Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

DISEO E IMPLEMENTACION DE UN MODELO DE GESTION DE INCIDENTES DE SEGURIDAD PARA UNA EMPRESA

PRESENTADO POR: Isabel Cristina lvarez Fernndez Sirley Marcela Pez Escobar

ASESOR TCNICO DE PROYECTO: ING. WILSON ROJAS

UNIVERSIDAD EL BOSQUE FACULTAD DE INGENIERA ELECTRONICA ESPECIALIZACIN EN SEGURIDAD EN REDES TELEMTICAS BOGOT, COLOMBIA 19 DE JULIO DE 2.012

Pgina 1 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Autores: Isabel Cristina lvarez Fernndez, Sirley Marcela Pez Escobar Director: Ing. Wilson Rojas Anteproyecto Lnea: Seguridad en redes telemticas Fecha de elaboracin: Julio 19 de 2012

1.

Ttulo.

DISEO E IMPLEMENTACION DE UN MODELO DE GESTION DE INCIDENTES DE SEGURIDAD PARA UNA EMPRESA.

2.

Introduccin

Este proyecto esta diseado para aquellas empresas que estn interesadas en implementar y desarrollar un modelo de gestin de incidentes, para este proceso debemos de tener en cuenta que es un CSIRT "Equipo de Respuesta a Incidentes de Seguridad Informtica".

Uno de los propsitos de este documento es especificar los elementos a tener en cuenta para crear un CSIRT, que ejecute, coordine y apoye las respuestas a los incidentes de seguridad dentro de una empresa, este grupo debe estar en capacidad de reaccionar a incidentes de seguridad reportados as como a las amenazas informticas de la empresa.

De la misma manera involucrar a cada uno de los integrantes de la empresa, para que entiendan cada uno de los servicios que ofrece este tipo de equipos, las polticas, los procedimientos de operacin, la publicacin de cada uno de los

Pgina 2 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

reportes de incidentes que se generen, de esta manera poder generar un servicio de una manera eficaz y efectiva dentro de la empresa.

3.

Descripcin general del proyecto.

3.1.

Definicin del problema.

La frecuencia creciente de incidentes de seguridad de la informacin, rapidez de propagacin e impacto son recurrentes en empresas donde no se definen e implantan buenas prcticas de gestin de incidentes.

Los incidentes de Seguridad Informtica dentro de una empresa los podemos definir como:

Acceso no Autorizado: Esta categora comprende todo tipo de ingreso y operacin no autorizado a los sistemas de la empresa, tanto exitosos como no exitosos. Son parte de esta categora:

Accesos no autorizados exitosos, sin perjuicios visibles a componentes tecnolgicos.

Robo de informacin Borrado de informacin Alteracin de la informacin Intentos recurrentes y no recurrentes de acceso no autorizado Abuso y/o Mal uso de los servicios informticos internos o externos que requieren autenticacin

Cdigo Malicioso: Esta categora comprende la introduccin de cdigos maliciosos en la infraestructura tecnolgica de la empresa:

Virus informticos
Pgina 3 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Troyanos Gusanos informticos

Denegacin del servicio: Esta categora incluye los eventos que ocasionan prdida de un servicio en particular. Los sntomas para detectar un incidente de esta categora son:

Tiempos de respuesta muy bajos sin razones aparentes. Servicio(s) interno(s) inaccesibles sin razones aparentes Servicio(s) Externo(s) inaccesibles sin razones aparentes Escaneos, pruebas o intentos de obtencin de informacin de la red o de un servidor en particular: Esta categora agrupa los eventos que buscan obtener informacin de la infraestructura tecnolgica de la Entidad. Comprende:

Sniffers (software utilizado para capturar informacin que viaja por la red) Deteccin de Vulnerabilidades

Mal uso de los recursos tecnolgicos: Esta categora agrupa los eventos que atentan contra los recursos tecnolgicos por el mal uso. Comprende:

Mal uso y/o Abuso de servicios informticos internos o externos Violacin de las normas de acceso a Internet Mal uso y/o Abuso del correo electrnico de la Entidad Violacin de las Polticas, Normas y Procedimientos de Seguridad Informtica.

3.1.1. Manifestacin

Para identificar claramente los diferentes incidentes dentro de las empresas, se realiz un estudio con los diferentes administradores de red, en donde los datos significativos fueron los siguientes:

1. 2.

Se atendieron 764 incidentes en los meses de mayo, junio y julio. 8 incidentes se notificaron a organismos internacionales.
Pgina 4 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

DESCRIPCION DEL INCIDENTE FRECUENCIA Comunicacin ofensiva Denegacin del servicio Virus Otros Sondeos o escaneos a puertos Accesos a cuentas privilegiadas SPAM Troyanos Gusanos IIS Usos no autorizados Violaciones copyright 10 28 8 24 301 101 29 18 321 20 12

3.1.2. Contexto

3.1.3 Causas

Las motivaciones de las personas que identifican y atacan a las empresas afectan los factores de confidencialidad, la integridad y la disponibilidad de las organizaciones, por lo general suelen ser econmicas, accidentales, por ego personal o por venganza.

Otra de las causas que generan estos tipos de incidentes son las polticas, procedimientos de seguridad dentro de las organizaciones. No tener claro el manejo de los incidentes en las organizaciones. No se tiene claro la resolucin y recuperacin de algn incidente.

Pgina 5 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

3.1.4. Efectos

Los efectos de los incidentes los podemos clasificar como:

CRITICIDAD ALTA

DEFINICION Incidentes que tienen un impacto elevado sobre los negocios de la organizacin o el servicio de los clientes.
4. 3.

EJEMPLOS Infecciones Malware virus). Accesos no por (troyanos,

autorizados al sistema MEDIA Incidentes que tienen un impacto significativo, o potencial para causar un impacto elevado sobre el
6. 5.

Intento de crackeo a las cuentas. Contraseas desconocidas por los usuarios por cambios no autorizados.

negocio de la organizacin o el servicio de los clientes.

BAJA

Incidentes que tienen potencial de causar un impacto significativo

7. 8.

Escaneo de red. Denegacin de

sobre el negocio de la organizacin o el servicio de los clientes.

acceso por bloqueos no esperados.

Cada uno de estos incidentes afecta a las empresas en factores como:

Prdida econmica. Perdida de la reputacin. Reduccin en el valor percibido por los clientes. Poner en peligro a empleados y clientes. Prdida de confianza. Perdidas de oportunidades del negocio. Prdida de confianza. Reduccin de eficiencia operacional.
Pgina 6 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Interrupcin de actividades del negocio.

3.2.

Aspectos a solucionar.

1. Las polticas de seguridad y Procedimientos. 2. Deteccin y anlisis, 3. Procesos de Gestin de incidentes.

4.

Estado del arte

4.1.

Bases Tericas

A continuacin se muestran los fundamentos de este, basados en estndares y en guas de buenas prcticas para TI en las organizaciones: ITIL Biblioteca de Infraestructura de Tecnologas de la Informacin1 Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL) se ha convertido en el estndar mundial de de facto en la Gestin de Servicios Informticos. Iniciado como una gua para el gobierno de UK, la estructura base ha demostrado ser til para las organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizacin.

Tomado: http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_I TIL.php

Pgina 7 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Figura 1 2

Soporte al Servicio El soporte al servicio se preocupa de de todos los aspectos que garanticen la continuidad, disponibilidad y calidad del servicio prestado al usuario. El siguiente diagrama interactivo resume sucintamente los principales aspectos de la metodologa de soporte al servicio segn los estndares ITIL:

Tomado: http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_I TIL.php

Pgina 8 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Figura 23

Centro de servicios (Service Desk) El objetivo primordial, aunque no nico, del Centro de Servicios es servir de punto de contacto entre los usuarios y la Gestin de Servicios TI. Un Centro de Servicios, en su concepcin ms moderna, debe funcionar como centro neurlgico de todos los procesos de soporte al servicio:

Registrando y monitorizando incidentes. Aplicando soluciones temporales a errores conocidos en colaboracin con la Gestin de Problemas.

Tomado: http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_I TIL.php

Pgina 9 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Colaborando

con

la Gestin

de

Configuraciones para

asegurar

la

actualizacin de las bases de datos correspondientes.

Gestionando cambios solicitados por los clientes mediante peticiones de servicio en colaboracin con la Gestin de Cambios y Versiones

Pero tambin debe jugar un papel importante dando soporte al negocio identificando nuevas oportunidades en sus contactos con usuarios y clientes. Gestin de Incidentes La Gestin de Incidentes tiene como objetivo resolver cualquier incidente que cause una interrupcin en el servicio de la manera ms rpida y eficaz posible. La Gestin de Incidentes no debe confundirse con la Gestin de Problemas, pues a diferencia de esta ltima, no se preocupa de encontrar y analizar las causas subyacentes a un determinado incidente sino exclusivamente a restaurar el servicio. Sin embargo, es obvio, que existe una fuerte interrelacin entre ambas. Las propiedades y funcionalidades de la Gestin de Incidentes se resumen sucintamente en el siguiente interactivo:

Figura 34

Gestin de Problemas

Tomado: http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_I TIL.php

Pgina 10 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Las funciones principales de la Gestin de Problemas son:

Investigar las causas subyacentes a toda alteracin, real o potencial, del servicio TI.

Determinar posibles soluciones a las mismas. Proponer las peticiones de cambio (RFC) necesarias para restablecer la calidad del servicio.

Realizar Revisiones Post Implementacin (PIR) para asegurar que los cambios han surtido los efectos buscados sin crear problemas de carcter secundario.

La Gestin de Problemas puede ser: Reactiva: Analiza los incidentes ocurridos para descubrir su causa y propone soluciones a los mismos. Proactiva: Monitoriza la calidad de la infraestructura TI y analiza su configuracin con el objetivo de prevenir incidentes incluso antes de que estos ocurran.

Las interacciones y funcionalidades de la Gestin de Problemas se resumen sucintamente en el siguiente interactivo:

Figura 45
5

Tomado: http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_I TIL.php

Pgina 11 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Gestin de Configuraciones Las cuatro principales funciones de la Gestin de Configuraciones pueden resumirse en:

Llevar el control de todos los elementos de configuracin de la infraestructura TI con el adecuado nivel de detalle y gestionar dicha informacin a travs de la Base de Datos de Configuracin (CMDB).

Proporcionar informacin precisa sobre la configuracin TI a todos los diferentes procesos de gestin.

Interactuar con las Gestiones de Incidentes, Problemas , Cambios y Versiones de manera que estas puedan resolver ms eficientemente las incidencias, encontrar rpidamente la causa de los problemas, realizar los cambios necesarios para su resolucin y mantener actualizada en todo momento la CMDB.

Monitorizar peridicamente la configuracin de los sistemas en el entorno de produccin y contrastarla con la almacenada en la CMDB para subsanar discrepancias.

Gestin de la Seguridad La Gestin de la Seguridad de la Informacin se remonta al albor de los tiempos. La criptologa o la ciencia de la confidencialidad de la informacin se remonta al inicio de nuestra civilizacin y ha ocupado algunas de las mentes matemticas ms brillantes de la historia, especialmente (y desafortunadamente) en tiempos de guerra. Sin embargo, desde el advenimiento de la ubicuas redes de comunicacin y en especial Internet los problemas asociados a la seguridad de la informacin se han agravado considerablemente y nos afectan prcticamente a todos. Que levante la mano el que no haya sido victima de algn virus informtico en su ordenador, del

Pgina 12 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

spam (ya sea por correo electrnico o telfono) por una deficiente proteccin de sus datos personales o, an peor, del robo del nmero de su tarjeta de crdito. La informacin es consustancial al negocio y su correcta gestin debe apoyarse en tres pilares fundamentales:

Confidencialidad: la informacin debe ser slo accesible a sus destinatarios predeterminados.

Integridad: la informacin debe ser correcta y completa. Disponibilidad: debemos de tener acceso a la informacin cuando la necesitamos.

La Gestin de la Seguridad debe, por tanto, velar por que la informacin sea correcta y completa, est siempre a disposicin del negocio y sea utilizada slo por aquellos que tienen autorizacin para hacerlo. Las interacciones y funciones de la Gestin de la Seguridad se resumen sucintamente en el siguiente interactivo:

Figura 56

Tomado: http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_I TIL.php

Pgina 13 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

BS 2599 Es una norma en la que se tiene como objetivo la Gestin o Plan de Continuidad del Negocio fundamentalmente enfocado a la disponibilidad de la informacin. BS 25999 es una norma adecuada para toda organizacin, grande o pequea, de cualquier sector. Es especialmente apropiada para organizaciones que operan en entornos de alto riesgo, como las finanzas, telecomunicaciones, transporte y el sector pblico, donde la capacidad de continuar la actividad comercial es primordial para la organizacin en s, as como para sus clientes y partes interesadas. La norma consiste en una serie de recomendaciones o buenas prcticas para facilitar la recuperacin de los recursos que permiten el funcionamiento normal de un negocio, en caso de que ocurra un desastre. En este contexto, se tienen en cuenta tanto los recursos humanos, como las infraestructuras, la informacin vital, las tecnologas de la informacin y los equipos que la soportan. ISO 270017 El anlisis de la ISO 27001:2005, se desarrollaron los conceptos generales de este nuevo estndar de seguridad de la informacin. Se describi su origen y posicionamiento, y luego se hizo un resumen de las consideraciones clave del mismo. En concreto ese texto presentaba lo siguiente: Los detalles que

conforman el cuerpo de esta norma, se podran agrupar en tres grandes lneas: SGSI (Sistema de Gestin de la Seguridad de la Ingormacin o ISMS: o Information Security Managemet System). Valoracin de riesgos (Risk Assesment)

Tomado: http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandaresesquemas/Continuidad-de-Negocio-BS25999/http://es.wikipedia.org/wiki/BS_25999

Pgina 14 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Controles

De esas tres grandes lneas, por ser una presentacin de la norma, se continu con las generalidades y se hizo bastante hincapi en el concepto de SGSI (o ISMS), por considerarse a este tema el que ms necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estndar un Sistema completo de Gestin de la Seguridad (Si bien hay ms aspectos que estn siendo incorporados en una nueva versin de controles que estar disponible muy brevemente).

Los primeros pasos para la implementacin de esta norma son: Definir el mbito y poltica del SGSI.8 Proceso de anlisis y valoracin de riesgos (Evaluacin de Riesgos). Seleccin, tratamiento e implementacin de Controles. El tercer punto anteriormente presentado es lo que se desarrollar en el presente artculo para tratar de entrar en el detalle de cada uno de los grupos que propone ISO 27001. El estndar especifica en su Anexo A el listado completo de cada uno de ellos, agrupndolos en once rubros. Para cada uno de ellos define el objetivo y lo describe brevemente.

Cabe aclarar que el anexo A proporciona una buena base de referencia, no siendo exhaustivo, por lo tanto se pueden seleccionar ms an. Es decir, estos 133 controles (hoy) son los mnimos que se debern aplicar, o justificar su no aplicacin, pero esto no da por completa la aplicacin de la norma si dentro del

Tomado:

http://www.monografias.com/trabajos-pdf/iso-controles/iso-controles.pdf Pgina 15 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

proceso de anlisis de riesgos aparecen aspectos que quedan sin cubrir por algn tipo de control. Por lo tanto, si a travs de la evaluacin de riesgos se determina que es necesaria la creacin de nuevos controles, la implantacin del SGSI impondr la inclusin de los mismos, sino seguramente el ciclo no estar cerrado y presentar huecos claramente identificables.

Los controles de esta norma propone quedan agrupados y numerados de la siguiente forma:

Poltica de seguridad Organizacin de la informacin de seguridad Administracin de recursos Seguridad de los recursos humanos Seguridad fsica y del entorno Administracin de las comunicaciones y operaciones Control de accesos Adquisicin de sistemas de informacin, desarrollo y mantenimiento Administracin de los incidentes de seguridad Administracin de la continuidad de negocio A.15 Cumplimiento (legales, de estndares, tcnicas y auditoras)

Poltica de seguridad.

La Poltica de Seguridad, para ser riguroso, en realidad debera dividirse en dos documentos:

- Poltica de seguridad (Nivel poltico o estratgico de la organizacin): Es la mayor lnea rectora, la alta direccin. Define las grandes lneas a seguir y el nivel de compromiso de la direccin con ellas.

Pgina 16 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Plan de Seguridad (Nivel de planeamiento o tctico): Define el Cmo. Es decir, baja a un nivel ms de detalle, para dar inicio al conjunto de acciones o lneas rectoras que se debern cumplir.

Se trata de lo que proponen las siguientes RFCs (Request For Comments). Poltica de seguridad (RFC 2196 Site Security Handbook) y tambin la anterior (RFC-1244, que si bien queda obsoleta por la primera es muy ilustrativa) ambas, planten una metodologa muy eficiente de feedback partiendo desde el plano ms alto de la Organizacin hasta llegar al nivel de detalle, para comparar nuevamente las decisiones tomadas y reingresar las conclusiones al sistema evaluando los resultados y modificando las deficiencias. Se trata de un ciclo permanente y sin fin cuya caracterstica fundamental es la constancia y la actualizacin de conocimientos. Esta recomendacin plantea muy en grande los siguientes pasos:

Poltica de Seguridad (RFC1244)

Anlisis de riesgo

Grado de exposicin

Plan de Seguridad (semejante a Certificacin ISO)

Plan de contingencia

La poltica es el marco estratgico de la Organizacin, es el ms alto nivel. El anlisis de riesgo y el grado de exposicin determinan el impacto que puede producir los distintos niveles de clasificacin de la informacin que se posee. Una vez determinado estos conceptos, se pasa al Cmo que es el Plan de Seguridad, el cual, si bien en esta RFC no est directamente relacionado con las normas ISO, se mencionan en este texto por la similitud
Pgina 17 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

en la elaboracin de procedimientos de detalle para cada actividad que se implementa, y porque se reitera, su metodologa se aprecia como excelente.

Organizacin de la informacin de seguridad.

Este segundo grupo de controles abarca once de ellos y se subdivide en:

- Organizacin Interna: Compromiso de la Direccin, coordinaciones, responsabilidades, autorizaciones, acuerdos de confidencialidad,

contactos con autoridades y grupos de inters en temas de seguridad, revisiones independientes.

- Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a clientes y socios de negocio.

Lo ms importante a destacar de este grupo son dos cosas fundamentales que abarcan a ambos subgrupos:

Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.).

Derechos y obligaciones de cualquiera de los involucrados.

En este grupo de controles, lo ideal es disear e implementar una simple base de datos, que permita de forma amigable, el alta, baja y/o modificacin de cualquiera de estos campos. La redaccin de la documentacin inicial de responsables: derechos y obligaciones (para personal interno y ajeno) y el conjunto de medidas a adoptar con cada uno de ellos. Una vez lanzado este punto de partida, se debe documentar la metodologa de actualizacin, auditabildad y periodicidad de informes de la misma.
Pgina 18 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Administracin de recursos

Este grupo cubre cinco controles y tambin se encuentra subdividido en:

Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de los mismos.

Clasificacin de la informacin: Guas de clasificacin y Denominacin, identificacin y tratamiento de la informacin.

Este grupo es eminentemente procedimental y no aporta nada al aspecto ya conocido en seguridad de la informacin, en cuanto a que todo recurso debe estar perfectamente inventariado con el mximo detalle posible, que se debe documentar el uso adecuado de los recursos y que toda la informacin deber ser tratada de acuerdo a su nivel. En el caso de Espaa, tanto la LOPD como la LSSI han aportado bastante a que esta tarea sea efectuada con mayor responsabilidad en los ltimos aos. Tambin se puede encontrar en Internet varias referencias a la clasificacin de la informacin por niveles.

Tal vez s valga la pena mencionar aqu el problema que se suele encontrar en la gran mayora de las empresas que cuentan con un parque informtico considerable, sobre el cual, se les dificulta mucho el poder mantener actualizado su sistema de inventario. El primer comentario, es que este aspecto debe abordarse s o s, pues es imposible pensar en seguridad, si no se sabe fehacientemente lo que se posee y cada elemento que queda desactualizado o no se lo ha inventariado an, es un hueco concreto en la seguridad de todo el sistema, y de hecho suelen ser las mayores y ms frecuentes puertas de entrada, pues estn al margen de la infraestructura de seguridad.

El segundo comentario, es que se aprecia que las mejores metodologas a seguir

Pgina 19 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

para esta actividad, son las que permiten mantener vivo el estado de la red y por medio de ellas inventariar lo que se escucha. Esta metodologa lo que propone es, hacer un empleo lgico y completo de los elementos de red o seguridad (IDSs, Firewalls, Routers, sniffers, etc.) y aprovechar su actividad cotidiana de escucha y tratamiento de tramas para mantener vivo el estado de la red. Es decir, nadie mejor que ellos saben qu direcciones de la Home Net se encuentran activas y cules no, por lo tanto, aprovechar esta funcionalidad para almacenar y enviar estos datos a un repositorio adecuado, el cual ser el responsable de mantener el inventario correspondiente. Sobre este tema, se propone la lectura de dos artculos publicados hace tiempo en Internet por este autor que se denominan Metodologa Nessus-Snort y Matriz de Estado de Seguridad, si bien los mismos deben ser actualizados al da de hoy, de ellos se puede obtener una clara imagen de cmo se puede realizar esta tarea y aprovechar las acciones de seguridad para mejorar el anlisis de riesgo y el inventario.

Seguridad de los recursos humanos.

Este grupo cubre nueve controles y tambin se encuentra subdividido en:

- Antes del empleo: Responsabilidades y roles, verificaciones curriculares, trminos y condiciones de empleo.

- Durante el empleo: Administracin de responsabilidades, preparacin, educacin y entrenamiento en seguridad de la informacin, medidas disciplinarias.

Finalizacin o cambio de empleo:

Finalizacin de responsabilidades,

devolucin de recursos, revocacin de derechos.

Este grupo, en la actualidad, debe ser el gran ausente en la mayora de las organizaciones. Se trata de un serio trabajo a realizar entre RRHH y los responsables de Seguridad de la Informacin de la organizacin.
Pgina 20 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Se debe partir por la redaccin de la documentacin necesaria para la contratacin de personal y la revocacin de sus contratos (por solicitud, cambio o despido). En la misma deber quedar bien claro las acciones a seguir para los diferentes perfiles de la organizacin, basados en la responsabilidad de manejo de informacin que tenga ese puesto. Como se pueda apreciar, tanto la contratacin como el cese de un puesto, es una actividad conjunta de estas dos reas, y cada paso deber ser coordinado, segn la documentacin confeccionada, para que no se pueda pasar por alto ningn detalle, pues son justamente estas pequeas omisiones de las que luego resulta el haber quedado con alta dependencia tcnica de personas cuyo perfil es peligroso, o que al tiempo de haberse ido, mantiene accesos o permisos que no se debieran (casos muy comunes).

En cuanto a formacin, para dar cumplimiento al estndar, no solo es necesario dar cursos. Hace falta contar con un Plan de formacin. La formacin en seguridad de la informacin, no puede ser una actividad aperidica y determinada por el deseo o el dinero en un momento dado, tiene que ser tratada como cualquier otra actividad de la organizacin, es decir se debe plantear:

Meta a la que se desea llegar. Determinacin de los diferentes perfiles de conocimiento. Forma de acceder al conocimiento.

Objetivos de la formacin. Metodologa a seguir. Planificacin y asignacin de recursos.

Confeccin del plan de formacin. Implementacin del plan. Medicin de resultados. Mejoras.

Pgina 21 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Si se siguen estos pasos, se llegar a la meta, pero no solo a travs de la imparticin de uno o varios cursos o la distribucin de documentos de obligada lectura, sino con un conjunto de acciones que har que se complementen e integren en todo el SGSI como una parte ms, generando concienciacin y adhesin con el mismo.

Seguridad fsica y del entorno

Este grupo cubre trece controles y tambin se encuentra subdividido en:

reas de seguridad: Seguridad fsica y perimetral, control fsico de entradas, seguridad de locales edificios y recursos, proteccin contra amenazas externas y del entorno, el trabajo en reas e seguridad, accesos pblicos, reas de entrega y carga.

Seguridad de elementos: Ubicacin y proteccin de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organizacin, seguridad en la redistribucin o reutilizacin de equipamiento, borrado de informacin y/o software.

A juicio del autor, uno de los mejores resultados que se pueden obtener en la organizacin de una infraestructura de seguridad de la informacin, est en plantearla siempre por niveles. Tal vez no sea necesario hacerlo con el detalle de los siete niveles del modelo ISO/OSI, pero s por lo menos de acuerdo al modelo TCP/IP que algunos consideran de cuatro (Integrando fsico y enlace) y otros de cinco niveles. Nuevamente el criterio de este autor, aprecia que es correcto considerar separadamente el nivel fsico con el de enlace, pues presentan vulnerabilidades muy diferentes. Si se presenta entonces el modelo de cinco niveles, se puede
Pgina 22 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

organizar una estructura de seguridad contemplando medidas y acciones por cada uno de ellos, dentro de las cuales se puede plantear, por ejemplo, lo siguiente:

Aplicacin: Todo tipo de aplicaciones. Transporte: Control de puertos UDP y TCP. Red: Medidas a nivel protocolo IP e ICMP, tneles de nivel 3. Enlace: Medidas de segmentacin a nivel direccionamiento MAC, tablas estticas y fijas en switchs, control de ataques ARP, control de broadcast y multicast a nivel enlace, en el caso WiFi: verificacin y control de enlace y puntos de acceso, 802.X (Varios), empleo de tneles de nivel 2, etc.

Fsico: Instalaciones, locales, seguridad perimetral, CPDs, gabinetes de comunicaciones, control de acceso fsico, conductos de comunicaciones, cables, fibras pticas, radio enlaces, centrales telefnicas (Tema a desarrollar en este punto). Como se puede apreciar, este es una buena lnea de pensamiento para plantear cada una de las actividades y evitar que se solapen algunas de ellas y/o que queden brechas de seguridad. En el caso fsico, es conveniente tambin separar todas ellas, por lo menos en los siguientes documentos:

Documentacin de control de accesos y seguridad perimetral general, reas de acceso y entrega de materiales y documentacin, zonas pblicas, internas y restringidas, responsabilidades y obligaciones del personal de seguridad fsica.

Documentacin de CPDs: Parmetros de diseo estndar de un CPD, medidas de proteccin y alarmas contra incendios/humo, cadas de tensin, inundaciones, control de climatizacin (Refrigeracin y ventilacin), sistemas vigilancia y control de accesos, limpieza, etc.

Documentacin y planos de instalaciones, canales de comunicaciones,

Pgina 23 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

cableado, enlaces de radio, pticos u otros, antenas, certificacin de los mismos, etc. Empleo correcto del material informtico y de comunicaciones a nivel fsico: Se debe desarrollar aqu cuales son las medidas de seguridad fsica que se debe tener en cuenta sobre los mismos (Ubicacin, acceso al mismo, tensin elctrica, conexiones fsicas y hardware permitido y prohibido, manipulacin de elementos, etc.) . No se incluye aqu lo referido a seguridad lgica.

Seguridad fsica en el almacenamiento y transporte de material informtico y de comunicaciones: Zonas y medidas de almacenamiento, metodologa a seguir para el ingreso y egreso de este material, consideraciones particulares para el transporte del mismo (dentro y fuera de al organizacin), personal autorizado a recibir, entregar o sacar material, medidas de control. No se incluye aqu lo referido a resguardo y recuperacin de informacin que es motivo de otro tipo de procedimientos y normativa.

Documentacin de baja, redistribucin o recalificacin de elementos: Procedimientos y conjunto de medidas a seguir ante cualquier cambio en el estado de un elemento de Hardware (Reubicacin, cambio de rol, venta, alquiler, baja, destruccin, comparticin con terceros, incorporacin de nuevos mdulos, etc.).

4.2.

Tecnologa9

La siguiente lista representa los vendedores, las herramientas, el nivel de cumplimiento y los procesos asociados que Pink Elephant como un Asesor de Software con licencia calific de clasificacin para el remolino de la ISS y el Grupo APM ha adjudicado a la Estacin Espacial Internacional Remolino. Para obtener

Tomado:http://www.pinkelephant.com/PinkVerify/ITILSoftwareSchemeToolsets.

Pgina 24 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

una lista completa de proveedores, herramientas, nivel de los procesos de cumplimiento y asociados ver la pgina oficial ISS . AVM = Gestin de la Disponibilidad CAP = Capacidad de Gestin CHG = Gestin del Cambio EV = Gestin de Eventos FM = Gestin Financiera IM = Gestin de Incidentes ITSCM = Gestin de Servicios de Continuidad KM = Gestin del Conocimiento PM = Gestin de Problemas REL = lanzamiento y despliegue de Gestin RF = Cumplimiento de Solicitud SACM = Activos de Servicio y Gestin de la Configuracin SMC = Catlogo de Servicios de Gestin MST = Nivel de Servicio de Gestin SPM = Servicio de Gestin de la Cartera

Vendedor

Herramienta

Nivel de cumplimiento

Procesos

11 Procesos HSH v12 Plata MAV PAC CHG EV FM

ITSCM KM PM REL SACM SPM 9 Procesos Service Manager 9.2 Oro CHG IM KM PM RF

SACM SMC SLM SPM 7 Procesos Easit del Centro de Servicio 4 Bronce CHG EV IM PM RF

SACM SLM

Pgina 25 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

7 Procesos Sostenuto ITSM3 Bronce CHG IM KM PM RF

SACM SMC Informacin de Aranda Servicio 8,0 Bronce 6 Procesos CHG IM KM PM RF SACM 6 Procesos v3.0 eHelpline Bronce CHG IM KM PM RF SLM 6 Procesos InfraDesk 5,1 Bronce CHG IM PM RF SACM SLM 6 Procesos OMNITRACKER ITSM Centro v3 Plata CHG EV KM PM SMC SLM Clientele ITSM 2010 5 Procesos Bronce CHG IM PM SACM SLM 5 Procesos iSupport v9.0 Bronce CHG IM KM PM SACM 4 Procesos EasyVista 2010 Bronce PAC ITSCM SMC SPM HSH v12 Oro 4 Procesos

Pgina 26 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

IM RF SMC SLM 4 Procesos ProactivaNET V8 Oro IM PM RF SACM Scua Contacto y Cambio Scua BlueHawk Insite 3.1 4 Procesos Bronce CHG IM PM RF 3 Procesos Bronce CHG IM PM 3 Procesos OMNITRACKER ITSM Centro v3 Oro IM RF SACM

2 Procesos ProactivaNET V8 Bronce CHG REL

5.

Glosario de Trminos

Incidentes de Seguridad Informtica del Equipo de Respuesta (CSIRT): Un conjunto de capacidades para el fin de ayudar a en la respuesta a la seguridad informtica de incidentes relacionados; tambin llamado Computer Incident Response Team (CIRT) o un CIRC (Computer Incident Response Center, Computer Incident Response Capability).

Evento: Cualquier suceso observable en una red o sistema. Falso positivo: Una alerta que indica incorrectamente que la actividad maliciosa que est ocurriendo.
Pgina 27 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Incidente: Una amenaza inminente de violacin o violacin de las polticas de seguridad informtica, el uso aceptable polticas o prcticas de seguridad estndar.

Manejo de Incidentes: La mitigacin de las violaciones de las polticas y prcticas de seguridad recomendadas.

Respuesta a Incidentes: Consulte la seccin "el manejo de incidentes."

Indicador: Una seal de que un incidente puede haber ocurrido o puede estar ocurriendo en la actualidad.

Deteccin de Intrusos y Sistema de Prevencin de Enfermedades (PDI): software que automatiza el proceso de monitoreo los acontecimientos que ocurren en un sistema informtico o red y el anlisis de los signos de posibles incidentes y tratando de dejar de detectar posibles incidencias.

Malware: virus, gusanos, caballos de Troya u otro cdigo malicioso basado en la entidad que se infecta un xito de acogida. Precursor: Una seal de que un atacante puede estar preparndose para provocar un incidente. Perfilado: Medicin de las caractersticas de la actividad esperada para que los cambios a la misma pueden ser ms fcilmente identificado. Firma: Un patrn reconocible, distintiva asociada con un ataque, como una cadena binaria en un virus o un conjunto particular de pulsaciones de teclas utilizadas para obtener acceso no autorizado a un sistema.

Ingeniera Social: El intento de engaar a alguien a revelar informacin (por ejemplo, una contrasea) que puede ser utilizado para atacar sistemas o redes.

Amenaza: La fuente potencial de un evento adverso.

Pgina 28 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

Vulnerabilidad: Una debilidad en un sistema, aplicacin o red que est sujeto a la explotacin o uso indebido.

6.

Justificacin.

Las pequeas, como las grandes empresas, suelen sufrir miles de intentos diarios de penetracin a sus sistemas. La cantidad de incidentes que se presenta en una organizacin por lo general se deben a las malas prcticas que se tienen dentro, generando prdidas de dinero y tiempo para la empresa, y que podran ser parametrizadas con anterioridad.

Aunque se tomen medidas preventivas para que no se presenten incidentes de seguridad, tarde o temprano estos tienen lugar; es all cuando las organizaciones necesitan saber cmo actuar para tener una rpida recuperacin y una mitigacin de los efectos del incidente sobre la organizacin y sus clientes o proveedores relacionados.

Esto debido a que el efecto de los incidentes como indisponibilidad, prdida o robo de informacin, no tienen lugar solamente en el momento en que ocurre el incidente sino que pueden generar prdidas de tiempo, dinero, clientes, reputacin, etc durante das, semanas e incluso aos despus de que este se presenta.

Pgina 29 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

7.

Objetivos.

7.1.

Generales.

Disear e implementar, un modelo de gestin de incidentes de seguridad informtica.

7.2.

Especficos.

1. Definir polticas y procedimientos para la gestin de incidentes.

2. Analizar, Clasificar, Priorizar, incidentes dentro de una organizacin.

3. Crear un grupo de respuesta a incidentes de seguridad,

para atender los

problemas relacionados a la seguridad informtica dentro de la organizacin.

8.

REQUERIMIENTOS

8.1.

Requerimientos de interesados

Diseo detallado del plan de gestin de incidentes de seguridad informtica. Documentacin y reporte de los hallazgos de la evaluacin de incidentes dentro de la organizacin.

Entrega de una copia de la poltica de gestin de incidentes de seguridad informtica diseada

Entrega del plan de implementacin de la poltica mencionada en el tem anterior.

Pgina 30 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

8.2.

Requerimientos de sistema

8.2.1. Funcionales

El sistema debe proveer los pasos: Preparacin, Deteccin y anlisis, Contencin, resolucin y recuperacin, y los tems (ver grfico 6) requeridos para realizar el plan de gestin de incidentes de seguridad informtica para una empresa.

8.2.2. Calidad

Tanto el diseo como el plan de implementacin deben estar basados en estndares como la ISO 27001/27002 y guas de buenas prcticas reconocidas a nivel internacional como ITIL y de amplia implementacin en organizaciones.

8.2.3. Restriccin

Aunque el diseo final detallado sea una herramienta para la creacin de planes de gestin de incidentes en otras organizaciones, la poltica fruto de este trabajo ser aplicable a la organizacin objeto de estudio en este caso es una empresa de tecnologia donde se estn implementando buenas practicas, y su implementacin en otras organizaciones requiere un estudio particular de las necesidades especficas de la esa organizacin.

8.3.

Plan de pruebas

A continuacin se enumeran las pruebas que se realizarn para certificar la ejecucin a satisfaccin del proyecto:

Pgina 31 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

8.3.1. Pruebas de aceptacin

El documento de la poltica de gestin de incidentes satisface las necesidades y se adeca a la realidad de la organizacin objeto del caso de estudio.

El plan de implementacin de la poltica de gestin de incidentes detalla los aspectos tecnolgicos, humanos y organizacionales requeridos para llevar a cabo la implementacin en la empresa.

8.3.2. Pruebas de sistema

Verificar la funcionalidad de las polticas de gestin de incidentes. Verificar Clasificacin de los incidentes. Tiempos de respuestas de los CSIRT dentro de la organizacin. Verificar estadsticas de los incidentes despus de la implementacin. Costos y mtricas de evaluacin.

4. Metodologa de desarrollo

FUNDAMENTOS:

Pgina 32 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

5. FORMACION DE UN CENTRO DE RESPUESTAS A INCIDENTES DE SEGURIDAD INFORMATICA PARA UNA ORGANIZACIN

La empresa debe crear "Equipo de Respuesta a Incidentes de Seguridad Informtica". CSIRT la cual es un equipo que ejecuta, coordina y apoya la respuesta a incidentes de seguridad que involucran a las diferentes reas de la organizacin.

Cuyo objetivo proteger infraestructuras crticas de la informacin, de acuerdo al rea de TI para cubrir requerimientos de proteccin sobre los servicios que brinda. El CSIRT debe de brindar servicios de seguridad a las infraestructuras crticas del rea de TI.

5.1

Recursos Humanos

Su nmero evolucionara con el tiempo, aunque en la fase inicial ser necesario contar con el siguiente personal:

Director General/Supervisor: Es el encargado de gestionar el equipo, poseer una formacin amplia en al mbito de la seguridad y experiencia laboral en el proceso de gestin de crisis y recuperacin de negocio.

Personal Tcnico: Son empleados que desarrollan y ofrecen servicios, deberan ser expertos en seguridad que puedan proporcionar los servicios especializados para la gestin y la respuesta a incidentes en el mbito de las TIC

Investigaciones: Son empleados que llevan a cabo las investigaciones y los anlisis necesario, deberan poseer conocimientos extensos en seguridad TIC y experiencia en proyectos de seguridad.

Pgina 33 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

La forma ms concreta de la creacin de un CSIRT es: Un responsable del equipo: que acte como punto de contacto con la organizacin a la que se da servicio y el resto de CSIRT con los que se vaya a colaborar. Un responsable de los sistemas y seguridad de la informacin. Es responsable de la operacin, administracin y mantenimiento de los sistemas TIC que necesite para su operacin. Un equipo de gestin de incidentes: El correspondiente a la gestin de incidentes debe ser el ms destacado. Si la organizacin ofrece una calidad de servicio de 24x7, o bien se espera un nmero elevado de peticiones de soporte, deber existir un primer nivel de asistencia a la Comunidad que gestione y filtre inicialmente las notificaciones realizadas, y un segundo nivel especializado que realmente gestione y abra una investigacin sobre el incidente, si procede. El primer nivel necesita un grado de conocimiento tcnico bsico

especializado en tecnologas TIC suficiente para entender la situacin notificada. Tambin deber caracterizarse por tener gran disponibilidad para trabajar en horario especial y capacidad de trabajo bajo presin. El segundo nivel, es donde se encuentran los especialistas que realmente tienen el conocimiento tcnico y las habilidades de intercomunicacin con otros CSIRT o miembros de la organizacin.

Pgina 34 de 35

Sirley Marcela Pez Escobar, Isabel Alvarez

PI-

13.

Referencias documentales

http://revistasic.com/revista47/pdf_47/SIC_47_agora.PDF http://www.euroinnova.es/Curso-Gestion-Incidentes-SeguridadInformatica.pdf?q=Curso-Gestion-Incidentes-Seguridad-Informatica/pdf http://www.formacioncontinua.eu/Curso-Gestion-Incidentes-Seguridad-Informatica http://ebookbrowse.com/3815-proyecto-amparo-gestion-de-incidentes-deseguridad-informatica-pdf-d223079721 http://programa.gobiernoenlinea.gov.co/apc-aafiles/5854534aee4eee4102f0bd5ca294791f/ANEXO_1_Metodologia_de_clasificaci on_de_Activos.pdf http://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0C E4QFjAA&url=http%3A%2F%2Fwww.sisteseg.com%2Ffiles%2FMETODOLOGIA_ ANALISIS_DE_VULNERABILIDADES_SISTESEG.doc&ei=ImcDUKTyDO46wHL7sDqBg&usg=AFQjCNHBS0RuHqddsXFrwgeRU9nKX6XbPQ

Pgina 35 de 35