El documento presenta una introducción a la gestión automatizada e integrada de controles de seguridad informática. Propone un modelo con seis elementos clave: 1) automatización, 2) integración, 3) síntesis, 4) medición objetiva, 5) mejora continua y 6) generalidad. Además, describe objetivos como el inventario de activos, gestión de usuarios y trazas, monitoreo de sistemas y protección contra malware. El modelo busca integrar diferentes herramientas de seguridad en un sistema central de gestión de eventos e información de segur
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad informática
1. 1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Introducción a la seguridad informática
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesiones 14, 15 y 16
Gestionar la seguridad informática
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
¿Quienes son mis usuarios?
¿A qué tienen acceso?
¿Quién les dio este acceso?
¿Qué hacen con dicho acceso?
La gestión de la seguridad
informática es un proceso complejo
que implica el establecimiento de un
gran número de controles en un
entorno dinámico de múltiples
amenazas.
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelo para la gestión automatizada e integrada de
controles de seguridad informática
1. Automatización: se deben tener en cuenta todos los controles de seguridad
informática automatizables.
2. Integración: la gestión de los controles de seguridad informática debe
realizarse desde un sistema centralizado que permita la monitorización y la
revisión de los mismos.
3. Síntesis: debe realizarse un adecuado proceso de agrupación y síntesis de los
controles automatizables para gestionar un número relativamente pequeño de
controles.
4. Medición objetiva: se debe medir la efectividad de los controles mediante
indicadores objetivos obtenidos de forma automática a partir de los datos
suministrados por las diferentes herramientas de seguridad informática.
5. Mejora continua: la gestión de los controles debe verse como un proceso
dinámico que consta de varias acciones, las cuales conforman un ciclo cerrado
para la mejora continua de los controles de seguridad informática.
6. Generalidad: el modelo debe ser aplicable en una gran variedad de
organizaciones.
Ingeniería Electrónica, Automática y Comunicaciones; versión ISSN 1815-5928; EAC vol.34 no.1 La Habana ene.-abr. 2013
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Valorización
• Esfuerzo (Horas-Hombre)
Estudio de mercado
Despliegue
Capacitación
Interiorización
Dinero
Adquisición
Sostenibilidad
Productividad
Capitalización
OLA/SLA
Expectativas
Controles
Retroalimentación
Sinergia
La automatización de controles de
seguridad informática implica que la
operación, monitorización y la
revisión de los mismos se realice de
forma automática por herramientas
de hardware y software, sin
intervención humana en esas
acciones.
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Objetivos de la automatización
1. Inventario de activos: mantener un inventario actualizado de todos los
activos informáticos de la institución, tanto de hardware como de software,
identificando cualquier desviación fuera de lo establecido.
2. Gestión de usuarios: garantizar la correcta activación, modificación y
eliminación de cuentas de usuarios de las tecnologías de la información.
3. Gestión de trazas: almacenar y conservar por el tiempo establecido, en una
localización centralizada, las trazas de las aplicaciones, sistemas operativos y
diferentes dispositivos; donde se registre la actividad de los usuarios,
errores, conexiones de red y otros eventos de seguridad en general.
4. Monitoreo de los sistemas: realizar un monitoreo constante de los sistemas
para detectar ataques informáticos, falta de disponibilidad de las
aplicaciones, y modificaciones a la información.
5. Protección contra programas malignos: emplear mecanismos de protección
contra programas malignos que se encuentren constantemente
actualizados, para detectar y erradicar código malicioso.
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Objetivos de la automatización
6. Detección de vulnerabilidades y gestión de parches: detectar y mitigar las
vulnerabilidades presentes en los sistemas, así como garantizar la aplicación
de los parches necesarios para todos los sistemas operativos y aplicaciones de
la institución.
7. Configuraciones de seguridad y cumplimiento de políticas: garantizar que los
sistemas operativos, aplicaciones y demás dispositivos posean
configuraciones seguras, acorde a las políticas definidas por la institución, las
regulaciones establecidas y referentes internacionales.
8. Respaldo de información: realizar frecuentemente copias de respaldo de la
información y los sistemas, que posibiliten la recuperación ante la ocurrencia
de algún incidente.
9. Seguridad física: proteger adecuadamente los locales y las tecnologías
mediante sistemas de control de acceso físico, respaldo eléctrico, control de
humedad y clima, protección contra incendios y sistemas de alarmas contra
intrusos.
10. Gestión de incidentes: establecer un sistema de gestión de incidentes de
seguridad informática que incluya la detección, análisis, contención, solución
y recuperación de los incidentes.
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de métricas de seguridad informática
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de métricas de seguridad informática
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de métricas de seguridad informática
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Correlacionador de eventos
Los controles son implementados y
operados por diferentes sistemas, pero
su monitorización se realiza de forma
centralizada en un sistema de gestión de
información y eventos de seguridad
(SIEM - Security Information and Event
Management )
Constituye el componente central del
modelo y posibilita la integración de
las diferentes herramientas de
seguridad informática
Describe las capacidades que
tiene el producto para reunir,
analizar y presentar la
información de:
• Dispositivos de red y de
seguridad.
• Aplicaciones para gestionar
identidades y accesos.
• Herramientas para gestionar
vulnerabilidades y para el
cumplimiento de políticas.
• Trazas del Sistema operativo,
bases de datos y aplicaciones.
• Datos de amenazas externas.
Objetivos clave:
• Identificar amenazas y posibles
brechas de seguridad
• Recopilar los registros de
auditoría de seguridad y
cumplimiento
• Conducir investigaciones y
proveer evidencia
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Características principales
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Flujo de proceso SIEM
Recopilación
de datos
Extracción
de
información
(inteligente)
Agregar
valor
Presentación
de cuadros
de mando e
informes
Conocimiento
Planificación
Alcance acotado
Visión gerencial
Estrategias coherentes
Dimensionar el volumen de datos
Capacidad de procesamiento
NO es plug & play
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
System Inputs
Event Data
Operating Systems
Applications
Devices
Databases
Contextual Data
Vulnerability Scans
User Information
Asset Information
Threat Intelligence
Data
Collection
Normalization
Correlation
Logic/Rules
Aggregation
SIEM
System Outputs
Analysis
Reports
Real Time Monitoring
Arquitectura SIEM
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Log Collection
Universal Log Collection
To collect logs from heterogeneous sources
(Windows systems, Unix/Linux systems,
applications, databases, routers, switches,
and other devices).
Log collection method - agent-based or
agentless
Both Recommended
Centralized log collection
Events Per Second (EPS) – Rate at
which your IT infrastructure sends
events
If not calculated properly the SIEM solution
will start dropping events before they are
stored in the database leading to incorrect
reports, search results, alerts, and correlation.
Características críticas
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
User Activity Monitoring
SIEM solutions should have Out-of-
the-box user activity monitoring,
Privileged user monitoring and audit
(PUMA) reporting feature.
Ensure that the SIEM solution gives
the ‘Complete audit trail’
Know which user performed the action,
what was the result of the action, on what
server it happened, and user
workstation/device from where the action
was triggered.
Características críticas
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Real Time Event Correlation
A
B
C
D
Real-time event correlation is all about
proactively dealing with threats.
Correlation boosts network security by
processing millions of events
simultaneously to detect anomalous
events on the network.
Correlation can be based on log search,
rules and alerts
Predefined rules and alerts are not sufficient.
Custom rule and alert builder is a must for every
SIEM solution.
Ensure that the process of correlating events is
easy.
Características críticas
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Log Retention
SIEM solutions should automatically
archive all log data from systems,
devices & applications to a
‘centralized’ repository.
Ensure that the SIEM solution has
‘Tamper Proof’ feature which
‘encrypts’ and ‘time stamps’ them for
compliance and forensics purposes.
Ease of retrieving and analyzing
archived log data.
Características críticas
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
IT Compliance Reports
IT compliance is the core of every
SIEM solution.
Ensure that the SIEM solution has out-
of-the-box regulatory compliance
reports such as PCI DSS, FISMA,
GLBA, SOX, HIPAA, etc.
SIEM solutions should also have the
capability to customize and build new
compliance reports to comply with
future regulatory acts.
Características críticas
22. 22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
File Integrity Monitoring
File integrity monitoring helps security
professionals in monitoring business
critical files and folders.
Ensure that the SIEM solution tracks
and reports on all changes happening
such as when files and folders are
created, accessed, viewed, deleted,
modified, renamed and much more.
The SIEM solution should also send
real-time alerts when unauthorized
users access critical files and folders.
Características críticas
23. 23
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Log Forensics
SIEM solutions should allow users to
track down a intruder or the event
activity using log search capability.
The log search capability should be
very intuitive and user-friendly, allowing
IT administrators to search through the
raw log data quickly.
Características críticas
24. 24
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Dashboards
Dashboards drive SIEM solutions and
help IT administrators take timely
action and make the right decisions
during network anomalies.
Security data must be presented in a
very intuitive and user-friendly manner.
The dashboard must be fully
customizable so that IT administrators
can configure the security information
they wish to see.
Características críticas
25. 25
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Monitoring and reporting requirements
Establish key monitoring and reporting requirements prior to deployment,
including objective, targets, compliance controls, implementation and workflow.
Infrastructure audit activations
Determine the scope of implementation, infrastructure audit targets, necessary
credentials and verbosity, activation phases and activation.
Compliance and Audit data requirements
Identify compliance requirements and automate compliance processes and the
management of audit data including accessibility, integrity, retention, disposal and
evidentiary requisites.
Access Controls
Monitor, respond to and report on key status, violations and anomalous access to
critical resources.
Perimeter defenses
Monitor, respond to and report on key status, configuration changes,
violations/attacks and anomalous activity associated with perimeter defenses.
Mejores prácticas
26. 26
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Network and system resource integrity
Monitor, respond to and report on key status, configuration changes, patches, backup
processes, vulnerabilities, threats and anomalous activity affecting network and system
resources integrity and availability.
Network and host defenses
Monitor, respond to and report on key status, notifications and incidents with
regards to intrusion detection/prevention network and system threats, attacks and
anomalous activity.
Malware control
Monitor, respond to and report on key status, threats, issues, violations and activity
supporting malware controls.
Application defenses
Monitor, respond to and report on key status, configuration changes, issues,
violations and anomalous activity with regard to web, database and other
application defenses.
Acceptable use
Monitor, respond to and report on key status, issues, violations and anomalous
activity regarding the acceptable use and availability of resources and information.
Mejores prácticas
27. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com