Creacion de un centro de operaciones de seguridad

Click here to load reader

  • date post

    28-Nov-2014
  • Category

    Science

  • view

    147
  • download

    1

Embed Size (px)

description

Algunos conceptos y pasos necesarios para la creacion de un Centro de Operaciones de Seguridad. (SOC Security Operation Center)

Transcript of Creacion de un centro de operaciones de seguridad

  • 1. 1 Lunes, 08 de septiembre de 2014 Creacin de un Centro de operaciones de seguridad (COS): 1. Consideraciones preliminares: Antecedentes en Argentina. En nuestro pas y en general en amrica latina es muy escasa la inversin que se ha realizado en este aspecto. Entiendo por inversin no solo el recurso econmico, sino adems el tecnolgico y particularmente el humano. Y no es porque falten profesionales capacitados, sino porque las organizaciones no toman conciencia del riesgo que corren. Organizaciones tanto privadas como gubernamentales, siguen sin priorizar su bien ms preciado; la informacin. En una conversacin con un funcionario del gobierno de la ciudad, a cuyo cargo est la proteccin de datos personales, me manifest su desacuerdo con utilizar la nube como medio de respaldo de la informacin. Aduje que desde mi punto de vista la nube poda ser un lugar seguro, siempre se tomaran las medidas necesarias, autenticacin, criptografa, certificados, etc. Sin embargo esta persona me plantea una cuestin para la que no tengo respuesta, salvo imaginar una nube privada dentro de nuestras fronteras. Cosa que tampoco s cmo resolver son precisin. Sostiene este funcionario, que la informacin sensible del estado nacional debe ser protegida y resguardada por una cuestin de SOBERANA. Ante esto, no pude argumentar demasiado, si tamaa cuestin no figura en ningn manual ni en legislacin alguna. El ministerio de Defensa anuncio en 2012 la creacin de un SOC del cual no se ha tenido ms novedades hasta el da de hoy, al menos a travs del rgano de prensa de dicho ministerio. Iniciativa ms que importante, pero los anuncios no alcanzan por s mismos, deben ponerse en el plano de las realidades. (http://www.citedef.gob.ar/comunicado-de- prensa-no-8/). Consultas hechas con colegas de toda Latinoamrica muestran la misma tendencia en todo el subcontinente. Delitos informticos. Hay quienes piensan que la lucha contra el Cibercrimen es una guerra de los servicios de inteligencia de los pases centrales, y no un problema de las empresas y organizaciones privadas. Sabemos que prevenir y combatir delitos cometidos a travs de las redes y sistemas de informacin presenta grandes dificultades. La complejidad de rastreo que tiene un fraude cometido mediante bots o redes zombies, por poner un ejemplo, es indudablemente grande. Bastantes casos conocemos de este tipo de redes creadas utilizando un cdigo malicioso que infecta mltiples ordenadores sin el conocimiento de sus propietarios, con la finalidad de que los delincuentes, servicios de espionaje u organizaciones terroristas tengan control total de forma remota. La localizacin de estos ciberespas se complica an ms cuando las mquinas infectadas, denominadas zombies, se encuentran en diferentes zonas geogrficas, con marcos jurdicos muy distintos y en algunos casos sin legislacin alguna sobre este tipo de delitos que atentan contra la soberana de las naciones, y el secreto de la informacin de las compaas. Inicio
  • 2. 2 Lunes, 08 de septiembre de 2014 Podemos aadir a la lista de dificultades la falta de cooperacin internacional y los recursos que los gobiernos dedican a combatir la ciberdelincuencia que, en la mayora de los casos, son insuficientes por no considerarla como asunto prioritario. Ms an, poca o ninguna es la colaboracin y recursos entre agencias o dependencias gubernamentales dentro de nuestras fronteras. Para las organizaciones, sea cual sea su origen o propsito, es imprescindible tomar los recaudos para prevenir y fundamentar la seguridad de sus activos informticos. Sobre las Polticas de seguridad. El aumento en la cantidad y complejidad de las amenazas a la seguridad de la informacin, as como su diversificacin (Ver Anexo III), llevan a definir y aplicar medidas de manera constante y cambiante. Por esta razn, la seguridad debe ser vista como un proceso de mejora continua y no como una definicin estandarizada y esttica. Comit o foro de seguridad. El primer paso es la creacin de un comit o foro de seguridad, integrado por personal directivo de la organizacin, gerentes de rea, y especialistas de TI, sistemas y seguridad informtica. Es importante que aquellos miembros de la organizacin que estn directamente relacionados con los procesos ms importantes participen en esta tarea, ya que son quienes conocen las operaciones de todos los das. Contar con diferentes perspectivas durante el desarrollo de las polticas enriquece su contenido y permite plasmar caractersticas y conductas propias dentro de la organizacin. Adems, la aprobacin de la alta direccin respalda, patrocina y muestra el compromiso con las iniciativas de seguridad. Debe delinear estrategias de la organizacin enfocadas a su aplicacin en informtica, colaborar en la difusin e implementacin de polticas, definir un BCP (Plan de continuidad de negocio) y como parte de este cear inmediatamente un Centro de operaciones de seguridad. (SOC, Seccurity Operation Center). D Gerencia de TI Gerencia de sistemas Gerencia de seguridad Inicio
  • 3. 3 Lunes, 08 de septiembre de 2014 2. COS Centro de Operaciones de Seguridad. 2.1 Principales funciones. Debe monitorizar en tiempo real el estado de la seguridad y responder inmediatamente durante las 24 horas del da y los 7 das de la semana. El Centro de Operaciones debe basar sus servicios en cuatro ideas rectoras: Prevencin. Tiene como principal objetivo disminuir la probabilidad de aparicin de cualquier incidente. La prevencin implica realizar vigilancia permanente de nuevos ataques que puedan comprometer la seguridad, as como la aplicacin de medidas preventivas que reduzcan la probabilidad de materializacin de amenazas. Deteccin. Es la monitorizacin constante con el nico propsito de detectar amenazas, vulnerabilidades, intrusiones, ataques de seguridad, o cualquier indicio que refleje un posible incidente de seguridad, fsica y lgica. Anlisis. Estudio de los incidentes descubiertos por la deteccin para poder determinar cules son amenazas reales o falsos positivos. Respuesta. Reaccin ante cualquier incidente real de seguridad. 2.2 Procedimientos generales. 2.2.1 Definicin de activos: a) Informacin: integridad, acceso, disponibilidad b) Componentes de ti: todo dispositivo de hardware, instalacin de comunicaciones, suministro elctrico, etc. c) PROCESOS. 2.2.2 Elaborar polticas de seguridad y procedimientos. Definir y dar a conocer las polticas requiere utilizar un lenguaje conciso y fcil de comprender, a travs de la seleccin de un enfoque que puede ser Inicio
  • 4. 4 Lunes, 08 de septiembre de 2014 permisivo o restrictivo (si es posible mantener siempre el mismo enfoque, mezclarlos confunde a los destinatarios), as como evitar enunciados escritos en sentido negativo. Deben definirse los temas a abordar en los documentos, como la legislacin aplicable, informacin sensible, clasificacin de la informacin, entre muchos otros. 2.2.3 Evaluar e implementar medidas para mitigar riesgos fsicos y lgicos. Del anlisis riguroso del entorno a proteger deben surgir medidas concretas para la proteccin del mismo. Algunas consideraciones elementales se describen en los siguientes anexos: Anexo I Seguridad fsica. Anexo II Seguridad lgica. 2.2.4 Revisin y prueba Despus de contar con la versin preliminar de los documentos, es necesario analizar el contenido para verificar que est alineado con los intereses de la organizacin, el sentido de la redaccin y la funcionalidad de lo descrito en los enunciados, es decir, mantener el equilibrio entre la proteccin y operacin. En esta fase, la retroalimentacin es una actividad muy importante para comprobar que se emiten polticas que pueden ser cumplidas. 2.2.5 Aprobacin. Despus de llevar a cabo la revisin, prueba efectiva y calificacin del contenido como apropiado, las polticas deben ser ratificadas para su publicacin. Para el desarrollo del gobierno de la seguridad de la informacin, es conveniente que los niveles directivos dentro de la organizacin otorguen el visto bueno y promuevan la aplicacin de las mismas. 2.2.6 Publicacin. Una actividad de gran importancia en este ciclo consiste en dar a conocer las polticas entre los usuarios a las cuales estn dirigidas. Es necesario contar con estrategias que permitan difundir el contenido entre los miembros de la organizacin, as como evaluar el conocimiento y compromiso del personal con relacin a estas. Asumir que las polticas se leen y se cumplen slo por su publicacin y mandato es una equivocacin. Inicio
  • 5. 5 Lunes, 08 de septiembre de 2014 2.2.7 Actualizacin. Reiterando que la seguridad debe ser vista como un proceso de mejora continua, en donde los controles de seguridad se pueden mantener, corregir o cambiar en funcin de los resultados obtenidos y de los parmetros de medicin establecidos. Nuevos riesgos identificados, la recurrente violacin de una poltica, sugerencias de las partes interesadas, el uso de nuevas tecnologas o cambios significativos dentro de la organizacin y en su contexto, son algunas de las razones por las cuales se puede actualizar una poltica. De esta manera, se puede definir el ciclo de vida de las polticas de seguridad, como una tarea permanente dentro de las actividades de gestin de seguridad de la informacin. 2.2.8 BCP. En base a las necesidades reales del entorno y del negocio elaborar un Plan de continuidad de operaciones (BCP) fundado en las conclusiones que surjan de la evaluacin de los procedimientos aplicados. 2.3 Principales servicios del COS. Tanto los objetivos como el servicio bridado por el COS deben estar en un todo de acuerdo con los objetivos propios de cada organizacin, lo que oportunamente debe haber definido el CS (Comit de seguridad). 2.3.1 Programas de prevencin. Es tarea fundamental del centro trabajar en la prevencin de incidentes de seguridad; debiendo efectuar un monitoreo permanente de nuevas amenazas e implementar controles preventivos que mitiguen el riesgo de aparicin de incidentes de seguridad. 2.3.2 DRP. Elaboracin y comprobacin de un plan de recuperacin ante desastres. 2.3.3 Monitorizacin contina de la seguridad. Consiste en la observacin constante de todos los controles de seguridad implantados con el objeto de detectar posibles incidentes de seguridad. Para ofrecer este servicio, el Centro debe apoyarse en diferentes herramientas que le proporcionen informacin suficiente, y en tiempo real, del estado de la seguridad de la organizacin, como por ejemplo: cuadros de mando, detectores de anomalas, analizadores de red, detectores de intrusiones, analizadores de eventos, sistemas de proteccin perimetral, guas de evaluacin (ITSEC, TSEC). Inicio
  • 6. 6 Lunes, 08 de septiembre de 2014 Adopcin inmediata de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) siguiendo la norma ISO/IEC 27001. (Ej. Panda Cloud Protection). 2.3.4 Deteccin y gestin de vulnerabilidades. Auditoras automatizadas permanentes y manuales peridicas, aplicadas a diferentes puntos de la infraestructura y reas de la organizacin, con el fin de identificar debilidades, vulnerabilidades, fugas, etc. Medidas necesarias para la eliminacin o mitigacin de cada una de ellas. Es funcin imprescindible conocer las debilidades que presenta la corporacin frente a posibles ataques, tanto fsicos como lgicos. 2.3.5 Centralizacin, tratamiento y custodia de logs. La gestin manual de millones de logs generados a diario por mltiples dispositivos, impone un gran reto para el personal de seguridad. La utilizacin de sistemas SIEM (Security Information and Event Management) facilita analizar y clasificar eventos de seguridad de mltiples orgenes. Por otra parte, estos sistemas tambin permiten almacenar logs para posteriormente poder realizar anlisis y bsquedas complejas sobre los eventos ya ocurridos. Inicio
  • 7. 7 Lunes, 08 de septiembre de 2014 2.3.6 Respuesta de resolucin. Ante un incidente real de seguridad, debe elaborar y activar planes de resolucin que permitan neutralizar la amenaza considerando aspectos tan importantes como la peligrosidad del ataque, criticidad de los activos y procesos implicados, e impacto sobre los mismos. 2.3.7 Asesora de seguridad. Es necesario que el COS proporcione disponibilidad inmediata de conocimiento especializado. Tcnicos en sistemas y comunicaciones, especialistas en seguridad lgica y fsica, juristas especializados, auditores de seguridad, son perfiles muy comunes e imprescindibles. 2.4 Medidas internas. 2.4.1 rea ultra segura: El Centro de operaciones garantiza la seguridad y disponibilidad de informacin crtica y confidencial para la compaa; y por tanto debe aplicar las medidas necesarias para considerarlo como el rea ms segura de toda la organizacin. Es preciso implantar internamente un sistema para la gestin de la propia seguridad. Adoptar, mantener y mejorar un SGSI siguiendo el ciclo de mejora continua de Deming (calidad total). Es necesario que se realice una gestin del riesgo interno del propio centro, en funcin de los servicios prestados, y que se activen planes que mitiguen el riesgo propio. Como ejemplo, se detallan a continuacin algunos de los controles que ayudan a realizar esta labor: Polticas de seguridad especficas para el Centro. Procesos definidos, gestionados, medibles y optimizados. Control de acceso lgico y fsico mediante diferentes dispositivos de control. Monitorizacin interna de las propias actividades del COS. Auditoras continuadas de los propios activos utilizados por el Centro. Gestin de incidentes de seguridad internos. Gestin de las vulnerabilidades. Clasificacin de la informacin manejada por el COS acorde a su criticidad. Redundancia en los sistemas crticos para el COS. Proteccin frente a desastres, planes de contingencia y recuperacin. Inicio
  • 8. 8 Lunes, 08 de septiembre de 2014 2.5 Colaboracin: Para que el COS pueda ofrecer sus servicios de forma eficiente necesita estar interconectado con diferentes organismos nacionales e internacionales en un marco de colaboracin. Una de estas entidades es el Computer Emergency Response Team (CERT) que dan rpida respuesta ante vulnerabilidades, malware e incidentes de seguridad globales acontecidos recientemente. Es importante considerar el trabajo de la ENISA (European Network and Information Security Agency), cuya funcin es la de asesorar y coordinar las medidas adoptadas por la Comisin y los Estados miembros de la Unin Europea para dar seguridad a sus redes y sistemas de informacin. 2.6 Investigacin: Es necesario contar con personal capacitado que realice tareas de investigacin permanente, anticipndose de alguna forma a las tendencias del momento y futuras. Siempre a travs de fuentes confiables y serias. Ver Anexos III y IV Inicio
  • 9. 9 Lunes, 08 de septiembre de 2014 Conclusiones Evaluar y controlar permanentemente la seguridad integral de los activos es la base para o comenzar a integrar la funcin del COS como una actividad primordial dentro de cualquier organismo. El normal funcionamiento del COS permite: disminuir siniestros trabajar mejor manteniendo la sensacin de seguridad descartar falsas hiptesis si se produjeran incidentes tener los medios para luchar contra amenazas desconocidas. Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeamos; y as tomar decisiones sobre la base de la informacin brindada por los medios de control adecuados. El Centro de Operaciones de Seguridad, se torna como una herramienta imprescindible, donde se gestiona la seguridad integral, confiabilidad y normal funcionamiento de una organizacin. Tiene que contar con un equipo humano especializado, experimentando, multidisciplinario y con precisos conocimientos de la infraestructura objeto de proteccin, que pueda aconsejar y apoyar al Comit de seguridad en la toma de decisiones. Anexo I Seguridad fsica. Algunos tips a considerar. Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques informticos (Hackers, virus, etc.) la seguridad de la informacin ser nula si no se ha previsto como combatir un incendio, por ejemplo. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un delincuente sea ms fcil lograr robar un respaldo, copiar en un dispositivo mvil o simplemente destruir medios magnticos, equipos, etc., que intentar acceder remotamente. As, la Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos TI e informacin confidencial" Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo; implementados para proteger el hardware, medios de almacenamiento de datos y procesos. Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza en el lugar fsico en que se encuentra ubicada la (o las) instalacin(es). a.1 Tipos de Desastres Volver
  • 10. 10 Lunes, 08 de septiembre de 2014 Cada instalacin y su entorno tiene particularidades distintivas y por lo tanto la poltica de seguridad a implementar depender de normas generales y procedimientos especficos. Es decir, no todas las pautas de aplicacin son vlidas o necesarias en todos los entornos, por ejemplo: en Buenos Aires no ser relevante en absoluto prever tcnicas de seguridad ante terremotos; pero s ser de mxima utilidad en Mxico DF. A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de riesgos. a.1.1 Desastres naturales. Incendios. Inundaciones Condiciones Climatolgicas. Temperatura, humedad, lluvias, vientos, etc. a.1.2 Interrupcin del suministro elctrico o corte de comunicaciones, fallos de hw. Interferencias electromagnticas. (1). Instalaciones Elctricas defectuosas, falta de suministro alternativo (UPS, generadores). Toda instalacin elctrica debe cumplir con las normas IRAM e ISO. Instalacin de red defectuosa. Toda instalacin de red y comunicaciones debe cumplir con las normas establecidas (Iram Iso) y estar debidamente certificada. Evitando prdidas de seal, velocidad, etc. a.1.3 Amenazas ocasionadas por el hombre. Acciones hostiles. Robos. Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de mquina. La informacin importante o confidencial puede ser fcilmente copiada. Muchas empresas invierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin que la que otorgan a una mquina de escribir o una calculadora. El software, es una propiedad muy fcilmente sustraible y las cintas y discos son fcilmente copiados. Fraude Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que ms bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones. Sabotaje El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. (1) Ej.: Seales de Radar La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios aos. Los resultados de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en
  • 11. 11 Lunes, 08 de septiembre de 2014 el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana. b) Control de Accesos. El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o cierre de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sector dentro de una empresa o institucin. a. Utilizacin de personal de vigilancia. b. Utilizacin de CCTV. c. Utilizacin de Sistemas Biomtricos de identificacin. EJ: Verificacin Automtica de Firmas (VAF) En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque tambin podra encuadrarse dentro de las verificaciones biomtricas. Mientras es posible para un falsificador producir una buena copia visual o facsmil, es extremadamente difcil reproducir las dinmicas de una persona: por ejemplo la firma genuina con exactitud. Huella digital. Reconocimiento facial o del iris. Molinetes y puertas con sensores de actividad. Proteccin Electrnica. Barreras infrarrojas, identificadores de radio frecuencia, etc. Anexo II Seguridad lgica. En este aspecto hay variantes asociadas al entorno, estas se relacionan con el tipo de instalacin disponible y con los activos a proteger. En un escrito anterior describ algunas consideraciones bsicas sobre implementaciones de seguridad, que puede verse en SlideShare http://www.slideshare.net/DiegoBonini1/implementaciones-de-seguridad opcin B) rea de seguridad. Anexo III investigacin MIT Las tareas de colaboracin e investigacin siempre deben realizarse a travs de fuentes confiables. Un ejemplo de esto es la publicacin del Instituto Tecnolgico de Massachusetts: Applying System Thinking Concepts in Cyber Security Architectural Design of Enterprise Network Systems. Elaborado por Charles Iheagwara, Ph.D https://sdm.mit.edu/news/news_articles/webinar_081213/iheagwara_081213.pdf (Reproducido con autorizacin expresa del autor). Anexo IV investigacin CSIRT-CV http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/deteccion_apt.pdf Inicio Volver Volver Volver Firmado digitalmente por Edmundo Diego Bonini Nombre de reconocimiento (DN): cn=Edmundo Diego Bonini, o=Offerus Informatica, ou=Offerus, [email protected], c=AR Fecha: 2014.09.08 22:48:41 -03'00' Versin de Adobe Reader: 11.0.8