Soluciones de Seguridad
Centro de Administración y Monitoreo de Seguridad
(Security Operation Center - SOC)
El enfoque de la metodología de trabajo de ADEXUS, a utilizar en la implementación del SOC, se basa en el estándar internacional ISO 17799, "Código de Buenas Prácticas para la Gestión de la Seguridad de la Información".
Esta normativa establece las directrices básicas para la Gestión de la Seguridad de la Información :
Capa de red
En la capa de red nos encontramos con dispositivos tales como Switches o routers. Si bien en esta oferta no se incluyen integraciones con este tipo de dispositivos, queda abierta la opción para en un futuro poder integrarlos a la plataforma de monitoreo de seguridad.
Capa de sensores
En la capa de sensores encontraremos los dispositivos de detección de intrusos IDS, además de los firewalls y otras aplicaciones que nos permitan obtener una visión global y en tiempo real del estado de seguridad en la red.
El siguiente, es un diagrama conceptual de la ubicación de cada uno de estos dispositivos.
| Confidencialidad: |
Garantizar que únicamente las personas debidamente autorizadas disponen de acceso a los datos y sistemas de la organización. |
| Integridad: |
Garantizar la exactitud de la información y la protección de los sistemas de la organización contra una posible alteración, pérdida o destrucción accidental o deliberada. |
| Disponibilidad: |
Garantizar que se puede acceder a la información y los sistemas en la forma y tiempo requeridos.
Nuestra metodología permite dotar de un enfoque global a la Gestión de la Seguridad de la Información, puesto que considera la Seguridad de la información como un proceso de gestión, desde una óptica no meramente técnica, sino también física, de procedimiento y de personal.
La misma cuenta con las siguientes fases: |
| Instalación y Configuración de equipamiento técnico |
La implementación del equipamiento técnico es una de las fases de mayor importancia a la hora de implantar un Security Operations Center, ya que es la base sobre la cual estarán montados nuestros procedimientos de operación.
Para esto ADEXUS plantea un modelo de construcción basado en capas. |
|
|
Diagrama Conceptual Capa de sensores |
|
|
Capa correlación
Cada una de las herramientas en las capas inferiores genera centenares de megas de información, provenientes de Logs, consolas de anti-virus y otros dispositivos. La problemática en sí, es que esta información debe ser extraída por el personal de seguridad, entendida y priorizada, así los eventos más críticos serán revisados y atendidos primero que los de mediana o menor importancia.
- Correlación.
El objetivo principal de la correlación es que nuestro personal de seguridad observe alarmas priorizadas, y que el detalle de la alarma sea la suma de “eventos” que la generaron, Obtenemos como resultado que nuestro personal puede operar en forma más eficiente y rápida ante cualquier tipo de incidente de seguridad que ocurra.
- Arquitecturas de correlación.
Con arquitectura nos referimos a como estos datos van a ser analizados, actualmente existen dos tipos de correlación: “Query-Based Correlation”, que esencialmente significa que los datos son almacenados en una base de datos para su posterior análisis, y la segunda conocida como “In-Memory correlation” correlación en memoria. La correlación en memoria tiene la ventaja de ser más rápida y eficiente a la hora de manejar y guardar la información para un posterior análisis forense.
En el siguiente diagrama, se muestra la interconexión de los distintos dispositivos de la capa de sensores y capa de red, con la capa de correlación.
-
In-memory correlation
Este tipo de correlación, como su nombre lo dice, realiza el proceso de asociación de los datos en memoria. Es decir cuando un dato llega, es procesado, analizado y categorizado en memoria, pudiendo realizar este proceso en tiempo real, evitando la latencia y no recargando la plataforma con consultas
Capa análisis
Esta capa se encuentra directamente relacionada con la capa de gestión, ya que los procedimientos a aplicar para un determinado incidente, se encuentran descritos y documentados en la capa de gestión.
| Diagrama Conceptual Capa de sensores |
|
Capa de Gestión
La Capa de Gestión es donde se encuentran todas las Políticas y Procedimientos a aplicar en la función de monitoreo del SOC. El analista y el personal en general del SOC son los responsables de la aplicación de estas políticas y procedimientos a la hora de dar soluciones a los incidentes ocurridos, así como también para garantizar el buen funcionamiento del Sistema.
Marcha Blanca, Seguimiento y Mejoramiento Continuo
Para garantizar la eficacia y efectiva implementación del SOC una vez puesto en marcha, es fundamental considerar el modelo conocido como PDCA (Plan-Do-Check-Act), con el fin de garantizar una correcta gestión de la Seguridad de la Información.
| Modelo PDCA (Plan-Do-Check-Act) (Planificar-Hacer-Comprobar-Actuar) |
|
Un componente fundamental de este modelo es la continua revisión y mejora del Sistema, una vez que los proyectos que lo constituyen hayan sido implementados. Se trata de garantizar la adecuación del mismo a las necesidades específicas de la organización y la plena consecución de los objetivos de seguridad establecidos.
Para garantizar el éxito de la implementación de estos procedimientos y controles, resulta imprescindible el apoyo y respaldo por parte de la Alta Dirección a las diferentes acciones o proyectos que lo constituyen, hecho que contribuirá a la creación de una cultura de seguridad y conllevará una mejora global en la Gestión de la Seguridad de la Información.
|