipo de actividades o funciones. Un estándar es un parámetro más o menos esperable
para ciertas circunstancias o espacios y es aquello que debe ser seguido en caso de recurrir a
algunos tipos de acción (Académica, 2013).

4.5.1 ISO IEC 9001

La ISO 9001 es una norma ISO internacional elaborada por la Organización Internacional para la
Estandarización (ISO) que se aplica a los Sistemas de Gestión de Calidad de organizaciones
públicas y privadas, independientemente de su tamaño o actividad empresarial. Se trata de un
método de trabajo excelente para la mejora de la calidad de los productos y servicios, así como de
la satisfacción del cliente.

El sistema de gestión de calidad se basa en la norma ISO 9001, las empresas se interesan por
obtener esta certificación para garantizar a sus clientes la mejora de sus productos o servicios y
estos a su vez prefieren empresas comprometidas con la calidad. Por lo tanto, las normas como la
ISO 9001 se convierten en una ventaja competitiva para las organizaciones.

ISO 9001: 2015 establece los criterios para un sistema de gestión de calidad y es la única norma
en la familia que puede ser certificada para (aunque esto no es un requisito). Puede ser utilizado

74
por cualquier organización, grande o pequeña, independientemente de su campo de actividad. De
hecho, hay más de un millón de empresas y organizaciones en más de 170 países certificados con
la norma ISO 9001.

Esta norma se basa en una serie de principios de gestión de calidad, incluyendo una fuerte
orientación al cliente, la motivación y la implicación de la alta dirección, el enfoque de procesos y la
mejora continua. El uso de la norma ISO 9001: 2015 ayuda a asegurar que los clientes obtengan
productos consistentes y de buena calidad y servicios, que a su vez trae muchos beneficios para el
negocio.

La estructura de la nueva ISO 9001:2015 incluye dos nuevos requisitos:

1. Alcance
2. Referencias Normativas
3. Términos y Definiciones
4. Contexto de la Organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación del Desempeño
10. Mejora

Enfoque basado en procesos

En la nueva versión, el enfoque basado en procesos se convierte en el apartado 4.4 “Sistema de

Gestión de la Calidad y sus procesos”. Si hay algo que destacar como principal ventaja de este
enfoque, hay que centrarse en el incremento de la gestión y control de las interacciones existentes
entre procesos y jerarquías funcionales de cada organización.

Análisis del contexto

En esta nueva ISO 9001:2015 existe un nuevo apartado, el 4. Contexto de la organización. En este
capítulo, se trata la necesidad de tener en cuenta y analizar el entorno socio-económico de la
empresa y los vínculos existentes con los stakeholder (internos y externos). Este análisis facilitará
la identificación de problemas y necesidades que puedan generar un impacto en la planificación del
Sistema de Gestión de la Calidad.

75
Pensamiento basado en riesgo.

Es uno de los cambios más importantes en la nueva ISO 9001, ya que este concepto se introduce
en la totalidad del sistema de gestión, es decir, durante el establecimiento, implantación,
mantenimiento y mejora. Para gestionar los riesgos se pueden adoptar la metodología que más se
ajuste a las necesidades de la empresa, por ejemplo, la norma ISO 31000.

Acciones preventivas.
Se elimina las acciones preventivas en la nueva edición de la norma ISO9001, ya que el propio
Sistema de Gestión de la Calidad debe actuar como herramienta preventiva.

Representante de la Dirección.
Esta figura deja de ser obligatoria en la ISO9001:2015, se le da más importancia a la involucración
de la alta dirección como vemos en el capítulo 5 “Liderazgo”.

Gestión del conocimiento

La gestión del conocimiento ocupa un nuevo numeral en la norma, en concreto es el 7.1.6
“Conocimiento organizacional”, en el que se indica que es la organización la encargada de
establecer qué conocimiento es requerido para que el Sistema de Gestión de la Calidad opere
correctamente para lograr productos y/o servicios que satisfagan al cliente.

4.6 Buenas prácticas

En general el concepto de “buenas prácticas” se refiere a toda experiencia que se guía por
principios, objetivos y procedimientos apropiados o pautas aconsejables que se adecuan a una
determinada perspectiva normativa o a un parámetro consensuado, así como también toda
experiencia que ha arrojado resultados positivos, demostrando su eficacia y utilidad en un contexto
concreto.

El concepto de buenas prácticas se utiliza en una amplia variedad de contextos para referirse a las
formas óptimas de ejecutar un proceso, que pueden servir de modelo para otras organizaciones.
Las buenas prácticas sistematizadas, permiten aprender de las experiencias y aprendizajes de
otros, y aplicarlos de manera más amplia y/o en otros contextos (scaling-up). Pueden promover
nuevas ideas o sugerir adaptaciones y proporcionar una orientación sobre la manera más efectiva
de visibilizar los diversos impactos de una intervención en las comunidades.

Haciendo una sistematización de los criterios comunes a todas las evaluaciones revisadas,
podríamos decir que una buena práctica sería un programa, proyecto o intervención que tiene al
menos algunas de las siguientes características:

76
Responden a una necesidad identificada, son fruto de una evaluación cuidadosa de alguna
característica en una población definida que se hace necesario modificar y mejorar y por tanto
tiene objetivo definido, relevante y realista;

 Desarrollan estrategias basadas en la evidencia, y son innovadoras en su aplicación,

demostrando capacidad de cuestionamiento y creatividad;
 Las estrategias y las acciones parten de unos principios y valores básicos y responden a una
visión o perspectiva definida del problema que atiende;
 Los recursos humanos que implementan la iniciativa están calificados y especializados;
 Proponen un sistema riguroso de seguimiento a los procesos y los resultados de las acciones
emprendidas a la vez que permiten la retroalimentación y reorientación de las acciones;
 Cuentan con una amplia base de participación, sobre todo de los beneficiarios, pero también
de la comunidad, con alianzas interinstitucionales fuertes;
 Puede probar una mejora sustantiva de la situación que el dio origen;
 Incorpora estrategias de sostenibilidad de la iniciativa, propiciando su institucionalización;
 Sistematiza los procesos y resultados;
 Propicia de alguna manera la replicación de la experiencia.

La búsqueda de buenas prácticas se relaciona directamente con los actuales planteamientos sobre
los criterios de calidad y eficiencia de las intervenciones sociales, que abarcan no sólo la gestión y
los procedimientos, sino fundamentalmente la satisfacción de las necesidades de las personas
afectadas y la superación de su problemática. Por lo tanto, durante la planeación del modelo
estratégico se basó en dos guías de TI importantes en buenas prácticas: COBIT e ITIL.

Ambos modelos son también complementarios y se pueden usar juntos: ITIL para lograr efectividad
y eficiencia en los servicios TI y COBIT para verificar la conformidad en cuanto a disponibilidad,
rendimiento, eficiencia y riesgos asociados de dichos servicios con los objetivos y estrategias de la
compañía, usando para ello métricas claves y cuadros de mando que reporten dicha información.

4.6.1 COBIT

Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT) brindan buenas
prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en
una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los
expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas
ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y
brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. (ITGI, 2007).

77
COBIT permite el desarrollo de políticas claras y de buenas prácticas para control de TI a través de
las empresas. COBIT constantemente se actualiza y armoniza con otros estándares. Por lo tanto,
COBIT se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia
general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios
asociados con TI. La estructura de procesos de COBIT y su enfoque de alto nivel orientado al
negocio brindan una visión completa de TI y de las decisiones a tomar acerca de la misma.

Los beneficios de implementar COBIT como marco de referencia de gobierno sobre TI incluyen:

 Mejor alineación, con base en su enfoque de negocios

 Una visión, entendible para la gerencia, de lo que hace TI
 Propiedad y responsabilidades claras, con base en su orientación a procesos
 Aceptación general de terceros y reguladores
 Entendimiento compartido entre todos los Interesados, con base en un lenguaje común
 Cumplimiento de los requerimientos COSO para el ambiente de control de TI

Los ejecutivos necesitan la certeza de que pueden confiar en los sistemas de información y en la
información producida por los sistemas, y así obtener un retorno positivo de las inversiones en TI.
COBIT permite que los ejecutivos de negocios entiendan mejor como dirigir y gestionar el uso de
las TI la empresa y el estándar de mejores prácticas que se espera de los proveedores de TI.
COBIT proporciona las herramientas para dirigir y supervisar todas las actividades relacionadas
con las TI.

Una vez implementado, los ejecutivos pueden asegurarse de que se ajusta de manera eficaz con
los objetivos del negocio y dirigir mejor el uso de TI para obtener ventajas comerciales. COBIT
brinda un lenguaje común a los ejecutivos de negocios para comunicar las metas, objetivos y
resultados a los profesionales de auditoría, informática y otras disciplinas.

COBIT brinda las mejores prácticas y herramientas para el monitoreo y la gestión de las
actividades de TI. El uso de las TI es una inversión importante que debe ser gestionado. COBIT
ayuda a los ejecutivos a comprender y gestionar las inversiones de TI durante su ciclo de vida y
proporciona un método para evaluar si los servicios de TI y las nuevas iniciativas satisfacen los
requisitos empresariales y sea probable que entreguen los beneficios esperados.

Existe una tremenda diferencia entre las empresas que realizan una buena gestión de TI y las que
no lo hacen, o no pueden. COBIT permite el desarrollo de políticas claras y mejores prácticas para
la administración de TI. El marco ayuda a aumentar el valor obtenido de TI. También ayuda a las
organizaciones a gestionar los riesgos relacionados con TI y a asegurar el cumplimiento, la
continuidad, seguridad y privacidad.

78
Debido a que COBIT es un conjunto de herramientas y técnicas probadas y aceptadas
internacionalmente, su implementación es una señal de buena gestión en una organización. Ayuda
a los profesionales de TI y a usuarios de empresas a demostrar su competencia profesional a la
alta dirección. Como ocurre con muchos procesos de negocio genéricos, existen estándares y
mejores prácticas de la industria de TI que las empresas deberían seguir cuando utilizan las TI.
COBIT se nutre de estas normas y proporciona un marco para implementarlas y gestionarlas.

Una vez que se identifican e implementan los principios clave de COBIT para una empresa, los
ejecutivos ganan confianza en que la utilización de las TI puede ser gestionada de forma eficaz.

Los ejecutivos de las empresas pueden esperar los siguientes resultados de la adopción de
COBIT:

 Los gerentes y el staff de TI entenderán totalmente como es que el negocio y TI pueden

trabajar en forma conjunta para la entrega exitosa de las iniciativas de TI.
 Los costos totales del ciclo de vida de TI serán más transparentes y predecibles.
 TI ofrecerá información más oportuna y de mayor calidad.
 TI entregará proyectos de mejor calidad y más exitosos.
 Los requisitos de seguridad y privacidad serán más claros y la implementación será
monitoreada con mayor facilidad.
 Los riesgos de TI serán gestionados con mayor eficacia.
 Las auditorías serán más eficientes y exitosas.
 El cumplimiento de TI con los requisitos regulatorios serán una práctica normal de gestión.

Las versiones 4.x de COBIT, incluyen lo siguiente:

• Marco de trabajo: Explica cómo es que COBIT organiza la gestión del gobierno de TI, los
objetivos de control y las mejores prácticas de los procesos y dominios de TI, y los
relaciona con las necesidades del negocio. El marco contiene un conjunto de 34 objetivos
de control de alto nivel, uno para cada proceso de TI, agrupados en cuatro dominios:
Planificar y Organizar, Adquirir e Implementar, Entregar y dar soporte, Monitorear y
Evaluar.
• Las descripciones del proceso incluyen cada uno de 34 procesos de IT, cubriendo las
áreas de responsabilidad de la empresa y de TI desde el principio hasta el final.
• Los objetivos de control proveen los objetivos de gestión de las mejores prácticas
genéricas para los procesos de TI.
• Las directrices de gestión ofrecen herramientas para ayudar a asignar responsabilidades y
medir el desempeño.

79
4.6.2 ITIL

ITIL (Information Technology Infraestructure Library o Biblioteca de Infraestructura de Tecnologías

de la Información) es un compendio de publicaciones, o librería, que describen de manera
sistemática un conjunto de “buenas prácticas” para la gestión de los servicios de Tecnología
Informática (en adelante TI).

Las organizaciones cada vez dependen más de la las herramientas informáticas para llevar a cabo
su trabajo diario. Este trabajo además está gestionado y controlado a través de otros sistemas
informáticos, pudiendo estar éstos a su vez dentro de una red controlada por otros sistemas y así
sucesivamente. Por tanto la complejidad de estos procesos hizo crecer la demanda y necesidad de
las entidades (públicas o privadas) de disponer de un modelo que les permitiera gestionar su
infraestructura TI más fácilmente y que pudieran dar soporte a los objetivos de negocio.

ITIL nació en la década de 1980, a través de la Agencia Central de Telecomunicaciones y

Computación del Gobierno Británico (Central Computer and Telecomunications Agency - CCTA),
que ideó y desarrollo una guía para que las oficinas del sector público británico fueran más
eficientes en su trabajo y por tanto se redujeran los costes derivados de los recursos TI.

Sin embargo esta guía demostró ser útil para cualquier organización, pudiendo adaptarse según
sus circunstancias y necesidades. De hecho resultó ser tan útil que actualmente ITIL recoge la
gestión de los servicios TI como uno de sus apartados, habiéndose ampliado el conjunto de
“buenas prácticas” a gestión de la seguridad de la información, gestión de niveles de servicio,
perspectiva de negocio, gestión de activos software y gestión de aplicaciones. Estas buenas
prácticas provienen de las mejores soluciones posibles que diversos expertos han puesto en
marcha en sus organizaciones a la hora de entregar de servicios TI, por lo que en ocasiones el
modelo puede carecer de coherencia.

En la actualidad ITIL pertenece al Oficina de Comercio Británico (Office of Government Commerce

- OGC), pero puede ser utilizado para su aplicación libremente

La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del

inglés Information Technology Infrastructure Library), es un conjunto de conceptos y buenas
prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías
de la información y las operaciones relacionadas con la misma en general.

ITIL V3 propone un enfoque del ciclo de vida para gestionar los servicios de TI como se muestra en
la ilustración 16. Cada uno de los cinco libros de ITIL V3 representa una fase del ciclo de vida de la
gestión de servicios. Cada fase se interrelaciona con el resto de fases del ciclo y la mayoría de los
procesos abarcan diversas fases. Además de los cinco volúmenes, ITIL V3 ofrece orientaciones

80
complementarias de implementación y prácticas en sectores concretos, organizaciones, modelos
operativos e infraestructura tecnológica.

Ilustración 16.Flujo de funcionamiento de ITIL

Las cinco fases del ciclo de vida de los servicios que propone ITIL V3 son las siguientes como se
muestra en la ilustración 17:

1) Estrategia de servicio: se ocupa del diseño, desarrollo e implantación de la gestión de servicios

de TI como activo estratégico para la organización. El proceso de la estrategia de servicios
comprende: la gestión de la cartera de servicios, la gestión financiera de TI y la gestión de la
demanda.

2) Diseño del servicio: se encarga del diseño y desarrollo de los servicios y de los correspondientes
procesos necesarios para apoyar dichos servicios. Entre los procesos del diseño de servicios
figuran: la gestión del catálogo de servicios, la gestión de los niveles de servicio, la gestión de la
disponibilidad, la gestión de la capacidad, la gestión de la continuidad de los servicios de TI, la
gestión de la seguridad de la información y la gestión de proveedores.

3) Transición del servicio: se ocupa de la gestión y coordinación de los procesos, los sistemas y las
funciones que se precisan para crear, comprobar e implantar servicios nuevos o modificados en las
operaciones. Entre los procesos de transición del servicio figuran: la planificación y soporte de la
transición, la gestión del cambio, la gestión de la configuración y los activos del servicio, la gestión
del lanzamiento y el despliegue, la validación y comprobación del servicio, la evaluación y la
gestión del conocimiento.

81
4) Operaciones de servicio: se ocupa de la coordinación, las actividades y los procesos necesarios
para gestionar los servicios destinados a usuarios y clientes de empresas dentro de los niveles de
servicio acordados. Los procesos de las operaciones de servicio son los siguientes: la gestión de
eventos, el cumplimiento de peticiones, la gestión de incidencias, la gestión de problemas y la
gestión del acceso.

5) Mejora continua: se ocupa de mejorar los servicios de forma constante para garantizar a las
organizaciones que los servicios responden a las necesidades del negocio. La mejora continua
trata sobre cómo mejorar el servicio, los procesos y las actividades de cada una de las fases del
ciclo de vida.

Ilustración 17. Fases del ciclo de vida de servicios de ITIL

82
Capítulo V. Propuesta de modelo para la implementación de un
Centro de Operaciones de seguridad (SOC).

En este capítulo, se define el diseño del modelo propuesto, el cual, permite identificar los
requerimientos necesarios para implementar y administrar un SOC, evaluando mediante un análisis
de costo beneficio si es costeable su aplicación.

5.1 Diseño y definición del modelo propuesto

El modelo propuesto se basa en el modelo de mejora continua “PDCA”, alineándose de este modo
con lo establecido en la norma ISO/IEC 9001. La adopción de este modelo debe ser una decisión
estratégica para la organización, cuyo diseño e implementación es influenciado por las
necesidades, objetivos, requerimientos de seguridad, procesos empleados y el tamaño y estructura
de la misma. Se espera que éstos y sus sistemas de apoyo cambien a lo largo del tiempo.

En la ilustración 18 se muestra el ciclo del modelo PDCA, el cual persigue la mejora continua de
la calidad dentro de una organización, utilizado sobre todo en los Sistemas de Gestión que mejora
dentro de la organización aspectos como la competitividad, los productos y servicios, su calidad, y
reduce costos y precios. El círculo de Deming lo componen 4 etapas cíclicas, de forma que una
vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las
actividades son reevaluadas periódicamente para incorporar nuevas mejoras. (Álvarez, 2015).

Ilustración 18. Ciclo del modelo PDCA

83
5.2 Propuesta de modelo de implementación y gestión para un Centro de
Operaciones de Seguridad (SOC).

Si bien el modelo PDCA es el estándar formal de ISO, éste se construye sobre una base que no
necesariamente se aplica a todas las organizaciones, sobre todo cuando éstas no se han
involucrado en procesos relacionados con normas ISO, por ello, con una base práctica se presenta
el siguiente modelo, el cual no omite ni restringe las actividades señaladas en el modelo formal,
sino que se vale de ellas para sustentar un formato práctico de actividades que deben ser
abarcadas para lograr un adecuado nivel de seguridad de la información en las áreas de TI en
cualquier tipo de organización.

Este modelo será propuesto para ser perfeccionado y modificado en el futuro dado que su
estructura se debe ajustar a los constantes cambios que surgirán en la organización como sistema
dinámico.

La particularidad del modelo que se presenta a continuación reside en su aspecto operativo y

práctico, puesto que se considera su estructuración, formación e implementación bajo cuatro
grandes fases.

 Fase de Análisis
 Fase de Investigación
 Fase de Aplicación
 Fase de Prevención

Estas fases contemplan el conjunto de actividades que de ellas se desprenden y están ligadas
mediante la secuencia de actividades que es necesario desarrollar a fin de elaborar y aplicar
correctamente el modelo.

Este modelo considera los principales elementos incluidos en las diversas normas y estándares
internacionales relacionados con la seguridad de la información, por lo que apoya la concreción de
un “Gobierno de TIC”, lo que a su vez abarca un aspecto mayor al que su diseño se orientó
inicialmente, ya que esto implica que no solo cubre temas de seguridad y de riesgos, sino a que al
mismo tiempo apoya a lograr aspectos de estructura organizacional, descripciones de cargo,
tareas, definiciones de misión y visión, no solo a nivel gerencial, sino que a nivel de cada área de
TI.

84
 • Proveedores externos
Fase de ofertarán los servicios del
SOC a efecto de evaluar el
costo beneficio para saber si
Análisis es costeable implementar el
modelo propuesto

• Indagación de las
Fase de necesidades de la empresa
• Definición de alcance, límites
y ubicación del SOC
Investigación • Definición de activos y nivel
de riesgo

• Establecimiento de controles
aplicados al nivel de riesgo
Fase de calculado
• Recomendaciones físicas de
Aplicación infraestructura, recursos
humanos, operación y
herramientas del SOC

• Desarrollo del ciclo de vida

Fase de de la información
• Recomendaciones de
monitoreo y revisión del SOC
Prevención

Ilustración 19. Modelo propuesto

5.3 Fase de Análisis

En esta fase del modelo se debe realizar un análisis costo beneficio para conocer y evaluar si es
costeable la implementación del modelo propuesto.

Para ello, deberán implementar los puntos a continuación mencionados:

1. Seleccionar al menos 2 proveedores externos que brinden servicios de SOC.

2. Solicitar información de los servicios que oferta.
3. Solicitar información de precios mensuales y niveles de servicio prestados en la atención de
tickets, requerimientos e incidentes de seguridad.

85
4. Realizar una tabla de costo beneficio
5. Si el resultado del análisis determina que si el costo proporcionado por el proveedor es mayor,
entonces se procede a continuar con el desarrollo del modelo.

5.4 Fase de Investigación

En la fase de investigación se debe profundizar en conocer los antecedentes, reglas de negocio y

necesidades de la empresa, razonando y entendiendo cada departamento y su relación con el
resto. De esta manera se documenta a detalle toda su lógica y la trazabilidad de todos sus
procesos.

5.4.1 Definición de alcance y límites del Centro de Operaciones de Seguridad

Ambos conceptos se definirán en términos de las características del negocio, la organización, su

ubicación, activos, tecnología e incluyendo los detalles y la justificación de cualquier exclusión del
alcance.

Los puntos significativos a considerar para la definición de los mismos, se referencian del
levantamiento de la información obtenida de la organización.

1. Identificar los principales servicios que presta la empresa

2. Jerarquizar los servicios entregados por la empresa.

3. Validar si existe un inventario de la infraestructura actual

4. Mencionar los principales problemas de seguridad de la información que han sido

detectados dentro de la organización.

5. De los servicios identificados cual es el servicio que desea monitorear inicialmente.

5.4.2 Ubicación y tipo de SOC propuesto

El SOC debe mantener su propio espacio físico en una instalación segura.

Crear una locación distinta para el SOC, junto con el hardware y software que necesitan, facilitará
los tiempos cortos de respuesta y promoverá la unidad, la compartición de conocimientos y un
equipo de trabajo cuyas filas se encuentren más cerradas.

Para este punto, se define la ubicación física del SOC, tomando en consideración los estados de la
República Mexicana que tengan el menor porcentaje de inseguridad y riesgo calculado.

86
Asimismo, se puntualizan las características básicas y necesarias para la definición del tipo de
SOC, así como la infraestructura adicional requerida para la implementación de sus servicios.

5.4.3 Definición de activos

Para iniciar el análisis de la información de la empresa, primeramente, se definirán los activos

tecnológicos con los que cuenta actualmente y con ello se procede a calcular el nivel de riesgo de
los mismos.

5.4.4 Análisis y evaluación de riesgo

1. Identificar y desarrollar los criterios para aceptar los riesgos e identificar los niveles de
riesgo aceptables.
2. Identificar las amenazas para los activos previamente identificados.
3. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas.
4. Identificar los impactos que pueden tener las pérdidas de confiabilidad, integridad y
disponibilidad sobre los activos.
5. Calcular el impacto comercial sobre la organización que podría resultar de una falla en la
seguridad, tomando en cuenta las consecuencias de una pérdida de confidencialidad,
integridad o disponibilidad de los activos.
6. Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y
vulnerabilidades prevalecientes, los impactos asociados con estos activos, y los controles
implementados actualmente.
7. Calcular los niveles de riesgo: Determinar si el riesgo es aceptable o requiere tratamiento
utilizando el criterio de aceptación del riesgo establecido.
8. Identificar y evaluar las opciones para el tratamiento de los riegos.

5.5 Fase de Aplicación

En esta fase se definen los controles propuestos para mitigar los riesgos, políticas y
procedimientos que apoyan a regular los procesos de seguridad y los elementos de creación para
el SOC.

5.5.1 Controles propuestos

Se deben seleccionar los controles para cumplir con los requerimientos identificados por el
proceso de tratamiento del riesgo, así como las políticas y procedimientos aplicables. Esta
selección toma en cuenta el criterio para aceptar los riegos y a su vez mitigarlos.

Las acciones posibles incluyen:

1. Aplicar los controles apropiados adecuados a los activos y nivel de riesgo calculado.

87
 2. Aceptar los riesgos consiente y objetivamente, siempre que satisfagan claramente las
políticas y el criterio de aceptación del riesgo de la organización.

5.5.2 Definición de políticas y procedimientos para el Centro de Operaciones de Seguridad

Se definen en términos de las características del negocio, la organización, su ubicación, activos y

tecnología que:

1.- Incluir un marco referencial que defina sus objetivos y establezca un sentido de dirección
general y principios para la acción con relación a la seguridad de la información.

2.- Tomar en cuenta los requerimientos comerciales, legales o reguladores, y las

obligaciones de la seguridad contractual.

3.- Establecer el criterio con el que se evaluará el riesgo aprobado por la gerencia.

5.5.3 Recomendaciones físicas de infraestructura, recursos humanos y herramientas

seleccionadas para el SOC

Procesos bien definidos crean operaciones consistentes y resultados repetibles. El SOC necesita
documentar y comunicar procesos efectivamente e implementar mecanismos de control de
cambios para poder actualizar rápidamente los procesos cuando surjan oportunidades de mejora.
Un SOC también necesita crear procesos con suficiente amplitud y profundidad para atender
adecuadamente el universo de posibles escenarios de incidente y proveer guía detallada para la
respuesta.

Por ejemplo, un SOC debe documentar procesos para gestionar varios tipos de incidentes (como
puede ser phishing, infecciones de malware, incidentes de BYOD, alteración no autorizada del sitio
web, ataques de negación de servicio, etc.) así como guías de decisión para las medidas de
respuesta apropiadas para cada situación (por ejemplo despliegue de un equipo de respuesta a
incidentes, investigación forense, análisis de malware). El SOC necesitará definir e implementar
estos procesos en colaboración con los departamentos relacionados. La planeación conjunta es
esencial para una respuesta oportuna y unificada así como una apropiada evaluación del impacto a
la organización.

Para ello, se definen las principales recomendaciones de implementación y gestión del SOC,
constituyendo los puntos mencionados a continuación:

1. Definición de hardware y software mínimo requerido.

2. Establecimiento de tiempos de atención y niveles de servicio.
3. Definición de herramientas de monitoreo (SIEM).
4. Definición de la estructura funcional del SOC.

88
 5. Implementar niveles de escalación que permitan distribuir las actividades a realizar.
6. Implementar los procedimientos capaces de permitir una pronta detección y respuesta a
incidentes de seguridad.

5.6 Fase de Prevención

En esta fase se realiza el diseño de políticas y procedimientos para prevenir la fuga de información,
así como la revisión continua de los procesos del SOC.

5.6.1 Ciclo de vida de la Información

En este punto se deben diseñar políticas y procedimientos a implementar respecto al ciclo de vida
de la información (creación, uso y destrucción) dentro de la organización.

5.6.2 Revisión continua del Centro de Operaciones de Seguridad

Ejecutar procedimientos de revisión para:

 Detectar prontamente los errores en los resultados del procesamiento de tickets.

 Identificar prontamente los incidentes de seguridad fallidos y exitosos.

 Permitir a la gerencia determinar si las actividades de seguridad delegadas a las

personas o implementadas mediante la tecnología de información se están realizando
como se esperaba.

 Ayudar a detectar los eventos de seguridad, evitando así los incidentes de seguridad
mediante el uso de indicadores; y determinar si son efectivas las acciones tomadas para
resolver una violación de seguridad.

 Realizar revisiones regulares de la efectividad del Centro de Operaciones de Seguridad

(Incluyendo satisfacer la política y objetivos de seguridad del SOC, y revisar los controles
de seguridad) tomando en cuenta los resultados de auditorías de seguridad, incidentes,
mediciones, sugerencias y retroalimentación de todas las partes interesadas.

 Medir la efectividad de los controles para verificar que se hayan cumplido los
requerimientos de seguridad.

 Revisar las evaluaciones del riesgo a intervalos planeados y revisar el nivel de riesgo
residual y riesgo aceptable identificado, tomando en cuenta los cambios en:

o La organización

89
 o Tecnología

o Objetivos y procesos comerciales

o Amenazas identificadas

o Efectividad de los controles implementados

o Eventos externos, como cambios en el ambiente legal o regulador, cambios en

obligaciones contractuales y cambios en el clima social.

 Registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o
desempeño del SOC.

90
Capítulo VI. Caso práctico de modelo para la implementación de
un Centro de Operaciones de seguridad (SOC).

En este capítulo, se desarrollan las 4 fases del modelo propuesto adaptado a las necesidades de
seguridad de la empresa, así como de los elementos que se requieren para poder implementarlo.

6.1 Antecedentes de la empresa

Anthares IT Services, es una empresa mexicana enfocada en la entrega de servicios profesionales

de consultoría en BSM (Business Service Management) de BMC Software.

Misión

Proporcionar soluciones de software basadas en la necesidad de nuestros clientes que permitan la

agilización de sus metodologías, procesos e iniciativas de TI a través de la implementación de
tecnología de punta, personal calificado y estrategias de implementación prácticas, para lograr
alcanzar eficazmente las metas de negocio, incrementar la calidad y reducir los costos en la
entrega de servicios de TI.

Visión

Ser uno de los proveedores de servicios y soluciones de TI de mayor prestigio a nivel internacional,
brindando a nuestros clientes las soluciones y calidad que ellos requieren.

Valores

 Responsabilidad
 Confianza
 Compromiso
 Lealtad
 Respeto

Los servicios entregados por esta empresa son los siguientes.

Consultoría e implementación de soluciones de BMC Software

 Diseño, arquitectura, implementación y despliegue.

 Desarrollo de aplicaciones y automatización de flujos de trabajo a la medida.

91
  Personalización de aplicaciones en base a necesidades y requerimientos específicos del
cliente.
 Integraciones con otras soluciones de BMC y productos de terceros.
 Desarrollo y personalización de reportes.
 Upgrade de versiones, migración de aplicaciones y arquitectura.
 Instalación de parches y service packs.
 Respaldo de información y flujos de trabajo.

Capacitación de soluciones de BMC Software:

 Capacitación para administradores.

 Capacitación para usuarios finales.
 Capacitación para usuarios de soporte.

Soporte de soluciones de BMC Software:

 Soporte en sitio.
 Soporte remoto.

Consultoría en Gestión de Procesos

 ITIL
 COBIT

Consultoría e implementación de soluciones de Virtualización

 VMWare
 Citrix

Consultoría e implementación de soluciones Microsoft

• Exchange
 Active Directory Domain Controller
 DNS
 IIS
 SQL

Desarrollo de aplicaciones a la medida (Fabrica de software)

• .NET

92
 • JAVA
• PHP
• HTML
• ORACLE
• SQL

Administración de redes, cableado estructurado y seguridad perimetral

• Proofpoint Enterprise Protection (Secure Email Gateway)

• HP TippingPoint
• Checkpoint Next Generation Firewall
• Palo Alto Networks Next Generation Firewall
• Symantec Endpoint Protection
• McAfee Network Security Sophos Unified Threat Management (UTM) con Secure Wi-Fi
• Sophos Enduser Protection Suites
• Sophos Endpoint Antivirus – Cloud
• Sophos PureMessage (Antivirus and anti-spam protection for your Microsoft Exchange
servers)
• Sophos for Microsoft SharePoint
• Sophos SafeGuard Encryption (Cifrado de disco y carpetas)
• Sophos Mobile Control (Control Dispositivos Moviles)
• Fortinet Unified Threat Management (UTM)
• Cisco LAN Switches

93
La empresa Anthares IT Services consta de la siguiente estructura:

Ilustración 20. Organigrama de la empresa

94
6.2 Aplicación del modelo

Actualmente, la mayoría de las PYMES no cuentan con un Sistema de Gestión de Seguridad de la

Información (SGSI) y por ello, el modelo propuesto pretende realizar como primera instancia, un
análisis costo beneficio para corroborar que rentar servicios por medio de un proveedor externo,
tiene un costo muy elevado. Adicionalmente, plantea la creación y gestión de un pequeño SOC
adaptado a las necesidades de la empresa, que le sea eficaz y eficiente para proteger la
integridad, disponibilidad y confidencialidad de la información.

Actualmente la empresa Anthares IT Services brinda servicios de soporte de TI a empresas dentro

de México y Latinoamérica, en estos se obtiene información sensible del cliente la cual es
almacenada en los sistemas de información internos y en diferentes documentos por lo cual se
requiere tener una mayor seguridad en el manejo de estos de acuerdo a los requerimientos de los
clientes y a la legislación nacional vigente como la ley general de protección de datos personales
entre otros.

6.3 Fase de Análisis

Para efectos del ejemplo caso práctico, se eligen los proveedores mencionados a continuación.

a) SICTUM
b) BESTEL

Para ambos casos, se solicita información de los servicios que oferta, precios mensuales y niveles
de servicio prestados en la atención de tickets y requerimientos e incidentes de seguridad.

a) SICTUM

DESCRIPCIÓN GENERAL SERVICIO NIVELES DE

SEGURIDAD PERIMETRAL OFERTADO SERVICIO
(SOC)
Son servicios enfocados a Seguridad perimetral tradicional
1.- Requerimientos:
proteger las redes y la (Firewall-FW, prevención de
infraestructura sensible-crítica intrusos-IPS, antivirus, filtrado de * 2 Horas
de ataques o explotación de contenido Web)
vulnerabilidades que puedan 2.- Cambios y / o
afectar la disponibilidad, Seguridad Perimetral Administrada Modificaciones
integridad y confidencialidad de (SPA) * 1 hora
la información del negocio,
mediante el soporte de personal 3.- Reportes
altamente calificado, las mejores mensuales
prácticas, procesos en gestión,
* Semana vencido

95
 DESCRIPCIÓN GENERAL SERVICIO NIVELES DE
SEGURIDAD PERIMETRAL OFERTADO SERVICIO
(SOC)
monitoreo de seguridad,
4.- Incidentes
respuesta a incidentes y control
seguridad
de configuraciones.
* Urgencia 5 min

* Alta 10 min

b) BESTEL

DESCRIPCIÓN GENERAL SERVICIO OFERTADO NIVELES DE SERVICIO

SEGURIDAD PERIMETRAL
Bestel cuenta con un Centro de
 Monitoreo y Correlación 1.- Requerimientos:
Seguridad de la Información, el
de Alarmas y Eventos
cual está custodiado por un * 2 Horas
de Seguridad
circuito cerrado de vigilancia y
Informática 2.- Cambios y / o
estrictos controles de acceso que
únicamente permiten el acceso al Modificaciones
 Operación y
personal autorizado Administración de la * 1 hora
Infraestructura de
3.- Reportes mensuales
Seguridad
* Semana vencido
 Gestión de
Vulnerabilidades 4.- Incidentes seguridad
 Respuesta a Incidentes * Emergencia 5 min

* Alta 10 min

c) Tabla de costos

SICTUM BESTEL SOC PROPIO

$180,000.00 $250,000.00 $600,000.00

Mensuales Mensuales Implementación total

96
6.4 Fase de Investigación

En esta fase se realiza un estudio de la empresa para conocer de manera general los servicios y
necesidades en cuestión de seguridad incluyendo los servicios prestados para identificar aquellos
que sean más importantes e iniciar la protección de la información de estos.

6.4.1 Información recabada dentro de la institución

Anthares IT Services es una empresa mexicana enfocada en la entrega de servicios profesionales

de consultoría en BSM (Business Service Management) de BMC Software entre los cuales ofrece
sus servicios a diversos clientes de gran magnitud entre los cuales destacan: instituciones
bancarias y proveedores de servicio de telefonía.

A pesar de ser una pequeña empresa, para Anthares IT Services por el rubro en el que se
encuentran sus clientes, es de suma importancia proteger la información proporcionada debido a
que tiene acceso a miles de datos sensibles.

Para obtener mayor confianza para clientes nuevos y existentes, la empresa considera que la
implementación de un Centro de Operaciones de Seguridad es de prioridad para disminuir el riesgo
de pérdida o robo de información y evitar la interrupción de servicios brindados.

Se aplicaron cuestionarios al personal de Anthares IT Services (Anexo) y con base a los datos
proporcionados se obtuvieron los siguientes resultados jerarquizados del más importante al menos
importante:

1. Los empleados de la empresa tienen entendimiento de los principales servicios que se ofrecen.

¿Identifica los principales servicios que presta la

empresa?

No Si

Ilustración 21 Entendimiento de servicios ofrecidos

97
2. Jerarquización de los servicios de acuerdo a la importancia, se agrupan del más importante al
menos importante.

Importancia Servicio
1 Consultoría e implementación de soluciones de BMC Software

2 Capacitación de soluciones de BMC Software

3 Soporte de soluciones de BMC Software

4 Consultoría en Gestión de Procesos

5 Consultoría e implementación de soluciones de Virtualización

6 Consultoría e implementación de soluciones Microsoft

7 Desarrollo de aplicaciones a la medida (Fabrica de software)

8 Administración de redes, cableado estructurado y seguridad perimetral

Tabla 2 Jerarquización de Servicios por importancia

3. Los empleados tienen conocimiento de que existe un inventario de la infraestructura actual de la

empresa.

¿Existe un inventario de la infraestructura actual?

No Si

Ilustración 22 Conocimiento de Inventario de Infraestructura

4. Principales problemas de seguridad de la información que han sido detectados dentro de las
organizaciones jerarquizadas del menos al más importante.

Tipo de Problema Resultados

Accesos no autorizados a aplicaciones. 5

Fuga de Información 4

Pérdida interna de Información 3

Manipulación de Información 1

Denegación de servicios 0

Tabla 3 Problemas de seguridad

98
5. De los servicios identificados en el SOC que desean monitorear inicialmente jerarquizados del
menos al más importante.

Servicios del SOC Resultados

Gestión de incidentes 5

Monitorización y gestión de logs 4

Monitorización de intrusiones y otros eventos de seguridad 4

Detección y gestión de vulnerabilidades 2

Monitorización y gestión de cortafuegos 0

Tabla 4 Jerarquización de Servicios

6. Enunciado describe mejor la madurez de un programa de seguridad de la información

jerarquizado del más importante al menos importante.

Programa de seguridad Resultados

Contar con un programa formal de detección que aprovecha tecnologías

3
modernas para monitorear ambos tráficos (externo e interno)

Utilizar una solución de seguridad para monitorear activamente la red, así como
1
las bitácoras de los IDS, IPS y de sistema

Contar con dispositivos de seguridad perimetral 0

Contar con una función formal y avanzada de detección que agrupe cada una de
las categorías de la tecnología moderna analizando datos sofisticados para 0
identificar anomalías

Tabla 5 Madurez de Programa de Seguridad.

99
7. ¿Actualmente cuenta con una estrategia de seguridad de la información o tolerancia de riesgo?

¿Actualmente cuenta con una estrategia de

seguridad de la información o tolerancia de riesgo?

No Si

Ilustración 23 Estrategia de seguridad existente.

8. ¿Dispone de personal capacitado para responder a las amenazas siempre cambiantes de la

seguridad?

¿Dispone de personal capacitado para responder a

las amenazas siempre cambiantes de la seguridad?

No Si

Ilustración 24 Personal Capacitado ante amenazas

9. Tareas del SOC le gustaría implementar en la empresa, jerarquizadas del más al menos
importante.

Tarea Resultados

Análisis de logs y correlación de eventos. 5

Administración de Soluciones de Autentificación. 5

Análisis de Vulnerabilidades. 3

Administración de IDS e IPS. 2

Auditoría de Redes Internas. 2

Antivirus y Anti-spywares de servidores y de 2

workstations.
Tests de Ataque y Penetración. 1

Tabla 6 Tareas de SOC a implementar

100
10. ¿Dispone de una base conocimientos para agilizar la resolución de las amenazas para evitar
un retraso en la seguridad de la empresa?

¿Dispone de una base conocimientos para agilizar la

resolución de las amenazas para evitar un retraso en la
seguridad de la empresa?

No Si

Ilustración 25 Existencia de Base de Conocimiento

6.4.2 Definición de alcance, límites y tipo de SOC propuesto

El alcance estará definido por un SOC adaptable a las necesidades de seguridad de la empresa,
adaptable a su infraestructura tecnológica y que permita gestionar los incidentes de seguridad de
Anthares IT Services.

El tipo de SOC a desarrollar, será uno básico, donde se gestione el monitoreo y reacción ante
incidentes de los principales activos, implementando el monitoreo interno, externo y perimetral.

6.4.3 Ubicación y tipo de SOC

De acuerdo al modelo propuesto se recomienda desarrollar el SOC en un lugar aislado de todo

riesgo, la opción más viable para Anthares IT Services es realizarlo en el estado de Querétaro,
donde la infraestructura se encontrará más segura y con la menor probabilidad de una posible
contingencia de tipo geológico, de acuerdo a estadísticas obtenidas del Servicio Geológico
Mexicano, ya que determina que este estado se encuentra en una zona B, es decir que son zonas
intermedias, donde se registran sismos no tan frecuentemente, o son zonas afectadas por altas
alteraciones pero que no sobrepasan el 70% de la aceleración del suelo.

6.4.4 Definición de activos y enfoque de evaluación del riesgo de la organización

La valoración de activos comprende el proceso de determinación de activos, establecimiento de las

amenazas sobre los mismos y cálculo del impacto a partir de varias escalas de valoración.

La infraestructura que actualmente interviene en el área de Sistemas de la empresa Anthares IT

Services son los siguientes:

101
 Tipo de Activo Activo
Servicios Servicio de Internet
Correo Electrónico Interno
Datos Datos de Gestión Interna
Datos Sensibles de clientes
Aplicaciones Sistemas Operativos
Navegador Web
Antivirus
Equipos Informáticos PC personales
Servidores
Redes de Comunicaciones Teléfonos personales
Equipos de acceso a internet
Personal Dirección General
Finanzas
Request & Support
Monitor & Operate
Provision & Configure
Project Management
Ventas
Preventa

Tabla 7. Determinación de Activos

Los activos enlistados serán ponderados con base a la escala correspondiente. Las dimensiones
referenciadas son Confiabilidad, Integridad y Disponibilidad. A continuación, se detalla los activos y
se estipula la ponderación de las dimensiones según el levantamiento de información:

Activo: Servicio Disponibilidad Confiabilidad Integridad Total

Servicio de Internet 5 4 4 13
Correo Electrónico Interno 5 4 5 14
Gestión de Identidades 5 5 5 15

Tabla 8.Ponderación de las Dimensiones de Activo Servicio

Activo: Datos Disponibilidad Confiabilidad Integridad Total

Datos de Gestión Interna 5 5 4 14

Datos de Carácter
5 3 3 11
Personal

Tabla 9. Ponderación de las Dimensiones de Activo Datos

Activo: Aplicaciones Disponibilidad Confiabilidad Integridad Total

Sistema Operativo 5 4 3 12
Navegador Web 3 3 3 9

102
 Antivirus 4 4 4 12

Tabla 10. Ponderación de las Dimensiones de Activo Aplicaciones

Activo: Equipos Disponibilidad Confiabilidad Integridad Total

Informáticos
Informática Personal 5 4 4 13
Periféricos 5 4 3 12
Soporte de Red 5 4 4 13

Tabla 11. Ponderación de las Dimensiones de Activo Equipos Informáticos

Activo: Redes de Disponibilidad Confiabilidad Integridad Total

Comunicaciones
Teléfonos personales 5 5 4 14
Equipo de acceso a
internet 5 5 5 15

Tabla 12. Ponderación de las Dimensiones de Activo Redes de Comunicaciones

Departamento Disponibilidad Confiabilidad Integridad Total

Dirección General 5 5 5 15
Departamento de
5 5 5 15
Finanzas
Departamento de Request
5 5 5 15
& Support
Departamento de Monitor
5 5 5 15
& Operate

Provision & Configure 5 5 5 15

Project Management 5 5 5 15

Departamento de Ventas 5 5 5 15

Tabla 13. Ponderación de las Dimensiones de Activo Personal

6.4.5 Determinación de las amenazas por activo

Activo: Servicio Amenazas

Servicio de Internet
Correo Electrónico Interno
Gestión de Identidades
Uso inapropiado / Acceso no autorizado
Falta de servicio
Interferencia
Usurpación de identidad / Acceso no autorizado
Falta de servicio
Reencaminamiento de mensajes
Uso no previsto
Uso no previsto
Manipulación de la credencial de acceso
Falta de energía eléctrica
Manipulación de la configuración del aplicativo

103
 Tabla 14. Determinación de Amenazas Activo Servicio

Activo: Datos Amenazas

Datos de Gestión Interna
Datos de Carácter Personal
Alteración de la información
Destrucción de la información
Cambio de ubicación de la información
Conocimiento no autorizado
Manipulación de la configuración
Divulgación de la información
Errores de los usuarios
Acceso no autorizado
Conocimiento no autorizado
Destrucción de la información
Degradación de la información
Divulgación de la información

Tabla 15. Determinación de Amenazas Activo Datos

Activo: Aplicaciones Amenazas

Sistema Operativo Suplantación de la identidad de usuario
Errores de administración
Propagación de software malicioso
Acceso no autorizado
Navegador Web Abuso de privilegio de acceso
Manipulación de configuración de red
Manipulación de programas
Antivirus Desactualización de antivirus
Errores de administración
Manipulación de programas

Tabla 16. Determinación de Amenazas Activo Aplicaciones

Activo: Equipos Amenazas

informáticos
Informática Personal Acceso no autorizado
Modificación de la asignación del equipo
Accidentes imprevistos
Falta de energía eléctrica
Manipulación de las propiedades del equipo
Ingreso no autorizado del equipo
Periféricos Acceso no autorizado
Accidentes imprevistos
Cambio de ubicación no autorizado
Soporte de Red Manipulación de la configuración de red
Errores de administración
Falta de energía eléctrica
Ausencia de puntos de red

Tabla 17. Determinación de Amenazas Activo Equipos Informáticos

Activo: Redes de Amenazas

comunicaciones
Teléfonos personales Manipulación de la asignación de las IPs

104
 Activo: Redes de Amenazas
comunicaciones
Falta de energía eléctrica
Accidentes imprevistos
Caída del servidor de la central telefónica
Equipo de Acceso a Manipulación de la configuración
Internet Accidentes imprevistos
Caída del servidor proveedor
Problemas con las conexiones del proveedor
Errores de administración
Falta de energía eléctrica

Tabla 18. Determinación de Amenazas Activo Redes de Comunicaciones

Activo: Personal Amenazas

Dirección General
Departamento de Finanzas
Departamento de Request & Support
Departamento de Monitor & Operarte
Departamento de Project Management
Departamento de Ventas
Desconocimiento de sus funciones
Mala organización
Indisponibilidad del personal
Divulgación de la información
Extorsión
Manipulación de la información
Destrucción de la información

Tabla 19. Determinación de Amenazas Activo Personal

6.4.6 Cálculo de riesgo

A partir del levantamiento de información, donde se arrojó el nivel de frecuencia e impacto al activo
mediante la amenaza se han calculado los riesgos por cada una:

Activo Amenazas Probabilidad Impacto Total

Uso inapropiado 3 3 9
Acceso no autorizado 2 4 8
Servicio de Internet
Falta de servicio 1 5 5
Interferencia 2 4 8
Usurpación de identidad 2 4 8
Falta de servicio 1 4 4
Correo Electrónico Acceso no autorizado 4 3 12
Interno Reencaminamiento de
4 3 12
mensajes
Uso no previsto 3 3 9
Uso no previsto 2 4 8
Manipulación de la
Gestión de Identidades 3 5 15
credencial de acceso
Falta de energía eléctrica 4 2 8

105
 Activo Amenazas Probabilidad Impacto Total
Manipulación de la
2 2 4
configuración del aplicativo
Usurpación de identidad 3 4 12
Robo o pérdida de la
4 5 20
credencial de acceso
Alteración de la
2 5 10
información
Destrucción de la
3 5 15
Datos de Gestión información
Interna Manipulación de la
2 5 10
configuración

Divulgación de información 4 4 16

Errores de los usuarios 4 4 16

Acceso no autorizado 3 3 9

Datos de Carácter Destrucción de información 2 5 10

Personal
Degradación de la
2 5 10
información

Divulgación de información 2 3 6

Suplantación de identidad
3 3 9
de usuario
Errores de administración 3 4 12
Sistemas Operativos
Propagación de software
2 3 6
malicioso
Acceso no autorizado 3 4 12
Abuso de privilegios de
4 3 12
acceso
Manipulación de
Navegador Web 2 3 6
configuración de red
Manipulación de
2 2 4
programas
Desactualización de
1 2 2
antivirus

Antivirus Errores de administración 2 2 4

Manipulación de
2 2 4
programas
Acceso no autorizado 3 2 6
Modificación de la
3 2 6
Informática Personal asignación del equipo
Accidentes imprevistos 3 2 6
Falta de energía eléctrica 3 2 6

106
 Activo Amenazas Probabilidad Impacto Total
Manipulación de las
3 2 6
propiedades del equipo
Ingreso no autorizado de
2 3 6
equipo

Acceso no autorizado 5 3 15
Periféricos
Impresoras Scanners Accidentes imprevistos 4 3 12
Cambio de ubicación no
3 3 9
autorizado
Manipulación de
2 4 8
configuración de red

Errores de administración 2 4 8
Soporte de Red
Falta de energía eléctrica 4 5 20

Ausencia de puntos de red 4 4 16

Manipulación de
2 4 8
asignación de IPs

Falta de energía eléctrica 3 5 15

Central Telefónica
Accidentes imprevistos 3 3 9
Caída del servidor de la
4 4 16
central telefónica
Manipulación de
2 4 8
configuración

Accidentes imprevistos 2 4 8

Caída del servidor

2 4 8
Equipo de Acceso a proveedor
Internet Problemas con las
2 4 8
conexiones del proveedor

Errores de administración 2 4 8

Falta de energía eléctrica 3 5 15

Desconocimientos de sus
4 4 16
funciones
Mala organización 3 3 9
Indisponibilidad del
Personal: 2 2 4
personal
Diferentes áreas
Divulgación de información 3 3 9

Extorsión 3 2 6
Manipular información 4 4 16

107
 Activo Amenazas Probabilidad Impacto Total
Destruir información 4 4 16

Tabla 20. Resultado del Cálculo de Riesgo de los Activos

6.4.7 Plan de tratamiento de riesgo

ACTIVOS AMENAZAS VULNERABILIDADES PTR

No respetar los límites de
Aceptar
acceso
Uso inapropiado
Falta de capacitación sobre los
Reducir
límites de acceso
Servicio de
No respetar los límites de
Internet Acceso no autorizado Aceptar
acceso
Problemas del proveedor de
Falta de servicio Transferir
internet
Interferencia Falta de protección de la red Aceptar
Falta de control en el acceso Reducir
Usurpación de identidad Divulgación de la información
de acceso Reducir
Transferir
Falta del servicio de Internet
Falta de servicio Interferencia con el servidor
Reducir
Correo interno de correo
Electrónico
No respetar los límites de
Interno Aceptar
acceso
Acceso no autorizado
Usurpación de identidad
Reducir

Reencaminamiento de Falta de seguridad en la

Aceptar
mensajes transferencia de mensajes
Uso no previsto Falta de políticas Reducir
Uso no previsto Falta de políticas Reducir
Falta de implementación de
Gestión de Manipulación de la
mayor seguridades en la Reducir
Identidades credencial de acceso
credencial

Falta de energía eléctrica Falta de generador eléctrico Aceptar

108
ACTIVOS AMENAZAS VULNERABILIDADES PTR

Manipulación de la
Falta de políticas Reducir
configuración del aplicativo

Usurpación de identidad Falta de control en el acceso Reducir

Robo o pérdida de la Falta de método de apoyo para

Reducir
credencial de acceso el caso
Insuficiente entrenamiento de
Alteración de la información Reducir
empleados
Falta de un debido control de
Destrucción de la
acceso a usuarios y de una Reducir
información
protección física
Datos de Cambio de ubicación de la Falta de protección física
Reducir
Gestión información adecuada
Interna Manipulación de la Falta de un debido control de
Reducir
configuración acceso a usuarios
Divulgación de la
Almacenamiento no protegido Reducir
información
Falta de conocimiento y
Errores de los usuarios Reducir
oportuno entrenamiento
Falta de políticas y protección
Acceso no autorizado Reducir
física
Falta de un debido control de
Destrucción de la
acceso a usuarios y de una Reducir
información
protección física
Degradación de la Falta de mantenimiento
Datos de Reducir
información adecuado
Carácter
Divulgación de la
Personal Almacenamiento no protegido Aceptar
información
Falta de protección contra
Ataque de virus Aceptar
aplicaciones dañinas

Insuficiente entrenamiento de
Manipulación de programas Aceptar
empleados

Sistema Propagación de software Falta de protección y controles

Aceptar
Operativo malicioso en las configuraciones de la red

109
ACTIVOS AMENAZAS VULNERABILIDADES PTR
Falta de políticas y protección
Acceso no autorizado Reducir
física
Abuso de privilegio de Falta de conocimiento y
Reducir
acceso oportuno entrenamiento
Manipulación de
Falta de control de acceso Aceptar
configuración de red
Insuficiente entrenamiento de
Manipulación de programas Aceptar
empleados

Navegador Suplantación de la
Falta de control de acceso Aceptar
Web identidad de usuario

Caída del servidor web Instalación de SW no

Aceptar
Open KM Autorizado

Acceso no autorizado Falta de políticas Reducir

Modificación de la
Falta de control de Acceso Aceptar
Antivirus asignación del equipo
Condiciones locales donde los
Accidentes imprevistos recursos son fácilmente Reducir
afectados
Falta de acuerdos bien
Falta de energía eléctrica Aceptar
definidos con terceras partes
Manipulación de las
Falta de control de acceso Aceptar
propiedades del equipo
Ingreso no autorizado del
Falta de control de acceso Aceptar
Informática equipo

Personal Acceso no autorizado Falta de control de acceso Reducir

Condiciones locales donde los

Accidentes imprevistos recursos son fácilmente Reducir
afectados
Cambio de ubicación no Falta de protección física
Aceptar
autorizado adecuada
Manipulación de la
Falta de control de seguridad Aceptar
configuración de red
Periféricos
Falta de conocimiento de
Errores de administración Reducir
funciones del administrador

110
ACTIVOS AMENAZAS VULNERABILIDADES PTR

Falta de acuerdos bien

Falta de energía eléctrica Reducir
definidos con terceras partes

Capacidad insuficiente de los

Ausencia de puntos de red Reducir
recursos
Manipulación de la
Falta de control de acceso Aceptar
asignación de las IPs
Soporte de
Falta de acuerdos bien
Red Falta de energía eléctrica Reducir
definidos con terceras partes
Condiciones locales donde los
Accidentes imprevistos recursos son fácilmente Reducir
afectados

Caída del servidor de la Falta de acuerdos bien

Reducir
central telefónica definidos con terceras partes

Manipulación de la
Falta de control de acceso Aceptar
configuración
Central
Condiciones locales donde los
Telefónica
Accidentes imprevistos recursos son fácilmente Reducir
afectados

Caída del servidor Falta de acuerdos bien

Transferir
proveedor definidos con terceras partes

Problemas con las Falta de acuerdos bien

Transferir
conexiones del proveedor definidos con terceras partes
Falta de conocimiento de
Errores de administración Reducir
funciones del administrador
Falta de capacitación del
Falta de energía eléctrica Reducir
administrador
Equipo de
Desconocimiento de sus Falta de conocimiento y
Acceso a Reducir
funciones oportuno entrenamiento
Internet
Desconocimiento de estándares
y reglas establecidas por la
Mala organización Reducir
empresa
Falta de reglas según el caso
Indisponibilidad del Falta de conocimiento y
Aceptar
personal oportuno entrenamiento

111
 ACTIVOS AMENAZAS VULNERABILIDADES PTR
Divulgación de la
Almacenamiento no protegido Reducir
información
Desconocimiento de estándares
y reglas establecidas por la
Extorsión Reducir
empresa
Falta de reglas según el caso
Áreas
funcionales Manipulación de la Insuficiente entrenamiento de
Reducir
de la información empleados

organización
Falta de un debido control de
Destrucción de la
acceso a usuarios y de una Reducir
información
protección física

Falta de especificaciones con

Falla en la elección del
respecto a la selección de Reducir
personal
personal

Tabla 21. Plan de Tratamiento de Riesgo

6.5 Fase de Aplicación

En esta fase se definen los controles propuestos para mitigar los riesgos, políticas y
procedimientos que apoyan a regular los procesos de seguridad y los elementos de creación para
el SOC.

6.5.1 Controles aplicables a la operación del SOC

Asegurar que los empleados del SOC estén conscientes de las amenazas de seguridad, de sus
responsabilidades y obligaciones y que están equipados para cumplir con la política de seguridad
de la organización en el desempeño de sus labores diarias, para reducir el riesgo asociado a los
errores humanos.

1.- Control: Supervisión de las obligaciones

La Dirección debería requerir a empleados, usuarios y terceras partes aplicar la seguridad en

concordancia con las políticas y los procedimientos establecidos de la organización.

2.- Control: Políticas y procedimientos

112
Todos los empleados asignados a operar el SOC, deben seguir el manual de políticas y
procedimientos dentro de sus actividades del día a día documentados en el anexo.

3.- Control: Formación y capacitación en Seguridad de la Información

Todos los empleados de la organización y donde sea relevante, usuarios y proveedores deberían
recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y
procedimientos organizacionales como sean relevantes para la función de su trabajo.

6.5.2 Recomendaciones / Estructura funcional para la operación del SOC

1. Definición de hardware y software mínimo requerido.

El software y hardware requerido, serán los activos con los que cuenta actualmente la empresa, sin
embargo, se propone adquirir un IDS e IPS para complementar la infraestructura de seguridad.

2. Establecimiento de tiempos de atención y niveles de servicio.

Incidente Tiempo de atención

1.- Requerimientos 2 horas

2.- Cambios / Modificaciones 1 hora

3.- Reportes mensuales Semana vencida

4.- Incidentes de seguridad 5 min / Emergencia

10 min / Alto

3. Definición de herramientas de monitoreo (SIEM).

a) Netscout (Monitoreo Perimetral y de tráfico de Red)

b) Arcsight (Monitoreo Perimetral y correlacionador de eventos)
c) Sentinel (Monitoreo interno)
d) RSA (Monitoreo externo y prevención de uso indebido de la carta)

Eventualmente, la reacción apropiada a un ataque es sobre todo una cuestión de organización y

procedimientos para ser aplicados por los equipos de respuesta a incidentes. La reacción se
extiende desde el monitoreo pasivo para obtener más información pasando por un paro de
emergencia del sistema objetivo hasta reportar el incidente. Desde luego, la reacción apropiada
debe ser determinada antes de que un ataque ocurra y los procedimientos deben ser validados
entonces de forma segura almacenando y haciendo accesible a los equipos de supervisión. En
términos simples, un cierto nivel de escalación debe ser definido para asegurar una reacción rápida
y efectiva, en paralelo con el empleo de recursos humanos apropiados.

113
Otro aspecto para ser especificado es el tiempo establecido para un adecuado manejo del
incidente, definido, en el cual el procedimiento de reacción debe ser lanzado, según la criticidad del
ataque. Una vez que este retraso es agotado, la escalación al siguiente nivel (superior) debe ser
automática.

El primer nivel debe ser lo que nosotros llamamos agentes, por ejemplo, un equipo de personas
con nivel técnico medio, que sea capaz de entender los eventos generados así como los
procedimientos de reacción para aplicarse (esto es necesario, así como es importante ser capaz de
saber cuándo la aplicación de tal procedimiento fracaso). Los agentes escalan incidentes hacia el
nivel dos, si el evento no corresponde con los criterios "eventos conocidos" o "reacción predefinida"
o si el tiempo límite es alcanzado dependiendo la criticidad del incidente.

El segundo nivel debe ser un equipo de expertos técnicos. Estos expertos son responsables del
análisis de los eventos de intrusión que no han sido definidos a prioridad. Su prioridad es de
calificar eventos con la ayuda de la interfaz consola de SOC y la base de datos de conocimiento
(KDB) para proporcionar una solución temporal para ser aplicado por el nivel uno (de agentes),
manteniéndose pendientes para investigación remota o soluciones permanentes.

El tercer nivel debe ser un área especializada en el cual los paquetes sospechosos, operaciones
de sistema etc. serán reproducidos nuevamente y bajo un ambiente controlado, para determinar la
naturaleza de la intrusión desconocida y proporcionar un procedimiento de reacción totalmente
calificado, con ello se creará una KDB que permita registrar dichos eventos y con ello agilizar la
respuesta en la operación.

De acuerdo a esta forma de reaccionar ante incidentes y teniendo presente el modelo de

administración planteado, se puede observar que para el correcto funcionamiento del Centro de
Operaciones de Seguridad se requiere como mínimo indispensable de un área de gestión que se
encargue de manera general de supervisar los puntos explicados en el modelo de administración,
asegurando el funcionamiento del SOC y favoreciendo la interacción con las otras áreas de la
organización, principalmente en caso de que exista un Oficial de Seguridad, el CIO, comité de
seguridad y demás figuras de la alta dirección.

Los procedimientos de reacción generan como consecuencia lógica un reporte; el procedimiento

de reporte, así como la supervisión de la adecuada escalada de procedimientos de reacción a
incidentes y la consecuente interacción que generen los reportes son responsabilidad también del
área de gestión. Es decir cuando menos se requiere de tres áreas funcionales, que son el área de
gestión, los agentes de monitoreo de las consolas y los analistas de seguridad. Aunque sería
deseable para favorecer la reacción ágil de incidentes de las categorías más altas, contar con el

114
equipo de nivel 3. Que debe contar entre su personal con gente que conozca de ataques y como
montarlos para reproducir ataques de alta categoría y obtener soluciones estables

Ilustración 26.Propuesta de Organigrama de SOC

Como se puede observar en la Ilustración 26, los Auxiliares administrativos y la mesa de

Reproducción y Documentación de nuevos ataques pudieran ser un equipo circunstancial. En caso
de no contar con un equipo de nivel 3, el área de gestión deberá proporcionar los procedimientos
de interacción con otras áreas funcionales de la organización, para integrar aunque sea de forma
circunstancial, el equipo de personas que pueda proporcionar el nivel 3 de escalación.

6.6 Fase de Prevención

En este punto se sugieren algunas políticas y procedimientos a implementar respecto al ciclo de

vida de la información (creación, uso, almacenamiento y destrucción) dentro de la organización.

6.6.1 Creación y Uso de la información

Para realizar la correcta aplicación del modelo, se retoman cuestiones asociadas a la seguridad
de recursos humanos, tomando en cuenta como punto inicial los roles y responsabilidades de
empleados, contratistas y terceros en concordancia con las políticas de seguridad de la
información de la organización, así como los términos y condiciones del empleo para satisfacer
las obligaciones contractuales, definiendo de ésta manera la responsabilidad legal de ambas
partes.

115
6.6.2 Condiciones de Uso, Almacenamiento y Borrado

En relación a los tipos de información con los que cuenta la organización, se define la jerarquía
de los responsables con respecto al uso, almacenamiento y borrado de la información a su
cargo, tomando en cuenta que el uso de la información implica la creación, consulta y
modificación de la misma.

Para esta acción se toma en cuenta la jerarquía del puesto, así como las condiciones
contractuales del empleado, contratista o tercero, en caso de carecer de las mismas en el
contrato de la persona física o moral, se solicita anexar información definida al menos con los
siguientes puntos:

a) Que todos los usuarios empleados, contratistas y terceros que tienen acceso a
información sensible debieran firmar un acuerdo de confidencialidad o no divulgación
antes de otorgarles acceso a los medios de procesamiento de la información.
b) Las responsabilidades y derechos de los empleados, contratistas y cualquier otro usuario;
por ejemplo, con relación a las leyes de derecho de autoría, el derecho al secreto
profesional y legislación de protección de datos.
c) Las responsabilidades para la clasificación de la información y la gestión de los activos
organizacionales asociadas con los sistemas y servicios de información manejados por el
empleado, contratista o tercera persona.
d) Responsabilidades del usuario empleado, contratista o tercera persona con relación al
manejo de la información recibida de otras compañías o partes externas.
e) Las responsabilidades de la organización por el manejo de la información personal,
incluyendo la información personal creada como resultado de, o en el curso del empleo
con la organización.
f) Las responsabilidades que se extienden fuera del local de la organización y fuera del
horario normal de trabajo; por ejemplo, en el caso del trabajo en casa.
g) Las acciones a tomarse si el usuario empleado, contratista o tercera persona no cumple
los requerimientos de seguridad de la organización.

La organización debe asegurarse que los usuarios empleados, contratistas y terceras personas
acepten los términos y condiciones concernientes a la seguridad de la información apropiada
según la naturaleza y extensión del acceso que tendrán a los activos de la organización
asociados con los sistemas y servicios de información.

Cuando fuese apropiado, las responsabilidades contenidas dentro de los términos y condiciones
del empleo deben continuar por un período definido después de terminado el empleo.

116
Políticas

1. Usar únicamente en equipo autorizado por la organización para trabajar (laptops, USB,
equipo de escritorio, dispositivos de almacenamiento externo, entre otros).

2. Generar perfiles de usuario (usuario y contraseña) de acuerdo al área funcional de cada

empleado, contratista o tercero; estableciendo permisos y restricciones para poder
realizar sus actividades.

3. Determinar la ruta especifica de almacenamiento de la información de acuerdo a cada

área funcional de la organización.

4. El equipo autorizado para cada empleado se debe usar exclusivamente para realizar las
labores referentes a su puesto de trabajo y no para uso personal.

Procedimientos

1. Definir qué tipo de equipo utilizara cada empleado de acuerdo al puesto desempeñado,
en caso de que el equipo a utilizar sea equipo de cómputo portátil o dispositivos de
almacenamiento externo es necesario que se encuentre asegurado. El perfil de usuario
designado a cada empleado, contratista o tercero debe cubrir:

 Cuenta de usuario la cual debe ser otorgada única mente a la persona

responsable de la misma y debe tener establecida la vigencia.

 Contraseña de la cuenta de usuario que debe de tener una longitud mínima

de 8 caracteres los cuales pueden ser: numéricos, alfanuméricos,
mayúsculas y/o minúsculas y caracteres especiales.

2. Se debe dar a conocer en cada área funcional de la organización la ruta en la que se

guarda la información.

117
Conclusiones

Mediante el desarrollo de este trabajo se concluye que la propuesta de modelo planteado de un

centro de operaciones de seguridad basado en las etapas de dicho modelo se hace hincapié en la
etapa del análisis para determinar un costo-beneficio con empresas externas que otorgan el
servicio de SOC, se concluyó que es más factible tener un SOC propio ya que así su personal y
su tiempo de reacción es más rápido que cuando dispones de un tercero además, de que se
utilizan sus recursos humanos, procesos y tecnologías para ayudar a su organización a prevenir,
detectar y responder a las vulnerabilidades y amenazas en tiempo real.

Económicamente, el costo del SOC es mayor al momento de contratarlo aunque con empresas
externas son contratos anuales con pagos mensuales donde su costo se eleva al pagar a tantos
expertos al mes mientras que si es propio ya dispondrá de ese personal y tecnología que puede
reutilizar para la implementación del SOC con lleva que al principio tenga que gastar en
capacitaciones y material adicional al SOC solo una vez, y solo teniendo que realizar
mantenimientos menores a la infraestructura y capacitación constante en nuevas amenazas.

Además, se obtuvieron resultados óptimos en los servicios a gestionar en el SOC abarcan

principalmente los siguientes puntos: la disminución de la probabilidad de aparición de cualquier
incidente de seguridad, una monitorización constante para detectar amenazas, reacción al instante
de cualquier incidente de seguridad, centralización, elaboración de planes de resolución inmediata
que permitan neutralizar la amenaza y se propone de una capacitación continua del capital
humano para obtener un equipo multidisciplinario que pueda aconsejar y apoyar a la dirección en
la toma de decisiones para un crecimiento exponencial del negocio basado en una seguridad
estable.

Por otra parte, es de suma importancia mencionar que la clave para obtener un mejor desempeño
del centro es que se colabore con diferentes organismos y entidades que velen por la seguridad de
los sistemas de información ya sea dentro y fuera de la empresa.

Se ha corroborado que este modelo no es una panacea para obtener un 100% de seguridad ya
que este porcentaje es imposible de alcanzar pero con una activada y especializada actividad de
seguridad se podrá responde al momento cualquier amenaza, además se debe mantener una
actualización constante de las nuevas amenazas ya que estas son nuevas cada día para infligir
dolo en las empresas.

118
Bibliografía

ACISSI (2015). Seguridad Informática - Hacking Ético (3ra Edición). España: Epsilon.

Alexander A. (2012). Diseño de un sistema de gestión de seguridad de información. México:

Alfaomega.

Barbero C. y Ramos A. (2014). Seguridad Perimetral, Monitorización y Ataques en Redes. España:

RA-MA.

Chicano E. (2015). Gestión de incidentes de seguridad informática (1ra edición). España: IC

editorial.

Dulaney E. (2012). Seguridad Informática: Comptia Security+ (1ra Edición). España: Anaya
Multimedia-Anaya Interactiva.

Gómez A. (2011). Enciclopedia de la Seguridad Informática (2da Edición). España: Alfaomega RA-
MA.

Gómez A. (2011). Auditoria de Seguridad Informática. España: Starbook.

Margulies J y Pfleeger C. (2015). Security in Computing, Fifth Edition (5ta edición). Estados Unidos:
Prentice Hall.New.

Northcutt S. y Novak J. (2001). Detección de Intrusos: Guía Avanzada (2da Edición). Estados
Unidos: Pearson Educación.

Padilla J. Informática Jurídica. México: Sistema Tecnológico de edición.

CITA DE INTERNET

Aggleton, David (2013). Buenas prácticas para diseñar de un SOC, recuperado el 3 de Octubre de
2015 de http://www.securityinfowatch.com/article/10893524/best-practices-for-soc-design.

Boto, Carlos (2009). Relevancia de la Seguridad informática en la Industria, recuperado el 3 de

Octubre de 2015 de www.revistadintel.es/Revista/Numeros/Numero4/Seguridad/Industria/boto.pdf

Bestel (2012) Conceptos básicos y funciones del SOC, recuperado el 3 de Octubre de 2015 de
http://www.bestel.com.mx/soc.html.

119
Emc2 (2013). Puntos clave para crear un Centro de Seguridad inteligente, recuperado el 3 de
Octubre de 2015 de http://mexico.emc.com/collateral/technical-documentation/h11533-intelligence-
driven-security-ops-center.pdf

Mcafee (2013) Guía de mantenimiento para la creación de un SOC, recuperado el 3 de Octubre de

2015 de http://www.mcafee.com/ca/resources/white-papers/foundstone/wp-creating-maintaining-
soc.pdf.

120
Glosario

Amenaza: Es todo elemento o acción capaz de atentar contra la seguridad de la información, a

través del aprovechamiento de una vulnerabilidad.

Análisis de Vulnerabilidades: Es Identificar y ponderar las debilidades en la infraestructura y

aplicaciones de la organización.

Bitácora de Auditoría: Registro de eventos durante un periodo de tiempo específico. Con la

finalidad de obtener información de lo que ocurre en un dispositivo o aplicación en particular.

Centro de Operaciones de Seguridad (SOC): Plataforma que ayuda en la administración de la

seguridad informática de la organización y tiene como propósito proveer servicios de detección y
reacción a incidentes de seguridad

Controles: Las políticas, procedimientos, prácticas, dispositivos y estructuras organizacionales que

están diseñados para brindar confianza razonable de que se alcanzarán los objetivos de negocio y
que se evitarán, o bien, detectarán y corregirán los eventos no deseados.

Disponibilidad: Garantizar que los sistemas de información y los datos estén listos para su uso
cuando se les necesita.

Firewall: Dispositivo y/o programa que impide el acceso no autorizado desde cualquier punto
exterior de una red hacia el interior de otra red. Mecanismo que permite que las comunicaciones
entre una red y otra se realicen conforme a las políticas de seguridad previamente definidas.

Incidente: Evento único o serie de eventos de seguridad de la información inesperados o no

deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y
amenazar la seguridad de la información.

Ingeniería Social: Es el método utilizado por los atacantes para engañar a los usuarios
informáticos, para que realicen una acción que normalmente producirá consecuencias negativas,
como la descarga de malware o la divulgación de información personal.

Integridad: La precisión y validez de la información; es decir, que no ha sido modificada.

Monitoreo: Valoración periódica de un registro o control.

Riesgo: Es la probabilidad de que una amenaza aproveche una vulnerabilidad en uno o varios
activos de información generando un impacto a la organización.

121
Seguridad de la Información: Conjunto de medidas preventivas y correctivas que permiten
proteger la integridad, confidencialidad y disponibilidad de los activos de información de la
organización.

Vulnerabilidades: Una deficiencia en el diseño, la implementación, la operación o los controles

internos en un proceso, que podría explotarse para reducir la seguridad del sistema.

122
Anexos

Políticas y procedimientos para el SOC

Capítulo 1 .Disposiciones Generales

Artículo 1º Ámbito de aplicación y fines

1.1 Las políticas de seguridad en cómputo tienen por objeto establecer las medidas de índole
técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de
información equipos de cómputo, sistemas de información, redes de (Voz y Datos) y personas que
interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de
cómputo la empresa Anthares IT Services.

1.2 Anthares IT Services a través del Comité de Informática es quien aprobará y dará a conocer
estas políticas de seguridad internamente.

1.3 El Departamento de Informática puede agregar guías particulares complementarias de acuerdo

a su naturaleza y funciones. Además será el responsable de hacer cumplir las políticas de
seguridad

Artículo 2º Frecuencia de evaluación de las políticas.

3.1 Se evaluarán las políticas del presente documento, con una frecuencia anual por el Comité de
Informática de Anthares IT Services.

3.2 Las políticas serán evaluadas por el Departamento de Sistemas con una frecuencia semestral.

Capítulo 2. Políticas de Seguridad Física

4.1 Todos los sistemas de comunicaciones estarán debidamente protegidos con la infraestructura
apropiada de manera que el usuario no tenga acceso físico directo. Entendiendo por sistema de
comunicaciones: el equipo activo y los medios de comunicación.

4.2 El acceso de terceras personas debe ser identificado plenamente, controlado y vigilado durante
el acceso portando una identificación que les será asignado por el área de seguridad de acceso al
edificio.

4.3 Las visitas internas o externas podrán acceder a las áreas restringidas siempre y cuando se
encuentren acompañadas cuando menos por un responsable del área con permiso del Jefe del
Departamento de Informática o del responsable del SOC.

123
4.4 Las visitas a las instalaciones físicas de los centros de cómputo, SOC, laboratorios o salas de
videoconferencia se harán en el horario establecido y cumpliendo lo estipulado en el artículo 4.3.

4.5 El personal autorizado para mover, cambiar o extraer equipo de cómputo de Anthares IT
Services es el responsable del mismo o el superior responsable a través de identificaciones y
formatos de Entrada/Salida, el cual notificará al personal de seguridad.

Capítulo 3. Controles aplicables

3.1 Auditorias de redes

 Debe generarse un plan de monitorización de red utilizando algún escáner de seguridad

integral (Overall Security Scanner)
 Con respecto a las conexiones a internet deben almacenarse datos sobre: Numero de IP
de la maquina conectada, dirección de las páginas visitadas, cookies guardadas, archivos
descargados, servicios utilizados, aplicaciones utilizadas.
 Con respecto a la utilización de correo electrónico deben almacenarse datos sobre, correo
entrante y saliente, hora de envió, contenido de email, asunto de email, archivos adjuntos,
reporte de virus de cada parte del email, direcciones de maquina destino y fuente, tamaño
del mensaje.

3.2 Plan de contingencia

 Se deberá asegurar la continuidad de la recolección de datos y su procesamiento ante

cualquier contingencia que afecte a los centros de procesamiento. Para ello se deberá:
 Generar procedimientos manuales de respaldo para cada una de las actividades
desarrolladas en la empresa, preparar, probar y mantener actualizado un plan de
contingencias coordinando el mismo con los procedimientos de copias de respaldo y
almacenamiento externo. Dicho plan deberá ser desarrollado de forma tal que cubra las
distintas áreas de riesgo, definir y asignar claramente las responsabilidades de las tareas
detalladas en el plan, prever un programa de entrenamiento para el personal involucrado
en el plan de contingencias.
 Deberá almacenarse una copia del plan de contingencias en el exterior de la empresa
protegiéndola contra su divulgación y actualizándola permanentemente.

3.3 Backup de equipamiento

 El equipamiento informático de la empresa debe contar con dispositivos de respaldo, ante

cualquier tipo de incidente.

124
  Los mecanismos de recuperación de los dispositivos de respaldo deben ser probados
periódicamente comprobando su buen funcionamiento.
 El sistema informático no deberá verse afectado ante una contingencia en el centro de
cómputo, por lo que el equipamiento informático debe distribuirse en lugares físicos
diferentes, contando ambos con las medidas y condiciones de calidad y seguridad
especificadas en esta política, distribuyendo de esta manera el equipamiento redundante.
 En el caso que ocurra alguna contingencia con el servidor de aplicaciones, el servidor de
internet se utilizara como servidor de aplicaciones. Este proceso no funcionara en sentido
inverso, es decir que el servidor de aplicaciones no reemplazara al servidor de internet.

3.4 Estrategias de recuperación de desastres

• Debe conformarse un grupo de desarrollo encargado de desarrollar, probar e

implementar el plan de contingencia, Este debe estar a cargo del administrador del centro de
cómputo e integrado por los líderes de cada área de la organización.

• Debe asignarse un orden de importancia a los sistemas de información y a los equipos

de la red informática, de acuerdo al análisis de riesgo y al impacto que representaría para la
empresa su ausencia.

• Los equipos deberán estar señalizados o etiquetados de acuerdo a la importancia de su

contenido, para ser priorizados en caso de evacuación.

• Deberán definirse las funciones o servicios críticos de la empresa, junto con los recursos
mínimos necesarios para su funcionamiento, asignándoles una prioridad en el plan de
contingencia.

• Deberán identificarse las contingencias que podrían ocurrir para cada nivel de servicio
crítico definido.

• Deberá conformarse un plan de emergencias determinando los procedimientos a

ejecutar para cada contingencia identificada, considerando los distintos escenarios posibles.
Cada procedimiento deberá estar claramente definido y tener asignado un responsable para
su ejecución.

Para el desarrollo del plan de contingencias deben contemplarse las siguientes pautas:

1. Deberá estar documentado y testeado antes de su puesta en práctica.

2. Deberá basarse en un análisis de riesgo, determinando que acciones merecen

estar incluidas.

125
 3. Deberá abarcar la totalidad de la empresa.

4. Deberá mantenerse actualizado de acuerdo a nuevos puestos de trabajo y

funciones.

5. Deberá ser probado frecuentemente.

6. Deberá contener la siguiente información:

a. Objetivo del plan.

b. Modo de ejecución.

c. Tiempo de duración.

d. Costes estimados.

e. Recursos necesarios.

f. Evento a partir del cual se pondrá en marcha el plan.

7. Debe definirse hasta cuanto tiempo se aceptara estar en condición de emergencia.

8. Debe documentarse la realización de las siguientes actividades después de un

incidente.

a. Determinar la causa del daño.

b. Evaluar la magnitud del daño que se ha producido.

c. Que sistemas se han afectado.

d. Que modificaciones de emergencia se han realizado.

e. Que equipos han quedado no operativos.

f. Cuales se pueden recuperar y en cuanto tiempo.

Cada una de estas actividades deberán ser reportadas por los líderes de cada área a un
miembro de la gerencia.

• Deberá asignarse el papel de coordinador a un empleado, que se encargara de las

operaciones necesarias para que el sistema funcione correctamente después de la
emergencia. Este deberá determinar las acciones a seguir basándose en el plan de
emergencias.

• Deberá retroalimentarse el plan luego de una contingencia ajustando las directivas en

consecuencia.

126
• Deben establecerse planes de prueba periódicos que incluyan simulacros de siniestros para
evaluar la eficacia y eficiencia del plan.

Capítulo 4. Políticas de Seguridad Lógica

4.1 Políticas de Confiabilidad

La gestión a desarrollar indica los siguientes parámetros para mantener la confiabilidad de la

información:

 Todo cambio dentro de la información del sistema debe ser notificada vía escrita firmada por el
jefe de departamento que comunica el cambio, directamente, al encargado del área de
sistemas.

 La información a ingresar debe ser correctamente revisada, y teniendo en cuenta que los datos
manejados son de vital importancia para el desempeño de las funciones de la compañía y aún
más relevantes para los clientes de la misma.

 La eliminación de la información no es permitida, solamente se pueden realizar registros

nuevos con la modificación

4.2 Políticas de Integridad

Se sugiere a la compañía seguir los siguientes lineamientos para mantener la integridad de su

información:

 Cada acceso al sistema deber mediante nombre de usuario y clave.

 El nombre de usuario y clave será dado al momento de la incorporación a la empresa.

 En caso de cambio de los datos de acceso, deberá ser notificado por escrito, detallando la
causa del cambio y firmado por el responsable y el jefe del departamento de recursos
humanos. Los cambios de cargo, sueldo, carga familiar, etc. se podrán realizar directamente
en el sistema asignado al área de recursos humanos.

 En caso de finalización de la relación laboral, deberá ser notificado por escrito, detallando la
causa y firmado por el responsable y el jefe del departamento de recursos humanos. El cambio
cambiará el estado de la información de acceso a inactivado. Una vez inactivado esta
información no podrá ser cambiado a ningún otro estado.

127
 Al intentar ingresar al sistema, solo se podrá escribir la clave hasta cinco veces. Al completar el
límite, el usuario de bloqueará.

 El bloqueo de un usuario solo podrá ser inhabilitado, mediante un oficio escrito donde se
detalle la causa del bloqueo firmado por el responsable y el jefe del departamento referido.
Este documento debe ser entregado al encargado del área de sistemas.

 La información de acceso es responsabilidad, totalmente, del empleado a la cual fue asignada

y no debe ser divulgada a ningún tercero.

 La información de acceso es considerada de carácter secreto e intransferible.

4.3 Políticas de disponibilidad

Las políticas de disponibilidad detallan las especificaciones para mantener la información correcta
para quienes la puedan consultar:

 El ingreso o modificación de la información del sistema será un proceso en línea.

 La información de los clientes es considerada de carácter privado.

 En caso de modificación de la información del sistema, el registro o los registros utilizados

serán bloqueados para evitar error en el cambio de los datos.

128