Idiomas
Páginas
Jurídico
1
Lunes, 08 de septiembre de 2014
Creación de un Centro de operaciones de seguridad (COS): 1. Consideraciones preliminares: Antecedentes en Argentina.
En nuestro país y en general en américa latina es muy escasa la inversión que se ha realizado en este aspecto. Entiendo por inversión no solo el recurso económico, sino además el tecnológico y particularmente el humano. Y no es porque falten profesionales capacitados, sino porque las organizaciones no toman conciencia del riesgo que corren. Organizaciones tanto privadas como gubernamentales, siguen sin priorizar su bien más preciado; la información.
En una conversación con un funcionario del gobierno de la ciudad, a cuyo cargo está la protección de datos personales, me manifestó su desacuerdo con utilizar la nube como medio de respaldo de la información. Aduje que desde mi punto de vista la nube podía ser un lugar seguro, siempre se tomaran las medidas necesarias, autenticación, criptografía, certificados, etc. Sin embargo esta persona me plantea una cuestión para la que no tengo respuesta, salvo imaginar una nube “privada” dentro de nuestras fronteras. Cosa que tampoco sé cómo resolver son precisión. Sostiene este funcionario, que la información sensible del estado nacional debe ser protegida y resguardada por una cuestión de SOBERANÍA. Ante esto, no pude argumentar demasiado, si tamaña cuestión no figura en ningún manual ni en legislación alguna.
El ministerio de Defensa anuncio en 2012 la creación de un SOC del cual no se ha tenido más novedades hasta el día de hoy, al menos a través del órgano de prensa de dicho ministerio. Iniciativa más que importante, pero los anuncios no alcanzan por sí mismos, deben ponerse en el plano de las realidades. (http://www.citedef.gob.ar/comunicado-de-prensa-no-8/).
Consultas hechas con colegas de toda Latinoamérica muestran la misma tendencia en todo el subcontinente.
Delitos informáticos.
Hay quienes piensan que la lucha contra el Cibercrimen es una guerra de los servicios de inteligencia de los países centrales, y no un problema de las empresas y organizaciones privadas. Sabemos que prevenir y combatir delitos cometidos a través de las redes y sistemas de información presenta grandes dificultades. La complejidad de rastreo que tiene un fraude cometido mediante bots o redes zombies, por poner un ejemplo, es indudablemente grande. Bastantes casos conocemos de este tipo de redes creadas utilizando un código malicioso que infecta múltiples ordenadores sin el conocimiento de sus propietarios, con la finalidad de que los delincuentes, servicios de espionaje u organizaciones terroristas tengan control total de forma remota. La localización de estos ciberespías se complica aún más cuando las máquinas infectadas, denominadas zombies, se encuentran en diferentes zonas geográficas, con marcos jurídicos muy distintos y en algunos casos sin legislación alguna sobre este tipo de delitos que atentan contra la soberanía de las naciones, y el secreto de la información de las compañías.
Inicio
2
Lunes, 08 de septiembre de 2014
Podemos añadir a la lista de dificultades la falta de cooperación internacional y los recursos que los gobiernos dedican a combatir la ciberdelincuencia que, en la mayoría de los casos, son insuficientes por no considerarla como asunto prioritario. Más aún, poca o ninguna es la colaboración y recursos entre agencias o dependencias gubernamentales dentro de nuestras fronteras.
Para las organizaciones, sea cual sea su origen o propósito, es imprescindible tomar los recaudos para prevenir y fundamentar la seguridad de sus activos informáticos. Sobre las Políticas de seguridad.
El aumento en la cantidad y complejidad de las amenazas a la seguridad de la información, así como su diversificación (Ver Anexo III), llevan a definir y aplicar medidas de manera constante y cambiante. Por esta razón, la seguridad debe ser vista como un proceso de mejora continua y no como una definición estandarizada y estática.
Comité o foro de seguridad. El primer paso es la creación de un comité o foro de seguridad, integrado por personal
directivo de la organización, gerentes de área, y especialistas de TI, sistemas y seguridad informática.
Es importante que aquellos miembros de la organización que están directamente relacionados con los procesos más importantes participen en esta tarea, ya que son quienes conocen las operaciones de todos los días. Contar con diferentes perspectivas durante el desarrollo de las políticas enriquece su contenido y permite plasmar características y conductas propias dentro de la organización. Además, la aprobación de la alta dirección respalda, patrocina y muestra el compromiso con las iniciativas de seguridad.
Debe delinear estrategias de la organización enfocadas a su aplicación en informática, colaborar en la difusión e implementación de políticas, definir un BCP (Plan de continuidad de negocio) y como parte de este cear inmediatamente un Centro de operaciones de seguridad. (SOC, Seccurity Operation Center).
D
Gerencia de
TI
Gerencia
de sistemas
Gerencia
de
seguridad
Inicio
3
Lunes, 08 de septiembre de 2014
2. COS – Centro de Operaciones de Seguridad. 2.1 Principales funciones. Debe monitorizar en tiempo real el estado de la seguridad y responder inmediatamente durante las 24 horas del día y los 7 días de la semana. El Centro de Operaciones debe basar sus servicios en cuatro ideas rectoras: Prevención.
Tiene como principal objetivo disminuir la probabilidad de aparición de cualquier incidente. La prevención implica realizar vigilancia permanente de nuevos ataques que puedan comprometer la seguridad, así como la aplicación de medidas preventivas que reduzcan la probabilidad de materialización de amenazas. Detección.
Es la monitorización constante con el único propósito de detectar amenazas, vulnerabilidades, intrusiones, ataques de seguridad, o cualquier indicio que refleje un posible incidente de seguridad, física y lógica. Análisis.
Estudio de los incidentes descubiertos por la detección para poder determinar cuáles son amenazas reales o falsos positivos. Respuesta.
Reacción ante cualquier incidente real de seguridad. 2.2 Procedimientos generales.
2.2.1 Definición de activos: a) Información: integridad, acceso, disponibilidad b) Componentes de ti: todo dispositivo de hardware, instalación de comunicaciones, suministro eléctrico, etc. c) PROCESOS. 2.2.2 Elaborar políticas de seguridad y procedimientos.
Definir y dar a conocer las políticas requiere utilizar un lenguaje conciso y fácil de comprender, a través de la selección de un enfoque que puede ser
Inicio
4
Lunes, 08 de septiembre de 2014
permisivo o restrictivo (si es posible mantener siempre el mismo enfoque, mezclarlos confunde a los destinatarios), así como evitar enunciados escritos en sentido negativo. Deben definirse los temas a abordar en los documentos, como la legislación aplicable, información sensible, clasificación de la información, entre muchos otros. 2.2.3 Evaluar e implementar medidas para mitigar riesgos físicos y lógicos.
Del análisis riguroso del entorno a proteger deben surgir medidas concretas para la protección del mismo. Algunas consideraciones elementales se describen en los siguientes anexos: Anexo I Seguridad física. Anexo II Seguridad lógica. 2.2.4 Revisión y prueba
Después de contar con la versión preliminar de los documentos, es necesario analizar el contenido para verificar que está alineado con los intereses de la organización, el sentido de la redacción y la funcionalidad de lo descrito en los enunciados, es decir, mantener el equilibrio entre la protección y operación. En esta fase, la retroalimentación es una actividad muy importante para comprobar que se emiten políticas que pueden ser cumplidas. 2.2.5 Aprobación.
Después de llevar a cabo la revisión, prueba efectiva y calificación del contenido como apropiado, las políticas deben ser ratificadas para su publicación. Para el desarrollo del gobierno de la seguridad de la información, es conveniente que los niveles directivos dentro de la organización otorguen el visto bueno y promuevan la aplicación de las mismas. 2.2.6 Publicación.
Una actividad de gran importancia en este ciclo consiste en dar a conocer las políticas entre los usuarios a las cuales están dirigidas. Es necesario contar con estrategias que permitan difundir el contenido entre los miembros de la organización, así como evaluar el conocimiento y compromiso del personal con relación a estas. Asumir que las políticas se leen y se cumplen sólo por su publicación y mandato es una equivocación.
Inicio
5
Lunes, 08 de septiembre de 2014
2.2.7 Actualización. Reiterando que la seguridad debe ser vista como un proceso de mejora
continua, en donde los controles de seguridad se pueden mantener, corregir o cambiar en función de los resultados obtenidos y de los parámetros de medición establecidos. Nuevos riesgos identificados, la recurrente violación de una política, sugerencias de las partes interesadas, el uso de nuevas tecnologías o cambios significativos dentro de la organización y en su contexto, son algunas de las razones por las cuales se puede actualizar una política. De esta manera, se puede definir el ciclo de vida de las políticas de seguridad, como una tarea permanente dentro de las actividades de gestión de seguridad de la información. 2.2.8 BCP.
En base a las necesidades reales del entorno y del negocio elaborar un Plan de continuidad de operaciones (BCP) fundado en las conclusiones que surjan de la evaluación de los procedimientos aplicados. 2.3 Principales servicios del COS.
Tanto los objetivos como el servicio bridado por el COS deben estar en un todo de acuerdo con los objetivos propios de cada organización, lo que oportunamente debe haber definido el CS (Comité de seguridad). 2.3.1 Programas de prevención.
Es tarea fundamental del centro trabajar en la prevención de incidentes de seguridad; debiendo efectuar un monitoreo permanente de nuevas amenazas e implementar controles preventivos que mitiguen el riesgo de aparición de incidentes de seguridad. 2.3.2 DRP.
Elaboración y comprobación de un plan de recuperación ante desastres. 2.3.3 Monitorización continúa de la seguridad.
Consiste en la observación constante de todos los controles de seguridad implantados con el objeto de detectar posibles incidentes de seguridad. Para ofrecer este servicio, el Centro debe apoyarse en diferentes herramientas que le proporcionen información suficiente, y en tiempo real, del estado de la seguridad de la organización, como por ejemplo: cuadros de mando, detectores de anomalías, analizadores de red, detectores de intrusiones, analizadores de eventos, sistemas de protección perimetral, guías de evaluación (ITSEC, TSEC).
Inicio
6
Lunes, 08 de septiembre de 2014
Adopción inmediata de un Sistema de Gestión de la Seguridad de la Información (SGSI) siguiendo la norma ISO/IEC 27001. (Ej. Panda Cloud Protection).
2.3.4 Detección y gestión de vulnerabilidades.
Auditorías automatizadas permanentes y manuales periódicas, aplicadas a diferentes puntos de la infraestructura y áreas de la organización, con el fin de identificar debilidades, vulnerabilidades, fugas, etc. Medidas necesarias para la eliminación o mitigación de cada una de ellas. Es función imprescindible conocer las debilidades que presenta la corporación frente a posibles ataques, tanto físicos como lógicos. 2.3.5 Centralización, tratamiento y custodia de logs.
La gestión manual de millones de logs generados a diario por múltiples dispositivos, impone un gran reto para el personal de seguridad. La utilización de sistemas SIEM (Security Information and Event Management) facilita analizar y clasificar eventos de seguridad de múltiples orígenes. Por otra parte, estos sistemas también permiten almacenar logs para posteriormente poder realizar análisis y búsquedas complejas sobre los eventos ya ocurridos.
Inicio
7
Lunes, 08 de septiembre de 2014
2.3.6 Respuesta de resolución. Ante un incidente real de seguridad, debe elaborar y activar planes de
resolución que permitan neutralizar la amenaza considerando aspectos tan importantes como la peligrosidad del ataque, criticidad de los activos y procesos implicados, e impacto sobre los mismos. 2.3.7 Asesoría de seguridad.
Es necesario que el COS proporcione disponibilidad inmediata de conocimiento especializado. Técnicos en sistemas y comunicaciones, especialistas en seguridad lógica y física, juristas especializados, auditores de seguridad, son perfiles muy comunes e imprescindibles.
2.4 Medidas internas. 2.4.1 Área ultra segura:
El Centro de operaciones garantiza la seguridad y disponibilidad de información crítica y confidencial para la compañía; y por tanto debe aplicar las medidas necesarias para considerarlo como el área más segura de toda la organización. Es preciso implantar internamente un sistema para la gestión de la propia seguridad.
Adoptar, mantener y mejorar un SGSI siguiendo el ciclo de mejora continua de Deming (calidad total). Es necesario que se realice una gestión del riesgo interno del propio centro, en función de los servicios prestados, y que se activen planes que mitiguen el riesgo propio.
Como ejemplo, se detallan a continuación algunos de los controles que ayudan a realizar esta labor: Políticas de seguridad específicas para el Centro. Procesos definidos, gestionados, medibles y optimizados. Control de acceso lógico y físico mediante diferentes dispositivos de control. Monitorización interna de las propias actividades del COS. Auditorías continuadas de los propios activos utilizados por el Centro. Gestión de incidentes de seguridad internos. Gestión de las vulnerabilidades. Clasificación de la información manejada por el COS acorde a su criticidad. Redundancia en los sistemas críticos para el COS. Protección frente a desastres, planes de contingencia y recuperación.
Inicio
8
Lunes, 08 de septiembre de 2014
2.5 Colaboración: Para que el COS pueda ofrecer sus servicios de forma eficiente necesita
estar interconectado con diferentes organismos nacionales e internacionales en un marco de colaboración. Una de estas entidades es el Computer Emergency Response Team (CERT) que dan rápida respuesta ante vulnerabilidades, malware e incidentes de seguridad globales acontecidos recientemente.
Es importante considerar el trabajo de la ENISA (European Network and Information Security Agency), cuya función es la de asesorar y coordinar las medidas adoptadas por la Comisión y los Estados miembros de la Unión Europea para dar seguridad a sus redes y sistemas de información.
2.6 Investigación:
Es necesario contar con personal capacitado que realice tareas de investigación permanente, anticipándose de alguna forma a las tendencias del momento y futuras. Siempre a través de fuentes confiables y serias. Ver Anexos III y IV
Inicio
9
Lunes, 08 de septiembre de 2014
Conclusiones Evaluar y controlar permanentemente la seguridad integral de los activos es
la base para o comenzar a integrar la función del COS como una actividad primordial dentro de cualquier organismo. El normal funcionamiento del COS permite: disminuir siniestros trabajar mejor manteniendo la sensación de seguridad descartar falsas hipótesis si se produjeran incidentes tener los medios para luchar contra amenazas desconocidas.
Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados.
El Centro de Operaciones de Seguridad, se torna como una herramienta imprescindible, donde se gestiona la seguridad integral, confiabilidad y normal funcionamiento de una organización. Tiene que contar con un equipo humano especializado, experimentando, multidisciplinario y con precisos conocimientos de la infraestructura objeto de protección, que pueda aconsejar y apoyar al Comité de seguridad en la toma de decisiones.
Anexo I Seguridad física. Algunos tips a considerar. Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques informáticos (Hackers, virus, etc.) la seguridad de la información será nula si no se ha previsto como combatir un incendio, por ejemplo. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un delincuente sea más fácil lograr robar un respaldo, copiar en un dispositivo móvil o simplemente destruir medios magnéticos, equipos, etc., que intentar acceder remotamente. Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos TI e información confidencial" Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo; implementados para proteger el hardware, medios de almacenamiento de datos y procesos. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza en el lugar físico en que se encuentra ubicada la (o las) instalación(es). a.1 Tipos de Desastres
Volver
10
Lunes, 08 de septiembre de 2014
Cada instalación y su entorno tiene particularidades distintivas y por lo tanto la política de seguridad a implementar dependerá de normas generales y procedimientos específicos. Es decir, no todas las pautas de aplicación son válidas o necesarias en todos los entornos, por ejemplo: en Buenos Aires no será relevante en absoluto prever técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en México DF. A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos. a.1.1 Desastres naturales. Incendios. Inundaciones Condiciones Climatológicas. Temperatura, humedad, lluvias, vientos, etc. a.1.2 Interrupción del suministro eléctrico o corte de comunicaciones, fallos de hw. Interferencias electromagnéticas. (1). Instalaciones Eléctricas defectuosas, falta de suministro alternativo (UPS, generadores). Toda instalación eléctrica debe cumplir con las normas IRAM e ISO. Instalación de red defectuosa. Toda instalación de red y comunicaciones debe cumplir con las normas establecidas (Iram – Iso) y estar debidamente certificada. Evitando pérdidas de señal, velocidad, etc. a.1.3 Amenazas ocasionadas por el hombre. Acciones hostiles. Robos. “Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero.” Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraible y las cintas y discos son fácilmente copiados. Fraude “Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.” Sabotaje “El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.” (1) Ej.: Señales de Radar “La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en
11
Lunes, 08 de septiembre de 2014
el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.”
b) Control de Accesos. El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cierre de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución. a. Utilización de personal de vigilancia. b. Utilización de CCTV. c. Utilización de Sistemas Biométricos de identificación. EJ: Verificación Automática de Firmas (VAF) En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también podría encuadrarse dentro de las verificaciones biométricas. Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. Huella digital. Reconocimiento facial o del iris. Molinetes y puertas con sensores de actividad.
Protección Electrónica. Barreras infrarrojas, identificadores de radio frecuencia, etc. Anexo II Seguridad lógica. En este aspecto hay variantes asociadas al entorno, estas se relacionan con el tipo de instalación disponible y con los activos a proteger. En un escrito anterior describí algunas consideraciones básicas sobre implementaciones de seguridad, que puede verse en SlideShare http://www.slideshare.net/DiegoBonini1/implementaciones-de-seguridad opción B) área de seguridad. Anexo III investigación MIT Las tareas de colaboración e investigación siempre deben realizarse a través de fuentes confiables. Un ejemplo de esto es la publicación del Instituto Tecnológico de Massachusetts:
Applying System Thinking Concepts in Cyber Security Architectural Design of Enterprise Network Systems. Elaborado por Charles Iheagwara, Ph.D https://sdm.mit.edu/news/news_articles/webinar_081213/iheagwara_081213.pdf (Reproducido con autorización expresa del autor).
Anexo IV investigación CSIRT-CV http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/deteccion_apt.pdf
Inicio
Volver
Volver
Volver
Top Related