Creación de un Centro de operaciones de seguridad (COS):

1. Consideraciones preliminares:
Antecedentes en Argentina.
En nuestro país y en general en américa latina es muy escasa la inversión que se ha
realizado en este aspecto. Entiendo por inversión no solo el recurso económico, sino además
el tecnológico y particularmente el humano. Y no es porque falten profesionales
capacitados, sino porque las organizaciones no toman conciencia del riesgo que corren.
Organizaciones tanto privadas como gubernamentales, siguen sin priorizar su bien más
preciado; la información.
En una conversación con un funcionario del gobierno de la ciudad, a cuyo cargo está la
protección de datos personales, me manifestó su desacuerdo con utilizar la nube como
medio de respaldo de la información. Aduje que desde mi punto de vista la nube podía ser
un lugar seguro, siempre se tomaran las medidas necesarias, autenticación, criptografía,
certificados, etc. Sin embargo esta persona me plantea una cuestión para la que no tengo
respuesta, salvo imaginar una nube “privada” dentro de nuestras fronteras. Cosa que
tampoco sé cómo resolver son precisión. Sostiene este funcionario, que la información
sensible del estado nacional debe ser protegida y resguardada por una cuestión de
SOBERANÍA. Ante esto, no pude argumentar demasiado, si tamaña cuestión no figura en
ningún manual ni en legislación alguna.
El ministerio de Defensa anuncio en 2012 la creación de un SOC del cual no se ha tenido
más novedades hasta el día de hoy, al menos a través del órgano de prensa de dicho
ministerio. Iniciativa más que importante, pero los anuncios no alcanzan por sí mismos,
deben ponerse en el plano de las realidades. (http://www.citedef.gob.ar/comunicado-de-
prensa-no-8/).
Consultas hechas con colegas de toda Latinoamérica muestran la misma tendencia en
todo el subcontinente.

Delitos informáticos.
Hay quienes piensan que la lucha contra el Cibercrimen es una guerra de
los servicios de inteligencia de los países centrales, y no un problema de las
empresas y organizaciones privadas. Sabemos que prevenir y combatir delitos
cometidos a través de las redes y sistemas de información presenta grandes
dificultades. La complejidad de rastreo que tiene un fraude cometido mediante
bots o redes zombies, por poner un ejemplo, es indudablemente grande.
Bastantes casos conocemos de este tipo de redes creadas utilizando un código
malicioso que infecta múltiples ordenadores sin el conocimiento de sus
propietarios, con la finalidad de que los delincuentes, servicios de espionaje u
organizaciones terroristas tengan control total de forma remota. La localización
de estos ciberespías se complica aún más cuando las máquinas infectadas,
denominadas zombies, se encuentran en diferentes zonas geográficas, con
marcos jurídicos muy distintos y en algunos casos sin legislación alguna sobre
este tipo de delitos que atentan contra la soberanía de las naciones, y el
secreto de la información de las compañías.
Inicio
1

Lunes, 08 de septiembre de 2014

 Podemos añadir a la lista de dificultades la falta de cooperación
internacional y los recursos que los gobiernos dedican a combatir la
ciberdelincuencia que, en la mayoría de los casos, son insuficientes por no
considerarla como asunto prioritario. Más aún, poca o ninguna es la
colaboración y recursos entre agencias o dependencias gubernamentales
dentro de nuestras fronteras.
Para las organizaciones, sea cual sea su origen o propósito, es
imprescindible tomar los recaudos para prevenir y fundamentar la seguridad de
sus activos informáticos.

Sobre las Políticas de seguridad.

El aumento en la cantidad y complejidad de las amenazas a la seguridad de la
información, así como su diversificación (Ver Anexo III), llevan a definir y aplicar medidas de
manera constante y cambiante. Por esta razón, la seguridad debe ser vista como un proceso
de mejora continua y no como una definición estandarizada y estática.

Comité o foro de seguridad.

El primer paso es la creación de un comité o foro de seguridad, integrado por personal
directivo de la organización, gerentes de área, y especialistas de TI, sistemas y seguridad
informática.
Es importante que aquellos miembros de la organización que están directamente
relacionados con los procesos más importantes participen en esta tarea, ya que son quienes
conocen las operaciones de todos los días. Contar con diferentes perspectivas durante el
desarrollo de las políticas enriquece su contenido y permite plasmar características y
conductas propias dentro de la organización. Además, la aprobación de la alta dirección
respalda, patrocina y muestra el compromiso con las iniciativas de seguridad.
Debe delinear estrategias de la organización enfocadas a su aplicación en informática,
colaborar en la difusión e implementación de políticas, definir un BCP (Plan de continuidad
de negocio) y como parte de este cear inmediatamente un Centro de operaciones de
seguridad. (SOC, Seccurity Operation Center).

Gerencia de Gerencia Gerencia

TI de sistemas de
seguridad

Inicio

Lunes, 08 de septiembre de 2014

2. COS – Centro de Operaciones de Seguridad.

2.1 Principales funciones.

Debe monitorizar en tiempo real el estado de la seguridad y responder

inmediatamente durante las 24 horas del día y los 7 días de la semana.

El Centro de Operaciones debe basar sus servicios en cuatro ideas rectoras:

Prevención.
Tiene como principal objetivo disminuir la probabilidad de aparición de
cualquier incidente. La prevención implica realizar vigilancia permanente de
nuevos ataques que puedan comprometer la seguridad, así como la aplicación
de medidas preventivas que reduzcan la probabilidad de materialización de
amenazas.

Detección.
Es la monitorización constante con el único propósito de detectar
amenazas, vulnerabilidades, intrusiones, ataques de seguridad, o cualquier
indicio que refleje un posible incidente de seguridad, física y lógica.

Análisis.
Estudio de los incidentes descubiertos por la detección para poder
determinar cuáles son amenazas reales o falsos positivos.

Respuesta.
Reacción ante cualquier incidente real de seguridad.

2.2 Procedimientos generales.

2.2.1 Definición de activos:

a) Información: integridad, acceso, disponibilidad
b) Componentes de ti: todo dispositivo de hardware, instalación de
comunicaciones, suministro eléctrico, etc.
c) PROCESOS.

2.2.2 Elaborar políticas de seguridad y procedimientos.

Definir y dar a conocer las políticas requiere utilizar un lenguaje conciso y
fácil de comprender, a través de la selección de un enfoque que puede ser
Inicio

Lunes, 08 de septiembre de 2014

permisivo o restrictivo (si es posible mantener siempre el mismo enfoque,
mezclarlos confunde a los destinatarios), así como evitar enunciados escritos
en sentido negativo. Deben definirse los temas a abordar en los documentos,
como la legislación aplicable, información sensible, clasificación de la
información, entre muchos otros.

2.2.3 Evaluar e implementar medidas para mitigar riesgos físicos y lógicos.

Del análisis riguroso del entorno a proteger deben surgir medidas concretas
para la protección del mismo. Algunas consideraciones elementales se
describen en los siguientes anexos:

Anexo I Seguridad física.

Anexo II Seguridad lógica.

2.2.4 Revisión y prueba

Después de contar con la versión preliminar de los documentos, es
necesario analizar el contenido para verificar que está alineado con los
intereses de la organización, el sentido de la redacción y la funcionalidad de lo
descrito en los enunciados, es decir, mantener el equilibrio entre la protección
y operación. En esta fase, la retroalimentación es una actividad muy
importante para comprobar que se emiten políticas que pueden ser cumplidas.

2.2.5 Aprobación.
Después de llevar a cabo la revisión, prueba efectiva y calificación del
contenido como apropiado, las políticas deben ser ratificadas para su
publicación. Para el desarrollo del gobierno de la seguridad de la información,
es conveniente que los niveles directivos dentro de la organización otorguen el
visto bueno y promuevan la aplicación de las mismas.

2.2.6 Publicación.
Una actividad de gran importancia en este ciclo consiste en dar a conocer
las políticas entre los usuarios a las cuales están dirigidas. Es necesario contar
con estrategias que permitan difundir el contenido entre los miembros de la
organización, así como evaluar el conocimiento y compromiso del personal con
relación a estas. Asumir que las políticas se leen y se cumplen sólo por su
publicación y mandato es una equivocación.

Inicio

Lunes, 08 de septiembre de 2014

2.2.7 Actualización.
Reiterando que la seguridad debe ser vista como un proceso de mejora
continua, en donde los controles de seguridad se pueden mantener, corregir o
cambiar en función de los resultados obtenidos y de los parámetros de
medición establecidos. Nuevos riesgos identificados, la recurrente violación de
una política, sugerencias de las partes interesadas, el uso de nuevas tecnologías
o cambios significativos dentro de la organización y en su contexto, son algunas
de las razones por las cuales se puede actualizar una política. De esta manera,
se puede definir el ciclo de vida de las políticas de seguridad, como una tarea
permanente dentro de las actividades de gestión de seguridad de la
información.

2.2.8 BCP.
En base a las necesidades reales del entorno y del negocio elaborar un Plan
de continuidad de operaciones (BCP) fundado en las conclusiones que surjan de
la evaluación de los procedimientos aplicados.

2.3 Principales servicios del COS.

Tanto los objetivos como el servicio bridado por el COS deben estar en un
todo de acuerdo con los objetivos propios de cada organización, lo que
oportunamente debe haber definido el CS (Comité de seguridad).

2.3.1 Programas de prevención.

Es tarea fundamental del centro trabajar en la prevención de incidentes de
seguridad; debiendo efectuar un monitoreo permanente de nuevas amenazas e
implementar controles preventivos que mitiguen el riesgo de aparición de
incidentes de seguridad.

2.3.2 DRP.
Elaboración y comprobación de un plan de recuperación ante desastres.

2.3.3 Monitorización continúa de la seguridad.

Consiste en la observación constante de todos los controles de seguridad
implantados con el objeto de detectar posibles incidentes de seguridad. Para
ofrecer este servicio, el Centro debe apoyarse en diferentes herramientas que
le proporcionen información suficiente, y en tiempo real, del estado de la
seguridad de la organización, como por ejemplo: cuadros de mando, detectores
de anomalías, analizadores de red, detectores de intrusiones, analizadores de
eventos, sistemas de protección perimetral, guías de evaluación (ITSEC, TSEC).
Inicio

Lunes, 08 de septiembre de 2014

Adopción inmediata de un Sistema de Gestión de la Seguridad de la
Información (SGSI) siguiendo la norma ISO/IEC 27001. (Ej. Panda Cloud
Protection).

2.3.4 Detección y gestión de vulnerabilidades.

Auditorías automatizadas permanentes y manuales periódicas, aplicadas a
diferentes puntos de la infraestructura y áreas de la organización, con el fin de
identificar debilidades, vulnerabilidades, fugas, etc. Medidas necesarias para la
eliminación o mitigación de cada una de ellas. Es función imprescindible
conocer las debilidades que presenta la corporación frente a posibles ataques,
tanto físicos como lógicos.

2.3.5 Centralización, tratamiento y custodia de logs.

La gestión manual de millones de logs generados a diario por múltiples
dispositivos, impone un gran reto para el personal de seguridad. La utilización
de sistemas SIEM (Security Information and Event Management) facilita
analizar y clasificar eventos de seguridad de múltiples orígenes. Por otra parte,
estos sistemas también permiten almacenar logs para posteriormente poder
realizar análisis y búsquedas complejas sobre los eventos ya ocurridos.

Inicio

Lunes, 08 de septiembre de 2014

2.3.6 Respuesta de resolución.
Ante un incidente real de seguridad, debe elaborar y activar planes de
resolución que permitan neutralizar la amenaza considerando aspectos tan
importantes como la peligrosidad del ataque, criticidad de los activos y
procesos implicados, e impacto sobre los mismos.

2.3.7 Asesoría de seguridad.

Es necesario que el COS proporcione disponibilidad inmediata de
conocimiento especializado. Técnicos en sistemas y comunicaciones,
especialistas en seguridad lógica y física, juristas especializados, auditores de
seguridad, son perfiles muy comunes e imprescindibles.

2.4 Medidas internas.

2.4.1 Área ultra segura:

El Centro de operaciones garantiza la seguridad y disponibilidad de
información crítica y confidencial para la compañía; y por tanto debe aplicar las
medidas necesarias para considerarlo como el área más segura de toda la
organización. Es preciso implantar internamente un sistema para la gestión de
la propia seguridad.
Adoptar, mantener y mejorar un SGSI siguiendo el ciclo de mejora continua
de Deming (calidad total). Es necesario que se realice una gestión del riesgo
interno del propio centro, en función de los servicios prestados, y que se
activen planes que mitiguen el riesgo propio.

Como ejemplo, se detallan a continuación algunos de los controles que

ayudan a realizar esta labor:

Políticas de seguridad específicas para el Centro.

Procesos definidos, gestionados, medibles y optimizados.
Control de acceso lógico y físico mediante diferentes dispositivos de control.
Monitorización interna de las propias actividades del COS.
Auditorías continuadas de los propios activos utilizados por el Centro.
Gestión de incidentes de seguridad internos.
Gestión de las vulnerabilidades.
Clasificación de la información manejada por el COS acorde a su criticidad.
Redundancia en los sistemas críticos para el COS.
Protección frente a desastres, planes de contingencia y recuperación.
Inicio

Lunes, 08 de septiembre de 2014

2.5 Colaboración:
Para que el COS pueda ofrecer sus servicios de forma eficiente necesita
estar interconectado con diferentes organismos nacionales e internacionales
en un marco de colaboración. Una de estas entidades es el Computer
Emergency Response Team (CERT) que dan rápida respuesta ante
vulnerabilidades, malware e incidentes de seguridad globales acontecidos
recientemente.
Es importante considerar el trabajo de la ENISA (European Network and
Information Security Agency), cuya función es la de asesorar y coordinar las
medidas adoptadas por la Comisión y los Estados miembros de la Unión
Europea para dar seguridad a sus redes y sistemas de información.

2.6 Investigación:
Es necesario contar con personal capacitado que realice tareas de
investigación permanente, anticipándose de alguna forma a las tendencias del
momento y futuras. Siempre a través de fuentes confiables y serias.

Ver Anexos III y IV

Inicio

Lunes, 08 de septiembre de 2014

Conclusiones
Evaluar y controlar permanentemente la seguridad integral de los activos es
la base para o comenzar a integrar la función del COS como una actividad
primordial dentro de cualquier organismo.
El normal funcionamiento del COS permite:
 disminuir siniestros
 trabajar mejor manteniendo la sensación de seguridad
 descartar falsas hipótesis si se produjeran incidentes
 tener los medios para luchar contra amenazas desconocidas.

Las distintas alternativas estudiadas son suficientes para conocer en todo

momento el estado del medio en el que nos desempeñamos; y así tomar
decisiones sobre la base de la información brindada por los medios de control
adecuados.
El Centro de Operaciones de Seguridad, se torna como una herramienta
imprescindible, donde se gestiona la seguridad integral, confiabilidad y normal
funcionamiento de una organización.
Tiene que contar con un equipo humano especializado, experimentando,
multidisciplinario y con precisos conocimientos de la infraestructura objeto de
protección, que pueda aconsejar y apoyar al Comité de seguridad en la toma
de decisiones.

Volver
Anexo I
Seguridad física. Algunos tips a considerar.
Es muy importante ser consciente que por más que nuestra empresa sea la más segura
desde el punto de vista de ataques informáticos (Hackers, virus, etc.) la seguridad de la
información será nula si no se ha previsto como combatir un incendio, por ejemplo. La
seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema
informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como
la detección de un atacante que intenta a acceder físicamente a una sala de operaciones de
la misma, no. Esto puede derivar en que para un delincuente sea más fácil lograr robar un
respaldo, copiar en un dispositivo móvil o simplemente destruir medios magnéticos,
equipos, etc., que intentar acceder remotamente.
Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas ante amenazas a los recursos TI e
información confidencial" Se refiere a los controles y mecanismos de seguridad dentro y
alrededor del Centro de Cómputo; implementados para proteger el hardware, medios de
almacenamiento de datos y procesos.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre
como por la naturaleza en el lugar físico en que se encuentra ubicada la (o las)
instalación(es).
a.1 Tipos de Desastres

Lunes, 08 de septiembre de 2014

 Cada instalación y su entorno tiene particularidades distintivas y por lo tanto la política
de seguridad a implementar dependerá de normas generales y procedimientos específicos.
Es decir, no todas las pautas de aplicación son válidas o necesarias en todos los entornos,
por ejemplo: en Buenos Aires no será relevante en absoluto prever técnicas de seguridad
ante terremotos; pero sí será de máxima utilidad en México DF.
A continuación se analizan los peligros más importantes que se corren en un centro de
procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y
oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de
riesgos.

a.1.1 Desastres naturales.

Incendios.
Inundaciones
Condiciones Climatológicas. Temperatura, humedad, lluvias, vientos, etc.
a.1.2 Interrupción del suministro eléctrico o corte de comunicaciones, fallos de hw.
Interferencias electromagnéticas. (1).
Instalaciones Eléctricas defectuosas, falta de suministro alternativo (UPS, generadores).
Toda instalación eléctrica debe cumplir con las normas IRAM e ISO.
Instalación de red defectuosa.
Toda instalación de red y comunicaciones debe cumplir con las normas establecidas (Iram –
Iso) y estar debidamente certificada. Evitando pérdidas de señal, velocidad, etc.
a.1.3 Amenazas ocasionadas por el hombre.
Acciones hostiles.
Robos.
“Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma
forma que lo están las piezas de stock e incluso el dinero.”
Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos
privados o para otras organizaciones y, de esta manera, robar tiempo de máquina.
La información importante o confidencial puede ser fácilmente copiada. Muchas empresas
invierten millones de dólares en programas y archivos de información, a los que dan menor
protección que la que otorgan a una máquina de escribir o una calculadora. El software, es
una propiedad muy fácilmente sustraible y las cintas y discos son fácilmente copiados.
Fraude
“Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las
computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido
a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.),
tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a
este tipo de situaciones.”
Sabotaje
“El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas
que han intentado implementar programas de seguridad de alto nivel, han encontrado que
la protección contra el saboteador es uno de los retos más duros. Este puede ser un
empleado o un sujeto ajeno a la propia empresa.”

(1) Ej.: Señales de Radar

“La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido
exhaustivamente estudiada desde hace varios años.
Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en

10

Lunes, 08 de septiembre de 2014

el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5
Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro
de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.”

b) Control de Accesos.
El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a
la apertura o cierre de puertas, permitir o negar acceso basado en restricciones de tiempo,
área o sector dentro de una empresa o institución.
a. Utilización de personal de vigilancia.
b. Utilización de CCTV.
c. Utilización de Sistemas Biométricos de identificación.
EJ: Verificación Automática de Firmas (VAF)
En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también
podría encuadrarse dentro de las verificaciones biométricas. Mientras es posible para un
falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir
las dinámicas de una persona: por ejemplo la firma genuina con exactitud.
Huella digital.
Reconocimiento facial o del iris.
Molinetes y puertas con sensores de actividad.
Protección Electrónica.
Barreras infrarrojas, identificadores de radio frecuencia, etc.

Anexo II Seguridad lógica. Volver

En este aspecto hay variantes asociadas al entorno, estas se relacionan con el tipo de
instalación disponible y con los activos a proteger. En un escrito anterior describí algunas
consideraciones básicas sobre implementaciones de seguridad, que puede verse en
SlideShare http://www.slideshare.net/DiegoBonini1/implementaciones-de-seguridad opción
B) área de seguridad.
Volver
Anexo III investigación MIT
Las tareas de colaboración e investigación siempre deben realizarse a través de fuentes
confiables. Un ejemplo de esto es la publicación del Instituto Tecnológico de Massachusetts:
Applying System Thinking Concepts in Cyber Security Architectural Design of Enterprise
Network Systems. Elaborado por Charles Iheagwara, Ph.D
https://sdm.mit.edu/news/news_articles/webinar_081213/iheagwara_081213.pdf
(Reproducido con autorización expresa del autor).

Anexo IV investigación CSIRT-CV Volver

http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/deteccion_apt.pd
f

Inicio

Firmado digitalmente por Edmundo Diego Bonini

Nombre de reconocimiento (DN): cn=Edmundo
Diego Bonini, o=Offerus Informatica, ou=Offerus,
email=offerus@offerus.com.ar, c=AR
Fecha: 2014.09.08 22:48:41 -03'00'
Versión de Adobe Reader: 11.0.8

11

Lunes, 08 de septiembre de 2014