Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Propuesta de Modelo de Implementacion y Gestion para Un Soc PDF
Propuesta de Modelo de Implementacion y Gestion para Un Soc PDF
T E S I N A
P R E S . E N T A N
RIJKAARD GARDUÑO CALDERON
MARIO ALFONSO GOMORA OLALDE
JESUS RESENDIZ PARDO
ENNYSMARIANELATORICES COTARELO
P R E S E N T A
GEORGINA GIOVANA VÁZQUEZ GARCÍA
Los objetivos principales consisten en revisar las tecnologías con las que cuenta la empresa
Anthares IT Services para así disminuir el impacto económico y a fin de establecer medidas, guías
y procedimientos adaptables a las mejores prácticas existentes de la seguridad informática. Se
propone un sistema de gestión de seguridad de la información para la empresa Anthares IT
Services que mejora los procesos de capacitación y formación de seguridad de información y
demuestra que se aplica el conocimiento transmitido, mediante el establecimiento de
procedimientos y lineamientos referentes al tema ajustado a controles de actualización.
La propuesta engloba tres puntos importantes que se desarrollaron, los cuales son:
1. Evaluación y costo beneficio del modelo versus soluciones ofertadas por proveedores
2. Definición del alcance, límites y ubicación del SOC
3. Establecer el tipo de SOC a desarrollar, así como los controles, políticas y procedimientos
para su versión final .
El diseño del modelo del SOC se adapta a las necesidades de la institución, se promueve la
adopción de un enfoque de procesos para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar el SGSI de la organización. Para la ubicación física del SOC se toma en
consideración los Estados de la República Mexicana con menor porcentaje de riesgo calculado,
por lo tanto se propone que sea desarrollado en el estado de Querétaro donde la infraestructura se
encontrará más segura y libre de toda contingencia, se cuenta con una relación de infraestructura
ya existente y la estipulación con realizada con el levantamiento de información.
Eventualmente, se proponen reacciones que las llamamos apropiadas a un ataque, sobre todo se
habla de una cuestión de organización y procedimientos para ser aplicados por los equipos de
respuesta a incidentes. La reacción se extiende desde el monitoreo pasivo para obtener más
i
información pasando por un paro de emergencia del sistema objetivo hasta reportar el incidente. La
reacción apropiada debe ser determinada antes de que un ataque ocurra y los procedimientos
deben ser validados entonces de forma segura almacenando y haciendo accesible a los equipos
de supervisión.
ii
Introducción
Con el entendimiento de que los ataques pueden ser prevenidos antes de que sean un riesgo para
la organización, mediante la oportuna detección y respuesta de las amenazas en tiempo real, para
así obtener y mantener actualizada una base de conocimientos para reaccionar a posibles
amenazas en el futuro casi al instante. Las compañías deberían reforzar sus capacidades para
poder responder apropiadamente a la eventualidad que les corresponde al momento, dando
hincapié a la resolución de este tema para así mantener la estabilidad del negocio.
Incluso cuando un sistema es seguro, los métodos de prevención tradicionales pueden no detectar
todos los fraudes y ataques cibernéticos. Es por ello que las empresas deben permitirse el lujo de
tener a la seguridad como su principal aliado en todas las actividades que realice la empresa.
En esta tesina se abarcan todos los aspectos necesarios que requiere un centro de operaciones de
seguridad para su realización y administración, y con ello proporcionar una propuesta que evalúe si
es factible y costeable implementarlo en las empresas o de lo contrario rentar los servicios para
hacer frente a las amenazas en este mundo vertiginoso y cambiante día de día.
Con esta propuesta se le informa a la empresa Anthares IT Services que el modelo hará posible
mejorar su rendimiento a los fallos más comunes y graves de la gestión de acceso de la
información para esto se propone implementar niveles de servicio y gestión de incidentes de
seguridad para definir, negociar, notificar, confirmar, monitorizar y contener la actividad sospechosa
de la infraestructura de seguridad así se obtiene un máximo de calidad de los servicios de TI
ofrecidos.
La presente tesina se compone por seis capítulos en los cuales se muestran los conceptos básicos
y normativas necesarias para proponer un centro de operaciones con fundamento en el diseño
presentado, que permita la implementación y administración de un SOC que apoye a mitigar el
riesgo de ocurrencia de incidentes perjudiciales en la infraestructura tecnológica que comprometan
las operaciones del negocio y amenacen la seguridad de la información dentro de la empresa
tomando como base estándares internacionales y mejores prácticas.
Por lo tanto en el primer capítulo se expone el problema a realizar en esta tesina, así como los
objetivos que se buscan para solucionarlo y el fundamento del porqué es necesario realizarlo. A su
vez, en el siguiente capítulo se da un desglose del marco teórico a desarrollar propiciando una
visión general de lo que es la seguridad de la información, posibles riesgos en un sistema
informático, los mecanismos preventivos, las estadísticas en las organizaciones, el concepto de
que es un SOC, diferentes tipos de SOC, además de la infraestructura necesaria para
implementación del SOC.
iii
Con toda esta investigación recabada se lleva a cabo el capítulo tres donde se da un análisis
exhaustivo del SOC para disminuir los posibles actos que están enfocados en nuestro objetivo para
atacar rápidamente cualquier anomalía.
A su vez el capítulo cinco es la pieza que engloba toda la tesina ya que en él se desglosa el
modelo propuesto para la implementación de un centro de operaciones de seguridad (SOC)
recabando toda la información de capítulos anteriores para llegar a la definición de dicho modelo.
En el capítulo seis, después del análisis e investigación realizada en los capítulos anteriores se
hace frente a proponer el modelo a la empresa para mejorar y establecer políticas necesarias para
obtener los servicios de un centro de operaciones englobando así las opiniones del cliente para
una toma de decisiones eficaz dentro de la empresa Anthares IT Services.
iv
Capítulo I. Marco Metodológico
En este capítulo se expone el por qué se la elección de este tema enfocado en resolver la
problemática a través de establecer un objetivo principal desglosándolo en específicos con lo cual
se define dicho documento basado en técnicas e instrumentos de medición para el universo de la
problemática en cuestión.
Asimismo, se indica qué tipo de investigación se usa para el desarrollo y la forma en que se
desenvuelve para efectos del proyecto.
Actualmente, se sabe que la información es el activo más valioso dentro de las empresas y su
seguridad se ha vuelto de misión crítica dado que la mayoría es almacenada en forma digital y el
riesgo de sufrir algún tipo de ataque o riesgo va en aumento.
El empleo de las nuevas tecnologías y el amplio crecimiento de las instituciones, hace que la
información se vuelva más susceptible a ser usada para fines que comprometen su integridad,
disponibilidad y confidencialidad. El uso inadecuado de internet, correo electrónico, mensajería
instantánea o información en papel, puede tener graves consecuencias tanto legales como
económicas, ya que desatenderlas podría suponer pérdidas incalculables que pondrían en riesgo
la continuidad de la empresa. Además, de la complejidad de la mayoría de los ambientes
empresariales de TI, combinada con el predominio de los servicios móviles, de nube y la
accesibilidad cada vez mayor de las redes empresariales a redes externas, ofrece a los atacantes
muchos lugares para ocultarse y mucho más puntos para una posible intrusión.
1
La automatización de la tecnología puede ayudar a los analistas a aprovechar al máximo su tiempo
al reducir drásticamente la carga de trabajo que implica el cierre de incidentes de rutina de bajo
nivel. La automatización le da tiempo a los analistas para concentrarse en riesgos de mayor
prioridad que afectan a los activos más críticos de la organización.
Los resultados de los mejores equipos de operaciones de seguridad ilustran el impacto que se
produce al optimizar la interacción de personas, procesos y tecnologías en las operaciones de
seguridad. Al apoyarse en un programa de seguridad basada en inteligencia, las organizaciones
líderes pueden lograr resultados satisfactorios (como reducir el tiempo promedio para resolver
incidentes hasta en un 60%).
Un Centro de Operaciones de Seguridad (SOC por sus siglas en inglés) funcionando en forma,
puede ser el corazón de la detección efectiva. Ya que tiene como propósito proporcionar servicios
de detección y reacción a incidentes de seguridad, lo que permitirá a los responsables de la
Seguridad de la Información tomar decisiones oportunas que apoyen a la continuidad de la
operación de la infraestructura de TI que conforman los activos informáticos.
En el núcleo de un SOC exitoso están unos cimientos fuertes para la excelencia operacional,
impulsada por procesos bien diseñados y ejecutados, un gobierno fuerte, individuos capaces y en
constante motivación para mejorar y estar delante de sus ciberadversarios. Un buen SOC es aquel
que soporta los objetivos del negocio, mejora efectivamente la postura de riesgo de una compañía
y provee un ambiente de seguridad para que el negocio pueda generar sus objetivos primordiales,
alineado con su dirección y visión estratégicas.
Para mantener la operación del centro se toma como base la norma internacional ISO/IEC 27001,
la cual es la norma principal para la gestión de la seguridad de la información que ayudara a tener
una adecuada gestión y cumplimiento de los estándares de calidad en cuanto a niveles de servicio
y cumplimiento de normas.
Proponer un modelo adaptado a las necesidades institucionales que permita definir los elementos
necesarios que se requiere para implementar y administrar un centro de operaciones de seguridad
que apoye el monitoreo integral de dispositivos de ante incidentes y delitos informáticos.
2
Anthares IT Services y con base en este análisis desarrollar el modelo planteado estableciendo
instrumentos de medición para la aplicación correcta de estas herramientas.
a) Realizar una evaluación costo – beneficio con base a la oferta de proveedores externos
para saber si es costeable o no la implementación del modelo propuesto.
b) Revisar los activos y las diferentes tecnologías con las que cuenta actualmente la
organización e identificar el nivel de riesgo de los mismos.
c) Definir controles y medidas de seguridad que permitan mitigar el riesgo operativo, así como
definir políticas y procedimientos que apoye a puntualizar una arquitectura de seguridad
que proporcione las funciones de autenticación, autorización y registro de actividades.
d) Desarrollo de la propuesta del modelo.
El universo de la presente tesina está basado en el estudio estadístico enfocado a los problemas
de seguridad que se presentan en Latinoamérica de acuerdo a los estudios realizados por Eset en
el año 2014.
Una de las cuestiones que resulta interesante conocer para determinar en qué se enfocan las
empresas cuando se trata de la Seguridad de la Información, son aquellas preocupaciones por las
cuales invierten recursos para evitar problemas. Además de conocer solamente las
preocupaciones, es interesante analizar cómo cambian de acuerdo al tamaño de la empresa.
Tal como se puede observar en la Ilustración 1, resulta que la mayor preocupación para cerca del
70% de las empresas encuestadas en Latinoamérica son las vulnerabilidades de software y sus
sistemas. Esta preocupación se mantiene en el primer lugar independiente del tamaño de la
empresa, seguida por la infección con códigos maliciosos. En este caso, cabe resaltar que la
infección con malware tiene más impacto como preocupación entre las pequeñas y medianas
empresas en comparación con las grandes.
3
Ilustración 1.Preocupaciones de la Seguridad de la Información de las empresas de acuerdo a su tamaño.
4
Ilustración 2.Incidentes sufridos en las empresas de Latam.
Como se puede observar en la Ilustración 3 el Malware a nivel regional, las empresas encuestadas
en Colombia, Venezuela, Ecuador, Perú y Nicaragua son la que reportaron mayores niveles de
infecciones con códigos maliciosos. Esto no es una sorpresa cuando se observa que, por ejemplo,
en Colombia las detecciones de botnets crecieron un 10% durante 2014, y en países como
Ecuador y Venezuela se encuentran variantes de códigos maliciosos que no son los más comunes
comparados con el resto de Latinoamérica. En el caso de Perú, se muestra que es uno de los
países de la región con más detecciones de uno de los gusanos más propagados en la región,
VBS/Agent.NDH4. Tanto esta amenaza como JS/Bondat han causado un dolor de cabeza a más
de una empresa.
5
Ilustración 3.Infecciones con malware por país.
A diferencia de lo ocurrido en años anteriores, los incidentes relacionados con accesos indebidos a
la información fueron los más reportados por las empresas de la región como se observa en la
Ilustración 4. De hecho, tan solo fueron 5 de los 14 países encuestados en los que menos de la
mitad de las empresas tuvieron algún incidente de este tipo. En los 9 países restantes, más de la
mitad de las empresas declararon haber tenido un incidente de este tipo. Encontrar este incidente
en la primera posición en todos los países de Latinoamérica es el reflejo de lo que se vio durante
todo el año. Casos como los de Sony, Home Depot, eBay o Target dejaron en evidencia lo que
sucede con la información si no se toman las precauciones de seguridad adecuados. La pérdida y
exposición de información confidencial no es el único problema de un incidente de este tipo sino
que también supone un problema para la reputación de la empresa, y una probable disminución de
6
la confianza por parte de los clientes. De todas maneras, más allá de esto, cuando ocurre un
incidente de seguridad ya sea detectado de manera interna o a través de algún agente externo a la
compañía es notificado, las empresas deben relevar a qué información confidencial se tuvo acceso
y cómo es que los cibercriminales o atacantes lograron poner sus manos sobre esos datos.
Asimismo, estos incidentes pueden darse cuando no existen controles o perfiles correctos en las
redes de las empresas, y permiten que personal de otras áreas o sectores logren acceder a planes
confidenciales de la gerencia, administración, recursos humanos y demás.
7
Con el conocimiento de los principales problemas del universo seleccionado se hace uso de la
elaboración de esta tesina y proyecto de investigación, los datos entregados por la empresa
Anthares IT Services en la cual se selecciona a directores y jefes de área que conocen la
operatividad de la empresa así como las principales problemáticas de la seguridad en la
información tomando como base la interpretación que ellos tienen respecto a los problemas de
seguridad que existen en la organización, así como también estadísticas de incidentes que han
sido atendidos y registrados por el área de soporte existente actualmente.
1.6 Justificación
Desde que se incorpora la informática y la tecnología a los procesos de las empresas ha implicado
que las actividades que se realicen sean sistemáticas, sean más ágiles y sencillas. Sin embargo,
toda facilitación debe ir de la mano con la seguridad y protección.
La seguridad informática debe ser parte de la cultura de una organización donde sean utilizados
los recursos y activos de la manera que se decidió y que el acceso a la información ahí contenida,
así como su modificación solo sea posible a las personas que se encuentren acreditadas y dentro
de los límites de su autorización.
Los sistemas de hardware y software al ser creados por seres humanos y, más aún, los usuarios
en sí por su naturaleza, le imprimen a la Informática un sentimiento de inseguridad que debe estar
controlado; y nadie mejor que los dueños de cada proceso en conjunto con algún especialista en
esta materia, para orientarnos hacia qué medidas efectivas adoptar para estar protegidos.
8
Análisis. Estudio de los incidentes descubiertos por la detección. Con el análisis se pretende
discernir entre amenazas reales o falsos positivos.
Basándose en lo anterior, es de suma importancia que las empresas en colaboración con sus
especialistas y equipos de trabajo, tengan la obligación de proteger y resguardar su activo más
valioso: la información.
Esta tesina, busca aplicar los conocimientos de la Ingeniería en Informática empleando las
metodologías de normalización y calidad en el proceso de desarrollo e implementación del SOC,
garantizando con ello la integridad de la información en el campo de la seguridad informática. De la
Licenciatura en Ciencias de la Informática, se aplicaran los conocimientos necesarios para
proponer procesos planificados de gestión en las organizaciones.
Se fundamenta la base del proyecto en ambas carreras, creando un modelo interdisciplinario que
permita implementar métodos, procesos, procedimientos y técnicas mediante el uso de la
tecnología, que propongan soluciones competitivas.
Asimismo, aportar ideas sólidas, de carácter científico y tecnológico, en el cual se aplican las
habilidades de diseño, construcción, transferencia y adaptación de las tecnologías de información,
cuya implementación, coadyuve en el incremento de la calidad y productividad eficaz y eficiente de
sus servicios.
1.7 Hipótesis
Se espera que al proponer el modelo, el análisis comparativo sea costeable y permita desarrollar el
modelo de implementación y gestión del Centro de Operaciones de Seguridad (SOC), mitigando
con ello el nivel de riesgo y las vulnerabilidades en la infraestructura tecnológica en la empresa
Anthares IT Services.
9
Capítulo II. Marco Teórico
En este capítulo se da a conocer el concepto de modelo para posteriormente desglosar el tema
central que es un centro de operaciones de seguridad (SOC), además, se desglosan los términos
que abarcan tanto en su especificación, como en su funcionamiento a través de la descripción de
términos fundamentales de seguridad (amenaza y riesgo).
2.1 Modelo
Un modelo es un bosquejo que representa un conjunto real con cierto grado de precisión y en la
forma más completa posible, pero sin pretender aportar una réplica de lo que existe en la realidad.
Los modelos son muy útiles para describir, explicar o comprender mejor la realidad, cuando es
imposible trabajar directamente en la realidad en sí (FAO, 1997).
Para efectos de la tesina se usa el concepto de modelo a aquello que se toma como referencia
para tratar de producir algo igual. En este caso, el modelo será un arquetipo, es decir un punto de
partida para lograr la implementación de un SOC en empresas de una manera más sencilla.
La seguridad informática está definida como cualquier medida que impida la ejecución de
operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar
daños sobre la información, comprometer su confidencialidad, integridad y disponibilidad, disminuir
el riesgo de los equipos o bloquear el acceso de usuarios no autorizados al sistema (Gómez,
2007).
Desde el punto de vista informático, existen 3 tipos de elementos que pueden sufrir amenazas:
hardware, software y datos.
El más sensible, y en el que se basa casi toda la literatura sobre seguridad, son los datos, ya que
es el único elemento que depende exclusivamente de la organización.
10
Ilustración 5.Elementos de la seguridad de la Información
2.2.1 Disponibilidad
La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los
procesos del negocio en cualquier momento. También concierne a la protección de los recursos y
las capacidades necesarias asociadas. (ITGI, 2007).
Asegura que el acceso a los datos o a los recursos de información por personal autorizado se
produce correctamente y en tiempo. Es decir, la disponibilidad garantiza que la información
siempre estará disponible cuando esta sea requerida, esto implica que los sistemas usados para el
almacenamiento, procesamiento de la información, los controles de seguridad y canales de
comunicación utilizados para protegerla estén funcionando correctamente.
La integridad está relacionada con la precisión y completitud de la información, así como con su
validez de acuerdo a los valores y expectativas del negocio (ITGI, 2007).
Es un servicio de seguridad que garantiza que el receptor de un mensaje puede verificar que este
no ha sido modificado durante el tránsito por el medio de comunicación, de tal manera que, un
intruso no podría ser capaz de sustituir un mensaje falso por uno legítimo sin ser detectado.
11
Según el Instituto Nacional de Estándares y Tecnología de Estados Unidos Cambiar (NIST por sus
siglas en ingles), en su publicación FIPS PUB 140-2 “Security Requiriments for Cryptographic
Modules”, la Integridad se define como la propiedad de que los datos sensibles no se han
modificado o eliminado en una forma no autorizada y no detectada.
2.2.2 Integridad
2.2.3 Confidencialidad
Mediante la confidencialidad se garantizará el acceso a la misma solo por parte de las personas
que estén autorizadas. El mantenimiento de la confidencialidad involucra asegurar que solo los
usuarios autorizados pueden acceder a los servicios e información para los cuales están
autorizados y que la información es divulgada solo de acuerdo con la política.
Para garantizar la confidencialidad de una carta, de un informe, entre otros, se pondrán en práctica
diferentes cuidados que dependerán del contexto en cuestión. Por ejemplo, una carta entre amigos
o entre novios exigirá la existencia de un sobre en el cual depositar la nota o carta, el que luego se
cerrará amparándose en la convención existente que nadie que no sea el destinatario intentará
abrirlo y aunque ocurra el riesgo será mínimo.
12
La confidencialidad intenta prevenir la revelación no autorizada, intencional o no, del contenido de
un mensaje o de información en general. La pérdida de información puede producirse de muchas
maneras, por ejemplo, por medio de la publicación intencional de información confidencial de una
organización o por medio de un mal uso de los derechos de acceso en un sistema.
Una Política de Seguridad es una "declaración de intenciones de alto nivel que cubre la seguridad
de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades
para las diversas actuaciones técnicas y organizativas que se requieran”. Es una forma de
comunicarse con los usuarios y los gerentes, establecen el canal formal de actuación del personal,
en relación con los recursos y servicios informáticos, importantes de la organización (Gómez,
2007).
No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que
involucre sanciones a conductas de los empleados. Es más bien una descripción de lo que se
desea proteger y el porqué de ello.
Cada política es consciente y vigilante del personal por el uso y limitaciones de los recursos y
servicios informáticos críticos de la compañía.
Para desarrollar una política de seguridad, es necesario identificar y evaluar los activos,
especificando qué activos deben protegerse y cómo protegerlos de forma que permitan la
prosperidad de la empresa:
13
Hardware: terminales, estaciones de trabajo, procesadores, teclados, unidades de disco,
computadoras personales, tarjetas, router, impresoras, líneas de comunicación, cableado
de la red, servidores de terminales, bridges.
Software: sistemas operativos, programas fuente, programas objeto, programas de
diagnóstico, utilerías, programas de comunicaciones.
Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back-up,
bases de datos, en tránsito sobre medios de comunicación.
Personas: usuarios, personas para operar los sistemas.
Documentación: sobre programas, hardware, sistemas, procedimientos administrativos
locales.
Identificación de amenazas:
o ¿Cuáles son las causas de los potenciales problemas de seguridad?
o Considerar la posibilidad de violaciones a la seguridad y el impacto que tendrían si
ocurrieran.
o Estas amenazas son externas o internas:
Amenazas externas: Se originan fuera de la organización y son los virus,
intentos de ataques de los hackers, agresiones de ex-empleados o
espionaje industrial.
Amenazas internas: Son las amenazas que provienen del interior de la
empresa y que pueden ser muy costosas porque el infractor tiene mayor
acceso y perspicacia para saber dónde reside la información sensible e
importante.
Evaluar los riesgos: Debe calcularse la probabilidad de que ocurran ciertos sucesos y
determinar cuáles tienen el potencial para causar mucho daño. El costo puede ser más que
monetario, se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad
legal, etc.
Asignar las responsabilidades: Seleccionar un equipo de desarrollo que ayude a identificar
las amenazas potenciales en todas las áreas de la empresa. Los principales integrantes
del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y
representantes de los departamentos de recursos humanos y relaciones públicas.
14
En primer lugar, se repasan los principales estándares (ISO 27000) y legislaciones, que ayudan a
tener una visión global de los elementos que intervienen en la infraestructura de seguridad y los
controles que pueden establecerse.
La seguridad informática tiene como objetivo preservar los servicios de seguridad de los bienes
informáticos.
Un bien informático o activo, es todo aquél recurso que posee valor o importancia para una
persona u organización. Un activo puede ser desde un archivo de datos, hasta un centro de
cómputo (López, 2014).
Minimizar y gestionar los riesgos, así como identificar las posibles amenazas a la
seguridad.
Garantizar el uso adecuado de los recursos informáticos como aplicaciones, cuentas,
comunicaciones, etc.
Establecer los mecanismos adecuados para una inmediata recuperación después de un
desastre en la menor cantidad de tiempo con el menor daño posible.
Cumplir con el marco legal vigente referente a la función informática.
15
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de
administración de la información (ISO, 2013).
El término SGSI es utilizado principalmente por la ISO/IEC 27001, que es un estándar internacional
aprobado en octubre de 2005 por la International Organization for Standardization y por la comisión
International Electrotechnical Commission.
La ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo
de Deming": PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), siendo
éste un enfoque de mejora continua:
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo
adaptándose a los cambios internos de la organización, así como los externos del entorno.
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisión de
datos entre la comunicación de dispositivos para ejercer una confidencialidad, integridad,
autenticación y el no repudio de la información (Alonzo, 2014).
16
Se componen de:
Cualquier riesgo o amenaza deberá ser tomado en cuenta con la mayor seriedad posible, puesto
que la fortaleza de la cadena de medidas de seguridad organizacional no se mide por el eslabón
más fuerte, ni tampoco por el valor promedio de sus eslabones, sino por el eslabón más débil, pues
es generalmente el que rompe con el esquema de la seguridad organizacional, con efectos que
pudieran considerarse desde moderados a severos.
Costo de horas de trabajo invertidas para intentar recuperar las horas de trabajo perdidas
ante una eventualidad.
Costo de oportunidad ocasionado por la indisponibilidad de aplicaciones y/o servicios
informáticos perdidos, entre otros recursos.
Costo por la exposición de información a terceros de la información robada, con valores
estimativos según su valor de acuerdo al grado y nivel de importancia de la información
como lo pueden ser fórmulas, diseños de productos, planes estratégicos, carteras de
clientes y de proveedores, plantilla de personal, etc.
17
El impacto negativo en la imagen organizacional, dado por la desconfianza en la oferta de
sus productos y/o servicios después de conocerse algún evento de este tipo tanto por parte
de sus clientes como de sus proveedores.
En casos más delicados, el posible daño a nivel personal de los usuarios, desde la
exposición de los datos personales, e incluso aquellos que tienen que ver con su integridad
física y moral.
Los riesgos varían según la naturaleza de la organización, aunque los más usuales son los que a
continuación se indican:
Las organizaciones son cada vez más dependientes de la tecnología informática. Sin sistemas
informáticos, los procesos de negocio de cualquier organización no funcionan. Hoy en día para
todas las actividades que realiza una compañía, la información es un activo esencial. La seguridad
de la información nos permite proteger ese activo.
2.8.1 Riesgos
El riesgo es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al equipo.
Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la amenaza
(Santana, 2013).
18
El riesgo se utiliza sobre todo el análisis de riesgos de un sistema informático. Esté riesgo permite
tomar decisiones para proteger mejor al sistema. Se puede comparar con el riesgo límite que
acepte para su equipo, de tal forma que si el riesgo calculado es inferior al de referencia, éste se
convierte en un riesgo residual que podemos considerar cómo riesgo aceptable.
Se define el riesgo como: la posibilidad de que ocurra algún evento negativo para las personas y/o
empresas. Ya que cualquier persona o entidad está expuesta a una serie de riesgos derivados de
factores internos y externos, tan variables como su propio personal, su actividad, la situación
económica, la asignación de sus recursos financieros o la tecnología utilizada (López, 2014).
Los equipos de cómputo que habitualmente se utilizan en las empresas están sujetos al riesgo de
que ocurra alguna eventualidad que los dañe y debido a que no existe una seguridad total y las
medidas de seguridad no pueden asegurar al 100% la protección en contra de las vulnerabilidades,
es imprescindible realizar periódicamente en una organización, un análisis de riesgos, para
identificar las consecuencia probables o los riesgos asociados con las vulnerabilidades, y así,
lograr un manejo de riesgo tras la implementación y mantenimiento de controles que reduzcan los
efectos de éste a un nivel aceptable.
El análisis de riegos proporciona herramientas útiles para cuantificar el riesgo y evaluar si este
análisis es adecuado, tomar medidas para reducirlo, además intenta mantener un balance
económico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de
seguridad destinadas a manejarlos.
Una de las principales funciones del análisis del riesgo de seguridad es poner este proceso sobre
una base más objetiva.
Todos los activos, sus recursos y los controles se identifican, y se evalúan en términos monetarios.
Todas las amenazas potenciales se identifican y se estima la frecuencia de su ocurrencia, estas
amenazas se comparan con las vulnerabilidades potenciales del sistema de tal forma que se
identifiquen las áreas que son sensibles.
19
Posteriormente el análisis cuantitativo del riesgo hace uso del término Expectativa de Pérdida
Anual (ALE) o Costo Anual Estimado (EAC), el cual es calculado para cierto acontecimiento
simplemente multiplicando la frecuencia de la ocurrencia de la amenaza por el valor del activo o
clasificación del daño. Para esto, es necesario recolectar con detalle estimaciones exactas
utilizando técnicas matemáticas y estadísticas.
De esta forma se puede decidir si los controles existentes son adecuados o si se requiere la
implementación de otros, esto se observa cuando el producto obtenido tras multiplicar el valor del
activo por la frecuencia de la ocurrencia de la amenaza en un período de tiempo determinado por
la duración del control es menor que el costo de dicho control.
Los problemas con este tipo de análisis de riesgo se asocian generalmente a la falta de fiabilidad y
a la inexactitud de los datos y algunas veces puede interpretarse erróneamente los resultados.
En lugar de establecer valores exactos sedan notaciones como alto, bajo, medio que representan
la frecuencia de ocurrencia y el valor de los activos. La desventaja es que pueden existir áreas
significativamente expuestas que no hayan sido identificadas como posibles fuentes de riesgo.
Ambos tipos de análisis del riesgo hacen uso de los siguientes elementos interrelacionados:
La Gestión de riesgos (traducción del inglés Risk Management) es un enfoque estructurado para
manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades
humanas que incluyen evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigación
del riesgo utilizando recursos gerenciales como se muestra en la Ilustración 6. Las estrategias
20
incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y
aceptar algunas o todas las consecuencias de un riesgo particular.
Algunas veces, el manejo de riesgos se centra en la contención de riesgo por causas físicas o
legales (por ejemplo, desastres naturales o incendios, accidentes, muerte o demandas).
21
Ilustración 7.Análisis de y gestión de riesgos.
2.9 Amenazas
Una amenaza se representa a través de una persona, una circunstancia o evento, un fenómeno o
una idea maliciosa, las cuales pueden provocar daño en los sistemas de información, produciendo
pérdidas materiales, financieras o de otro tipo. Las amenazas son múltiples desde una inundación,
un fallo eléctrico o una organización criminal o terrorista. Así, una amenaza es todo aquello que
intenta o pretende destruir (López, 2014).
1. Amenazas humanas
Surge por ignorancia en el manejo de la información, por descuido, por negligencia, por
inconformidad. Para este caso se pueden considerar a los hackers, crakers, phreakers, carding,
trashing, gurús, lamers o scriptkiddies, copyhackers, bucaneros, newbie, wannabers, samurai,
creadores de virus, por ejemplo:
Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que
normalmente no realizan de forma que revelen datos indispensables que permitan superar las
barreras de seguridad. Esta técnica es una de las más usadas y efectivas al momento de averiguar
nombres de usuarios y contraseñas (López, 2014).
2. Amenazas de Hardware
22
Este tipo de amenazas se da por fallas físicas que se encuentra presente en cualquier elemento de
dispositivos que conforman la computadora. Los problemas más identificados para que el
suministro de energía falle son el bajo voltaje, ruido electromagnético, distorsión, interferencias,
alto voltaje, variación de frecuencia, etc.
3. Amenazas de Red
Se presenta una amenaza cuando no se calcula bien el flujo de información que va a circular por el
canal de comunicación, es decir, que un atacante podría saturar el canal de comunicación
provocando la no disponibilidad de la red. Otro factor es la desconexión del canal.
4. Amenazas Lógicas
Se presenta una amenaza cuando no se calcula bien el flujo de información que va a circular por el
canal de comunicación, es decir, que un atacante podría saturar el canal de comunicación
provocando la no disponibilidad de la red. Otro factor es la desconexión del canal.
En la mayoría de los sistemas, los usuarios no pueden determinar si el hardware o el software con
que funcionan son los que supone que deben ser. Esto facilita al intruso para que pueda
reemplazar un programa sin conocimiento del usuario y éste pueda inadvertidamente teclear su
contraseña en un programa de entrada falso al cual también se les denominan códigos maliciosos.
Los tipos de códigos maliciosos más comunes son: caballos de troya, virus, gusanos, bombas de
tiempo y keyloggers.
23
5. Amenazas por Fenómenos Naturales
Los diferentes fenómenos naturales que provocan desastres representan uno de los riesgos más
fuertes y debido a la existencia de éstos se convierte en una de las razones por la cuales deben
desarrollarse planes de contingencia y aplicarse medidas en pro de la seguridad de la información.
La clasificación de fenómenos naturales que causan desastres utilizados en las Bases para el
Establecimiento del Sistema Nacional de Protección Civil:
Geológicos
Tienen sus orígenes en la actividad de las placas tectónicas y fallas continentales y regionales que
cruzan y circundan a la República Mexicana.
Como son:
Sismos
Vulcanismo
Colapso de suelos
Hundimiento regional y agrietamiento
Algunas consecuencias de los sismos y erupciones tales como maremotos (tsunami) y
lahares.
2.10 Vulnerabilidades
Las vulnerabilidades constituyen el otro factor que pone en peligro la seguridad de un sistema,
generalmente se cree que una vulnerabilidad es un punto débil de un sistema y aunque no es una
definición incorrecta, tampoco expresa en su totalidad lo que es una vulnerabilidad.
A las vulnerabilidades se les consideran un elemento interno del sistema, por lo que es tarea de los
administradores y usuarios el detectarlos, valorarlos y reducirlos.
24
2.10.1 Tipos de Vulnerabilidades
Las vulnerabilidades son el resultado de errores de programación (bugs), fallos en el diseño del
sistema, incluso las limitaciones tecnológicas pueden ser aprovechadas por los atacantes (López,
2014).
Para esta investigación, se clasifican las vulnerabilidades en seis tipos: Físicas, naturales, de
hardware, de software, de red y de factor humano.
1. Físicas
Está relacionada con el acceso físico al sistema. Es todo lo referente al acceso y de las
instalaciones donde se tienen los equipos de cómputo que contienen la información o forman
partes de los procesos esenciales del sistema.
Las vulnerabilidades de este tipo se pueden presentar en forma de malas prácticas de las políticas
de acceso de personal a los sistemas y uso de medios físicos de almacenamiento de información
que permitan extraer datos del sistema de manera no autorizada.
2. Naturales
Las amenazas naturales son todo tipo de desastres causados por fuerzas naturales que causan
daño a un sistema, por el lado de las amenazas naturales, estas se refieren al grado en que el
sistema se puede ver afectado por este tipo de eventos.
3. Hardware
Las vulnerabilidades de hardware representan la probabilidad de que las piezas físicas del sistema
fallen (ya sea por mal uso, descuido, mal diseño etc.) dejando al sistema desprotegido o
inoperable. También trata sobre las formas en que el hardware puede ser usado por personas para
atacar la seguridad del sistema, por ejemplo el sabotaje de un sistema al sobrecargarlo
deliberadamente con componentes de hardware que no han sido diseñados correctamente para
funcionar en el sistema.
4. Software
Cada programa (ya sea de paquetería o de sistema operativo) puede ser usado como medio para
atacar a un sistema más grande, esto se da debido a errores de programación, o porque en el
25
diseño no fueron considerados ciertos aspectos (por ejemplo, controles de acceso, seguridad,
implantación, etc.).
5. Red
Las redes pueden llegar a ser sistemas muy vulnerables, al tratarse de una serie de equipos
conectados entre sí compartiendo recursos, es posible atacar a toda la red penetrando primero en
uno de los equipos y posteriormente expandirse al resto.
En una red la prioridad es la transmisión de la información, así que todas las vulnerabilidades están
relacionadas directamente con la posible intercepción de la información por personas no
autorizadas y con fallas en la disponibilidad del servicio.
Estos dos puntos hacen que las vulnerabilidades de las redes lleguen a ser una combinación de
vulnerabilidades de hardware, software, físicas e incluso naturales.
6. Factor Humano
Los elementos humanos de un sistema son los más difíciles de controlar lo que los convierte en
constantes amenazas y al mismo tiempo una de las partes más vulnerables del sistema.
Los actos contra la seguridad realizados a conciencia por un elemento humano (Como el robo de
información o la destrucción de los sistemas) pueden ser el resultado de una vulnerabilidad
humana, ya sea por un usuario que accidentalmente revela las contraseñas de acceso o no revisa
periódicamente las bitácoras de actividades de los equipos de cómputo a fin de buscar actividades
sospechosas por citar algunos ejemplos.
Un usuario resentido o con poca lealtad a la organización es una amenaza y una vulnerabilidad
humana al mismo tiempo, pues él puede convertirse en el autor directo de ataques al sistema o
revelar intencionalmente información del sistema a personas no convenientes.
Finalmente es importante hacer una reflexión en el sentido de que las vulnerabilidades se pueden
reducir, eliminar o controlar lo que ayuda entonces a contrarrestar la posibilidad de que una
amenaza se materialice y llegue a convertirse en un ataque.
De manera que el riesgo es el daño potencial que puede surgir por un proceso presente o suceso
futuro, es decir, es la posibilidad de que un peligro pueda materializarse.
26
2.11 Centro de Operaciones de Seguridad (SOC)
Para ello debe contar con un equipo con personal especialista en varias áreas complementarias
que permitan dar un servicio global y efectivo, sumando los conocimientos para que el resultado
sea mayor que las partes.
El centro debe estar altamente securizado (control de acceso físico, protección de equipos frente a
fluctuaciones eléctricas, cifrado de datos, etc.) para asegurar la protección de los datos de los
clientes, debido a que se maneja información sensible.
Ya sea que una organización esté construyendo un nuevo SOC o buscando expandir sus
capacidades existentes, se mencionan diez consideraciones para el éxito:
2.11.1 Definición
27
2.11.2 Funciones
Tanto los objetivos como el catálogo de servicios del Centro de Operaciones de Seguridad deben
estar alineados con los objetivos propios del negocio, por lo que dependiendo de la organización,
los servicios del SOC pueden variar. Sin embargo, se mencionan a continuación los más
importantes a considerar.
Uno de los pilares en los que se basa la gestión de riesgos de seguridad de la información es el
análisis y la gestión de logs y la correlación de eventos. La confluencia de este pilar de la
seguridad con el de la gestión de identidades y accesos a sistemas, redes y aplicaciones, la
gestión de documentos y la gestión de evidencias, permitirá al responsable de seguridad TIC
alcanzar su objetivo específico en la cadena de protección: saber en tiempo real que está pasando
en los sistemas tecnológicos que pueda ser relevante para la seguridad de la compañía.
La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas
por el hardware y software de red. Las soluciones SIEM pueden venir como software, appliance, o
administración de servicios, y también son utilizados para loguear datos de seguridad y generar
reportes para fines de complimiento.
El segmento de gestión de la seguridad que se ocupa del monitoreo en tiempo real, correlación de
eventos, notificaciones y vistas de la consola que comúnmente se conoce como Gestión de
Eventos de Seguridad (SEM). La segunda área ofrece almacenamiento a largo plazo, el análisis y
la comunicación de los datos de registro, y se conoce como Gestión de Seguridad de la
Información (SIM).
El término Información de Seguridad y Gestión de Eventos (SIEM), acuñado por Mark Nicolett y
Amrit Williams, de Gartner, en 2005, describe las capacidades de los productos de la recopilación,
análisis y presentación de información de la red y los dispositivos de seguridad, las aplicaciones de
gestión de identidades y accesos, gestión de vulnerabilidades y los instrumentos de política de
28
cumplimiento, sistema operativo, base de datos y registros de aplicaciones. Un punto clave es
monitorear y ayudar a controlar los privilegios de usuario y de servicio, servicios de AD y otros
cambios de configuración del sistema, así como el abastecimiento de auditoría de registro, revisión,
y respuesta a incidentes.
Capacidades de un SIEM:
Dashboards: Herramientas para tomar los datos del evento y convertirlo en tablas
informativas para ayudar a ver patrones o identificar una actividad que no está siguiendo
un patrón estándar.
29
La correlación es la interrelación entre los eventos, y el sistema es capaz de generar una respuesta
ante un comportamiento anómalo (Romero, 2011). Identifica y califica los eventos de amenaza en
tiempo real usando simultáneamente motores de correlación con reglas y sin reglas.
Las operaciones de correlación avanzadas son ejecutadas para definir la criticidad de un intento de
intrusión y evaluar si tal intento de intrusión es permitido de acuerdo con la política de seguridad.
La gestión manual de millones de logs generados a diario por múltiples dispositivos, impone un
gran reto para el personal de seguridad. Ante esta problemática el SOC se apoya en el uso de
30
sistemas SIEM (Security Information and Event Management) que permiten correlacionar eventos
de seguridad de múltiples fuentes con la intención de detectar situaciones anómalas. Por otra
parte, estos sistemas también permiten almacenar logs para posteriormente poder realizar análisis
y búsquedas complejas sobre los eventos ya ocurridos.
Las redes corporativas generan volúmenes inmensos de datos en forma de logs de mensaje.
Existen diversas formas de logs: registro de auditoría y logs de eventos. La principal función de un
administrador de logs es recolectar los datos, agregarlos, analizarlos y retenerlos a largo plazo, así
como crear informes e investigarlos.
Existen diferentes discusiones acerca de la semejanza que existe entre un administrador de logs y
un SIEM. Es normal definir que los administradores de logs únicamente reciben logs, mientras que
los SIEM son herramientas más sofisticadas que pueden acceder a sistemas, buscar información,
datos y configuraciones de una forma más profunda. En muchos casos, el administrador de logs
hace parte de una solución completa de SIEM (Security Information and Event Management).
Los motivos que llevan a la utilización de un administrador de logs son muchos, desde
preocupaciones con la seguridad de los sistemas y la red, hasta reglamentos y mejores prácticas.
Firewall
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce una política
de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que
no lo es (Hernández, 2000).
- Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
- Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
31
El firewall sólo sirve de defensa perimetral de las redes, no defienden de ataques o errores
provenientes del interior, como tampoco puede ofrecer protección una vez que el intruso lo
traspasa.
Restricciones en el Firewall
La parte más importante de las tareas que realizan los Firewalls, es la de permitir o denegar
determinados servicios, se hacen en función de los distintos usuarios y su ubicación:
Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie
de redes y direcciones a los que denomina Trusted (validados). Estos usuarios, cuando provengan
del interior, van a poder acceder a determinados servicios externos que se han definido.
Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la hora
de vigilarse. Suele tratarse de usuarios externos que por algún motivo deben acceder para
consultar servicios de la red interna.
El servicio de Gestión de Firewalls permite analizar de manera remota u on-site los sistemas de
defensa perimetrales de los clientes. Esta actividad permite realizar correcciones sobre las
medidas de defensa en tiempo y forma.
Gestión de Eventos
Mediante el análisis de los eventos realizamos la correlación de los eventos generados por las
diferentes fuentes.
Gestión de Dispositivos
Una vez implementados los dispositivos de seguridad se tiene definidos los siguientes procesos
para su seguimiento y control:
32
- Actualización de los patrones y versiones de Firmware de los dispositivos, manteniendo
homogénea la plataforma hacia las últimas versiones disponible, estables, verificadas.
Se asume que todo tipo de infraestructura de TI, es susceptible a Incidentes de Seguridad y que
estos incidentes tienen un impacto potencial que podría clasificarse como bajo, moderado o alto.
Para detectar oportunamente estos incidentes y en su caso mitigar su impacto se colocan
Controles de Seguridad.
Por incidente de seguridad entendemos cualquier evento que pueda provocar una interrupción o
degradación de los servicios ofrecidos por el sistema, o bien afectar a la confidencialidad,
disponibilidad o integridad de la información (Iglesias, 2014).
Un incidente de seguridad puede ser causado por un acto intencionado realizado por un usuario
interno o un atacante externo para utilizar, manipular, destruir o tener acceso a información y/o
recursos de forma no autorizada. Aunque un incidente también podría ser la consecuencia de un
error o transgresión (accidental o deliberada) de las políticas y procedimientos de seguridad, o de
un desastre natural, o del entorno.
Los diferentes ataques que sufren los sistemas conectados a Internet son conocidos como
incidentes de seguridad informática. Éstos amenazan el buen funcionamiento de cualquier
organización y violan implícita o explícitamente las políticas de seguridad. Al aceptar Internet como
medio de interconexión global, gran cantidad de transacciones de negocios se realizan de esta
forma, por lo que se requieren mecanismos de respuestas rápidas a incidentes de seguridad para
evitar que la organización se exponga a pérdidas irreversibles. Se le denomina un incidente de
seguridad informática a cualquier evento que sea considerado una amenaza para la seguridad de
un sistema.
33
Incidentes automáticos
Incidentes manuales
Se denominan incidentes automáticos a los incidentes producidos por programas de cómputo tales
como virus, gusanos y troyanos. Los incidentes manuales son aquellos incidentes en los que de
manera intencional se ataca un sistema utilizando, por ejemplo, escaneo de vulnerabilidades,
inyección SQL o ingeniería social, aunque bajo ciertas circunstancias, también se pueden realizar
de forma automática (Villalobos, 2012).
Un acceso no autorizado.
El robo de contraseñas.
Prácticas de Ingeniería Social.
La utilización de fallas en los procesos de autenticación para obtener accesos indebidos.
El robo de información.
El borrado de información de terceros.
La alteración de la información de terceros.
El abuso y/o mal uso de los servicios informáticos internos o externos de una organización.
La introducción de código malicioso en la infraestructura tecnológica de una entidad (virus,
troyanos, gusanos, malware en general).
La denegación del servicio o eventos que ocasionen pérdidas, tiempos de respuesta no
aceptables o no cumplimiento de Acuerdos de Niveles de Servicio existentes de
determinado servicio.
Situaciones externas que comprometan la seguridad de sistemas, como quiebra de
compañías de software, condiciones de salud de los administradores de sistemas, entre
otros
A pesar que la norma ISO 27001, hace mención de este tema como uno de los dominios
fundamentales, se le presta más importancia a temas de índole tecnológico dejando de lado los
temas de gestión. En la búsqueda del mejor estándar para gestionar la seguridad de la información
en una compañía, es vital tener presente que la revisión y la mejora continua del sistema son muy
importantes para garantizar la disponibilidad, integridad y confidencialidad de la información.
34
Cuando se habla de la gestión de incidentes, la norma hace referencia a recomendaciones
relacionadas con la notificación de eventos y puntos débiles de seguridad de la información y los
procedimientos y responsabilidades que se deberían asignar para la gestión de incidentes y
mejoras de seguridad de la información.
El objetivo que se persigue con la comunicación de los eventos que se presenten relacionados con
la seguridad de la información, es el de garantizar que las causas, los tratamientos y la solución de
dichos eventos sirvan para la implementación de acciones correctivas y preventivas oportunas en
casos similares que pudieran presentarse en un futuro. Para lograrlo se deben implementar los
canales apropiados que garanticen la agilidad en la comunicación de los eventos de seguridad que
pudieran presentarse y permitir que los usuarios reporten las debilidades encontradas o que crean
que pueden utilizarse para poner en riesgo la seguridad de la información.
Estos sistemas pueden apoyarse en los desarrollos que se tengan alrededor de las mesas de
ayuda y las estrategias de gestión de solicitudes para atender inconvenientes de tipo tecnológico
en la compañía. Algunas recomendaciones cómo las de la Agencia Europea de Redes y Seguridad
Informática (ENISA, por sus siglas en inglés) proporcionan orientaciones prácticas para la gestión
de incidentes.
Además de tener una herramienta para la gestión de incidentes es necesario establecer las
responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, efectiva y
ordenada a los incidentes en la seguridad de información. Estos procesos deben contribuir al logro
de la mejora continua en la evaluación y monitoreo de los incidentes en la seguridad de
información. Quizá uno de los aspectos más complejos en la gestión de incidentes, pero que puede
aportar mayor información para el negocio, es cuantificar el impacto los incidentes de seguridad,
para lo cual es recomendable tener un modelo que en función del volumen, los costos asociados y
el tipo de incidente permita aproximar a valores en dinero las consecuencias de su ocurrencia.
Por último, es vital que toda organización tenga definido claramente los pasos a seguir después
que se presente un evento que afecte la seguridad de la información, ya que al momento de
entablar una acción legal, sea de carácter civil o penal contra un individuo la evidencia debe ser
recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la
jurisdicción relevante, esto es lo que es conoce cómo Informática Forense. CAINE (Computer
Aided Investigative Environment) es una distribución de Linux creada cómo proyecto con
herramientas para tratar evidencia digital de tipo forense, la cual provee una serie de módulos y
herramientas a través de una interfaz gráfica.
35
2.11.4 Plan de respuesta a incidentes de seguridad
Es fundamental identificar las necesidades de seguridad de una organización para establecer las
medidas que permitirán a dicha organización evitar una situación catastrófica, como una intrusión,
una falla en los equipos o incluso un daño por filtración de agua. No obstante, es imposible evitar
por completo todo tipo de riesgos, por lo que todas las empresas deben estar preparadas para
experimentar algún día una situación catastrófica.
En estas circunstancias, resulta fundamental una reacción rápida, ya que una máquina afectada
hace peligrar el sistema de información de la compañía en su totalidad. Además, cuando el
compromiso provoca el mal funcionamiento del servicio, una interrupción prolongada puede
aparejar pérdidas económicas. Por último, en los casos en los que se ha alterado un sitio web
(modificación de páginas) la reputación de la compañía está en juego. La definición e implantación
de un Plan de respuesta a incidentes debería tener en cuenta una serie de actividades y tareas,
entre las cuales podríamos destacar todas las que se presentan en la siguiente relación:
La estructura de un SOC se estructura de acuerdo a tres niveles de actuación, cada uno de los
cuales debe estar representado por un equipo especializado.
Nivel 1:
Nivel 2:
36
Plazos de respuesta conforme a niveles de servicio
Técnicos especializados en sus tecnologías objeto de soporte
Posibilidad de desplazamiento fuera del SOC
Nivel 3:
Existen dos tipos de SOC los cuales son propio o externo donde cada uno de estos tendrá sus
propias cualidades.
SOC propio
37
SOC externo
En el caso de una intrusión, por ejemplo, el administrador de sistemas puede reaccionar de una de
las siguientes maneras:
El problema es que cada una de estas acciones puede resultar más perjudicial (particularmente en
términos de costos) que la intrusión en sí misma. En efecto, si el funcionamiento de la máquina
comprometida es fundamental para el funcionamiento del sistema de información o si se trata de
un sitio web de ventas online, una interrupción prolongada del servicio podría ser catastrófica.
A su vez, en este tipo de situaciones es importante establecer pruebas en caso de que se realice
una investigación judicial. De lo contrario, si la máquina comprometida se ha usado para realizar
otro ataque, la compañía corre el riesgo de ser considerada responsable.
38
2.11.5.2 Restauración
Establecer pruebas: por razones legales, es necesario guardar los archivos de registro diario
del sistema corrompido para poder restituirlos en caso de una investigación judicial.
Existen diversos tipos de CSIRTs. Un equipo CSIRT interno forma parte de una organización
mayor, como un gobierno, una empresa, una universidad o una red de investigación. Los CSIRTs
(un tipo de CSIRT interno) por ejemplo, gestionan todas las incidencias de un país. Normalmente
los CSIRT evalúan las situaciones de forma periódica mediante tareas proactivas como el DR, y a
medida que es necesario ante brechas de seguridad existentes. Un CSIRT ofrece servicios de
pago bajo demanda o a nivel tradicional.
39
Gestionar o liderar el equipo.
Ayudar a los gestores, supervisores y líderes de grupo.
Personal de Hotline, help desk, o triage.
Gestión de incidentes.
Tratamientos de vulnerabilidad.
Personal de análisis de artefactos.
Especialistas de plataforma.
Formadores.
Control de tecnología.
Un incidente informático puede ser un hecho real o una sospecha que puede provocar una
vulnerabilidad o un incidente. Los incidentes típicos incluyen los virus y gusanos que afectan a una
red, los ataques DoS (denegación de servicio), las alteraciones no autorizadas de software o
hardware y la identificación de ladrones en redes individuales o institucionales. El hacking en
general debe ser considerado como incidente salvo que los atacantes hayan sido contratados para
probar un sistema o buscar vulnerabilidades. (En este caso los hackers forman parte del CSIRT en
un trabajo preventivo). Los CSIRT ofrecen servicios proactivos como formación de seguridad, más
que responder ante incidencias.
El tiempo de respuesta es algo vital a la hora de crear, mantener y desplegar un CSIRT efectivo.
Una respuesta rápida y efectiva puede minimizar el daño financiero, de hardware y software
causado por un incidente concreto. Otra cuestión importante es la capacidad del CSIRT para
identificar a los causantes del incidente, de manera que los atacantes puedan ser perseguidos y
castigados. La tercera cuestión se refiere al endurecimiento del software y la estructura para
reducir el número de ataques a lo largo del tiempo.
2.11.6 Impactos
De acuerdo al impacto potencial para el negocio con respecto a los diversos incidentes que se
deben resolver, asignar estratégicamente los recursos para cada equipo de seguridad y bienes que
intervengan se vuelve un gran reto para la organización. Es por eso que se debe determinar el
establecimiento de prioridades y el sistema de gestión de incidentes debe saber el valor de los
sistemas de información que pueden ser potencialmente afectados por incidentes de seguridad.
Los daños causados por los ataques, independientemente de la fuente, se dividen en dos
categorías principales: la filtración de datos y la pérdida de servicio.
40
causados por las filtraciones de datos son visibles y muy graves. Pueden ser daños de carácter
financiero (pérdida de ingresos, costes legales y normativos, costes derivados de procesos
judiciales y multas), costes 'blandos' (pérdida de la confianza y fidelidad de los clientes) y pérdida
de competitividad (como resultado de la pérdida de propiedad intelectual).
Al igual que ocurre con las filtraciones de datos, se produce un coste real relacionado con el
departamento de TI y el personal de soporte, que tienen que diagnosticar los problemas, ayudar a
los empleados, reiniciar los servicios y restablecer la imagen inicial de los PC.
Una vez que se tiene el análisis de riesgos, este se convierte en el punto de partida del Análisis de
Impacto de Negocios y/o Business Impact Analysis (BIA). Este BIA se constituye así en el pilar
sobre el que se va construir el Plan de Recuperación de Negocios.
El BIA será la guía que determine que necesita ser recuperado y el tiempo que tarde dicha
recuperación, actividades que en el Plan de Continuidad de Negocios se convierte quizás en las
más difíciles y críticas por realizar adecuadamente. El apoyo del BIA es invaluable para identificar
que está en riesgo una vez se presente un riesgo permitiendo así justificar los gastos que se
requieran en protección y capacidad de recuperación. Usualmente se habla de “critico” o “esencial”
cuando se listan las actividades desarrolladas en una organización.
Al hacer un BIA quizás resulte más útil hablar de “tiempos inactivos”, puesto que ninguna
organización contrata un empleado para que realice labores “no esenciales”, cada labor tiene un
propósito, pero hay unas labores que son más exigentes en su tiempo de ejecución que otras
cuando hay límites de recursos o tiempos apretados de entrega para su realización.
Por ejemplo: Un banco que haya sufrido un percance por un pequeño incendio en la bodega puede
detener su campaña publicitaria pero no podrá detener los procesos de retiros y depósitos de sus
41
cuando se presenta una emergencia o desastre puede ser aplazada no por su criticidad sino
porque su “tiempo de inactividad” puede ser mucho mayor y no afectar la operación del banco. La
organización debe revisar cada una de las tareas que se realizan con el mismo patrón de
referencia.
¿Por cuánto tiempo puede dejar de realizarse esta actividad sin que ello cause pérdidas
financieras, quejas de los clientes, y/o penalizaciones legales o contractuales?
Cuando se trata el tema de continuidad, todo gira alrededor del impacto. Es acerca de sostener la
operación básica de la Organización mientras que lo demás se puede dejar en espera. Es
centrarse en las operaciones que le permiten sobrevivir a la Organización. Todos los procesos de
la Organización, así como los recursos tecnológicos en los que se soportan tales procesos deben
ser clasificados de acuerdo a su prioridad de recuperación. Los tiempos de recuperación de los
procesos para una organización están medidos por las consecuencias de no poder ejecutarlos.
Un Plan de Contingencia de Seguridad Informática consiste en los pasos que se deben seguir,
luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema
aunque, y por lo general, constan de reemplazos de dichos sistemas (Borghello, 2009).
Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre. De hecho los expertos en
seguridad afirman "sutilmente" que hay que definir un plan de recuperación de desastres "para
cuando falle el sistema", no "por si falla el sistema".
Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperación de
desastres, el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente
y con el menor costo y pérdidas posibles.
Si bien es cierto que se pueden presentar diferentes niveles de daños, también se hace necesario
presuponer que el daño ha sido total, con la finalidad de tener un Plan de Contingencias lo más
completo y global posible. El plan de contingencia debe considerar todos los componentes del
sistema: Datos críticos, equipo lógico de base, aplicaciones, equipos físicos y de comunicaciones,
documentación y personal. Además, debe contemplar también todos los recursos auxiliares, sin los
cuales el funcionamiento de los sistemas podría verse seriamente comprometido: suministro de
42
potencia; sistemas de climatización; instalaciones; etc. Finalmente, debe prever también la
carencia de personal cualificado (por ejemplo, por una huelga que impida el acceso del mismo)
para el correcto funcionamiento del sistema. Se debe destacar, que previo al comienzo del trabajo,
se debe obtener el pleno compromiso de los máximos responsables de la organización. Sin su
apoyo decidido y constante, el fracaso del plan está garantizado.
El plan de contingencias debe ser comprobado de forma periódica para detectar y eliminar
problemas. La manera más efectiva de comprobar si funciona correctamente, es programar
simulaciones de desastres. Los resultados obtenidos deben ser cuidadosamente revisados, y son
la clave para identificar posibles defectos en el plan de contingencia. Además el plan de
contingencia debe contemplar los planes de emergencia, backup, recuperación, comprobación
mediante simulaciones y mantenimiento del mismo. Un plan de contingencia adecuado debe
ayudar a las empresas a recobrar rápidamente el control y capacidades para procesar la
información y restablecer la marcha normal del negocio.
En esta etapa los altos responsables del organismo deben establecer: quiénes, y cómo, deben
elaborar el plan, implementarlo, probarlo y mantenerlo; qué acontecimientos debe contemplar y
dónde se debe desarrollar el plan. Los aspectos principales de esta etapa son:
c) Organización.
43
¿Quién será el responsable de este equipo?
¿A quién reportará?
Apoyo institucional.
Un alto responsable (idealmente el máximo) de la institución remitirá una circular a todos los
departamentos involucrados, comunicándoles el proyecto y su importancia estratégica para el
organismo. Asimismo, debe solicitar su total colaboración e informarles de su responsabilidad
en la elaboración del mismo.
d) Presupuesto.
e) Identificación de recursos.
Se especificarán los recursos de los que dependen las aplicaciones críticas. Estos recursos
serán: equipo lógico de base, equipos físicos, de comunicaciones, etc.
44
Cada departamento dependiente de aplicaciones críticas determinará el período máximo que
puede permanecer sin dichas aplicaciones tras un colapso de las mismas.
Como consecuencia, se obtendrá una nueva lista de aplicaciones según el período máximo de
recuperación. Este período podrá ser de minutos, horas, semanas, etc.
Con los datos anteriores es fácil analizar y determinar las alternativas más convenientes en
términos de costo-rendimiento. Estas alternativas pueden ser procesos manuales, acuerdos
mutuos, salas vacías ("cold-site") o salas operativas ("host-site").
h) Recuperación manual
Es sólo posible en un número muy escaso y decreciente con los años de aplicaciones.
i) Salas vacías
Sólo son viables si la institución puede resistir sin sus recursos de Tecnologías de la
Información durante un tiempo determinado. Es necesario que el fabricante de los equipos a
reponer se comprometa por escrito a dicha reposición dentro del período máximo de
recuperación.
j) Salas operativas.
Otra posibilidad, la más usual, es la contratación del servicio de respaldo a una empresa
especializada.
45
k) Preparación detallada del plan.
Incluye la documentación de las acciones a tomar, los actores a involucrar, los recursos a
emplear, procedimientos a seguir, etc. en un formato adecuado para su uso en situaciones
críticas. Esta documentación debe estar disponible en varios lugares accesibles
inmediatamente.
l) Pruebas y mantenimiento.
m) Pruebas.
Las pruebas no deben alterar el funcionamiento de los departamentos, por lo que se pueden
realizar pruebas parciales en estos departamentos aisladamente. Con mayor periodicidad se
pueden realizar pruebas totales, en horario nocturno o en un fin de semana.
n) Mantenimiento.
Comprende la actualización del plan según nuevas aplicaciones se implementen, otras dejen
de ser operativas, se sustituyan equipos, cambie el personal o su ubicación, varíe la
legislación, se transformen los objetivos estratégicos, etc. Las etapas citadas deben realizarse
consecutivamente en el orden expuesto y sólo se pasará de una a otra tras haber concluido
satisfactoriamente la previa. El Plan de Contingencias implica un análisis de los posibles
riesgos a los cuales pueden estar expuestos nuestros equipos de procesamiento y la
información contenida en los diversos medios de almacenamiento, por lo que previamente se
debe haber realizado un análisis de riesgo al sistema al cual se le va a realizar el plan de
contingencia.
46
p) Plan de contingencia de servicios.
Mientras todos los CPD que se precian disponen de soportes de respaldo de la información
debidamente almacenados en instalaciones externas, no sucede lo mismo con los
departamentos informatizados autónomamente. Es vital que estos departamentos identifiquen,
dupliquen y almacenen externamente en lugares seguros las informaciones críticas. Se
recomienda el establecimiento de una estrategia, general para toda la institución, de
información de respaldo.
Según datos difundidos por Eset, la experiencia hasta ahora demuestra que las empresas más
expuestas al robo de información son las que se dedican a las finanzas y negocios. En segundo
lugar aparecen los gobiernos, luego los sectores de educación y medicina como se muestra en la
Ilustración 8.
47
Los resultados están basados en las encuestas realizadas en diferentes países de Latinoamérica
en el marco de la asistencia a eventos de la industria por parte de los representantes de ESET. El
presente informe recopila los datos obtenidos a partir de más de 750 encuestas llevadas a cabo a
gerentes de empresas y profesionales del área TI y de la seguridad de la información durante la
realización del B3 Forum, que tuvo lugar en febrero de 2010 en México D.F.
Entre las temáticas analizadas y reflejadas en el Reporte México 2010, se destacan las siguientes:
En segundo lugar, la opción de vulnerabilidades de software y sistemas fue seleccionada por casi
el 40% de los encuestados, ratificando la relevancia de los problemas de seguridad en aplicaciones
dentro del marco general de la seguridad de la información. Sin embargo, ante la consulta respecto
a cuál es la política de la empresa en la instalación de parches de seguridad, un 11,6% manifestó
que no se implementan actualizaciones y un 46,6% indicó que se realizan sólo para el sistema
operativo o aplicaciones.
Completando las tres preocupaciones más importantes, el fraude informático fue seleccionado en
tercera ubicación en partes prácticamente iguales sea tanto externo (37.60%) como interno
(37.24%).
48
Ilustración 9.Seguridad en la empresa.
La relevancia del malware: A diferencia de otras regiones donde también fue realizado el ESET
Security Report, México, es el primer país donde el malware no fue seleccionado entre los tres
temas de mayor preocupación entre los encuestados, lo cual resulta curioso teniendo en cuenta el
crecimiento en la cantidad de códigos maliciosos que están afectando en la actualidad a las redes
corporativas. Tan sólo un 21,32% indicó al malware como un tema de preocupación.
Esto puede deberse, por un lado, a que los profesionales no sean conscientes de los peligros que
puede representar una infección para una red empresarial o a que la cuestión no les resulta
preocupante ya que prácticamente todos manifestaron contar con soluciones antivirus en los
sistemas de la empresa (sólo 3 personas indicaron no utilizar software de seguridad contra
malware).
De cualquier manera, el resultado no deja de ser llamativo y es una señal de alerta sobre la
necesidad de que los usuarios sean más conscientes ante la amenaza que representa el malware
y reflexionen sobre la importancia de una mayor educación en la materia.
Asignación del presupuesto a seguridad informática: Más de la mitad de los encuestados indicaron
que del presupuesto de IT, menos del 5% es asignado a la seguridad de la información. Mientras
que sólo el 20% de los encuestados dijeron que este número ascendía a más del 10% del total.
49
La falta de recursos para la asignación de controles de seguridad es un claro impedimento y una
expresión de la falta de procesos de decisión respecto a la medición de costos en lo referido a
seguridad y a los cálculos y análisis respecto a las inversiones en dicho campo como se muestra
en la ilustración 10.
La importancia en la concientización del personal: Al igual que en reportes previos, ante la consulta
sobre la importancia de la concientización en seguridad, los encuestados dan como respuesta
predilecta que la misma es esencial (con el 54,67% de las respuestas), siendo muy alta la segunda
respuesta seleccionada (30,58%).
A la vez, casi la mitad de los profesionales indicaron que realizan periódicamente actividades de
concientización en la empresa.
Con frecuencia las organizaciones despliegan tecnología como medio de atender temas
imperativos de seguridad. Los proyectos que son nombrados como soluciones técnicas están
frecuentemente medidos por el éxito de la implementación más que por el valor que la tecnología
provee. Por ejemplo, en las preguntas alrededor de la protección de datos, los encuestados de la
GISS hicieron referencia a la implementación de un sistema DLP y prestan poca atención en los
otros componentes de un programa de Prevención de Pérdida de Datos como el desarrollo de una
50
política o un estándar, gobierno, inventario y seguimiento de activos de información, clasificación y
ciclo de vida de la información, y soportar los procesos y los procedimientos para el manejo de
alertas.
Para obtener el mayor valor de una solución tecnológica, las organizaciones deben suplementar
sus esfuerzos de despliegue tecnológico con iniciativas estratégicas que traigan a la mesa la
gobernanza apropiada, procesos, entrenamiento y concientización. Retos similares existen, cuando
la implementación de un SOC se iguala al despliegue de un sistema SIEM. La implementación de
un SOC bien diseñado es el paso que las compañías deben dar para obtener el mayor beneficio de
una implementación SIEM.
Un SOC debe estar equipado con una suite de productos tecnológicos que provean la visibilidad
adecuada hacia el entorno que coadyuve a la postura de seguridad de la organización. Al
seleccionar la tecnología correcta, el SOC necesita asignar un equipo de seguridad calificado que
pueda identificar exactamente cuáles son las herramientas adecuadas para el trabajo. Este equipo
será responsable de evaluar los RFP de distintos proveedores, considerar los requerimientos de
integración del sistema, evaluar la interoperabilidad con la infraestructura existente y realizar
demostraciones y pruebas de las soluciones.
Aunque las herramientas técnicas son importantes, el desplegar tecnología simplemente por
hacerlo es costoso e inefectivo. Los planes de tecnología del SOC deben primer considerar lo que
está disponible en casa para satisfacer sus necesidades: entonces, se podrá mejorar y ampliar las
capacidades actuales a través del despliegue de herramientas y tecnologías suplementarias.
El abordar las inversiones en aspectos técnicos del SOC como parte de la perspectiva más amplia
de la estrategia de TI así como de los procesos de administración de portafolio es una mejor
opción que perseguir adquisiciones de tecnología de seguridad de manera aislada.
Implementar la combinación correcta de tecnologías que funcionen bien en conjunto como parte de
un programa de seguridad basada en inteligencia puede ser todo un desafío. Sin embargo, las
tecnologías disponibles actualmente para los SOC pueden ser el elemento más maduro en el trío
51
compuesto por el personal, los procesos y la tecnología. A pesar de que las nuevas herramientas
como las plataformas de análisis de seguridad son muy prometedoras, solo son buenas en la
medida en que el personal que las usa también sea bueno y en la medida en que las mejores
prácticas operacionales implementadas para ayudar a la organización funcionen en conjunto de
manera eficaz y eficiente.
La manera de optimizar el personal, los procesos y la tecnología será diferente para cada SOC, ya
que depende de las condiciones y necesidades únicas de sus organizaciones.
Sin embargo, es posible aplicar pautas comunes a la mayoría de los SOC que intentan
implementar un método de seguridad basada en inteligencia.
2.11.9.1 Firewalls
Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos)
obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a
impedir que el equipo envíe software malintencionado a otros equipos.
52
Ilustración 11.Funcionamiento firewall.
Un firewall crea una barrera entre Internet y el equipo, igual que la barrera física que constituiría
una pared de ladrillos.
El firewall está basado en las capas del Modelo de referencia OSI (Open Systems Interconnect, por
sus siglas en ingles), los firewalls modernos operan en las capas mostradas en la Ilustración 12.
Ilustración 12.Capas del Modelo OSI donde operan los firewalls modernos.
53
Un Sistema de Detección de Intrusos o IDS (Intrusion Detection System, por sus siglas en inglés)
es un software que automatiza el proceso de detección de intrusos (González, 2003). Después de
detectar actividad maliciosa, el IDS envía mensajes de alerta a una consola central de monitoreo
de modo que la acción pueda ser tomada por el administrador de la red. Las alertas son enviadas
en forma de mensajes de syslog o alertas vía correo electrónico. Los IDS están disponibles como
dispositivos basados en hardware así como en agentes o sensores basados en software. El
desempeño de los IDS es evaluado en términos de la precisión para generar alertas.
Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el
control de acceso en una red informática para proteger a los sistemas computacionales de ataques
y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión
de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso,
más cercano a las tecnologías de firewall (González, 2003).
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver
ambigüedades en la monitorización pasiva de redes de computadoras, al situar sistemas de
detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías
de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos
del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron
comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen
Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron
extensiones literales de los sistemas IDS, continúan en relación.
También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir
actividades potencialmente maliciosas.
2.11.9.4 Servidores
Un servidor es una aplicación en ejecución (software) capaz de atender las peticiones de un cliente
y devolverle una respuesta en concordancia. Los servidores se pueden ejecutar en cualquier tipo
de computadora, incluso en computadoras dedicadas a las cuales se les conoce individualmente
como "el servidor". En la mayoría de los casos una misma computadora puede proveer múltiples
54
servicios y tener varios servidores en funcionamiento. La ventaja de montar un servidor en
computadoras dedicadas es la seguridad. Por esta razón la mayoría de los servidores son
procesos daemon diseñados de forma que puedan funcionar en computadoras de propósito
específico (Wiley, 2011).
Los servidores operan a través de una arquitectura cliente-servidor. Los servidores son programas
de computadora en ejecución que atienden las peticiones de otros programas, los clientes. Por
tanto, el servidor realiza otras tareas para beneficio de los clientes. Ofrece a los clientes la
posibilidad de compartir datos, información y recursos de hardware y software. Los clientes
usualmente se conectan al servidor a través de la red pero también pueden acceder a él a través
de la computadora donde está funcionando. En el contexto de redes Internet Protocol (IP), un
servidor es un programa que opera como oyente de un socket.
Comúnmente los servidores proveen servicios esenciales dentro de una red, ya sea para usuarios
privados dentro de una organización o compañía, o para usuarios públicos a través de Internet. Los
tipos de servidores más comunes son servidor de base de datos, servidor de archivos, servidor de
correo, servidor de impresión, servidor web, servidor de juego, y servidor de aplicaciones.
Un gran número de sistemas usa el modelo de red cliente-servidor, entre ellos los sitios web y los
servicios de correo. Un modelo alternativo, el modelo red peer-to-peer permite a todas las
computadoras conectadas actuar como clientes o servidores acorde a las necesidades.
Esta lista categoriza los diversos tipos de servidores del mercado actual:
55
Servidores de Chat (Chat Servers): Los servidores de chat permiten intercambiar
información a una gran cantidad de usuarios ofreciendo la posibilidad de llevar a cabo
discusiones en tiempo real.
Servidores de Fax (Fax Servers): Un servidor de fax es una solución ideal para
organizaciones que tratan de reducir el uso del teléfono pero necesitan enviar
documentos por fax.
Servidores FTP (FTP Servers): Uno de los servicios más antiguos de Internet, File
Transfer Protocol permite mover uno o más archivos con seguridad entre distintos
ordenadores proporcionando seguridad y organización de los archivos así como control
de la transferencia.
Servidores IRC (IRC Servers): Otra opción para usuarios que buscan la discusión en
tiempo real, Internet Relay Chat consiste en varias redes de servidores separadas que
permiten que los usuarios conecten el uno al otro vía una red IRC.
Servidores de Listas (List Servers): Los servidores de listas ofrecen una manera mejor de
manejar listas de correo electrónico, bien sean discusiones interactivas abiertas al público
o listas unidireccionales de anuncios, boletines de noticias o publicidad.
Servidores de Correo (Mail Servers): Casi tan ubicuos y cruciales como los servidores
web, los servidores de correo mueven y almacenan el correo electrónico a través de las
redes corporativas (vía LANs y WANs) y a través de Internet.
Servidores de Noticias (News Servers): Los servidores de noticias actúan como fuente de
distribución y entrega para los millares de grupos de noticias públicos actualmente
accesibles a través de la red de noticias USENET.
Servidores Proxy (Proxy Servers): Los servidores proxy se sitúan entre un programa del
cliente (típicamente un navegador) y un servidor externo (típicamente otro servidor web)
para filtrar peticiones, mejorar el funcionamiento y compartir conexiones.
56
Servidores Telnet (Telnet Servers): Un servidor telnet permite a los usuarios entrar en un
ordenador huésped y realizar tareas como si estuviera trabajando directamente en ese
ordenador.
Servidores Web (Web Servers): Básicamente, un servidor web sirve contenido estático a
un navegador, carga un archivo y lo sirve a través de la red al navegador de un usuario.
Este intercambio es mediado por el navegador y el servidor que hablan el uno con el otro
mediante HTTP.
2.12 DMZ
Una DMZ, zona desmilitarizada o red perimetral es una red local que se ubica entre la red interna
de una organización y una red externa, generalmente Internet (Morales, 2014).
El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén
permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa, es decir:
los equipos locales (hosts) en la DMZ no pueden conectar con la red interna.
Esto permite que los equipos (hosts) de la DMZ's puedan dar servicios a la red externa a la vez
que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos
(host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse
ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde
fuera, como servidores de e-mail, Web y DNS.
Los servidores en la DMZ se denominan "anfitriones bastión" ya que actúan como un puesto de
avanzada en la red de la compañía.
57
Debe observarse que es posible instalar las DMZ en forma interna para aislar la red interna con
niveles de protección variados y así evitar intrusiones internas como se muestra en la Ilustración
13.
58
Capítulo III. Marco contextual
En este capítulo se mencionan los principales compromisos y retos del día a día a los que se
enfrenta un Centro de Operaciones de Seguridad (SOC), así como el fundamento para gestionar
los niveles de servicio que manejan para medir su eficiencia y eficacia ante la seguridad de la
empresa brindando el respaldo y confiabilidad de la empresa
Las normativas (políticas, normas y procedimientos) existen para regir como una organización
desea que los recursos informáticos sean usados. Como no existe legislación con ciertos asuntos,
como por ejemplo el control de los mensajes de correo electrónico, la organización necesita
informar sobre el uso a sus usuarios.
2. La gestión del control de acceso permite una identificación para el uso común.
Muchas organizaciones poseen identificaciones que no son individuales y son utilizadas por un
grupo determinado de usuarios. Son casos normales de acceso a la información. Con ese acceso
común es muy difícil identificar que usuario hizo determinada acción.
4. Planes de continuidad.
Los planes de continuidad de negocio o planes para situaciones de contingencia debe ser un
proceso actualizado. Pero, muchas empresas desarrollan sus planes y estos quedan estancados.
Un plan de continuidad tiene que ser activo: actualizado constantemente, probado y en crecimiento
continuo.
59
5. Registros de acciones realizadas.
6. Copias de seguridad.
Las copias de seguridad deben existir por razones legales y por la necesidad de mantener a salvo
las transacciones históricas de la empresa. El procedimiento para la creación de las copias de
seguridad debe mantenerse permanentemente actualizado. Es muy importante asegurarse que las
copias de seguridad que se realizan puedan ser restauradas en caso de necesitarse.
Cuando no existe una gestión de riesgo, los análisis de riesgo y de amenazas son hechos
aleatoriamente y normalmente sólo cuando se está ante un riesgo inminente. Toda organización
debe poseer una gestión de riesgo continua.
En el núcleo de un SOC exitoso están unos cimientos fuertes para la excelencia operacional,
impulsada por procesos bien diseñados y ejecutados, individuos capaces y en constante
motivación para mejorar y estar delante de sus ciberadversarios.
60
Falta de atención de tickets
Falta de atención en el monitoreo 24x7
Falta de seguimiento y aviso ante eventos correlacionados definidos anteriormente
Elaboración de informes y reportes incompletos
En este punto se observó que, al tener una carga excesiva de trabajo, los SOC presentan la
problemática de no lleva registro constante de registros, soluciones y trabajos realizados.
De acuerdo a ITIL, la Gestión de Niveles de Servicio es el proceso por el cual se definen, negocian
y supervisan la calidad de los servicios TI ofrecidos, la Gestión de Niveles de Servicio es
responsable de buscar un compromiso realista entre las necesidades y expectativas del cliente y
los costes de los servicios asociados, de forma que estos sean asumibles tanto por el cliente como
por la organización TI.
Este nivel de servicio cubre la aplicación correcta y oportuna de los cambios realizados sobre las
configuraciones de la infraestructura de seguridad gestionada desde el SOC.
Este nivel de servicio cubre el tiempo de atención sobre fallos en la infraestructura de seguridad
gestionada desde el SOC, y puede calcularse mediante la siguiente clasificación:
Tiempo promedio de atención (el tiempo que transcurre entre que se recibe la solicitud de
soporte hasta que sea asignado un número de evento).
Tiempo promedio de respuesta (el tiempo que transcurre entre que se asigna el número de
evento hasta que el personal del licitante inicia actividades de soporte).
Tiempo promedio de restauración (el tiempo que transcurre entre que se diagnostica un
fallo en un dispositivo hasta que se restaura su funcionamiento).
61
3.- Monitorización de actividad sospechosa
La definición de los niveles de servicios conllevara a la definición de indicadores los cuales nos
ayudaran a analizar de una manera más rápida el cumplimiento de la entrega del servicio de
acuerdo a los objetivos establecidos.
Además de esto se podrán considerar penalizaciones ya sean económicas o de otra índole que
sean acordados por el prestador de servicio y el usuario las cuales dependerán de los niveles de
servicio definidos y de los indicadores.
62
Alguien más gana por inspeccionarlas y rechazarlas.
Un tercero cobra por corregirlas.
Alguien recibe la reclamación del cliente, la procesa y le entrega otro producto nuevo.
Para lograr la calidad total existen dos enfoques. El primero se deriva de las aseveraciones de los
grandes tratadistas de la administración y la calidad, se basa en las acciones de la administración,
por lo cual se denomina enfoque directivo de la calidad total:
Drucker: los cuellos de botella en las organizaciones están al igual que en las botellas:
arriba.
Deming: 85% de los problemas en las organizaciones se deben a la administración, y sólo
15% a la operación.
Juran: los problemas siempre surgen uno o dos niveles debajo de donde se manifiestan.
Dicho popular: “Las escaleras se barren de arriba para abajo”.
El segundo enfoque destaca que la calidad total se logra mediante la participación del personal en
una continua búsqueda de solución de los problemas de su trabajo, para lo cual deberán formar
equipos de trabajo efectivos y aplicar una metodología estadística de detección, análisis y solución
de problemas el cual se conoce como enfoque operativo.
La calidad dejó de ser una opción. Resulta fundamental para lograr ventajas competitivas, una
mayor rentabilidad y satisfacción de los clientes. El motivo principal: garantizar la permanencia en
el mercado y crecer con mayor facilidad. Gestionar la calidad ya no es una opción que algunos
pueden tomar para generar una imagen positiva o aumentar los precios: la calidad se convirtió en
una cuestión de supervivencia empresarial. En el entorno cada vez más competitivo la satisfacción
del cliente debe colocarse en un plano primordial, si es que la empresa quiere seguir en carrera.
63
Claro que la calidad no es gratuita, pero el costo adicional (en tiempo y dinero) se recupera a largo
plazo. Los niveles altos de calidad dan como resultado una mayor satisfacción del cliente, lo que a
menudo termina reduciendo costos (por ejemplo, exigiendo menos publicidad para captar nuevos
clientes). Por lo tanto, los programas de mejoramiento de la calidad normalmente logran también
incrementar la rentabilidad.
En tal sentido, los clientes constituyen el elemento vital de cualquier organización. Sin embargo,
son pocas las organizaciones que consiguen adaptarse a las necesidades de sus clientes ya sea
en cuanto a calidad, eficiencia o servicio personal. Es por ello que los directivos deben mejorar la
64
calidad del servicio que ofrecen a sus clientes, ya que no es cuestión de elección: la vida de la
organización depende de ello.
De tal forma, para mantener una organización en el mercado, es necesario entre otras cosas
mejorar continuamente el lugar de trabajo, enfocándolo hacia la calidad de bienes y servicios,
haciendo que esta actitud sea un factor que prevalezca en todas las actuaciones.
En nuestro país y en general en américa latina es muy escasa la inversión que se ha realizado en
este aspecto. Se entiende por inversión no solo el recurso económico, sino además el tecnológico
y particularmente el humano. Y no es porque falten profesionales capacitados, sino porque las
organizaciones no toman conciencia del riesgo que corren. Organizaciones tanto privadas como
gubernamentales, siguen sin priorizar su bien más preciado: la información.
Ventajas
Desventajas
Es una solución a la parte de seguridad lógica: No debe perderse de vista que lo que se
debe proteger es aquello que es más valioso para la organización. Estos servicios pueden
crear la "ilusión" de seguridad mientras la puerta de atrás de la empresa está abierta 24/7.
En ningún caso es una solución global puesto que aquello a lo que cada organización debe
prestar especial atención debe venir dado por los objetivos de negocio de la organización y
aquellos elementos que resulten determinantes tras el análisis de riesgos.
65
Intrusivo: Algunos de estos servicios pueden no ser recomendables dependiendo de cómo
de crítica sea la información que se maneje. Hay que tener en cuenta que algunos de los
sensores que se instalan en los sistemas capturan llamadas al sistema con el objeto de
crear un perfil de comportamiento del sistema y poder reportar cualquier anomalía que
pueda surgir en el funcionamiento del mismo.
El tercero que hace seguimiento de los terceros: El seguimiento de los terceros con el
objetivo de verificar si éstos cumplen con los acuerdos firmados sean confusos
especialmente con este tipo de servicios que pueden ofrecer monitorización de los terceros
de la organización, por ejemplo los ISP.
Las PyMES repiten errores en común lo cual las hace más vulnerables a los problemas de
seguridad que se presentan hoy en día.
1. Pensar que a nadie le interesan mis datos. Hay empresarios que piensan que los hackers sólo
se dedican a tratar de buscar agujeros de seguridad en los servidores y sistemas de grandes
multinacionales. Pero no suele ser así. De hecho, las pequeñas empresas suelen ser más
vulnerables porque invierten menos en la seguridad de su negocio y suele ser más fácil
perjudicarlas.
2. No incluir la seguridad en los contratos. Una cláusula que debe integrarse en los contratos,
siempre que se trabaja con personal externo a la empresa, pero también con empleados, es la
confidencialidad. También es importante que cuando adquirimos un servicio online, sea del
carácter que sea, nos informemos bien de si cumple con la Ley Orgánica de Protección de Datos
Personales entre otros.
3. Olvidar la gestión de la red informática. En muchos negocios se utilizan redes Wifi para acceder
a Internet, pero no se han comprobado los niveles de seguridad de esta red. Probablemente,
personal ajeno a la empresa pueda conectarse a nuestra red o incluso interceptar transferencias
de datos si sabe cómo hacerlo. La gestión de la red informática y su nivel de seguridad es clave.
66
4. Pensar en reparar, no en mantener. Muchas empresas sólo piensan en reparar los problemas
informáticos cuando estos se producen. Pero, ¿y todo el tiempo que sucede entre incidencia e
incidencia? ¿No es ésta la causa de muchos problemas informáticos? El mantenimiento debe ser
diario y hay que ajustarse también a un código de buenas prácticas. Si no disponemos de un
departamento de informática, podemos contratar servicios profesionales en mantenimiento
informático a precio más económico.
Las Pymes se están convirtiendo en un blanco muy atractivo para los ladrones digitales, que están
aprovechando la poca seguridad de estas empresas para adquirir secretos industriales y demorar
los planes de la competencia.
Según McAfee, solo el 8% del gasto en TI de las pequeñas y medianas empresas está destinado a
la seguridad informática. Teniendo en cuenta que el 73% de las Pymes sufrieron por lo menos un
ataque informático, y que estas compañías mueven el 96% de la economía del país, es
preocupante la falta de aseguramiento informático.
La ingeniería social será más prominente. Esta consiste en extraer información del sistema por
medio de las redes sociales y el correo electrónico, por ejemplo. Los ataques de phising son una
forma de ingeniería social muy popular por estos días. McAfee también asegura que las amenazas
internas tendrán que ser contrarrestadas. “Cada día son más frecuentes los casos donde el robo
de la información se da desde el interior de la compañía”, explicó la compañía de seguridad. La
tecnología tiene que proponer soluciones para que los mismos empleados no puedan extraer
información confidencial de la empresa. La situación de las Pymes es complicada. Obviamente
tienen recursos limitados y la seguridad en TI no está entre las prioridades. Sin embargo, las
empresas deberían entender que la realidad es diferente. Los piratas informáticos son lo
suficientemente inteligentes para saber dónde hay menos resistencia, y por ahí atacan.
67
Capítulo IV. Buenas prácticas y estándares aplicados a la
problemática
En este capítulo se mencionan los estándares y buenas prácticas que existen y aplican para el
diseño del modelo para la implementación de un Centro de Operaciones de seguridad (SOC).
Está diseñado para ser utilizado por las organizaciones que tengan la intención de:
68
Núm. Dominio Objetivos de control y controles.
69
Núm. Dominio Objetivos de control y controles.
70
Núm. Dominio Objetivos de control y controles.
terceros
Es compatible con los conceptos generales especificados en la norma ISO / IEC 27001 y está
diseñado para ayudar a la ejecución satisfactoria de seguridad de la información basado en un
enfoque de gestión de riesgos.
71
Ilustración 15.Riesgo
Como se muestra en la Ilustración 15, La importancia del análisis de riesgos según ISO 27005 nos
permite identificar las amenazas a las que se encuentran expuestos todos los activos, se estima la
frecuencia en la que se materializan todas las amenazas y valora el impacto que supone que se
materialice en nuestra organización.
Es aplicable a todo tipo de organizaciones (por ejemplo, las empresas comerciales, agencias
gubernamentales, organizaciones sin fines de lucro), que tienen la intención de gestionar los
riesgos que podrían comprometer la seguridad de la información de la organización.
Esta norma no recomienda una metodología concreta, puesto que dependerá de una serie de
factores relativos a cada empresa que se plantee implantarla como por ejemplo: el alcance real del
Sistema de Gestión de Seguridad de la Información (SGSI) o el sector comercial de la propia
industria.
También aborda los riesgos no cubiertos por la Internet actual, las redes y la seguridad de las
tecnologías de la información y de la comunicación, sacando los aspectos únicos de esa actividad
y sus dependencias en otros dominios de seguridad, en particular:
72
1. seguridad de información
2. Seguridad de la red
3. La seguridad de Internet
4. Protección de infraestructuras críticas de información ( PICI )
Los estándares no son más que los niveles mínimo y máximo deseados, o aceptables de calidad
que debe tener el resultado de una acción, una actividad, un programa, o un servicio. En otras
palabras, el estándar es la norma técnica que se utilizará como parámetro de evaluación de la
calidad.
Una vez programadas las actividades de solución al problema de gestión, los círculos de calidad
deberán definir los estándares de calidad del resultado, o los resultados esperados.
En el desarrollo de los estándares deben participar los miembros del equipo coordinador de la
gestión de calidad, en la unidad de salud y representantes de los usuarios internos y externos del
programa de atención integral en el cual se identificaron los problemas.
Se debe cuidar que los estándares no sean influenciados por lo que actualmente hace el personal,
quienes son los responsables de la gestión o ejecución de la actividad, componente o programa
con un problema. Los estándares deben ser monitoreados y evaluados periódicamente, aplicando
indicadores, para saber si se está asegurando la calidad.
Las ISO 9000 son normas establecidas por la Organización Internacional para la Estandarización
(ISO, por sus siglas en inglés), a través de las cuales se pueden medir los sistemas de gestión de
calidad de una empresa y verificar si realmente ésta satisface las expectativas y necesidades de
sus clientes.
73
Desde su aparición, en 1987, se han venido modificando y actualizando hasta llegar a su última
versión en el año 2000. Actualmente, estas normas se pueden aplicar tanto en el sector privado,
como en la administración pública, y poseen todo un marco conceptual y un proceso detallado para
la debida certificación de calidad de las empresas.
NORMAS DE CALIDAD
CALIDAD
Las empresas deben afrontar que los clientes son cada vez más exigentes, en cuanto a la calidad
de los productos, las prestaciones y la fiabilidad. La mejor calidad no es siempre la más cara, si no
la que más se adapta en características y precio a las necesidades del cliente.
Los problemas que tienen las empresas con sus costos excesivos, la competencia
Tradicionalmente las empresas han trabajado con la creencia que la productividad está reñida con
la calidad, teniendo que optar por una u otra.
ESTANDARIZACIÓN
Se conoce como estandarización al proceso mediante el cual se realiza una actividad de manera
estándar o previamente establecida. El término estandarización proviene del término estándar,
aquel que refiere a un modo o método establecido, aceptado y normalmente seguido para realizar
determinado tipo de actividades o funciones. Un estándar es un parámetro más o menos esperable
para ciertas circunstancias o espacios y es aquello que debe ser seguido en caso de recurrir a
algunos tipos de acción (Académica, 2013).
La ISO 9001 es una norma ISO internacional elaborada por la Organización Internacional para la
Estandarización (ISO) que se aplica a los Sistemas de Gestión de Calidad de organizaciones
públicas y privadas, independientemente de su tamaño o actividad empresarial. Se trata de un
método de trabajo excelente para la mejora de la calidad de los productos y servicios, así como de
la satisfacción del cliente.
El sistema de gestión de calidad se basa en la norma ISO 9001, las empresas se interesan por
obtener esta certificación para garantizar a sus clientes la mejora de sus productos o servicios y
estos a su vez prefieren empresas comprometidas con la calidad. Por lo tanto, las normas como la
ISO 9001 se convierten en una ventaja competitiva para las organizaciones.
ISO 9001: 2015 establece los criterios para un sistema de gestión de calidad y es la única norma
en la familia que puede ser certificada para (aunque esto no es un requisito). Puede ser utilizado
74
por cualquier organización, grande o pequeña, independientemente de su campo de actividad. De
hecho, hay más de un millón de empresas y organizaciones en más de 170 países certificados con
la norma ISO 9001.
Esta norma se basa en una serie de principios de gestión de calidad, incluyendo una fuerte
orientación al cliente, la motivación y la implicación de la alta dirección, el enfoque de procesos y la
mejora continua. El uso de la norma ISO 9001: 2015 ayuda a asegurar que los clientes obtengan
productos consistentes y de buena calidad y servicios, que a su vez trae muchos beneficios para el
negocio.
1. Alcance
2. Referencias Normativas
3. Términos y Definiciones
4. Contexto de la Organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación del Desempeño
10. Mejora
En esta nueva ISO 9001:2015 existe un nuevo apartado, el 4. Contexto de la organización. En este
capítulo, se trata la necesidad de tener en cuenta y analizar el entorno socio-económico de la
empresa y los vínculos existentes con los stakeholder (internos y externos). Este análisis facilitará
la identificación de problemas y necesidades que puedan generar un impacto en la planificación del
Sistema de Gestión de la Calidad.
75
Pensamiento basado en riesgo.
Es uno de los cambios más importantes en la nueva ISO 9001, ya que este concepto se introduce
en la totalidad del sistema de gestión, es decir, durante el establecimiento, implantación,
mantenimiento y mejora. Para gestionar los riesgos se pueden adoptar la metodología que más se
ajuste a las necesidades de la empresa, por ejemplo, la norma ISO 31000.
Acciones preventivas.
Se elimina las acciones preventivas en la nueva edición de la norma ISO9001, ya que el propio
Sistema de Gestión de la Calidad debe actuar como herramienta preventiva.
Representante de la Dirección.
Esta figura deja de ser obligatoria en la ISO9001:2015, se le da más importancia a la involucración
de la alta dirección como vemos en el capítulo 5 “Liderazgo”.
En general el concepto de “buenas prácticas” se refiere a toda experiencia que se guía por
principios, objetivos y procedimientos apropiados o pautas aconsejables que se adecuan a una
determinada perspectiva normativa o a un parámetro consensuado, así como también toda
experiencia que ha arrojado resultados positivos, demostrando su eficacia y utilidad en un contexto
concreto.
El concepto de buenas prácticas se utiliza en una amplia variedad de contextos para referirse a las
formas óptimas de ejecutar un proceso, que pueden servir de modelo para otras organizaciones.
Las buenas prácticas sistematizadas, permiten aprender de las experiencias y aprendizajes de
otros, y aplicarlos de manera más amplia y/o en otros contextos (scaling-up). Pueden promover
nuevas ideas o sugerir adaptaciones y proporcionar una orientación sobre la manera más efectiva
de visibilizar los diversos impactos de una intervención en las comunidades.
Haciendo una sistematización de los criterios comunes a todas las evaluaciones revisadas,
podríamos decir que una buena práctica sería un programa, proyecto o intervención que tiene al
menos algunas de las siguientes características:
76
Responden a una necesidad identificada, son fruto de una evaluación cuidadosa de alguna
característica en una población definida que se hace necesario modificar y mejorar y por tanto
tiene objetivo definido, relevante y realista;
La búsqueda de buenas prácticas se relaciona directamente con los actuales planteamientos sobre
los criterios de calidad y eficiencia de las intervenciones sociales, que abarcan no sólo la gestión y
los procedimientos, sino fundamentalmente la satisfacción de las necesidades de las personas
afectadas y la superación de su problemática. Por lo tanto, durante la planeación del modelo
estratégico se basó en dos guías de TI importantes en buenas prácticas: COBIT e ITIL.
Ambos modelos son también complementarios y se pueden usar juntos: ITIL para lograr efectividad
y eficiencia en los servicios TI y COBIT para verificar la conformidad en cuanto a disponibilidad,
rendimiento, eficiencia y riesgos asociados de dichos servicios con los objetivos y estrategias de la
compañía, usando para ello métricas claves y cuadros de mando que reporten dicha información.
4.6.1 COBIT
Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT) brindan buenas
prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en
una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los
expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas
ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y
brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. (ITGI, 2007).
77
COBIT permite el desarrollo de políticas claras y de buenas prácticas para control de TI a través de
las empresas. COBIT constantemente se actualiza y armoniza con otros estándares. Por lo tanto,
COBIT se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia
general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios
asociados con TI. La estructura de procesos de COBIT y su enfoque de alto nivel orientado al
negocio brindan una visión completa de TI y de las decisiones a tomar acerca de la misma.
Los beneficios de implementar COBIT como marco de referencia de gobierno sobre TI incluyen:
Los ejecutivos necesitan la certeza de que pueden confiar en los sistemas de información y en la
información producida por los sistemas, y así obtener un retorno positivo de las inversiones en TI.
COBIT permite que los ejecutivos de negocios entiendan mejor como dirigir y gestionar el uso de
las TI la empresa y el estándar de mejores prácticas que se espera de los proveedores de TI.
COBIT proporciona las herramientas para dirigir y supervisar todas las actividades relacionadas
con las TI.
Una vez implementado, los ejecutivos pueden asegurarse de que se ajusta de manera eficaz con
los objetivos del negocio y dirigir mejor el uso de TI para obtener ventajas comerciales. COBIT
brinda un lenguaje común a los ejecutivos de negocios para comunicar las metas, objetivos y
resultados a los profesionales de auditoría, informática y otras disciplinas.
COBIT brinda las mejores prácticas y herramientas para el monitoreo y la gestión de las
actividades de TI. El uso de las TI es una inversión importante que debe ser gestionado. COBIT
ayuda a los ejecutivos a comprender y gestionar las inversiones de TI durante su ciclo de vida y
proporciona un método para evaluar si los servicios de TI y las nuevas iniciativas satisfacen los
requisitos empresariales y sea probable que entreguen los beneficios esperados.
Existe una tremenda diferencia entre las empresas que realizan una buena gestión de TI y las que
no lo hacen, o no pueden. COBIT permite el desarrollo de políticas claras y mejores prácticas para
la administración de TI. El marco ayuda a aumentar el valor obtenido de TI. También ayuda a las
organizaciones a gestionar los riesgos relacionados con TI y a asegurar el cumplimiento, la
continuidad, seguridad y privacidad.
78
Debido a que COBIT es un conjunto de herramientas y técnicas probadas y aceptadas
internacionalmente, su implementación es una señal de buena gestión en una organización. Ayuda
a los profesionales de TI y a usuarios de empresas a demostrar su competencia profesional a la
alta dirección. Como ocurre con muchos procesos de negocio genéricos, existen estándares y
mejores prácticas de la industria de TI que las empresas deberían seguir cuando utilizan las TI.
COBIT se nutre de estas normas y proporciona un marco para implementarlas y gestionarlas.
Una vez que se identifican e implementan los principios clave de COBIT para una empresa, los
ejecutivos ganan confianza en que la utilización de las TI puede ser gestionada de forma eficaz.
Los ejecutivos de las empresas pueden esperar los siguientes resultados de la adopción de
COBIT:
• Marco de trabajo: Explica cómo es que COBIT organiza la gestión del gobierno de TI, los
objetivos de control y las mejores prácticas de los procesos y dominios de TI, y los
relaciona con las necesidades del negocio. El marco contiene un conjunto de 34 objetivos
de control de alto nivel, uno para cada proceso de TI, agrupados en cuatro dominios:
Planificar y Organizar, Adquirir e Implementar, Entregar y dar soporte, Monitorear y
Evaluar.
• Las descripciones del proceso incluyen cada uno de 34 procesos de IT, cubriendo las
áreas de responsabilidad de la empresa y de TI desde el principio hasta el final.
• Los objetivos de control proveen los objetivos de gestión de las mejores prácticas
genéricas para los procesos de TI.
• Las directrices de gestión ofrecen herramientas para ayudar a asignar responsabilidades y
medir el desempeño.
79
4.6.2 ITIL
Las organizaciones cada vez dependen más de la las herramientas informáticas para llevar a cabo
su trabajo diario. Este trabajo además está gestionado y controlado a través de otros sistemas
informáticos, pudiendo estar éstos a su vez dentro de una red controlada por otros sistemas y así
sucesivamente. Por tanto la complejidad de estos procesos hizo crecer la demanda y necesidad de
las entidades (públicas o privadas) de disponer de un modelo que les permitiera gestionar su
infraestructura TI más fácilmente y que pudieran dar soporte a los objetivos de negocio.
Sin embargo esta guía demostró ser útil para cualquier organización, pudiendo adaptarse según
sus circunstancias y necesidades. De hecho resultó ser tan útil que actualmente ITIL recoge la
gestión de los servicios TI como uno de sus apartados, habiéndose ampliado el conjunto de
“buenas prácticas” a gestión de la seguridad de la información, gestión de niveles de servicio,
perspectiva de negocio, gestión de activos software y gestión de aplicaciones. Estas buenas
prácticas provienen de las mejores soluciones posibles que diversos expertos han puesto en
marcha en sus organizaciones a la hora de entregar de servicios TI, por lo que en ocasiones el
modelo puede carecer de coherencia.
ITIL V3 propone un enfoque del ciclo de vida para gestionar los servicios de TI como se muestra en
la ilustración 16. Cada uno de los cinco libros de ITIL V3 representa una fase del ciclo de vida de la
gestión de servicios. Cada fase se interrelaciona con el resto de fases del ciclo y la mayoría de los
procesos abarcan diversas fases. Además de los cinco volúmenes, ITIL V3 ofrece orientaciones
80
complementarias de implementación y prácticas en sectores concretos, organizaciones, modelos
operativos e infraestructura tecnológica.
Las cinco fases del ciclo de vida de los servicios que propone ITIL V3 son las siguientes como se
muestra en la ilustración 17:
2) Diseño del servicio: se encarga del diseño y desarrollo de los servicios y de los correspondientes
procesos necesarios para apoyar dichos servicios. Entre los procesos del diseño de servicios
figuran: la gestión del catálogo de servicios, la gestión de los niveles de servicio, la gestión de la
disponibilidad, la gestión de la capacidad, la gestión de la continuidad de los servicios de TI, la
gestión de la seguridad de la información y la gestión de proveedores.
3) Transición del servicio: se ocupa de la gestión y coordinación de los procesos, los sistemas y las
funciones que se precisan para crear, comprobar e implantar servicios nuevos o modificados en las
operaciones. Entre los procesos de transición del servicio figuran: la planificación y soporte de la
transición, la gestión del cambio, la gestión de la configuración y los activos del servicio, la gestión
del lanzamiento y el despliegue, la validación y comprobación del servicio, la evaluación y la
gestión del conocimiento.
81
4) Operaciones de servicio: se ocupa de la coordinación, las actividades y los procesos necesarios
para gestionar los servicios destinados a usuarios y clientes de empresas dentro de los niveles de
servicio acordados. Los procesos de las operaciones de servicio son los siguientes: la gestión de
eventos, el cumplimiento de peticiones, la gestión de incidencias, la gestión de problemas y la
gestión del acceso.
5) Mejora continua: se ocupa de mejorar los servicios de forma constante para garantizar a las
organizaciones que los servicios responden a las necesidades del negocio. La mejora continua
trata sobre cómo mejorar el servicio, los procesos y las actividades de cada una de las fases del
ciclo de vida.
82
Capítulo V. Propuesta de modelo para la implementación de un
Centro de Operaciones de seguridad (SOC).
En este capítulo, se define el diseño del modelo propuesto, el cual, permite identificar los
requerimientos necesarios para implementar y administrar un SOC, evaluando mediante un análisis
de costo beneficio si es costeable su aplicación.
El modelo propuesto se basa en el modelo de mejora continua “PDCA”, alineándose de este modo
con lo establecido en la norma ISO/IEC 9001. La adopción de este modelo debe ser una decisión
estratégica para la organización, cuyo diseño e implementación es influenciado por las
necesidades, objetivos, requerimientos de seguridad, procesos empleados y el tamaño y estructura
de la misma. Se espera que éstos y sus sistemas de apoyo cambien a lo largo del tiempo.
En la ilustración 18 se muestra el ciclo del modelo PDCA, el cual persigue la mejora continua de
la calidad dentro de una organización, utilizado sobre todo en los Sistemas de Gestión que mejora
dentro de la organización aspectos como la competitividad, los productos y servicios, su calidad, y
reduce costos y precios. El círculo de Deming lo componen 4 etapas cíclicas, de forma que una
vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las
actividades son reevaluadas periódicamente para incorporar nuevas mejoras. (Álvarez, 2015).
83
5.2 Propuesta de modelo de implementación y gestión para un Centro de
Operaciones de Seguridad (SOC).
Si bien el modelo PDCA es el estándar formal de ISO, éste se construye sobre una base que no
necesariamente se aplica a todas las organizaciones, sobre todo cuando éstas no se han
involucrado en procesos relacionados con normas ISO, por ello, con una base práctica se presenta
el siguiente modelo, el cual no omite ni restringe las actividades señaladas en el modelo formal,
sino que se vale de ellas para sustentar un formato práctico de actividades que deben ser
abarcadas para lograr un adecuado nivel de seguridad de la información en las áreas de TI en
cualquier tipo de organización.
Este modelo será propuesto para ser perfeccionado y modificado en el futuro dado que su
estructura se debe ajustar a los constantes cambios que surgirán en la organización como sistema
dinámico.
Fase de Análisis
Fase de Investigación
Fase de Aplicación
Fase de Prevención
Estas fases contemplan el conjunto de actividades que de ellas se desprenden y están ligadas
mediante la secuencia de actividades que es necesario desarrollar a fin de elaborar y aplicar
correctamente el modelo.
Este modelo considera los principales elementos incluidos en las diversas normas y estándares
internacionales relacionados con la seguridad de la información, por lo que apoya la concreción de
un “Gobierno de TIC”, lo que a su vez abarca un aspecto mayor al que su diseño se orientó
inicialmente, ya que esto implica que no solo cubre temas de seguridad y de riesgos, sino a que al
mismo tiempo apoya a lograr aspectos de estructura organizacional, descripciones de cargo,
tareas, definiciones de misión y visión, no solo a nivel gerencial, sino que a nivel de cada área de
TI.
84
• Proveedores externos
Fase de ofertarán los servicios del
SOC a efecto de evaluar el
costo beneficio para saber si
Análisis es costeable implementar el
modelo propuesto
• Indagación de las
Fase de necesidades de la empresa
• Definición de alcance, límites
y ubicación del SOC
Investigación • Definición de activos y nivel
de riesgo
• Establecimiento de controles
aplicados al nivel de riesgo
Fase de calculado
• Recomendaciones físicas de
Aplicación infraestructura, recursos
humanos, operación y
herramientas del SOC
Fase de de la información
• Recomendaciones de
monitoreo y revisión del SOC
Prevención
En esta fase del modelo se debe realizar un análisis costo beneficio para conocer y evaluar si es
costeable la implementación del modelo propuesto.
85
4. Realizar una tabla de costo beneficio
5. Si el resultado del análisis determina que si el costo proporcionado por el proveedor es mayor,
entonces se procede a continuar con el desarrollo del modelo.
Los puntos significativos a considerar para la definición de los mismos, se referencian del
levantamiento de la información obtenida de la organización.
Crear una locación distinta para el SOC, junto con el hardware y software que necesitan, facilitará
los tiempos cortos de respuesta y promoverá la unidad, la compartición de conocimientos y un
equipo de trabajo cuyas filas se encuentren más cerradas.
Para este punto, se define la ubicación física del SOC, tomando en consideración los estados de la
República Mexicana que tengan el menor porcentaje de inseguridad y riesgo calculado.
86
Asimismo, se puntualizan las características básicas y necesarias para la definición del tipo de
SOC, así como la infraestructura adicional requerida para la implementación de sus servicios.
1. Identificar y desarrollar los criterios para aceptar los riesgos e identificar los niveles de
riesgo aceptables.
2. Identificar las amenazas para los activos previamente identificados.
3. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas.
4. Identificar los impactos que pueden tener las pérdidas de confiabilidad, integridad y
disponibilidad sobre los activos.
5. Calcular el impacto comercial sobre la organización que podría resultar de una falla en la
seguridad, tomando en cuenta las consecuencias de una pérdida de confidencialidad,
integridad o disponibilidad de los activos.
6. Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y
vulnerabilidades prevalecientes, los impactos asociados con estos activos, y los controles
implementados actualmente.
7. Calcular los niveles de riesgo: Determinar si el riesgo es aceptable o requiere tratamiento
utilizando el criterio de aceptación del riesgo establecido.
8. Identificar y evaluar las opciones para el tratamiento de los riegos.
En esta fase se definen los controles propuestos para mitigar los riesgos, políticas y
procedimientos que apoyan a regular los procesos de seguridad y los elementos de creación para
el SOC.
Se deben seleccionar los controles para cumplir con los requerimientos identificados por el
proceso de tratamiento del riesgo, así como las políticas y procedimientos aplicables. Esta
selección toma en cuenta el criterio para aceptar los riegos y a su vez mitigarlos.
1. Aplicar los controles apropiados adecuados a los activos y nivel de riesgo calculado.
87
2. Aceptar los riesgos consiente y objetivamente, siempre que satisfagan claramente las
políticas y el criterio de aceptación del riesgo de la organización.
1.- Incluir un marco referencial que defina sus objetivos y establezca un sentido de dirección
general y principios para la acción con relación a la seguridad de la información.
3.- Establecer el criterio con el que se evaluará el riesgo aprobado por la gerencia.
Procesos bien definidos crean operaciones consistentes y resultados repetibles. El SOC necesita
documentar y comunicar procesos efectivamente e implementar mecanismos de control de
cambios para poder actualizar rápidamente los procesos cuando surjan oportunidades de mejora.
Un SOC también necesita crear procesos con suficiente amplitud y profundidad para atender
adecuadamente el universo de posibles escenarios de incidente y proveer guía detallada para la
respuesta.
Por ejemplo, un SOC debe documentar procesos para gestionar varios tipos de incidentes (como
puede ser phishing, infecciones de malware, incidentes de BYOD, alteración no autorizada del sitio
web, ataques de negación de servicio, etc.) así como guías de decisión para las medidas de
respuesta apropiadas para cada situación (por ejemplo despliegue de un equipo de respuesta a
incidentes, investigación forense, análisis de malware). El SOC necesitará definir e implementar
estos procesos en colaboración con los departamentos relacionados. La planeación conjunta es
esencial para una respuesta oportuna y unificada así como una apropiada evaluación del impacto a
la organización.
Para ello, se definen las principales recomendaciones de implementación y gestión del SOC,
constituyendo los puntos mencionados a continuación:
88
5. Implementar niveles de escalación que permitan distribuir las actividades a realizar.
6. Implementar los procedimientos capaces de permitir una pronta detección y respuesta a
incidentes de seguridad.
En esta fase se realiza el diseño de políticas y procedimientos para prevenir la fuga de información,
así como la revisión continua de los procesos del SOC.
En este punto se deben diseñar políticas y procedimientos a implementar respecto al ciclo de vida
de la información (creación, uso y destrucción) dentro de la organización.
Ayudar a detectar los eventos de seguridad, evitando así los incidentes de seguridad
mediante el uso de indicadores; y determinar si son efectivas las acciones tomadas para
resolver una violación de seguridad.
Medir la efectividad de los controles para verificar que se hayan cumplido los
requerimientos de seguridad.
Revisar las evaluaciones del riesgo a intervalos planeados y revisar el nivel de riesgo
residual y riesgo aceptable identificado, tomando en cuenta los cambios en:
o La organización
89
o Tecnología
o Amenazas identificadas
Registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o
desempeño del SOC.
90
Capítulo VI. Caso práctico de modelo para la implementación de
un Centro de Operaciones de seguridad (SOC).
En este capítulo, se desarrollan las 4 fases del modelo propuesto adaptado a las necesidades de
seguridad de la empresa, así como de los elementos que se requieren para poder implementarlo.
Misión
Visión
Ser uno de los proveedores de servicios y soluciones de TI de mayor prestigio a nivel internacional,
brindando a nuestros clientes las soluciones y calidad que ellos requieren.
Valores
Responsabilidad
Confianza
Compromiso
Lealtad
Respeto
91
Personalización de aplicaciones en base a necesidades y requerimientos específicos del
cliente.
Integraciones con otras soluciones de BMC y productos de terceros.
Desarrollo y personalización de reportes.
Upgrade de versiones, migración de aplicaciones y arquitectura.
Instalación de parches y service packs.
Respaldo de información y flujos de trabajo.
Soporte en sitio.
Soporte remoto.
ITIL
COBIT
VMWare
Citrix
• Exchange
Active Directory Domain Controller
DNS
IIS
SQL
• .NET
92
• JAVA
• PHP
• HTML
• ORACLE
• SQL
93
La empresa Anthares IT Services consta de la siguiente estructura:
94
6.2 Aplicación del modelo
Para efectos del ejemplo caso práctico, se eligen los proveedores mencionados a continuación.
a) SICTUM
b) BESTEL
Para ambos casos, se solicita información de los servicios que oferta, precios mensuales y niveles
de servicio prestados en la atención de tickets y requerimientos e incidentes de seguridad.
a) SICTUM
95
DESCRIPCIÓN GENERAL SERVICIO NIVELES DE
SEGURIDAD PERIMETRAL OFERTADO SERVICIO
(SOC)
monitoreo de seguridad,
4.- Incidentes
respuesta a incidentes y control
seguridad
de configuraciones.
* Urgencia 5 min
* Alta 10 min
b) BESTEL
* Alta 10 min
c) Tabla de costos
96
6.4 Fase de Investigación
En esta fase se realiza un estudio de la empresa para conocer de manera general los servicios y
necesidades en cuestión de seguridad incluyendo los servicios prestados para identificar aquellos
que sean más importantes e iniciar la protección de la información de estos.
A pesar de ser una pequeña empresa, para Anthares IT Services por el rubro en el que se
encuentran sus clientes, es de suma importancia proteger la información proporcionada debido a
que tiene acceso a miles de datos sensibles.
Para obtener mayor confianza para clientes nuevos y existentes, la empresa considera que la
implementación de un Centro de Operaciones de Seguridad es de prioridad para disminuir el riesgo
de pérdida o robo de información y evitar la interrupción de servicios brindados.
Se aplicaron cuestionarios al personal de Anthares IT Services (Anexo) y con base a los datos
proporcionados se obtuvieron los siguientes resultados jerarquizados del más importante al menos
importante:
1. Los empleados de la empresa tienen entendimiento de los principales servicios que se ofrecen.
No Si
97
2. Jerarquización de los servicios de acuerdo a la importancia, se agrupan del más importante al
menos importante.
Importancia Servicio
1 Consultoría e implementación de soluciones de BMC Software
No Si
4. Principales problemas de seguridad de la información que han sido detectados dentro de las
organizaciones jerarquizadas del menos al más importante.
Fuga de Información 4
Manipulación de Información 1
Denegación de servicios 0
98
5. De los servicios identificados en el SOC que desean monitorear inicialmente jerarquizados del
menos al más importante.
Gestión de incidentes 5
Utilizar una solución de seguridad para monitorear activamente la red, así como
1
las bitácoras de los IDS, IPS y de sistema
Contar con una función formal y avanzada de detección que agrupe cada una de
las categorías de la tecnología moderna analizando datos sofisticados para 0
identificar anomalías
99
7. ¿Actualmente cuenta con una estrategia de seguridad de la información o tolerancia de riesgo?
No Si
No Si
9. Tareas del SOC le gustaría implementar en la empresa, jerarquizadas del más al menos
importante.
Tarea Resultados
Análisis de Vulnerabilidades. 3
100
10. ¿Dispone de una base conocimientos para agilizar la resolución de las amenazas para evitar
un retraso en la seguridad de la empresa?
No Si
El alcance estará definido por un SOC adaptable a las necesidades de seguridad de la empresa,
adaptable a su infraestructura tecnológica y que permita gestionar los incidentes de seguridad de
Anthares IT Services.
El tipo de SOC a desarrollar, será uno básico, donde se gestione el monitoreo y reacción ante
incidentes de los principales activos, implementando el monitoreo interno, externo y perimetral.
101
Tipo de Activo Activo
Servicios Servicio de Internet
Correo Electrónico Interno
Datos Datos de Gestión Interna
Datos Sensibles de clientes
Aplicaciones Sistemas Operativos
Navegador Web
Antivirus
Equipos Informáticos PC personales
Servidores
Redes de Comunicaciones Teléfonos personales
Equipos de acceso a internet
Personal Dirección General
Finanzas
Request & Support
Monitor & Operate
Provision & Configure
Project Management
Ventas
Preventa
Los activos enlistados serán ponderados con base a la escala correspondiente. Las dimensiones
referenciadas son Confiabilidad, Integridad y Disponibilidad. A continuación, se detalla los activos y
se estipula la ponderación de las dimensiones según el levantamiento de información:
Servicio de Internet 5 4 4 13
Correo Electrónico Interno 5 4 5 14
Gestión de Identidades 5 5 5 15
Sistema Operativo 5 4 3 12
Navegador Web 3 3 3 9
102
Antivirus 4 4 4 12
Project Management 5 5 5 15
Departamento de Ventas 5 5 5 15
103
Tabla 14. Determinación de Amenazas Activo Servicio
104
Activo: Redes de Amenazas
comunicaciones
Falta de energía eléctrica
Accidentes imprevistos
Caída del servidor de la central telefónica
Equipo de Acceso a Manipulación de la configuración
Internet Accidentes imprevistos
Caída del servidor proveedor
Problemas con las conexiones del proveedor
Errores de administración
Falta de energía eléctrica
A partir del levantamiento de información, donde se arrojó el nivel de frecuencia e impacto al activo
mediante la amenaza se han calculado los riesgos por cada una:
105
Activo Amenazas Probabilidad Impacto Total
Manipulación de la
2 2 4
configuración del aplicativo
Usurpación de identidad 3 4 12
Robo o pérdida de la
4 5 20
credencial de acceso
Alteración de la
2 5 10
información
Destrucción de la
3 5 15
Datos de Gestión información
Interna Manipulación de la
2 5 10
configuración
Divulgación de información 4 4 16
Divulgación de información 2 3 6
Suplantación de identidad
3 3 9
de usuario
Errores de administración 3 4 12
Sistemas Operativos
Propagación de software
2 3 6
malicioso
Acceso no autorizado 3 4 12
Abuso de privilegios de
4 3 12
acceso
Manipulación de
Navegador Web 2 3 6
configuración de red
Manipulación de
2 2 4
programas
Desactualización de
1 2 2
antivirus
Manipulación de
2 2 4
programas
Acceso no autorizado 3 2 6
Modificación de la
3 2 6
Informática Personal asignación del equipo
Accidentes imprevistos 3 2 6
Falta de energía eléctrica 3 2 6
106
Activo Amenazas Probabilidad Impacto Total
Manipulación de las
3 2 6
propiedades del equipo
Ingreso no autorizado de
2 3 6
equipo
Acceso no autorizado 5 3 15
Periféricos
Impresoras Scanners Accidentes imprevistos 4 3 12
Cambio de ubicación no
3 3 9
autorizado
Manipulación de
2 4 8
configuración de red
Errores de administración 2 4 8
Soporte de Red
Falta de energía eléctrica 4 5 20
Manipulación de
2 4 8
asignación de IPs
Accidentes imprevistos 2 4 8
Errores de administración 2 4 8
Desconocimientos de sus
4 4 16
funciones
Mala organización 3 3 9
Indisponibilidad del
Personal: 2 2 4
personal
Diferentes áreas
Divulgación de información 3 3 9
Extorsión 3 2 6
Manipular información 4 4 16
107
Activo Amenazas Probabilidad Impacto Total
Destruir información 4 4 16
108
ACTIVOS AMENAZAS VULNERABILIDADES PTR
Manipulación de la
Falta de políticas Reducir
configuración del aplicativo
Insuficiente entrenamiento de
Manipulación de programas Aceptar
empleados
109
ACTIVOS AMENAZAS VULNERABILIDADES PTR
Falta de políticas y protección
Acceso no autorizado Reducir
física
Abuso de privilegio de Falta de conocimiento y
Reducir
acceso oportuno entrenamiento
Manipulación de
Falta de control de acceso Aceptar
configuración de red
Insuficiente entrenamiento de
Manipulación de programas Aceptar
empleados
Navegador Suplantación de la
Falta de control de acceso Aceptar
Web identidad de usuario
Modificación de la
Falta de control de Acceso Aceptar
Antivirus asignación del equipo
Condiciones locales donde los
Accidentes imprevistos recursos son fácilmente Reducir
afectados
Falta de acuerdos bien
Falta de energía eléctrica Aceptar
definidos con terceras partes
Manipulación de las
Falta de control de acceso Aceptar
propiedades del equipo
Ingreso no autorizado del
Falta de control de acceso Aceptar
Informática equipo
110
ACTIVOS AMENAZAS VULNERABILIDADES PTR
Manipulación de la
Falta de control de acceso Aceptar
configuración
Central
Condiciones locales donde los
Telefónica
Accidentes imprevistos recursos son fácilmente Reducir
afectados
111
ACTIVOS AMENAZAS VULNERABILIDADES PTR
Divulgación de la
Almacenamiento no protegido Reducir
información
Desconocimiento de estándares
y reglas establecidas por la
Extorsión Reducir
empresa
Falta de reglas según el caso
Áreas
funcionales Manipulación de la Insuficiente entrenamiento de
Reducir
de la información empleados
organización
Falta de un debido control de
Destrucción de la
acceso a usuarios y de una Reducir
información
protección física
En esta fase se definen los controles propuestos para mitigar los riesgos, políticas y
procedimientos que apoyan a regular los procesos de seguridad y los elementos de creación para
el SOC.
Asegurar que los empleados del SOC estén conscientes de las amenazas de seguridad, de sus
responsabilidades y obligaciones y que están equipados para cumplir con la política de seguridad
de la organización en el desempeño de sus labores diarias, para reducir el riesgo asociado a los
errores humanos.
112
Todos los empleados asignados a operar el SOC, deben seguir el manual de políticas y
procedimientos dentro de sus actividades del día a día documentados en el anexo.
Todos los empleados de la organización y donde sea relevante, usuarios y proveedores deberían
recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y
procedimientos organizacionales como sean relevantes para la función de su trabajo.
El software y hardware requerido, serán los activos con los que cuenta actualmente la empresa, sin
embargo, se propone adquirir un IDS e IPS para complementar la infraestructura de seguridad.
113
Otro aspecto para ser especificado es el tiempo establecido para un adecuado manejo del
incidente, definido, en el cual el procedimiento de reacción debe ser lanzado, según la criticidad del
ataque. Una vez que este retraso es agotado, la escalación al siguiente nivel (superior) debe ser
automática.
El primer nivel debe ser lo que nosotros llamamos agentes, por ejemplo, un equipo de personas
con nivel técnico medio, que sea capaz de entender los eventos generados así como los
procedimientos de reacción para aplicarse (esto es necesario, así como es importante ser capaz de
saber cuándo la aplicación de tal procedimiento fracaso). Los agentes escalan incidentes hacia el
nivel dos, si el evento no corresponde con los criterios "eventos conocidos" o "reacción predefinida"
o si el tiempo límite es alcanzado dependiendo la criticidad del incidente.
El segundo nivel debe ser un equipo de expertos técnicos. Estos expertos son responsables del
análisis de los eventos de intrusión que no han sido definidos a prioridad. Su prioridad es de
calificar eventos con la ayuda de la interfaz consola de SOC y la base de datos de conocimiento
(KDB) para proporcionar una solución temporal para ser aplicado por el nivel uno (de agentes),
manteniéndose pendientes para investigación remota o soluciones permanentes.
El tercer nivel debe ser un área especializada en el cual los paquetes sospechosos, operaciones
de sistema etc. serán reproducidos nuevamente y bajo un ambiente controlado, para determinar la
naturaleza de la intrusión desconocida y proporcionar un procedimiento de reacción totalmente
calificado, con ello se creará una KDB que permita registrar dichos eventos y con ello agilizar la
respuesta en la operación.
114
equipo de nivel 3. Que debe contar entre su personal con gente que conozca de ataques y como
montarlos para reproducir ataques de alta categoría y obtener soluciones estables
Para realizar la correcta aplicación del modelo, se retoman cuestiones asociadas a la seguridad
de recursos humanos, tomando en cuenta como punto inicial los roles y responsabilidades de
empleados, contratistas y terceros en concordancia con las políticas de seguridad de la
información de la organización, así como los términos y condiciones del empleo para satisfacer
las obligaciones contractuales, definiendo de ésta manera la responsabilidad legal de ambas
partes.
115
6.6.2 Condiciones de Uso, Almacenamiento y Borrado
En relación a los tipos de información con los que cuenta la organización, se define la jerarquía
de los responsables con respecto al uso, almacenamiento y borrado de la información a su
cargo, tomando en cuenta que el uso de la información implica la creación, consulta y
modificación de la misma.
Para esta acción se toma en cuenta la jerarquía del puesto, así como las condiciones
contractuales del empleado, contratista o tercero, en caso de carecer de las mismas en el
contrato de la persona física o moral, se solicita anexar información definida al menos con los
siguientes puntos:
a) Que todos los usuarios empleados, contratistas y terceros que tienen acceso a
información sensible debieran firmar un acuerdo de confidencialidad o no divulgación
antes de otorgarles acceso a los medios de procesamiento de la información.
b) Las responsabilidades y derechos de los empleados, contratistas y cualquier otro usuario;
por ejemplo, con relación a las leyes de derecho de autoría, el derecho al secreto
profesional y legislación de protección de datos.
c) Las responsabilidades para la clasificación de la información y la gestión de los activos
organizacionales asociadas con los sistemas y servicios de información manejados por el
empleado, contratista o tercera persona.
d) Responsabilidades del usuario empleado, contratista o tercera persona con relación al
manejo de la información recibida de otras compañías o partes externas.
e) Las responsabilidades de la organización por el manejo de la información personal,
incluyendo la información personal creada como resultado de, o en el curso del empleo
con la organización.
f) Las responsabilidades que se extienden fuera del local de la organización y fuera del
horario normal de trabajo; por ejemplo, en el caso del trabajo en casa.
g) Las acciones a tomarse si el usuario empleado, contratista o tercera persona no cumple
los requerimientos de seguridad de la organización.
La organización debe asegurarse que los usuarios empleados, contratistas y terceras personas
acepten los términos y condiciones concernientes a la seguridad de la información apropiada
según la naturaleza y extensión del acceso que tendrán a los activos de la organización
asociados con los sistemas y servicios de información.
Cuando fuese apropiado, las responsabilidades contenidas dentro de los términos y condiciones
del empleo deben continuar por un período definido después de terminado el empleo.
116
Políticas
1. Usar únicamente en equipo autorizado por la organización para trabajar (laptops, USB,
equipo de escritorio, dispositivos de almacenamiento externo, entre otros).
4. El equipo autorizado para cada empleado se debe usar exclusivamente para realizar las
labores referentes a su puesto de trabajo y no para uso personal.
Procedimientos
1. Definir qué tipo de equipo utilizara cada empleado de acuerdo al puesto desempeñado,
en caso de que el equipo a utilizar sea equipo de cómputo portátil o dispositivos de
almacenamiento externo es necesario que se encuentre asegurado. El perfil de usuario
designado a cada empleado, contratista o tercero debe cubrir:
117
Conclusiones
Económicamente, el costo del SOC es mayor al momento de contratarlo aunque con empresas
externas son contratos anuales con pagos mensuales donde su costo se eleva al pagar a tantos
expertos al mes mientras que si es propio ya dispondrá de ese personal y tecnología que puede
reutilizar para la implementación del SOC con lleva que al principio tenga que gastar en
capacitaciones y material adicional al SOC solo una vez, y solo teniendo que realizar
mantenimientos menores a la infraestructura y capacitación constante en nuevas amenazas.
Por otra parte, es de suma importancia mencionar que la clave para obtener un mejor desempeño
del centro es que se colabore con diferentes organismos y entidades que velen por la seguridad de
los sistemas de información ya sea dentro y fuera de la empresa.
Se ha corroborado que este modelo no es una panacea para obtener un 100% de seguridad ya
que este porcentaje es imposible de alcanzar pero con una activada y especializada actividad de
seguridad se podrá responde al momento cualquier amenaza, además se debe mantener una
actualización constante de las nuevas amenazas ya que estas son nuevas cada día para infligir
dolo en las empresas.
118
Bibliografía
ACISSI (2015). Seguridad Informática - Hacking Ético (3ra Edición). España: Epsilon.
Dulaney E. (2012). Seguridad Informática: Comptia Security+ (1ra Edición). España: Anaya
Multimedia-Anaya Interactiva.
Gómez A. (2011). Enciclopedia de la Seguridad Informática (2da Edición). España: Alfaomega RA-
MA.
Margulies J y Pfleeger C. (2015). Security in Computing, Fifth Edition (5ta edición). Estados Unidos:
Prentice Hall.New.
Northcutt S. y Novak J. (2001). Detección de Intrusos: Guía Avanzada (2da Edición). Estados
Unidos: Pearson Educación.
CITA DE INTERNET
Aggleton, David (2013). Buenas prácticas para diseñar de un SOC, recuperado el 3 de Octubre de
2015 de http://www.securityinfowatch.com/article/10893524/best-practices-for-soc-design.
Bestel (2012) Conceptos básicos y funciones del SOC, recuperado el 3 de Octubre de 2015 de
http://www.bestel.com.mx/soc.html.
119
Emc2 (2013). Puntos clave para crear un Centro de Seguridad inteligente, recuperado el 3 de
Octubre de 2015 de http://mexico.emc.com/collateral/technical-documentation/h11533-intelligence-
driven-security-ops-center.pdf
120
Glosario
Disponibilidad: Garantizar que los sistemas de información y los datos estén listos para su uso
cuando se les necesita.
Firewall: Dispositivo y/o programa que impide el acceso no autorizado desde cualquier punto
exterior de una red hacia el interior de otra red. Mecanismo que permite que las comunicaciones
entre una red y otra se realicen conforme a las políticas de seguridad previamente definidas.
Ingeniería Social: Es el método utilizado por los atacantes para engañar a los usuarios
informáticos, para que realicen una acción que normalmente producirá consecuencias negativas,
como la descarga de malware o la divulgación de información personal.
Riesgo: Es la probabilidad de que una amenaza aproveche una vulnerabilidad en uno o varios
activos de información generando un impacto a la organización.
121
Seguridad de la Información: Conjunto de medidas preventivas y correctivas que permiten
proteger la integridad, confidencialidad y disponibilidad de los activos de información de la
organización.
122
Anexos
1.1 Las políticas de seguridad en cómputo tienen por objeto establecer las medidas de índole
técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de
información equipos de cómputo, sistemas de información, redes de (Voz y Datos) y personas que
interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de
cómputo la empresa Anthares IT Services.
1.2 Anthares IT Services a través del Comité de Informática es quien aprobará y dará a conocer
estas políticas de seguridad internamente.
3.1 Se evaluarán las políticas del presente documento, con una frecuencia anual por el Comité de
Informática de Anthares IT Services.
3.2 Las políticas serán evaluadas por el Departamento de Sistemas con una frecuencia semestral.
4.1 Todos los sistemas de comunicaciones estarán debidamente protegidos con la infraestructura
apropiada de manera que el usuario no tenga acceso físico directo. Entendiendo por sistema de
comunicaciones: el equipo activo y los medios de comunicación.
4.2 El acceso de terceras personas debe ser identificado plenamente, controlado y vigilado durante
el acceso portando una identificación que les será asignado por el área de seguridad de acceso al
edificio.
4.3 Las visitas internas o externas podrán acceder a las áreas restringidas siempre y cuando se
encuentren acompañadas cuando menos por un responsable del área con permiso del Jefe del
Departamento de Informática o del responsable del SOC.
123
4.4 Las visitas a las instalaciones físicas de los centros de cómputo, SOC, laboratorios o salas de
videoconferencia se harán en el horario establecido y cumpliendo lo estipulado en el artículo 4.3.
4.5 El personal autorizado para mover, cambiar o extraer equipo de cómputo de Anthares IT
Services es el responsable del mismo o el superior responsable a través de identificaciones y
formatos de Entrada/Salida, el cual notificará al personal de seguridad.
124
Los mecanismos de recuperación de los dispositivos de respaldo deben ser probados
periódicamente comprobando su buen funcionamiento.
El sistema informático no deberá verse afectado ante una contingencia en el centro de
cómputo, por lo que el equipamiento informático debe distribuirse en lugares físicos
diferentes, contando ambos con las medidas y condiciones de calidad y seguridad
especificadas en esta política, distribuyendo de esta manera el equipamiento redundante.
En el caso que ocurra alguna contingencia con el servidor de aplicaciones, el servidor de
internet se utilizara como servidor de aplicaciones. Este proceso no funcionara en sentido
inverso, es decir que el servidor de aplicaciones no reemplazara al servidor de internet.
• Deberán definirse las funciones o servicios críticos de la empresa, junto con los recursos
mínimos necesarios para su funcionamiento, asignándoles una prioridad en el plan de
contingencia.
• Deberán identificarse las contingencias que podrían ocurrir para cada nivel de servicio
crítico definido.
Para el desarrollo del plan de contingencias deben contemplarse las siguientes pautas:
125
3. Deberá abarcar la totalidad de la empresa.
b. Modo de ejecución.
c. Tiempo de duración.
d. Costes estimados.
e. Recursos necesarios.
Cada una de estas actividades deberán ser reportadas por los líderes de cada área a un
miembro de la gerencia.
126
• Deben establecerse planes de prueba periódicos que incluyan simulacros de siniestros para
evaluar la eficacia y eficiencia del plan.
Todo cambio dentro de la información del sistema debe ser notificada vía escrita firmada por el
jefe de departamento que comunica el cambio, directamente, al encargado del área de
sistemas.
La información a ingresar debe ser correctamente revisada, y teniendo en cuenta que los datos
manejados son de vital importancia para el desempeño de las funciones de la compañía y aún
más relevantes para los clientes de la misma.
En caso de cambio de los datos de acceso, deberá ser notificado por escrito, detallando la
causa del cambio y firmado por el responsable y el jefe del departamento de recursos
humanos. Los cambios de cargo, sueldo, carga familiar, etc. se podrán realizar directamente
en el sistema asignado al área de recursos humanos.
En caso de finalización de la relación laboral, deberá ser notificado por escrito, detallando la
causa y firmado por el responsable y el jefe del departamento de recursos humanos. El cambio
cambiará el estado de la información de acceso a inactivado. Una vez inactivado esta
información no podrá ser cambiado a ningún otro estado.
127
Al intentar ingresar al sistema, solo se podrá escribir la clave hasta cinco veces. Al completar el
límite, el usuario de bloqueará.
El bloqueo de un usuario solo podrá ser inhabilitado, mediante un oficio escrito donde se
detalle la causa del bloqueo firmado por el responsable y el jefe del departamento referido.
Este documento debe ser entregado al encargado del área de sistemas.
Las políticas de disponibilidad detallan las especificaciones para mantener la información correcta
para quienes la puedan consultar:
128