Autor:
Carlos Boto Coto
Gerente de Seguridad Gestionada
Actualmente, muchos son los que piensan que la lucha contra el cibercrimen es una guerra perdida. Cierto o no, lo incuestionable es que perseguir delitos cometidos a través de las redes y sistemas de información presenta numerosas dificultades. Pensemos en la complejidad de rastreo que tiene un fraude cometido mediante bots o redes zombies. Estas redes son creadas utilizando un código malicioso que infecta múltiples ordenadores sin el conocimiento de sus propietarios, con la finalidad de que el delincuente tenga su control total de forma remota. La trazabilidad se complica aún más cuando las máquinas infectadas, denominadas zombies, se encuentran en diferentes zonas geopolíticas con marcos jurídicos muy distintos y en algunos casos sin legislación alguna sobre este tipo de delitos. Por otra parte, habría que añadir a la lista de dificultades la falta de cooperación internacional y los recursos que los gobiernos dedican a combatir la ciberdelincuencia que, en la mayoría de los casos, son insuficientes por no considerar la ciberseguridad como asunto prioritario.
Ante este escenario de vicisitudes, las organizaciones tienen que fundamentar la seguridad de sus activos en la prevención. En este aspecto, el Centro de Operaciones de Seguridad, también conocido como SOC por sus siglas en inglés, se presenta como arma imprescindible.
El SOC es un centro donde se gestiona la seguridad de una organización. En él, personal especializado, con altos conocimientos de la infraestructura objeto de protección, monitoriza en tiempo real el estado de la seguridad durante las 24 horas del día y los 7 días de la semana.
Los pilares fundamentales
El Centro de Operaciones debe basar sus servicios en cuatro pilares fundamentales:
Prevención. Tiene como principal objetivo disminuir la probabilidad de aparición de cualquier incidente. La prevención implica realizar vigilancia permanente de nuevos ataques que puedan comprometer la seguridad, así como la aplicación de medidas preventivas que reduzcan la probabilidad de materialización de amenazas.
Detección. Es la monitorización constante con el único propósito de detectar amenazas, vulnerabilidades, intrusiones, ataques de seguridad, o cualquier indicio que refleje un posible incidente de seguridad.
Análisis. Estudio de los incidentes descubiertos por la detección. Con el análisis se pretende discernir entre amenazas reales o falsos positivos.
Respuesta. Reacción ante cualquier incidente real de seguridad.
Principales servicios
Tanto los objetivos como el catálogo de servicios del Centro de Operaciones de Seguridad deben estar alineados con los objetivos propios del negocio, por lo que dependiendo de la organización, los servicios del SOC pueden variar. Sin embargo, se mencionan a continuación los más característicos:
Monitorización continua de la seguridad. Consiste en la observación constante de todos los controles de seguridad implantados con el objeto de detectar posibles incidentes de seguridad. Para ofrecer este servicio, el Centro debe apoyarse en diferentes herramientas que le proporcionen información suficiente, y en tiempo real, del estado de la seguridad de la organización, como por ejemplo: cuadros de mando, detectores de anomalías, analizadores de red, detectores de intrusiones, correladores de eventos, sistemas de protección perimetral, etc. Asimismo, el Centro debe de tener personal especializado y tener conocimiento local de la infraestructura que se pretende proteger.
Detección y gestión de vulnerabilidades. Es muy importante saber las debilidades que presenta la corporación frente a posibles ataques. Para ello, se realizan periódicamente auditorías automatizadas, encaminadas desde diferentes puntos de la infraestructura de la organización, con el fin de identificar debilidades y de obtener las medidas necesarias para la eliminación de cada vulnerabilidad.
Centralización, tratamiento y custodia de logs. La gestión manual de millones de logs generados a diario por múltiples dispositivos, impone un gran reto para el personal de seguridad..
Ante esta problemática el SOC se apoya en el uso de sistemas SIEM (Security Information and Event Management) que permiten correlar eventos de seguridad de múltiples fuentes con la intención de detectar situaciones anómalas. Por otra parte, estos sistemas también permiten almacenar logs para posteriormente poder realizar análisis y búsquedas complejas sobre los eventos ya ocurridos.
Respuesta de resolución. Ante un incidente real de seguridad, el SOC debe elaborar y activar planes de resolución que permitan neutralizar la amenaza considerando aspectos tan importantes como la peligrosidad del ataque, criticidad de los activos implicados, e impacto sobre los mismos.
Asesoría de seguridad. El Centro de Operaciones de Seguridad tiene que contar con un equipo humano experimentando y multidisciplinario que pueda aconsejar y apoyar a la Dirección en la toma de decisiones de la seguridad de la organización. Por tanto, es necesario que el SOC proporcione disponibilidad inmediata de conocimiento especializado. Técnicos en sistemas y comunicaciones, especialistas en seguridad lógica, expertos en seguridad física, juristas especializados, auditores de seguridad, y analistas de malware son perfiles muy comunes en un centro de operaciones seguridad.
Programas de prevención. Una de las obligaciones del SOC es trabajar por la prevención de incidentes de seguridad. En esta línea, el Centro debe realizar una vigilancia permanente de nuevas amenazas e implantar controles preventivos que mitiguen el riesgo de aparición de incidentes de seguridad.
El Centro de Operaciones de Seguridad: área segura
El SOC maneja información crítica y confidencial para la compañía. Por ello, se deben aplicar las medidas de seguridad necesarias para considerarlo como área segura. Es preciso implantar internamente un sistema para la gestión de la propia seguridad del SOC. Ante esto, muchas organizaciones optan por la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) siguiendo la norma ISO/IEC 27001. El estándar especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un SGSI siguiendo el ciclo de mejora continua de Deming. En definitiva, es necesario que se realice una gestión del riesgo interno del propio SOC, en función de los servicios prestados, y que se activen planes que mitiguen el riesgo del propio Centro. Como ejemplo, se detallan a continuación algunos de los controles que ayudan a realizar esta labor:
· Políticas de seguridad específicas para el Centro.
· Procesos definidos, gestionados, medibles y optimizados.
· Control de acceso lógico y físico mediante diferentes dispositivos de control.
· Monitorización interna de las propias actividades del SOC.
· Auditorías continuadas de los propios activos utilizados por el Centro de Seguridad.
· Gestión de incidentes de seguridad internos.
· Gestión de las vulnerabilidades.
· Clasificación de la información manejada por el SOC acorde a su criticidad.
· Redundancia en los sistemas críticos para el SOC.
· Protección frente a desastres, planes de contingencia y recuperación.
La colaboración como clave del éxito de la prevención
Para que el SOC pueda ofrecer sus servicios de forma eficiente necesita estar interconectado con diferentes organismos nacionales e internacionales en un marco de colaboración. Una de estas entidades es la red de Computer Emergency Response Team (CERT) que dan rápida respuesta ante vulnerabilidades, malware e incidentes de seguridad globales acontecidos recientemente. Además, los CERTs, ofrecen soporte ante incidentes, mediante servicios de apoyo técnico y coordinación.
Por otra parte, y como suma a la colaboración, recientemente los gobiernos han comenzado a crear organismos especializados en ciberseguridad que cooperan y se interrelacionan con diferentes CERT. Cabe destacar, en este último grupo, la European Network and Information Security Agency (ENISA), cuya función es la de asesorar y coordinar las medidas adoptadas por la Comisión y los Estados miembros de la Unión Europea para dar seguridad a sus redes y sistemas de información.
En definitiva, que el Centro de Operaciones de Seguridad forme parte de la red de colaboración entre todas las entidades nacionales e internacionales que operan en los diferentes estratos de la gestión de la seguridad, es clave fundamental para que el propio Centro obtenga éxito en la prevención.
Conclusión
Considerando las dificultades que entraña la lucha contra el cibercrimen, las organizaciones tienen que cimentar la gestión de su seguridad en la prevención. Para la anticipación de amenazas, el Centro de Operaciones de Seguridad es una herramienta imprescindible cuyo modelo de servicio está edificado sobre la prevención, detección, análisis y resolución de incidentes de seguridad. Por otra parte, es clave para la prevención que el Centro colabore con diferentes organismos y agencias que velen por la seguridad de los sistemas de información.
No hay comentarios:
Publicar un comentario