proyecto final soc-noc v3.pdf
TRANSCRIPT
1
Universidad Latina de Costa Rica
Maestría en Telemática
Comercio Electrónico
Profesor:
Maricel Herrera.
Integrantes: Carlos Roberto Rojas Chaves.
Jason Ulloa Hernández.
2012
SOC-NOC en E-Commerce
2
Contenido
Introducción ................................................................................................................................4
Marco Teórico ............................................................................................................................5
Componentes de la Seguridad del Comercio Electrónico ...............................................5
Seguridad del software cliente .............................................................................................5
Seguridad en el transporte de los datos .............................................................................5
Mecanismos de seguridad ...................................................................................................5
1. Centro de control de Operaciones de Seguridad Informática (SOC) .....................6
1.1 Dentro de los servicios de un SOC se detallan las siguientes alternativas .......6
2. Módulos de un SOC ......................................................................................................7
2.1 Sensores .....................................................................................................................8
2.2 Pollers .........................................................................................................................8
2.3 Cajas C y Cajas D .....................................................................................................9
2.4 Cajas A y K .................................................................................................................9
2.5 Cajas R .......................................................................................................................9
3. Arquitectura global de un SOC ....................................................................................9
3.1 Procedimientos de reacción y escalamiento ..........................................................9
4. Correlación ...................................................................................................................11
4.1 Funcionamiento de la correlación ..........................................................................11
4.2 Introducción a los contextos .......................................................................................12
4.2.1 Estructura de los contextos ..................................................................................13
5. Análisis ..........................................................................................................................16
5.1 Análisis estructural ..................................................................................................16
5.2 Módulos de análisis de la estructura ..........................................................................16
5.3 Análisis de la activación del módulo ...........................................................................17
5.4 Correlación avanzada ..................................................................................................17
5.4.1 El análisis funcional ...............................................................................................17
5.4.2 Análisis del comportamiento ................................................................................17
6. Modelos Sugeridos para la aplicación empresarial ................................................17
6.1 Modelo Lógico ...........................................................................................................18
6.2 Modelo Físico ............................................................................................................20
7. NOC (Network Operation Center) .............................................................................21
7.1 Network Operations Center (NOC) Servicios ........................................................21
7.1 Beneficios ...................................................................................................................22
3
7.2 ¿Por qué la Convergencia SOC / NOC? ...............................................................22
7.3 Desafíos de la convergencia SOC / NOC ............................................................23
7.3 Pasos para la implementación convergente del SOC/NOC...............................23
7.4 Flujo de Trabajo del NOC ........................................................................................25
7.5 Modelo Físico del NOC ............................................................................................27
7.6 Modelo Lógico del NOC ..........................................................................................28
7.7 Diagrama Flujo de Datos del NOC .........................................................................29
7.8 Implementación en empresa de E-commerce ......................................................30
Información de Arquitectura de Flujo ............................................................................30
7.9 Estructura de Integración Propuesta ......................................................................33
8 Proceso para la continuidad del Negocio .................................................................34
Conclusiones ............................................................................................................................37
Recomendaciones ...................................................................................................................38
Bibliografía................................................................................................................................39
4
Introducción
La Internet se ha convertido en un medio en donde se llevan a cabo una gran cantidad
de negocios alrededor de todo el mundo, y como en cualquier otro tipo de negocios, no
se puede asumir que todos los participantes estarán dispuestos a jugar limpio. El solo
hecho de llevar a cabo transacciones de negocios en un medio inseguro es suficiente
para alentar la conducta criminal en Internet.
Hay cuatro componentes cuya seguridad es crítica para la realización de
transacciones de negocios en línea: el software cliente, los protocolos de transferencia
de datos, el servidor Web (o de comercio) y el sistema operativo. Una falla en
cualquiera de estos componentes compromete la seguridad de las transacciones y
debilitan la confianza de los consumidores y comerciantes en el comercio electrónico.
El uso de herramientas tecnológicas como Help Desk, NOC y SOC ayudan a estos
negocios en la difícil tarea de mantener seguros sus comercios, ayudando así a
garantizar la buena imagen de estos para con sus clientes y generando un valor
adicional al negocio.
5
Marco Teórico
Componentes de la Seguridad del Comercio Electrónico
Si bien no existe un esquema establecido para la seguridad en comercio electrónico,
podemos identificar claramente cuatro componentes principales que hay que proteger;
el software del lado del cliente, el transporte de los datos, el software del servidor Web
y el sistema operativo del servidor. Es importante hacer un esfuerzo para que la
seguridad de estos componentes sea consistente, ya que si uno de ellos presentara
una debilidad obvia, sería blanco de la mayoría de los ataques, y debido a su debilidad
muchos de esos ataques serían exitosos.
Seguridad del software cliente
La seguridad del software cliente se refiere a la seguridad que presenta el software
cliente de web, es decir, el software que se utiliza para navegar en Internet. Los dos
grandes riesgos de este componente son las vulnerabilidades de los navegadores y
los componentes Web activos.
Seguridad en el transporte de los datos
El transporte de los datos a través de las redes es el aspecto del comercio electrónico
que ha recibido la mayor concentración de recursos para asegurar su seguridad. El
brindar seguridad a los datos en tránsito implica garantizar la integridad y
confidencialidad de los datos, y la autenticidad tanto del emisor como del receptor. La
integridad de los datos se refiere a asegurar que los datos no son modificados
mientras son transportados a través de la Internet, La confidencialidad se refiere a que
los datos no puedan ser leídos por una entidad diferente al receptor y la autenticidad
del emisor y receptor se refiere a garantizar que las partes involucradas en la
transmisión sean quienes dicen ser, es decir, que no sean suplantados por terceros.
Mecanismos de seguridad
Para asegurar las transacciones de comercio electrónico es necesario que se cumplan
los siguientes requerimientos básicos:
- Privacidad. Es la habilidad de controlar quien puede (o no puede) ver la
información. Las transacciones deben permanecer privadas e inviolables en
el sentido de que entidades no autorizadas no puedan descifrar el
contenido de los mensajes.
6
- Integridad. Es la seguridad de que los datos almacenados o transmitidos no
son alterados. Se debe asegurar que las transmisiones no son alteradas o
interferidas.
- Autenticidad. Es la habilidad de determinar la identidad de las partes que se
comunican.
- No repudiación. No debe ser posible que un emisor de un mensaje pueda
alegar que no envió una comunicación segura o que no realizo una compra.
Para cumplir con estos requerimientos se han desarrollado mecanismos o
combinaciones de mecanismos que permiten asegurar las transacciones. Estos
mecanismos se describen a continuación:
1. Centro de control de Operaciones de Seguridad Informática (SOC)
El objetivo es la administración y gerenciamiento de los servicios de seguridad, que
está operado en modo 7x24x365 por especialistas altamente capacitados y
certificados en las herramientas y productos más sofisticados de la industria de
seguridad informática, quienes están pendientes de las tareas de monitoreo y
protección de los activos y recursos informáticos de los clientes, mientras verifican
permanentemente toda actividad que pueda afectar real o potencialmente, a la normal
operación de las soluciones de IT utilizadas por el Cliente.
Por lo tanto, el SOC tendrá tres componentes básicos de gestión de vulnerabilidades,
gestión de amenazas y gestión de acceso.
1.1 Dentro de los servicios de un SOC se detallan las siguientes alternativas
a) Gerenciamiento de Firewalls:
• Soluciones basadas en appliances específicos de hardware
• Soluciones basadas en Personal Firewalls de software gerenciales, ideal
para uso de pequeñas empresas.
b) Gerenciamiento de IDS e IPS (Sistemas de Detección y Prevención de
Intrusos).
c) Gestión de Logs y Correlación de eventos.
d) Análisis de Vulnerabilidades.
e) Tests de Ataque y Penetración.
f) Auditoría de Redes Internas.
7
g) Filtros de Contenidos (gestión de setup o implementación de soluciones, con
reportes estadísticos).
h) Gestión de Antivirus y Antispywares de Servidores y de Workstations.
i) Gestión de Soluciones de Autentificación Fuerte.
j) Gestión de Redes Privadas Virtuales (VPN) (Site to Site y Cliente Remoto).
k) Gestión de redes de telecomunicaciones y soporte de microinformática.
l) Servicios de Consultoría, Auditoría y Asesoramiento:
• Normas ISO 17799 – ISO 24001 (BS 7799-2) Compliance y gap
analysis.
• Sarbanes-Oxley Compliance.
• BCP /DRS planeamiento y definición (Business Continuity Plan).
• Diseño de Plan de Seguridad.
m) Servicios de Capacitación.
2. Módulos de un SOC
Security Operation Center es un término genérico que describe una parte o la totalidad
de una plataforma cuyo objetivo es proporcionar servicios de detección y reacción a
incidentes de seguridad. De acuerdo con esta definición, podemos distinguir cinco
de las operaciones a ser realizadas: generación de eventos de seguridad, recolección,
almacenamiento, el análisis y la reacción.
Para mayor facilidad vamos a empezar con la definición de "cajas":
Cajas de E: Eventos generadores
Cajas D: Eventos bases de datos
Cajas R: Eventos reacción
A continuación, se altera ligeramente la definición de las cajas A (descritas como
"recibir informes y realizar análisis ") a tan sólo" el análisis ", dejando la " operación de
recolección" de los datos de Cajas E a Cajas C específicas.
Cajas A: Análisis de eventos
Cajas C: la recopilación de eventos y formato
Otro tipo de caja será definida conforme necesitemos gestionar el conocimiento de
las características protegidas de la plataforma, así como la vulnerabilidad y la intrusión
de firmas de base de datos.
Cajas K: Base de Conocimiento
8
Como se puede imaginar fácilmente, cada caja describe un grupo funcional de
"Módulos" que realizan operaciones específicas. Como un ejemplo una "caja E" puede
ser un grupo de aplicaciones que generan los eventos del sistema a través del
estándar de interfaz syslog del sistema operativo en que se ejecutan. . También
podría ser un conjunto de ID's de Red. En los ejemplos anteriores, los módulos serían
respectivamente aplicaciones y IDS de red.
Desde un punto de vista macro de cajas operaría como se describe en la Figura 1.
Figura 1 Diagrama de cajas
2.1 Sensores
El tipo más conocido de sensores son los IDS, pueden ser basados en host o basado
en la red.
2.2 Pollers Pollers son un tipo específico de generadores de eventos. Su función es
generar un evento cuando un estado específico se detecta en un sistema de terceros.
La analogía más simple es hacerse con los sistemas de gestión de red.
9
2.3 Cajas C y Cajas D
El propósito de las cajas de recogida es reunir información de diferentes sensores y
traducirla en un formato estándar, con el fin de tener una base homogénea de
mensajes.
2.4 Cajas A y K
Estos módulos son responsables para el análisis de eventos almacenados en las cajas
D. Están para realizar varias operaciones en orden de proveer mensajes de alerta
calificados.
2.5 Cajas R
Es un término genérico utilizado para definir el conjunto de reacciones y herramientas
de reporte usadas para reaccionar contra los eventos ofensivos que están teniendo
lugar en o dentro de los sistemas supervisados.
3. Arquitectura global de un SOC
La arquitectura global de un SOC implementa los diferentes tipos de cajas definidas
anteriormente. Sin embargo, al lado de los puros aspectos técnicos involucrados en
este tipo de implementación, es necesario tener en cuenta la supervisión de la
infraestructura de TI como un proyecto plenamente operativo.
3.1 Procedimientos de reacción y escalamiento
Con el tiempo, reaccionar adecuadamente a un ataque es sobre todo una cuestión de
organización y los procedimientos a ser aplicados por los equipos de respuesta a
incidentes. Por supuesto, la reacción apropiada debe ser determinada antes de que un
ataque se lleva a cabo y los procedimientos deben ser validados a continuación de
forma segura (sobre todo en términos de integridad) almacenada y accesible a los
equipos de supervisión.
En términos simples, un cierto nivel de escalamiento se debe definir con el fin de
asegurar una reacción rápida y eficaz, en paralelo con el uso de apropiado
los recursos humanos. Los procedimientos de escalamiento se dan en la figura 3. Otro
aspecto a ser especificado es el retardo, definido como t1 en la figura anterior, en la
que el procedimiento de reacción debe ser puesto en marcha, de acuerdo con atacar a
la criticidad. Una vez que este retraso se ha agotado, el escalamiento y el siguiente
paso (parte superior) deberían ser automáticos.
10
Figura 2 Procedimiento de escalamiento
El primer nivel debe ser lo que nos referimos como agentes, es decir, a mediados de
técnica el personal de nivel, que son capaces de entender los eventos generados por
unidades de embalaje, así como el procedimiento de reacción para aplicar.
El segundo nivel debe ser un equipo de expertos técnicos. Estos expertos son
responsables del análisis de eventos de intrusión que no se han definido
a priori.
El tercer nivel debe ser un "laboratorio" en el que los paquetes sospechosos, el
sistema de operaciones y así sucesivamente se volverá a jugar, con el fin de
determinar la naturaleza de la intrusión desconocida y proporcionar un procedimiento
de reacción completo
11
4. Correlación
4.1 Funcionamiento de la correlación
El propósito de la correlación es analizar secuencias complejas de información y
producir eventos simples, sintetizados y precisos. Con el fin de generar
eventos calificados, cinco operaciones deben llevarse a cabo:
a) Identificación de duplicados, la primera, la operación obvia, es identificar
duplicados y establecer un indicador específico, a fin de mantener la
información y continuar sin la necesidad de mantener múltiples mensajes
idénticos.
b) Patrones de la secuencia de coincidencia, es la operación más común
realizada por un motor de correlación. Su finalidad es identificar una secuencia
de mensajes que sería característico de un intento de intrusión. Se hace
posible identificar los procesos en curso de intrusión, así como los escenarios
complejos de intrusos.
c) Coincidencia de patrón de tiempo, está diseñado para incluir una dimensión
importante en el análisis de intrusión: el tiempo. Esto se utiliza principalmente
para el contexto (ver más abajo) gestión, así como lentas y distribuida
procesos de intrusión.
d) Exposición del sistema y el análisis de criticidad, proporciona información
sobre el sistema de destino de la vulnerabilidad a los intentos de intrusión
detectados. En efecto, se parece inapropiado que las alarmas de generación
de SOC sobre una intrusión escenario basado en una vulnerabilidad que el
sistema de destino no está expuesto. Otra pieza de información es la criticidad
de la intrusión es decir, su impacto global sobre el sistema supervisado. Esto
ayuda a gestionar las prioridades en términos de reacción a los incidentes
múltiples.
e) Coincidencia de las políticas de seguridad, es un filtro basado en el
comportamiento que elimina eventos específicos si coinciden con los criterios
de políticas de seguridad, como administrador de inicio de sesión, los
procesos de identificación y autorizaciones y restricciones.
12
Una visión global de las operaciones de correlación se da en la figura 3 a continuación
Figura 3 Operaciones de Correlación
4.2 Introducción a los contextos
El análisis definido anteriormente se basa en una estructura específica llamada
contextos.
Todas las operaciones de correlación se realizan contra estas estructuras. En
términos sencillos, la definición de un contexto es la siguiente: un contenedor de datos
con formato que corresponden a un criterio común.
Por lo tanto, cualquier mensaje almacenado en la base de datos de mensaje con
formato es parte de uno o más contextos. Las operaciones de correlación se llevarán a
cabo en paralelo para que se puedan ejecutar simultáneamente en cada contexto.
13
Hay dos tipos de enfoque de contexto de la gestión puede llevarse a cabo:
La primera es para definir contextos independientes y distintos. Cada contexto
contendrá los mensajes que coinciden todos los criterios. Se define la arquitectura
como una gran variedad de contextos.
El segundo enfoque es uno de tipo jerárquico. Contextos de nivel superior que
coincidan con un número limitado de criterios son definidos. A continuación, sub-
contextos, basados en diferentes criterios, se crean y así sucesivamente. Esto se
define aquí en adelante como contexto árbol.
Como es de esperar, ninguno de los enfoques anteriores satisfacer todas las
necesidades, ser que en términos de rendimiento o funcionalidad. Una arquitectura
mixta por lo tanto se tiene que ser definido.
4.2.1 Estructura de los contextos
Como cualquier operación de correlación se realiza exclusivamente en los contextos,
parece que su estructura es probablemente uno de los aspectos más importantes de la
SOC.
4.2.1.1 Arquitectura Funcional
La arquitectura funcional se compone de una matriz de árboles de contexto. Cada
árbol contiene cuatro niveles de ramas, como se describe en la figura 4.
14
Figura 4 Arquitectura funcional de árbol
4.2.1.2 Estructura de datos
Con el fin de manejar la arquitectura que se ha definido anteriormente, es necesario
implementar una estructura que garantice un adecuado almacenamiento y acceso a la
información.
La figura 5 describe un esquema de implementación de contexto. Como PERL de
forma nativa soporta matrices de implementos y tablas de hash vamos a utilizar la
notación de PERL. Sin embargo, esto no es necesariamente una implementación
recomendada.
15
Figura 5 Esquema de implementación de contexto
4.2.2 Estado de los Contextos
Otra característica importante de contexto es su estado. Definimos tres
estados distintos que se detallan a continuación:
a) Activo: el contexto coincide con los criterios específicos (por lo general
basadas en el tiempo pero podría ser cualquier otro criterio)
b) Inactivo: como un contexto, o bien no está de acuerdo con los criterios de
"activos" o no recibe un código de cierre específico
c) Cerrado: el contexto ha sido completado
16
Figura 6 Estado de los contextos
5. Análisis
5.1 Análisis estructural
El propósito del análisis estructural consiste en identificar intentos de intrusión en
curso, administrar el estado de inactividad y el contexto de las condiciones del
contexto de cierre. En términos sencillos, el análisis estructural es un conjunto de
operaciones realizadas por módulos independientes en cada contexto. Cada módulo
se activa mediante un mensaje específico y realiza el análisis con una semántica
"estándar".
5.2 Módulos de análisis de la estructura
La salida de los módulos de análisis es el resultado de varias operaciones lógicas
entre las condiciones de autónomos contra los campos de los contextos. La Figura 7
describe miembros de tales operaciones
Figura 7 Módulos de análisis
17
5.3 Análisis de la activación del módulo
Hay dos tipos de eventos pueden activar los módulos de análisis: los mensajes y el
tiempo.
5.4 Correlación avanzada
Las operaciones avanzadas de correlación se realizan a fin de definir la criticidad
de un intento de intrusión y evaluar si este tipo de intento de intrusión está permitido
de acuerdo con la política de seguridad.
5.4.1 El análisis funcional
Este paso correlación segunda se realizó con el fin de evaluar la exposición del
sistema a la intrusión y el impacto global de una intrusión en la supervisión
sistema.
5.4.2 Análisis del comportamiento
El propósito de este último análisis es definir si los intentos coinciden con la política de
seguridad. Esto se utiliza principalmente para controlar el acceso a las cuentas, pero
puede también aplicarse en el caso de auditorías pre-programadas, escaneos de
puertos, etc. En tal situación, un código de cierre se envía al contexto.
6. Modelos Sugeridos para la aplicación empresarial
A continuación se muestran los diagramas de solución propuestos para la
implementación de un SOC, tanto en forma física como lógica.
18
6.1 Modelo Lógico
Figura 8 Diagrama Lógico
19
Figura 9 Diagrama Lógico, bajo nivel
20
6.2 Modelo Físico
Figura 10 Diagrama Físico
21
7. NOC (Network Operation Center)
Un Centro de Operaciones de Red, o NOC, es utilizado para monitorear, administrar y
solucionar problemas en una red. El Centro de Operaciones de Red ofrece la
supervisión de la gestión de problemas, configuración y cambios, seguridad de red, el
rendimiento y la supervisión de políticas, informes, control de calidad, programación,
documentación y gestión de la red mediante la utilización de sofisticados instrumentos
de seguimiento y análisis. El NOC proporciona un entorno estructurado que coordina
de manera efectiva las actividades operacionales con todos los participantes y los
proveedores relacionados con la función de la red. Los técnicos NOC suelen
proporcionar apoyo veinticuatro horas al día, siete días a la semana.
Los procesos típicos diarios incluyen:
a) Monitoreo de las operaciones de todos los enlaces troncales y dispositivos
de red.
b) Asegurar la operación continua de servidores y servicios.
c) Proporcionar apoyo a la calidad para los usuarios de la red.
d) Solución de problemas de red y todos los problemas relacionados con el
sistema.
e) Apertura para rastrear y documentar resolución de problemas.
f) 24 horas al día, 7 días a la semana bajo la supervisión y operación por
ingenieros altamente cualificados de la red y del sistema.
7.1 Network Operations Center (NOC) Servicios
a) Observar, identificar, aislar, solucionar problemas, escalar, corregir los
problemas, y en el documento infraestructura de la información, incluyendo
la WAN, LAN, cortafuegos, RAS y conexiones secundarias.
b) Identificar la causa raíz de los problemas
c) Realizar análisis de tendencias
22
d) Registrar todos los problemas utilización de control automatizado,
resolución de problemas y sistemas de ticketing.
e) La interacción con otros técnicos de la empresa para asegurar un manejo
adecuado y edición resolución
7.1 Beneficios
a) Aumento de la eficiencia de la red existente y recursos empresariales.
b) Le permite planificar con mayor precisión para el futuro inversiones en la
infraestructura de red.
c) Mejorar el servicio y el acceso a su usuario final comunidad y su cliente.
d) Reducir los costos
e) Interfaz con varias técnicas y gestión recursos para la escalada problema,
resolución y documentación
7.2 ¿Por qué la Convergencia SOC / NOC?
Las discusiones son una actividad constante en cualquier organización creciente de TI.
La clave para la toma de decisiones es encontrar una masa crítica en las capacidades
de los grupos. Los beneficios esperados son claros que esperamos optimizar recursos,
alinear los servicios del equipo operativo y aumentar la capacidad de respuesta para el
negocio.
Hay que tener en cuenta las funciones de un NOC, la tolerancia a fallos, la solución de
problemas específicos de cortes de red, sistema de seguimiento de tiempo de
actividad, etc y compararlos con las funciones de un SOC, detección de intrusiones,
detección de anomalías de comportamiento de red, gestión de registros, etc. Cuando
se trata de control y la reacción, la mayor diferencia entre el NOC y SOC es que el
SOC es en busca de "adversarios inteligentes."
Siendo realistas, es muy difícil decir la diferencia entre los ataques y actos al azar de
la red en las primeras etapas.
Elementos comunes en los procesos existen y deberían ser potenciados. La seguridad
debe ser implicado no sólo en la identificación de incidentes y la respuesta, sino
23
también cuando se trata de gestión del cambio, implementación de aplicaciones y
selección de servicios. Además, la utilización de los sistemas de tickets, los sistemas
de evaluación de riesgos, las herramientas de información y sistemas de monitoreo
puede ser compartida entre ambos.
7.3 Desafíos de la convergencia SOC / NOC
No hay convergencia sin obstáculos. Los retos más importantes giran en torno a la
utilización de recursos:
a) La racionalización de los procesos y el impulso de la eficiencia destacan los
procesos que están siguiendo caminos diferentes a conclusiones similares.
b) Encontrar la herramienta adecuada, el SOC y NOC suelen tener una serie
de herramientas para satisfacer sus necesidades. Estas herramientas
deben ser inventariadas y evaluadas funcionalmente para encajar dentro
del centro de operaciones convergentes.
c) Aumento de correlación, con una gran cantidad de herramientas, los
procesos de racionalización y herramientas conduce a una necesidad de
mayor profundidad de correlación de eventos.
d) Un enfoque metodológico para la implementación es la mejor manera de
abordar estos desafíos.
7.3 Pasos para la implementación convergente del SOC/NOC
Un proceso para SOC/NOC que aprovecha la implementación basado en principios de
convergencia posee cinco pasos.
Paso 1: evaluar los mandatos y las mejores prácticas
Es importante entender las expectativas de una organización que considere
convergencia. Este primer paso implica la comprensión de las fortalezas de la
organización y las debilidades, y comparándola con la voluntad de cambiar. La cultura
corporativa puede dictar mandatos desde una perspectiva de arriba hacia abajo o
24
basada en un consenso. Comprender el razonamiento de la organización asegura
coherencia con la iniciativa.
Quizás el factor más importante en la evaluación de mandatos internos es entender las
mejores prácticas y determinar la cantidad de cambio que sea necesario para cumplir
los objetivos. Un enfoque conservador suele proporcionar más éxito y da lugar a una
respuesta positiva de los departamentos afectados y personas.
Paso 2: Documentar las políticas y el valor del negocio
Con los mandatos definidos, es importante documentar la política a nivel estratégico
para las funciones del SOC/NOC. Estas políticas deben definir los objetivos de un
grupo de operaciones. La política puede poner de relieve las responsabilidades del
individuo para cada función y sentar las bases para la determinación de cómo los
recursos deben ser asignados.
Tal política es más importante de lo que es el valor del negocio, ya que a menudo se
pasa por alto y es clave para que todos los jugadores trabajen bien dentro de los
mandatos establecidos por la organización.
El valor del negocio debe manejar todas las políticas, procesos y controles.
Paso 3: Definir los controles de apoyo
Teniendo en cuenta la gestión orientada a los servicios, las operaciones de TI que
comprenden tanto componentes del SOC y NOC claves de TI y servicios
empresariales, su disponibilidad y rendimiento, y los componentes subyacentes de TI
que apoyan la prestación de dicho servicio. Para ello será necesario identificar e
internamente auditar las aplicaciones específicas, sistemas e infraestructura de red
que comprenden un servicio de TI.
Un enfoque útil es identificar un puñado de servicios de TI y organizar en un
documento un proceso de auditoría. Esto no sólo produce la salida manejable (en
lugar de intentar documentar todos los servicios posibles), sino que también puede
identificar áreas para mejorar recopilación de datos. Una vez que el servicio está
definido, la disponibilidad básica o avanzada y requisitos de rendimiento o Acuerdos
de Nivel de Servicio (SLA) pueden ser investigados.
25
Esto ayudará a determinar qué controles pueden existir o ser necesarios.
Tanto las operaciones de red y funciones de operaciones de seguridad deben ser
evaluados para establecer los controles apropiados. Desde la recogida de información
sobre el tráfico a través de su análisis, identificación de problemas, la investigación
inicial y el seguimiento forense, cada paso en el proceso debe tener controles para las
entradas y la transferencia a la siguiente etapa.
Paso 4: Revisión, verificación y lograr apoyo
Los auditores internos y externos, y los miembros del personal del SOC y
NOC deben apoyar el proceso, los objetivos, requisitos y parámetros para
garantizar el mayor nivel de éxito.
La documentación y revisión posterior de los pasos 1 a 3, será necesaria para
identificar cualquier punto muerto y hacer mejoras que son típicas en un amplio
esfuerzo.
Paso 5: Implementar, mejorar y ampliar
El paso final es la implementación. Se sugiere que el mantenimiento de la aplicación
y limitar el alcance del proyecto por etapas antes de la implementación real, esto
asegurará el progreso en la convergencia del SOC/NOC obteniendo un medio más
rápido para las correcciones operativas y la capacidad de medir más fácilmente los
resultados operativos.
7.4 Flujo de Trabajo del NOC
El flujo de trabajo NOC se organizará en cinco fases distintas:
a) Fase 1: El NOC se gestiona de forma virtual. Los componentes básicos del
NOC son accesibles de forma ubicua.
b) Fase 2: Parte del NOC es el sistema de gestión de red virtual. Se compone
de mejoras en las interfaces gráficas de usuarios a fin de planificar,
26
disponer y monitorear (en tiempo real), los cambios físicos en la
infraestructura de red.
c) Fase 3: Nuevos servicios se ofrecen con el servicio Virtual
Manager. Estos servicios se utilizan para diseñar, especificar y organizar el
despliegue de servicios avanzados sobre la infraestructura de NOC.
d) Fase 4: Cuando se produce un problema es posible interactuar con el
Sistema de ayuda, con el fin de resolver los problemas de conectividad y
manejar Incidencias del sistema.
e) Fase 5: La alta gerencia está disponible para tomar decisiones sobre
aspectos estratégicos del proyecto y los correspondientes servicios
desplegados.
27
7.5 Modelo Físico del NOC
Motor de Auto
Descubrimiento y
Encuesta
Registro de
dispositivos
Receptor Trap/Servidor
de Logs
Motor Correlación de
eventos
Procesador de Alarmas
Archivo de Alarmas
Recolección datos de
rendimiento y
presentación de
informes
Notificación Automática
Inte
rfa
ce
WE
B
SNMP
Auto Descubrimiento
SNMP
TRAPs/Syslog
Ejecutivos
Pe
rso
na
l E
xp
ert
o
NOC-Help
Desk
Figura 11 Diagrama Físico del NOC
28
7.6 Modelo Lógico del NOC
Internet
Proceso Inteligencia
Global
Administración de
Vulnerabilidades
Administración de
Amenazas
Expertos en la materíaAdministración de
dispositivos
Administradores del
NOCJefe del NOC
Motor de Alarmas
Funcionamiento de
equipos de
infraestructura
Administrador de
enlaces físicos
Control de la
seguridad de
instalaciones
Análisis y
Diagnostico
Calidad de Servicios
y Aplicaciones
Gestor de fallos y
rendimiento
Operaciones de
todos los
dispositivos de red
Analizar, evaluar y
corregir
Detección y prevención
de problemas de red
Gestión de fallas,
configuración y base
de reglas
Procedimientos de Operación Estandar
Red
Data Center 1 Data Center 2Computación de
Usuario
Figura 12 Diagrama Lógico del NOC
29
7.7 Diagrama Flujo de Datos del NOC
Inicio
Conectar al NOC
Seleccionar un Servicio: Helpdesk, Administración de Servicios, Administración de
Servicios de Red
ASR
Administración Topología de Red
Ocurrió un Problema
HelpDeskSí
Poner un nuevo servicio
Reiniciar Servicio de Red
No
Llamar administrador
Servicio
Sí
No
Poner nuevo servicio
Tomar decisiones
estrategicas?Alta GerenciaSí
Tomar decisiones estratégicas
Fin
No
Figura 13 Diagrama de Flujo de Datos NOC
30
7.8 Implementación en empresa de E-commerce
La seguridad es un componente integral y necesaria de los negocios de hoy, cada vez
más, debido a la expansión de Internet y la gran "E": e-business, e-commerce y e-
commerce al por menor. La seguridad nunca ha sido tan crítica para la supervivencia
de una empresa, la ventaja competitiva y la capacidad de mantener valor en los
interesados. Un programa de seguridad eficaz, por lo tanto, no es sólo acerca de los
dispositivos de seguridad y tecnología, sino que también debe incorporar a las
personas y los procesos.
El objetivo de la implementación se centra en poder integrar tanto el NOC como el
SOC junto al Help Desk, para dar a la empresa de venta de Hosting y Dominios un
único punto central de acceso y administración de Software e Infraestructura.
En este caso el SOC llevara toda la parte de monitoreo y administración de seguridad,
mientras que el NOC manejara toda la parte de Red. Ambos brindaran una interface
web integrada que permitirá analizar tanto elementos del SOC como del NOC. Es en
este punto donde inicia el papel del Help Desk, el cual tendrá acceso a estas
interfaces para poder generar Tickets o bien poder informar al usuario de forma
oportuna sobre algún problema o inconveniente que se esté presentando.
Información de Arquitectura de Flujo
Como se representa en la arquitectura de flujo de información en la Figura 14, el
sistema requisitos es descompuesto en módulos jerárquicos y funcionales de flujo
horizontal que son elementos de decisión para apoyar el proceso de NOC-SOC táctico
para la gestión de la información.
Cada una se descompone en sub-funciones de bajo nivel o misiones (Kossiakoff &
Sweet p.381, 2003). A continuación en la Figura 15 se muestra la información de alto
nivel de la arquitectura de flujo que es de colores codificados para alinear a la Figura
13 que muestra la disposición física y funcional de la NOC.
31
Interpretar
Sentido Proceso Evaluar Analizar Revisar
Ciclo de Realimentación continua
Links de Influencia
Figura 14 NOC-SOC Nivel Superior Flujo de Información
Figura 15 Función NOC-SOC y maquetación Física
Con el fin de cumplir con los requerimientos tácticos de la misión, la descomposición
se repite en La Figura 16 hasta que la asignación a un sistema particular (s) o
elemento de sistema (s) está completa.
Para los requisitos de rendimiento de la red, y los requisitos de colaboración de apoyo
dentro las relaciones jerárquicas se utilizan en la construcción de las relaciones entre
padres e hijos durante la especificación de los objetos
32
Sentido Proceso Evaluar Analizar Revisar
Explorar
Capturar
Recolectar
Correlación
Asociar
Fucionar
Interpretar
Clasificar
Validar
Seleccionar
Alinear
Integrar
Monitorear
Evaluar
Iterar
Ciclo de Realimentación continua
Figura 16 Información NOC-SOC Flujo Arquitectura
33
7.9 Estructura de Integración Propuesta
Internet
Proceso Inteligencia
Global
Administración de
Vulnerabilidades
Administración de
Amenazas
Expertos en la materíaAdministración de
dispositivos
Administradores del
SOCJefe del SOC
Procedimientos de Operación Estandar
Motor de detección
de vulnerabilidades
Administrador de
parches y
configuración
Herramienta
administración
active directory
Consola central de
antivirus
Herramienta de
prevención fuga de
datos
Analizador de Log
Gestor de fallos y
rendimiento
Consola
administración
seguridad de
dispositivos
Analizar, evaluar y
corregir
Detección y prevención
de amenazas
Gestión de fallas,
configuración y base
de reglas
Red
Data Center 1 Data Center 2 Computación de Usuario
Internet
Proceso Inteligencia
Global
Administración de
Vulnerabilidades
Administración de
Amenazas
Expertos en la materíaAdministración de
dispositivos
Administradores del
NOCJefe del NOC
Motor de Alarmas
Funcionamiento de
equipos de
infraestructura
Administrador de
enlaces físicos
Control de la
seguridad de
instalaciones
Análisis y
Diagnostico
Calidad de Servicios
y Aplicaciones
Gestor de fallos y
rendimiento
Operaciones de
todos los
dispositivos de red
Analizar, evaluar y
corregir
Detección y prevención
de problemas de red
Gestión de fallas,
configuración y base
de reglas
Help Desk
IDS-IPS
Interface WEB
34
8 Proceso para la continuidad del Negocio
Plan de Continuidad del Negocio (BCP) es el resultado de la aplicación de una
metodología interdisciplinaria, llamada Cultura BCM, usada para crear y validar planes
logísticos para la práctica de cómo una organización debe recuperar y restaurar sus
funciones críticas parcial o totalmente interrumpidas dentro de un tiempo
predeterminado después de una interrupción no deseada o desastre.
Los objetivos del Plan de Continuidad de Negocio son:
a) Salvaguardar los intereses de sus clientes y socios además del negocio y la
imagen de la organización.
b) Identificar los puntos débiles en los sistemas de la organización.
c) Analizar las comunicaciones e infraestructuras.
d) Conocer la logística para restablecer los servicios, independientemente de
los sistemas.
e) Ofrecer alternativas viables a todos los procesos críticos de negocio.
Antes de iniciar con la propuesta para mantener la continuidad del negocio, es
importante aclarar algunos conceptos que están asociados directamente con el tema y
cuyo dominio es relevante.
¿Qué es Riesgo?
Los riesgos, que pueden ser naturales o provocados por el hombre, representan la
exposición a la pérdida dentro de una organización. Los potenciales riesgos son
típicamente medidos en términos de probabilidad de ocurrencia y el impacto generado
en caso que los mismos se materialicen.
¿Qué es Probabilidad?
La probabilidad mide la capacidad de ocurrencia del riesgo en el tiempo, considerando
niveles de (como ejemplo): muy poco probable, poco probable, moderada, probable y
casi cierta.
35
¿Qué es Impacto?
El impacto mide el nivel de daño provocado una vez manifestado el riesgo. Este nivel
de impacto se puede medir (como ejemplo) con la calificación siguiente: insignificante,
menor, moderado, significativo o catastrófico.
Procedimientos de Recuperación
Se elaborarán procedimientos de recuperación que apoyarán el proceso de
recuperación de la plataforma de TI posterior a la manifestación de cualquier evento
que los afecte parcial o totalmente (escenario de peor caso). De esta forma deberá
documentarse procedimientos para la recuperación de:
_ Sistemas de información;
_ Servidores;
_ Equipos y líneas de comunicación.
En todos los casos se considerará con prioridad aquellos elementos (de los citados
anteriormente) que sean críticos de acuerdo a los procesos críticos del negocio y
considerando los tiempos máximos de interrupción identificados en cada uno de los
casos.
Desarrollar programas de entrenamiento y concientización
En esta etapa, se desarrollara un programa orientado a crear y mantener conciencia
en el negocio, además de mejorar las habilidades requeridas para desarrollar e
implementar los planes de recuperación.
Pruebas y dar mantenimiento al Plan
Esta etapa se orienta a probar con antelación y coordinar ejercicios, documentando y
evaluando los resultados de ellos. Desarrollar procesos para mantener vigentes las
capacidades para lograr una adecuada recuperación de las operaciones de TI, en
acuerdo con la dirección estratégica del negocio.
Centro de Operaciones de Emergencia (COE)
El Centro de Operación de Emergencias (COE) es un local o área desde la cual se
controla toda la emergencia y se realizan actividades de evaluación inicial,
coordinación y toma de decisiones. Es el sitio que albergará al personal responsable
de coordinar los esfuerzos de la recuperación.
36
Directriz de capacitación en planes de continuidad
Debe ser política proveer la capacitación necesaria a los funcionarios, sobre el Plan de
Continuidad de TIC, con el propósito de asegurar la obtención de una participación
acorde con los lineamientos establecidos en este plan y esperados en el evento de un
desastre.
La capacitación puede ser considerada como la mejor manera de proporcionar al
personal con el conocimiento apropiado de sus responsabilidades ante un desastre.
Adicionalmente ayuda a mantener el Plan actualizado al permitir la identificación de
áreas de mejora y de actualización en el mismo.
Captura de Información de Riesgos
.
Ejemplo de Implementación
37
Conclusiones
La complejidad de la configuración de SOC-NOC es más una cuestión de la
integración que la implementación de los módulos individuales. Las nuevas normas
deben ayudar a reducir las diferencias entre los enfoques teóricos, de propiedad las
implementaciones y los sistemas independientes.
Mientras tanto, las intrusiones están claramente teniendo lugar y no hay por tanto una
necesidad para sistemas de supervisión operativas en la actualidad. La experiencia
demuestra que un enfoque pragmático debe ser tomado con el fin de poner en práctica
un SOC-NOC profesional que puede proporcionar resultados fiables.
La teoría se ha descrito anteriormente constituye el marco para la implementación de
un SOC
38
Recomendaciones
Debido a la alta complejidad del tema, así como los elevados costos tras su
implementación, se debe analizar muy bien las necesidades; a fin de determinar si lo
mejor es implementarlo o subcontratarlo (actualmente muchas empresas brindan estos
servicios a terceros).
Es de vital importancia que si se desea monitorear, vigilar o regular el uso de recursos,
información o acceso exista una o varias políticas que estipulen ese requerimiento
ejecutivo para poder así justificar la implementación o contratación de servicios que se
encarguen de hacer cumplir las políticas
Debe existir o fomentar una cultura sobre la seguridad informática, que tenga un peso
en las empresas, ya que estas, no gustan de capacitar al personal y la contratada no
cuenta con la experiencia suficiente.
Se debe buscar la mayor convergencia entre herramientas del SOC y el NOC con el
fin de abaratar los costos
39
Bibliografía
Group, M. P. (s.f.). Mid Point Group. Recuperado el 23 de 11 de 2012, de
http://www.mindpointgroup.com/SOC.pdf
Intelligence, N. (s.f.). Network Intelligence. Recuperado el 18 de 11 de 2012, de
http://www.niiconsulting.com/services/managedsecurity/nocsoc.html
Nasa. (s.f.). Nasa. Recuperado el 25 de 11 de 2012, de http://www.us-
cert.gov/GFIRST/presentations/Incident_Management_Anatomy_of_a_Security_Oper
ations_Center.pdf
Wikipedia. (s.f.). Wikipedia. Recuperado el 18 de 11 de 2012, de
http://en.wikipedia.org/wiki/Security_operations_center
http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio