presentación tes 12-21

7/21/2019 Presentacin TES 12-21

1/60

Estudio comparativo

de herramientas para

la implementacin de

un SGSI

Impacto de las

ISO 27000 en

organizaciones


2/60

Objetivos de la Tesis

Estudiar la Norma ISO 27001

Analizar aportes de la ISO 27004 al proceso de la ISO

27001

Analizar herramientas de monitoreo y compliance paraver en que medida proveen soporte para implementar un

SGSI bajo la ISO 27001.

Generar una Especificacin de Requerimientos


3/60

Objetos de Anlisis- ISO 27001 & ISO 27004

ISO 27001: Es la norma principal de requerimientos del

sistema de gestin de seguridad de la informacin.

Contiene un Anexo con objetivos de control y controles a

ser implementados.

ISO 27004: Especifica las mtricas y tcnicas de medicin

que pueden ser aplicables para determinar la eficiencia y

efectividad de la implementacin de un SGSI y de loscontroles relacionados.


4/60

Objetos de Anlisis- Conceptos Tericos

Qu es ISO?

Qu es un SGSI?

La norma define requerimientos

generales y genricos para

establecer, implementar, operar,

monitorear, revisar, mantener ymejorar un SGSI.


5/60

IRAM-ISO/IEC 27004:2011- Programa y Modelo de Medicin

La norma realiza recomendaciones para la implementacin de

un programa de medicin eficaz.

Programa y Modelo de Medicin


6/60

Objetos de Anlisis- Herramientas de Monitoreo y Compliance

Aqu se hace una resea de las herramientas que sern

analizadas.

Monitoreo:

Compliance:


7/60

Herramientas de Monitoreo y Compliance- OSSIM

Que es OSSIM?

Es un herramienta de monitoreo y compliance gratuita y de cdigo abierto

aunque tambin puede encontrarse versiones comerciales mas completas.

Analiza comunicacin entre hosts

Inventario de Activos

Valoracin de Activos

Permite definir polticas y directivas

Gestin de Compliance


8/60


Vista Principal


9/60


Grfico general de Trafico en la red y discriminado por protocolo


10/60


SIEM Eventos de la red


11/60


Polticas y Acciones


12/60


Polticas y acciones


13/60


Directivas de Correlacin


14/60


Compliance mapping


15/60


Directivas de Correlacin


16/60


Alarmas


17/60


Conclusiones

Ventajas

Anlisis de eventos de la red

Gran cantidad de plugins

Visualizacin del riesgo

Manejo de los controles la norma ISO

Limitaciones

Complejidad de uso

No provee manejo de gestin de la norma ISO


18/60

Herramientas de Monitoreo y Compliance- OpenNMS

Que es OpenNMS?

Es una herramienta unicamente de monitoreo y es completamente gratuita.

Realiza descubrimientos de hosts sin importar en que subredes seencuentren. Est orientada mayormente a servicios.

Descubre hosts en distintas subredes/VLANS

Permite la importacin de activos desde otras fuentes

Permite diagramar una topologia de red

Analiza los servicios disponibles de cada host encontrado

Realiza estadisticas de eventos ocurridos discriminados por protocolo

Notificaciones programadas

Reportes


19/60


Vistazo principal


20/60


Detalle de servicios de un host determinado


21/60


Estadisticas de eventos ocurridos


22/60


Cadas


23/60


Estadisticas de eventos de la red


24/60


Conclusiones

Ventajas

Descubrimientos dinamico de activos

Importacin de activos desde una fuente externa

Limitaciones

Carencia de controles y manejo de gestin de la norma ISO

No analiza comunicaciones entre los hosts


25/60

Herramientas de Monitoreo y Compliance- HypericHQ

Que es HypericHQ?

Es una herramienta comercial de monitoreo que ofrece una versin de

prueba por 30 dias. Est basado en un esquema cliente-servidor donde

cada agente es instalado en los activos de la red para que esta herramientapueda descubrirlos automaticamente junto a sus servicios.

Centraliza informacin de cada activo a traves de un dashboard web

personalizable

Realiza un inventario de activos con su correspondiente Hardware ySoftware adems de su estado actual y metricas en tiempo real.

Define alertas, condiciones, y acciones a ejecutar en base a metricas

definidas, como las notificaciones

Posee un panel de control que discrimina entre eventos del sistema y

eventos ocurridos en un activo


26/60


Dashboard web


27/60


Servicios de un activo

Disponiblidad de sus servicios


28/60


Indicadores de un activo


29/60


Definicin de alerta - Reglas


30/60


Definicin de alerta - Esquemas de notificaciones y definicinde Plantilla


31/60


Centro de Alertas y Eventos


32/60


Conclusiones

Ventajas

Acceso de informacin completa por medio del agente lo que

posibilita un mayor control sobre el activo

Manejo de esquemas de alertas

LimitacionesConfiguracin sujeta a la ip esttica del agente

Monitoreo solo del activo y no de la red

No posee manejo de la norma ISO 27001


33/60

Herramientas de Monitoreo y Compliance- SecuriaSGSI

Que es SecuriaSGSI?

Es una heramienta de compliance totalmente gratuita y de

cdigo cerrado. Se basa en un esquema cliente-servidor. A

travs de cuatro mdulos principales realiza un seguimiento

de la implementacin de la norma 27001, puesta en

funcionamiento, mantenimiento y mejora continua de un

SGSI.


34/60


Como funciona SecuriaSGSI?

Sistema Administracin

Creacin del sistema SGSI

Definicin de usuarios y roles

Perfiles de usuario (Rble. Sistema, Rble. Tcnico, Usr. Genrico)

Aprobadores

Responsables de riesgo

Sistema Cliente


35/60


Gestin Documental Creacin de documento


36/60


Anlisis y Gestin de Riesgos

Configuracin

+

Anlisis

=

Clculo del Riesgo


37/60


Activos


38/60


Test Inicial


39/60


Riesgo intrnseco


40/60


Riesgo intrnseco


41/60


Gestin de Incidencias y No conformidades - Incidencias


42/60


Gestin de Incidencias y No conformidades No conformidades


43/60


Mejora continua Nueva accin


44/60


Mejora continua control de eficacia


45/60


Conclusiones

Ventajas

Muy completa en el manejo de la norma

A partir de una incidencia puede generarse una no

conformidad

A partir de una no conformidad se puede definir una accin

correctiva y luego medir su eficacia

Limitaciones

Definicin confusa entre Grupos y Perfiles.

La notificaciones no son automticas

Bugs del sistema


46/60

Herramientas de Monitoreo y Compliance- Easy2Comply

Que es Easy2Comply?

Es una herramienta comercial y de cdigo cerrado que est

compuesta por cinco productos diferentes que manejan uncontrol interno, el riesgo, IT-GRC, auditoras y herramientas de

compliance. Es altamente configurable y puede adaptarse a

cualquier organizacin y a cualquier norma.


47/60


Como funciona Easy2Comply?Es un sistema cliente-servidor accedido a traves de un usuario y

contrasea

El panel principal o dashboard contiene los siguientes items:

Documentacin y Prdida / Asesoramiento del Riesgo

Eventos de Prdida / Incidentes de Seguridad

Indicadores claves de Riesgo / Mtricas de Riesgo

FirmaReportes

Dashboard

Plan de accin

Configuracin del sistema


48/60



49/60


Centro de aplicacin


50/60


Detalles de un control


51/60


Plan de accin


52/60


Incidentes de seguridad


53/60



54/60


Conclusiones

Ventajas

Herramienta altamente personalizable a los requerimientos

de la organizacion

Adaptacion a cualquier norma ISO/IEC

Seguimiento de revisiones segun calendario

Limitaciones

No tiene monitorizacin a nivel de activos ni de red


55/60

Conclusiones- Cuadro comparativo y checklist

Analisis comparativo de las herramientas


56/60

Conclusiones- Herramientas e ISO 27001

Anlisis de cumplimiento de las herrmientas segun lassecciones de la norma ISO27001


57/60

Conclusiones- Especificacin de requerimientos

Caractersticas deseadasManejo de Activos

Tratamiento de Riesgos

Gestion de Documentacin

Compliance Checklist

Monitoreo

Plan de Pruebas


58/60

Conclusiones- Aportes 27004

Aportes de la ISO 27004

Propone el programa de medicin

Define un modelo y una estructura de medicin

Da recomendaciones para construrlosAnexo A - Provee un template para registrar los datos

recolectados durante la ejecucin del programa

Anexo B - Provee ejemplos del template anterior


59/60

Conclusiones- Aportes de la Tesis

ResumiendoQueda una sntesis de la norma 27001 y 27004

Explicitamos los aportes de la 27004

Comparacin de herramientas de Monitoreo y

Compliance

Aplicabilidad de las herramientas investigadas a cada una

de las secciones de la norma

Especificacin de requerimientos para una futuraimplementacin


60/60

FIN

presentación tes 12-21

Documents