PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Rogfel Thompson Martínez 1 Centro Telemática. UCI. La Habana. rthompson@uci.cu RESUMEN Las tecnologías y software desarrollados en el mundo es un producto de la inteligencia y conocimiento humano, y como producto de este no están exentas de errores. Estos errores de las tecnologías y software conocidos comúnmente como vulnerabilidades son provocados por malas prácticas, problemas de seguridad informática cometidos durante el desarrollo, por el uso de otras tecnologías que tenga vulnerabilidades o por problemas de configuración. Las vulnerabilidades informáticas pueden ser aprovechas por intrusos con la intención de obtener informaciones de un sistema o adueñarse de él violando normas de seguridad. La Propuesta de un sistema de gestión de la seguridad de la información que contenga procesos de minería de datos contribuirá a mitigar los problemas de seguridad presentes en una organización. Palabras clave: base de datos de incidentes de seguridad, base de datos de vulnerabilidad, seguridad de la información, minería de datos, big data. 1. INTRODUCCIÓN La creatividad de los atacantes, las singularidades de los usuarios y la materialización de malas prácticas, establecen las bases para que ocurran los incidentes de seguridad. Durante los últimos 10 años, las fallas propias relacionadas con las aplicaciones, el estudio detallado de funciones de los lenguajes de programación, los casos de mal uso y abuso del software, así como, el creciente uso de las comunicaciones han marcado la historia de la seguridad de la información. La seguridad informática, y de forma más genérica la seguridad de la información, se entiende como un conjunto de acciones metodológicas y herramientas cuyo objetivo principal es proteger a la información, y por ende a los sistemas informáticos, ante vulnerabilidades o amenazas internas y externas, bien sean físicas o humanas; es un proceso en el cual participan personas, el punto más débil del eslabón. La seguridad informática no es un bien medible, se desarrollan procedimientos y herramientas que nos permiten cuantificar la inseguridad informática (1). Se está produciendo una escalada sin límite del volumen y sofisticación de las amenazas a través de una amplia variedad de dispositivos y entornos informáticos, incluyendo PCs, smartphones, tablets, entornos virtuales, cloudcomputing, lo que supone que se generanmás datos que antes. La clave está en poder ser capaz de tomar estos datos tan dispares y convertirlos en inteligencia frente a amenazas utilizando herramientas de análisis de big data para identificar patrones a través de diferentes vectores (2). Los análisis de grandes conjuntos de datos de incidentes y amenazas de seguridad ofrecen a las instituciones nuevas formas de prevención y detección de amenazas más efectivas.la clave está en poder ser capaz de tomar estos datos tan dispares y convertirlos en inteligencia frente a amenazas 1

2 utilizando herramientas de análisis de big data para identificar patrones a través de diferentes vectores. (2) 2. DESARROLLO El análisis de grandes y dispares volúmenes de amenazas de datos y seguridad puede ayudar a revelar patrones típicos de ataques encubiertos y sofisticados, que de otra manera, podrían permanecer ocultos. Si se maneja correctamente, no sólo se generarían mejoras en el rendimiento del negocio, sino que también permitirá detectar y proteger contra el peor de los peligros que se lancen sobre cualquier institución. (2) Para mitigar todas estas amenazas y riesgos a la seguridad de una organización y sistema, se debe plantear un conjunto de acciones basadas en metodologías y estándares como mismo refiere el concepto de Jorge Remió, citado en este reporte. Como fundamento científico para representar los procesos de seguridad en un sistema, se puede utilizar el modelo cibernético (3), el cual parte de la necesidad de adquirir y gestionar la información para una correcta toma de decisiones que permita la prevención de los incidentes de seguridad (4). 2.1 Modelo cibernético de un sistema de seguridad La cibernética es la ciencia que estudia los sistemas de construcción, control y manejo de máquina a partir de la analogía de estas y con la naturaleza (5). El modelo cibernético nos permitirá conceptualizar y organizar, los procesos fundamentales para un sistema de seguridad que se apoya con el uso de las técnicas de minería de datos sobre grandes volúmenes de información. El núcleo del modelo cibernético tendría la forma siguiente (Figura 1.1): MEDIO EXTERNO Corrector de tendencias - Organización PROCESO (Hombre- Máquina) Información Medidor de la Calidad del Proceso Figura 1.1. Núcleo del Modelo Cibernético. El modelo cibernético representado plantea la retroalimentación necesaria en todo modelo de este tipo y los procesos más generales llevados a cabo en cualquier sistema de seguridad de una organización. Para el caso de seguridad de la información se hace necesario especificar que elementos y características con tiene cada uno de estos bloque fundamentales. 2

3 Medio Externo: bloque típico de un modelo cibernético, en este caso representa todas las amenazas y posibles ataques que pueden ocurrir sobre la infraestructura de una institución u organización. Procesos (Hombre-Máquina): bloque donde se concibe los procesos que definen a la organización, en cuanto a su objeto social. Dentro de este proceso también se tienen en cuenta los definidos para garantizar la seguridad de la organización. Medidor de la Calidad del Proceso: es el encargado de evaluar el correcto funcionamiento de los procesos de la organización, basado en normas y métricas definidas por esta. Dentro de los medidores de calidad se encuentran los parámetros para evaluar la posible ocurrencia de un ataque o anomalía en la organización. Corrector de Tendencias Organización: este bloque representa las leyes, normativas y regulaciones definidas por la organización, las cuales definen los procesos y las formas en las que van a ser evaluados. También se lleva a cabo la toma de decisiones basado en la información generada a partir de la medición de la calidad de los procesos. En el caso de la seguridad de la información hay normativas y decisiones que son definidas por la alta directiva de la organización, pero hay procesos de menor jerarquía de decisión que pueden ser llevados a cabo por los sistemas de minería de datos definidos por especialistas de la organización. Las acciones, referentes a la seguridad de la información, en cada uno de estos bloques están encaminadas en la obtención de un Sistema de Gestión de Seguridad de la Información (SGSI). Un SGSI es un sistema de gestión que posee intrínsecamente las políticas, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información (6). Los bloques del modelo cibernético se encuentran estrictamente relacionados con las fases definidas en un SGSI. Las fases de un SGSI son: Planificación y definición de medidas de seguridad (Corrector de Tendencias-Organización) Implantación de las medidas de seguridad ( Proceso ) Chequeo de las medidas de seguridad (Medidor de Calidad) Actualización de las medidas de seguridad (Corrector de Tendencias-Organización) Estas al igual que el modelo cibernético definido presentas un proceso cíclico, lo que en ella no está concebida explícitamente la interacción con el medio exterior. 2.2 Especificaciones del modelo cibernético para la seguridad de la información Para la minimizar los problemas de seguridad de la información se hace necesario definir los elementos específicos que pueden servir como normativas y determinación de tendencias en el área de la seguridad. Estas, con el apoyo de procesos de minería de datos pueden obtenerse de forma más eficiente y la minería le permitirá determinar patrones en ese gran conjunto de datos. Para combatir los más sofisticados ataques, las organizaciones deben adoptar nuevas estrategias que ayuden a minimizar los incidentes que atente a su subsistencia y a su modelo de negocio. Mitigar 3

4 estos incidentes, se está convirtiendo en un problema de big data, ya que se requiere la recolección de todos los datos de la infraestructura de seguridad. Entre los datos necesarios a capturar se encontrarían: los logs, los datos de eventos, el flujo de datos de la red, información de vulnerabilidades y configuraciones, datos de la actividad de los usuarios e incidentes conocidos (7). El conjunto de estas acciones permitirá realizar lo que se denomina como Seguridad Inteligente, concepto definido por investigadores de IBM. Seguridad Inteligente es la colección continua en tiempo real, normalización y análisis de datos generados por los usuarios, aplicaciones e infraestructura de una organización (7). El logro de una Seguridad Inteligente requiere de la unificación de un SGSI con una plataforma de Big Data. Los procesos de Seguridad Inteligente se pueden modelar en el mismo modelo cibernético definido anteriormente. Cada uno de sus bloques se definen a continuación: Medio Externo Del medio externo continuarán viniendo muchos ataques a la institución, pero estos se convertirán también en fuentes de información para el perfeccionamiento de Procesos Hombre-Máquina y mejora del Medidor de Calidad de Procesos. Toda esta información debe quedar registrada en bases de datos de incidentes de la institución. Procesos (Hombre-Máquina): En este bloque se desarrollan los procesos definidos por la organización, todos estos deben quedar registrados en una base de datos de la institución. Medidor de Calidad de Procesos Los procesos de seguridad en el Medidor de Calidad de Procesos, estarían encaminados a recopilar información de las bases de datos de vulnerabilidades, de las bases de datos de incidentes de seguridad, tanto externos como propios; debe procesar la información de la familia de normas ISO (8), relacionadas con los temas de seguridad, el modelo COBIT (9), el estándar de auditoría SAS700 (9) y el de implantación de tecnología ITIL (9).Se tienen también en cuenta la política de seguridad definida por la organización. Como base de datos de vulnerabilidad se pueden utilizar OSVDB (10), NVD (11), Bugtrag (12), Xforce (13). Como base de datos de incidentes CERT (14), los reportes de vulnerabilidades de OWASP (15), de WASC (16), de MITRE (17), del NIST (18).Toda esta información tomada en tiempo real se utilizará para evaluar la seguridad de los procesos hombre-máquina, según los patrones de calidad detectados y definidos por la organización. Un Data WareHouse permitiría estructurar y organizar toda esta información. Corrector de Tendencias Organización En el Corrector de Tendencias-Organización se ejecutarían la minería de datos y la toma de decisiones en cuanto a las tendencias y nuevas normativas determinadas. Las decisiones tomadas en este bloque influenciaran directamente sobre los Procesos Hombre-Máquina y el Medidor de Calidad de Procesos. El proceso definido para la seguridad de la información quedaría de la siguiente manera (Figura 1.2): 4

5 Figura 1.2: Proceso de seguridad de la información CONCLUSIONES Los elemento de inseguridad de la información están presentes y estarán presentes el los software y tecnologías. En nuestros días cada vez aumentan más las tecnologías, surgen nuevos sistemas y junto a ellos los problemas de seguridad. Las bases de datos de vulnerabilidades cada vez crecen más rápido por lo que la minería de datos se debe convertir en una herramienta de los especialistas de la seguridad de la información para contrarrestar el crecimiento vertiginoso de los riesgos y amenazas de la seguridad. Esta investigación es otro paso en la correlación de las técnicas de minería de datos y la seguridad de la información. REFERENCIAS 1. Remió, Jorge. Seguridad y Protección de la Información. Una Visión general y Oportunidades de Desarrollo. La Habana, Universidad de las Ciencias Informáticas : s.n., Darling, Michael.El verdadero valor del big data para la industria de la seguridad. s.l. : Trend Micro, Plascencia, Armando.Valoración crítica de los modelos para la seguridad de los vuelos. Recife : III Jornada Latino-Americana de Factores Humanos y Seguridad de los Vuelos, APROXIMACIÓN A LA GESTIÓN DE SEGURIDAD OPERACIONAL DE LOS VUELOS MEDIANTE UNA CONCEPCIÓN DE INTELIGENCIA OPERACIONAL. ELEMENTOS TECNOLÓGICOS Y METODOLÓGICOS. La Habana : ICIMAF, Reporte de Investigación. 5. Planeta Actimedia S.A.Gran Diccionario de la Lengua Española. [software] Cataluña : Larousse Editorial, Larousse Editorial S.A, Thompson, Rogfel.Sistema de Gestión de la Seguridad de l Información. La Habana : s.n., IBM Corporation.Extending security intelligence with big data solutions. New York : s.n., ISO. ISO-International Standards Office. [En línea]

6 9. Curso de Gerenciamiento de Seguridad Informática. Ernst & Young. La Habana : s.n., OSVDB. Open Source Vulnerability Data Base. [En línea] NVD. National Data Base. [En línea] Symantec. Bugtrag. [En línea] XFORCE. [En línea] FIRST. CERT. [En línea] Cert.org. 15. OWASP.OWASP Top Web Application Security Consortium.WASC THREAT CLASSIFICATION MITRE. [En línea] NIST. [En línea]