UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA CARRERA DE INGENIERÍA INFORMÁTICA

Transcripción

1 UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA CARRERA DE INGENIERÍA INFORMÁTICA MODELO DE GESTIÓN DE SEGURIDAD A TRAVÉS DEL USOS DE BUENAS PRÁCTICAS DE ITIL Y COBIT ENFOCADO A LOS SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS) EN LAS APLICACIONES INFORMÁTICAS DE LA COOPERATIVA DE AHORRO Y CRÉDITO CHIBULEO.LTDA AGENCIA SANGOLQUI. TRABAJO DE GRADUACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO INFORMÁTICO AUTOR: MARCOS JAVIER OVIEDO DE MORA TUTOR: ING. MARIO RAÚL MORALES MORALES, MBA QUITO ECUADOR 2015

2 DEDICATORIA A Dios, ya que nunca me ha dejado solo y me ha dado fuerza y paciencia para continuar con las metas que me he propuesto. A mi Madre Romy De Mora, que con su constante esfuerzo para darme una educación, me ha ayudado a seguir adelante, no rendirme y a tener la fuerza de superar todos los obstáculos que la vida me impone. A mis abuelitos Jaime de Mora y Nelly Moreno, ya que desde pequeño me inculcaron principios y a ser perseverante en lo que uno quiere para conseguirlo con propio esfuerzo. A la Cooperativa de Ahorro y Crédito Chibuleo.Ltda, ya que me ha dado la oportunidad y me ha brindado la ayuda necesario para la realización del proyecto en base a su infraestructura. ii

3 AGRADECIMIENTO A las personas intervinientes en el proyecto como son los revisores y tutores por la orientación brindada a lo largo del desarrollo del proyecto para que el proyecto finalice de la mejor manera posible. A la Universidad Central del Ecuador, ya que han sido años en los cuales me ha brindado la infraestructura necesaria para continuar con mis estudios, con mi formación tanto intelectual como humana. A los profesores de la Facultad de Ingeniería Ciencias Físicas y Matemáticas por el conocimiento impartido en el transcurso de la Carrera de Ingeniería Informática y consejos de estudio. iii

4 AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL iv

5 CERTIFICACIÓN TUTOR v

6 INFORME FINAL POR PARTE DEL TUTOR vi

7 RESULTADO DEL TRABAJO DE GRADUACIÓN vii

8 viii

9 Contenido DEDICATORIA... ii AGRADECIMIENTO... iii AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL... iv CERTIFICACIÓN TUTOR... v INFORME FINAL POR PARTE DEL TUTOR... vi RESULTADO DEL TRABAJO DE GRADUACIÓN... vii LISTA DE FIGURAS... xiii RESUMEN... xiv ABSTRACT... xv CERTIFICADO DEL TRADUCTOR... xvi TÍTULO DEL TRADUCTOR... xvii INTRODUCCIÓN... 1 CAPÍTULO PRESENTACIÓN DEL PROBLEMA Planteamiento del Problema Formulación del Problema Objetivos Objetivo General Objetivo Específico Alcance del Proyecto Justificación del Problema Limitaciones del Proyecto... 4 CAPÍTULO ANTECEDENTES MARCO TEÓRICO Introducción a la seguridad informática SISTEMAS DE DETECCIÓN DE INTRUSOS Qué es un Sistema de Detección de Intrusos? Objetivos de los Sistemas de Detección de Intrusos ix

10 2.3 FUNCIONAMIENTO DE LOS IDS POR QUÉ UTILIZAR UN IDS? Prevenir problemas al disuadir a individuos hostiles Detectar ataque y otras violaciones de seguridad Detectar preámbulos de ataques Documentar el riesgo de la organización Proveer información útil sobre las intrusiones que se están produciendo ARQUITECTURA DE LOS SISTEMAS DE DETECCIÓN DE INTRUSOS CLASIFICACIÒN DE LOS SISTEMAS DE DETECCIÒN DE INTRUSOS Sistema de Detección de Intrusos basados en Red (NIDS) Sistemas de Detección de Intrusos basados en hosts (HIDS) TPOS DE IDS EN FUNCIÓN DE SU ESTRUCTURA Distribuidos Centralizados TIPOS DE IDS EN FUNCIÓN DE SU COMPORTAMIENTO Pasivos (IDS) Activos (IPS) DETECCIÒN DE ANOMALÍAS COMPARACIÒN CON CORTAFUEGOS DONDE COLOCAR UN IDS En una Organización En un ISP ACTUALIDAD EN LOS SISTEMAS DE DETECCIÒN DE INTRUSOS Sistemas Cisco Internet Security Systems (ISS) Symantec Enterasys ITIL Que es ITIL? Gestión de Servicios TI Gobierno TI El ciclo de vida de los servicios TI x

11 Funciones, procesos y roles COBIT Visión General de COBIT Un Marco de Negocio para el gobierno y la gestión de la TI de la Empresa Principios de COBIT CAPÍTULO MARCO METODOLÓGICO Diseño de la Investigación Requerimientos y aplicaciones Elección de herramientas a utilizar en el sistema Protección del equipo ITIL utilizado en el desarrollo Gestión de la Seguridad de la Información Proceso Política y Plan de Seguridad Plan de Seguridad Aplicación de las Medidas de Seguridad Evaluación y mantenimiento Control del proceso COBIT Satisfacer las Necesidades de las partes Interesadas Cubrir la Empresa de Extremo a Extremo Aplicar un Marco de Referencia Único Integrado CAPÍTULO Aplicación de un Modelo de Gestión de Seguridad ITIL y COBIT en la Cooperativa de Ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui Breve Reseña de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia Sangolqui Instalación de las Herramientas a utilizar Instalación WinPcap Modelo de Gestión de Seguridad Consideraciones Generales xi

12 4.3.2 Presentación del Modelo de Gestión de Seguridad Estructura del Plan de Seguridad Informática Políticas de Seguridad Informática Creación de una política de seguridad Medidas y Procedimientos de Seguridad Informática Seguridad Física y Ambiental Seguridad de Operaciones Identificación, Autenticación y Control de Acceso Seguridad ante programas malignos Respaldo de Información Seguridad en Redes Gestión de Incidentes de Seguridad CAPÍTULO CONCLUSIONES Y RECOMENDACIONES Conclusiones Recomendaciones REFERENCIAS BIBLIOGRÁFICAS ANEXOS ANEXO A (Presupuesto) ANEXO B (Cronograma) ANEXO C Muestra de Información obtenida sobre ataques o intentos de intrusiones TERMINOLOGÍA xii

13 LISTA DE FIGURAS FIGURA 1 REPRESENTACIÓN DE SEGURIDAD INFORMÁTICA 6 FIGURA 2: DENEGACIÓN DE SERVICIO 7 FIGURA 3: INDAGACIÓN O EXPLORACIÓN 8 FIGURA 4: REMOTE TO LOCAL 9 FIGURA 5: USER TO ROOT 9 FIGURA 6: SISTEMA DE DETECCIÓN DE INTRUSOS 10 FIGURA 7: FUNCIONAMIENTO DE LOS IDS 12 FIGURA 8: IDS BASADOS EN RED 17 FIGURA 9: IDS BASADOS EN HOST 19 FIGURA 10: ESTRUCTURA DISTRIBUIDA 21 FIGURA 11: ESTRUCTURA CENTRALIZADA 21 FIGURA 12: DETECCIÓN DE ANOMALÍAS 23 FIGURA 13: COLOCACIÓN DE IDS EN UNA ORGANIZACIÓN 25 FIGURA 14: COLOCACIÓN DE UN IDS EN ISP 26 FIGURA 15: IDS CISCO 27 FIGURA 16: SYMANTEC GATEWAY SECURITY 320 FIREWALL 29 FIGURA 17: ENTERASYS 29 FIGURA 18: LOGO DE ITIL 30 FIGURA 19: CICLO DE VIDA DE ITIL 35 FIGURA 20: LOGO DE COBIT 40 FIGURA 21: PRINCIPIOS DE COBIT 45 FIGURA 22: UBICACIONES DE IDS 49 FIGURA 23: LOGO SNORT 50 FIGURA 24: LOGO MYSQL 51 FIGURA 25: PANTALLA DE ANÁLISIS ACID 52 FIGURA 26: FASES DE LA GESTIÓN DE LA SEGURIDAD 54 FIGURA 27: GESTIÓN DE LA SEGURIDAD 55 FIGURA 28: PROCESO DE LA GESTIÓN DE SEGURIDAD 57 FIGURA 29: OBJETIVO DE GOBIERNO 62 FIGURA 30: CASCADA DE METAS COBIT 64 FIGURA 31: METAS CORPORATIVAS 65 FIGURA 32: METAS RELACIONADAS CON LAS TI 66 FIGURA 33: GOBIERNO Y GESTIÓN 69 FIGURA 34: PRODUCTOS COBIT 72 FIGURA 35: PANTALLA DE INSTALACIÓN WINCAP 76 FIGURA 36: ESTRUCTURA DE LA EMPRESA 100 xiii

14 RESUMEN Modelo de Gestión de Seguridad a través del uso de buenas prácticas de ITIL y COBIT enfocado a los Sistemas de Detección de Intrusos (IDS) en las aplicaciones informáticas de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia Sangolqui. El Modelo de Gestión de Seguridad ITIL y COBIT con base en los Sistemas de Detección de Intrusos para la Cooperativa de Ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui, ayuda a la organización a tener un nivel de seguridad controlado para que la búsqueda de intrusiones sea eficiente y eficaz, el Sistema de Detección de Intrusos siempre estará en busca de constantes intrusiones o ataques informáticos, que se realicen a nivel de las aplicaciones o red de la empresa. ITIL y COBIT brinda el nivel de confianza que se necesita para manejar de una mejor manera la gestión y gobierno de los servicios de Tecnologías de información que tiene la organización, por esto se debe dirigir al personal de la empresa para que tomen mayor conciencia en base a la seguridad de la empresa y colaboren en su protección. DESCRIPTORES: SEGURIDAD DE LA INFORMACIÓN / ITIL / COBIT 5 / SISTEMA DE DETECCIÓN DE INTRUSOS / INTRUSIONES DE RED / MONITOREO DE LA RED / APLICACIONES INFORMÁTICAS / ATAQUES DE HACKING / RED DE LA EMPRESA. xiv

15 ABSTRACT Security management model through the use of best practices ITIL and COBIT focused to the intrusion detection systems (IDS) in the computer applications of the Cooperative of Savings and Credit Chibuleo.Ltda, Sangolqui Agency. Security management model through the use of best practices ITIL and COBIT focused to the intrusion detection systems (IDS) in the computer applications of the Cooperative of Savings and Credit Chibuleo.Ltda, Sangolqui Agency, helps the organization to have a security level controlled search for efficient intrusion and effective, the intrusion Detection System is always looking for constant intrusions or computer attacks, carried out at the level of the applications or enterprise network. I ITIL and COBIT provides the level of trust that is needed for a better way to handle the management and governance of information technology services that the organization has, so should be directed to company personnel to take based awareness security of the company and contribute to its protection. KEY WORDS: SECURITY INFORMATION / ITIL / COBIT 5 / INTRUSION DETECTION SYSTEM / NETWORK INTRUSION / NETWORK MONITORING / APPLICATIONS SYSTEMS / NETWORK SYSTEM xv

16 CERTIFICADO DEL TRADUCTOR xvi

17 TÍTULO DEL TRADUCTOR xvii

18 INTRODUCCIÓN Desde la aparición de los sistemas informáticos con la funcionalidad de proporcionar ayuda en los procesos de negocio de una organización, tenemos la necesidad de mejorar, controlar y agilitar todos estos procesos; es por esta necesidad que nace la inquietud acerca del estudio de investigación sobre los Sistemas de Detección de Intrusos aplicando la guía de buenas prácticas para la Gestión de Servicios TI ITIL y para Gobierno TI COBIT, con el único objetivo de poder controlar y evaluar los procesos y seguridad de los sistemas informáticos en las organizaciones. Podemos decir que en la actualidad la Informática ha crecido con una rapidez impresionante y se encuentra presente desde una pequeña organización hasta la más importante y grande de un país, es por esto que la Informática se ha ido involucrando en las organizaciones tanto en el área administrativa como el área operativa para proveer de seguridad a las mismas. La Informática está encargada de proteger activos digitales dentro de la organización, tales como información confidencial, accesos a sus computadores de trabajo, archivos de clientes y otros elementos propios de las organizaciones. Es por esta razón y necesidad que se han creado metodologías, herramientas y técnicas que nos sean de utilidad para poder asegurar o salvaguardar la información o los datos importantes de las organizaciones; este es uno de los puntos que se puede evaluar al realizar un estudio acerca de la Detección de Intrusos y así proceder a otorgar la respectiva documentación para realizar la seguridad de los datos de una organización. Con el nacimiento de la Seguridad Informática se da cumplimiento a los objetivos de los sistemas informáticos en cuanto a la integridad, disponibilidad y confidencialidad de la información para poder realizar de una manera eficaz y eficiente el manejo de las tecnologías de información 1

19 CAPÍTULO 1 1. PRESENTACIÓN DEL PROBLEMA 1.1 Planteamiento del Problema El siguiente modelo de gestión de seguridad se presenta con motivo de que se ha encontrado muy poca información acerca de la aplicación de ITIL (Information Technology Infrastructure Library) y COBIT (Control Objectives for Information and Related Technologies), para la detección de intrusos a nivel tecnológico en la cooperativa de ahorro y crédito Chibuleo Ltda. Agencia Sangolqui. 1.2 Formulación del Problema A medida de que se han detectado intentos de ataques o intrusiones para acceder a información confidencial de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda que se encuentra en las aplicaciones informáticas o en la red de la empresa, se ha dado la necesidad de realizar un Modelo de Gestión de Seguridad mediante el uso de ITIL y COBIT enfocado a los Sistemas de Detección de Intrusos que nos ayudará a determinar y controlar los riesgos de la seguridad de la información en la Cooperativa. 1.3 Objetivos 1.3.1Objetivo General Elaborar un Modelo de Gestión de Seguridad mediante el uso de un Sistema de Detección de Intrusos en las aplicaciones informáticas preinstaladas en la Cooperativa de Ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui Objetivo Específico Para poder cumplir con el objetivo general planteado tenemos los siguientes objetivos específicos: Determinar las aplicaciones informáticas existentes que presenten un mayor riesgo de seguridad de la información. Definir el modelo de gestión de seguridad mediante las técnicas de ITIL y COBIT que describan la gestión de procesos y una guía de buenas prácticas de gestión de servicios TI. 2

20 Aplicar ITIL y COBIT en el modelo de gestión de seguridad planteado. 1.4 Alcance del Proyecto El presente modelo de gestión de seguridad sobre el uso de buenas prácticas de ITIL 2011 y COBIT 5 enfocado a los sistemas de detección de intrusos, pretende servir como guía teórica y práctica para poder realizar su aplicación en los sistemas informáticos y utilizarlo en la cooperativa de ahorro y crédito Chibuleo Ltda. Agencia Sangolqui, ya que en esta cooperativa se tiene un mayor riesgo de seguridad informática, por ser del ámbito financiero. Al hacer el estudio se realizará la parte de análisis de la información de donde obtendremos la manera en que trabaja la cooperativa de ahorro y crédito Chibuleo Ltda. Agencia Sangolqui. El modelo de gestión de seguridad contará con la elaboración de un informe en donde se presentan las situaciones más destacadas durante la investigación, las cuales vendrán hacer las dificultades encontradas y las partes de mayor interés que aportan al modelo de gestión de seguridad que se realizará. En el informe se presentarán las conclusiones y recomendaciones que se han obtenido a lo largo del desarrollo del modelo de gestión de seguridad las cuales se presentarán a la Cooperativa de Ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui. Se conocerá de qué manera podemos aplicar ITIL 2011 y COBIT 5 en los sistemas de detección de intrusos, para otorgar una mayor seguridad informática a la cooperativa de ahorro y crédito Chibuleo Ltda. Agencia Sangolqui. El Modelo de Gestión de seguridad por parte de ITIL 2011 se enfocará en la Gestión de seguridad. El Modelo de Gestión de seguridad por parte de COBIT 5 se enfocará en: Satisfacer las necesidades de las partes interesadas. 3

21 Cubrir la organización de forma integral. Aplicar un solo marco Integrado. 1.5 Justificación del Problema La Cooperativa de ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui se encuentra sujetas a riesgos, vulnerabilidades, imprevistos naturales en su información, ya que manejan grandes volúmenes de datos confidenciales de sus clientes y de la propia cooperativa y también atienden de forma independiente las operaciones de distintos usuarios u organizaciones, es por esto que se requiere un mayor nivel de seguridad, en los usuarios, en la cooperativa y en la forma de manejar la información a nivel general. Por eso que se ha dado la necesidad de elaborar un modelo de gestión de seguridad en base a ITIL y COBIT enfocado en los sistemas de detección de intrusos con procedimientos y métodos a seguir con el fin de ayudar a tener mayor seguridad en la parte informática, teniendo en cuenta dicho estudio como una guía teórica y práctica para que la Cooperativa de ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui, pueda aplicar una metodología adecuada, eficaz y eficiente para realizar un correcto manejo de la seguridad tanto internamente como externamente. 1.6 Limitaciones del Proyecto El proyecto solo se basará en ITIL (Information Technology Infrastructure Library), COBIT (Control Objectives for Information and Related Technologies) y los IDS (Sistemas de Detección de Intrusos). El proyecto se elaborará en base a la Cooperativa de Ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui. 4

22 CAPÍTULO 2 2. ANTECEDENTES En investigaciones que se han realizado anteriormente se observó que el desarrollo solo se ha realizado en base a los Sistemas de Detección de Intrusos como en la investigación del señor Emilio José Mira Alfaro en el año El objetivo del trabajo fue Instalar un Sistema de Detección de Intrusos (IDS) en la Universidad de Valencia dela mano de Red IRIS, la red académica española queda acceso de internet a la mayoría de las universidades de España. La relación que tiene el trabajo antes mencionado con él estudió que se va a realizar es que mediante los IDS vamos a tener la información de intrusiones y ataque que se estén intentando realizar a la Cooperativa de Ahorro y Crédito Chibuleo.Ltda, pero la diferencia que tenemos es que dicha información nos va a servir de ayuda para aplicar ITIL y COBIT como guías para la creación del Modelo de Gestión de Seguridad planteado. 2.1 MARCO TEÓRICO Introducción a la seguridad informática La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada. La RAE (Real Academia Española de la Lengua) define la palabra seguridad como cualidad de lo seguro, es decir que se está exento de todo daño, peligro o riesgo. Ahora desde el punto de vista de la informática afirmar que un sistema informático es seguro está más cerca de la utopía que de la realidad es por eso que debemos hablar de fiabilidad en lugar de seguridad. La fiabilidad la entendemos como la probabilidad 5

23 de que un dispositivo sea cualquiera este, desarrolle una determinada función, bajo condiciones óptimas y durante un período de tiempo determinado. Se puede considerar un sistema informático seguro si cumple con las siguientes características: Figura 1 Representación de Seguridad Informática Confidencialidad: La información solo debe ser legible para los autorizados. Integridad: La información solo puede ser modificada por quien está autorizado. Disponibilidad: La información debe estar disponible cuando se necesite. Irrefutabilidad (No rechazo, No repudio): Que no se pueda negar la autoría. En la actualidad la conectividad que se maneja es muy rápida y de muy buena calidad en las empresas y hasta los propios usuarios dan cabida a una gran cantidad de datos y su crecimiento es imparable, actualmente los atacantes son personas muy preparadas llegando a ser muchos de ellos expertos en buscar vulnerabilidades de los sistemas. Y a todo esto se suman el aspecto de cómo están configurados los sistemas, falta de recursos para instalar los parches de seguridad necesarios. Son por todas estas razones que es necesario enseñar desde el contexto de la seguridad informática, para poder entender cuan necesario es tener políticas y procedimientos de seguridad de primera línea, como pueden ser los cortafuegos, la encriptación de datos, antivirus, anti spyware etc., en esta primera línea todas estas 6

24 defensas deben ser complementadas con herramientas que permitan monitorizar el comportamiento del tráfico y las actividades de los usuarios de red. Es en esta área y situación que surgen los Sistemas de Detección de Intrusos, como uno de los campos más investigados en los últimos años. A continuación tenemos cuatro tipos de ataques en los que los Sistemas de Detección de Intrusos nos ayudan a detectar: Denegación de Servicio: Estos ataques tratan de detener el funcionamiento de una red, máquina o proceso; en caso contrario denegar el uso de los recursos o servicios a usuarios autorizados. Hay dos tipos de ataques DoS: por un lado ataques de sistema operativo, los cuales tratan de explotar los fallos en determinados sistemas operativos y pueden evitarse aplicando los respectivos parches y ataques de red que explotan limitaciones inherentes de los protocolos e infraestructura de red. Figura 2: Denegación de Servicio 7

25 Indagación o Exploración: Este tipo de ataques escanean las redes tratando de identificar direcciones IP válidas y recoger información acerca de ellas. A menudo, esta información provee al atacante una lista de vulnerabilidades potenciales que podrían ser utilizadas para cometer ataques a los servicios y a las máquinas. Estos ataques son los más frecuentes y a menudo son precursores de otros ataques. Figura 3: Indagación o Exploración R2L (Remote to Local): Este tipo de ataque se produce cuando un atacante que no dispone de una cuenta alguna en una máquina. En la mayoría de los ataques R2L, el atacante entra en el sistema informático a través del internet. 8

26 Figura 4: Remote to Local U2R (User to Root): Este tipo de ataque se da cuando un atacante que dispone de una cuenta en un sistema informático es capaz de obtener mayores privilegios explotando vulnerabilidades en los mismos, un agujero en el sistema operativo o en un programa instalado en el sistema. Ante estas amenazas se dio la necesidad de definir diferentes estrategias para garantizar la confidencialidad, integridad y disponibilidad y el no repudio de la información. Figura 5: User to Root 9

27 2.2 SISTEMAS DE DETECCIÓN DE INTRUSOS Qué es un Sistema de Detección de Intrusos? Un sistema de detección de intrusiones (IDS de sus siglas en inglés Intrusion Detection System) es un programa de detección de accesos no autorizados a un computador o a una red. Un Sistema de Detección de Intrusos es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión. Figura 6: Sistema de Detección de Intrusos Se define intento de intrusión a los ataques que puedan comprometer la confidencialidad, disponibilidad, integridad de los mecanismos de seguridad que se tenga en una computadora o red. Los ataques o intentos de intrusiones se pueden dar de varias maneras como por ejemplo: Atacantes no autorizados que intenta acceder al sistema. Usuarios autorizados que intentan obtener privilegios adicionales para los cuales no están autorizados. 10

28 Usuarios que si están autorizados pero no dan buen uso de los privilegios que se le han otorgado para el uso del sistema. Atacantes que quieren acceder al sistema desde internet, mediante herramientas específicas para lograr la intrusión Objetivos de los Sistemas de Detección de Intrusos Para el buen funcionamiento de los Sistemas de Detección de Intrusiones, es necesario que cumplan con los objetivos que tienen asignados, estos consisten en el cumplimiento de los siguientes puntos: Vigilar y analizar la actividad de los usuarios y del sistema. Revisar las configuraciones del sistema y de las vulnerabilidades. Evaluar la integridad de los archivos críticos del sistema y de los datos. Reconocimiento de los modelos de la actividad que reflejan ataques conocidos. Análisis estadístico para los modelos anormales de la actividad. Gerencia del rastro de intervención del sistema operativo, con el reconocimiento de las violaciones de la actividad del usuario respecto a la política establecida. Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de la organización. La combinación de estas características hace que sea más fácil para los encargados del sistema, vigilar la intervención y la evaluación de sus sistemas y redes. Esta actividad en curso de la intervención y de la evaluación, es una práctica necesaria de una sana gerencia de seguridad. 2.3 FUNCIONAMIENTO DE LOS IDS El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al no entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como no puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo 11

29 del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. Figura 7: Funcionamiento de los IDS 2.4 POR QUÉ UTILIZAR UN IDS? Los Sistemas de Detección de Intrusiones ayudan y permiten a las organizaciones proteger el software que tengan en una computadora o una red de intrusos o atacantes que pretendan acceder a la información confidencial de la empresa y así poder vulnerar la integridad y disponibilidad de la misma. Los IDS con el tiempo han ido ganando mucha aceptación en la infraestructura de seguridad como una parte fundamental que brinda protección a una organización. Existen varias razones para obtener e implementar un IDS: 12

30 2.4.1 Prevenir problemas al disuadir a individuos hostiles. Al incrementar la posibilidad de descubrir y eliminar a los atacantes, estos mismos se darán cuenta de cuán difícil es realizar una intrusión de forma que la mayoría de ataques no llegarán a producirse o lograrse. Al mismo tiempo al tener un sistema de seguridad sofisticado o muy bien implementado en la organización, puede aumentar la curiosidad del atacante y en este caso esto puede estar en nuestra contra ya que el atacante no se rendirá hasta no concretar su ataque Detectar ataque y otras violaciones de seguridad Los atacantes, usando técnicas ampliamente conocidas, pueden conseguir accesos no autorizados a muchos sistemas, especialmente a aquellos conectados a redes públicas. Esto a menudo ocurre cuando vulnerabilidades conocidas no son corregidas. En algunos sistemas heredados, los sistemas operativos no pueden ser parchados o actualizados. Incluso en los sistemas que podemos aplicar parches, los administradores a veces no tienen el suficiente tiempo y recursos para seguir e instalar las últimas actualizaciones necesarias. Esto es un problema común, sobre todo en entornos que incluyen un gran número de hosts con sistemas operativos y hardware variado. Los usuarios y administradores pueden equivocarse al configurar sus sistemas. Un sistema de detección de intrusos puede ser una excelente herramienta de protección de sistemas, también se puede detectar cuando un atacante ha intentado penetrar en un sistema explotando un fallo no corregido. De esta forma, podríamos avisar al administrador para que llevara a cabo un respaldo del sistema inmediatamente, evitando así que se pierda información valiosa Detectar preámbulos de ataques Cuando se ataque un sistema se lo realiza por las partes más predecibles realizando varias pruebas. En la primera fase el atacante examina y hace pruebas para buscar el punto de entrada más frágil y óptimo para el ataque, cuando no tenemos un IDS en nuestra red o sistema el atacante es libre de examinar el sistema o red con un riesgo mínimo de ser detectado. 13

31 Al tener un IDS monitorizando las operaciones que realiza una red o sistema de una organización se va a presentar mucha dificultad de que el atacante encuentre un punto débil para poder entrar. Y aunque el atacante pueda examinar la red, el IDS podrá saber que pruebas se realizaron y las identificará como sospechosas, podrá bloquear el acceso del atacante al sistema objetivo y dará aviso al personal de seguridad de lo que ha sucedido para que este tome medidas y acciones pertinentes Documentar el riesgo de la organización Al realizar un política de seguridad para la organización o un plan para la gestión de la seguridad de la misma primero debemos conocer cuan alto es el riesgo de la organización a posibles amenazas o la probabilidad de ser atacada o si incluso ya está siendo atacada. El Sistema de Detección de Intrusos nos ayuda a reconocer amenazas fuera y dentro de la organización para ayudarnos a tomar decisiones acerca de que recursos de seguridad debemos implementar en nuestra red y que grado de seguridad debemos adoptar al crear un plan de política de seguridad Proveer información útil sobre las intrusiones que se están produciendo. Los IDS son capaces de recolectar información importante acerca de los ataques que se han intentado realizar o se han realizado, esto nos puede ayudar bajo ciertas circunstancias como pruebas en actuaciones legales. 2.5 ARQUITECTURA DE LOS SISTEMAS DE DETECCIÓN DE INTRUSOS. Tenemos diferentes tipos de arquitecturas, pero la mayoría de ellas no se las pone en práctica. Esto da paso a que los fabricantes de los IDS no se acoplen a una sola arquitectura y se pueda interoperar entre varios productos de IDSs, entonces si es que no existe un solo producto con el cual podamos realizar todo lo que se necesita es mejor utilizar distintos productos que trabajen juntos para poder aumentar nuestra capacidad de detección de intrusos. Es así que para que estos productos funcionen juntos debemos aplicar estándares, tenemos varios estándares los cuales se los indica a continuación: 14

32 CIDF (Common Intrusion Detection Framework) Este estándar fue unos de los primeros en querer realizarse para la arquitectura de los IDS, pero no logró su aceptación como estándar, pero logró establecer un modelo y un vocabulario para discutir sobre las intrusiones. CISL (Common Intrusion Specification Language) El Lenguaje de especificaciones de Intrusiones Común viene de la necesidad de unir los cuatro tipos de equipos de CIDF., al diseñar este tipo de arquitectura debía ser capaz de transmitir los siguientes tipos de información eventos en bruto, resultado de análisis y respuestas de los análisis. Autopost de AusCERT El CERT australiano desarrolló un sistema de trabajo sencillo que permitía que se analizara y se agregara un informe en una base de datos con tan solo un par de líneas de Perl. Este Sistema es muy sencillo de construir y analizar tiene muy buena interoperabilidad, pero también tiene un problema y es que los sistemas de detección de intrusos necesitan una gran especificación al momento en que ocurren los ataques (una fidelidad alta) acerca del evento sucedido y donde se localiza. Arquitectura de IDWG (Intrusion Detection Working) Está arquitectura tiene como objetivo el de definir formatos y procedimientos de intercambio de información entre los diversos subsistemas del IDS. Los resultados de este grupo de trabajo serán: 1. Documentos que describan los requerimientos funcionales de alto nivel para la comunicación entre sistemas de detección de intrusos y entre los sistemas de detección de intrusos y sus sistemas de gestión. 2. Un lenguaje común de especificación que describa el formato de los datos. 15

33 3. Un marco de trabajo que identifique los mejores protocolos que se puedan usar para la comunicación entre los IDSs y que se defina como se mapean en éstos los formatos de datos. 2.6 CLASIFICACIÒN DE LOS SISTEMAS DE DETECCIÒN DE INTRUSOS Hay algunas formas de clasificar a los Sistemas de Detección de Intrusos: Fuentes de Información Hay distintas maneras de las que un IDS pueden recoger información o eventos que han sucedido, la una es mediante IDSs que analizan paquetes de Red, capturados directamente desde la red o segmentos LAN y la otra es mediante IDSs que analizan el sistema operativo, software de aplicaciones en busca de eventos que se han generado al momento de que un intruso a querido ingresar al sistema Sistema de Detección de Intrusos basados en Red (NIDS) Los IDSs basados en red son los más conocidos y utilizados, estos IDSs trabajan detectando ataques, analizando y escuchando los paquetes de red para tener capturas de las partes en las que se intentó realizar la intrusión, un NIDS puede realzar un monitoreo del tráfico que afecta a múltiples hosts que se encuentran conectados a ese segmento de red y así lograr proteger a estos hosts tomando prevenciones. Estos IDSs que se basan en el análisis de la red a menudo tiene un conjunto de sensores por todo los puntos de la red para así poder localizar e informar que se está realizando un ataque, también esto funciona para monitorear el tráfico realizando análisis local y al mismo tiempo informando los ataque que se producen a la consola de gestión. La mayoría de los sensores son configurados y diseñados para correr en modo oculto, esto hace que sea más difícil para el atacante poder detectar y localizar la presencia de una de estos sensores. Al estar los sensores limitados a ejecutar el software de detección de intrusos pueden ser más fácilmente asegurados contra los atacantes y los ataques que realicen. 16

34 Figura 8: IDS basados en red Ventajas: Los NIDS son normalmente dispositivos pasivos por esta razón no tiene un gran impacto en la red y por lo tanto al momento en que la red realice sus operaciones habituales este no interfiere con la misma. Un Sistema de Detección de Intrusos bien ubicado puede monitorear un red grande, siempre que el IDS cuente con la capacidad suficiente para poder analizar todo el tráfico. Los Sistemas de Detección de Intrusos se los puede configurar para que sean muy seguros ante los ataques ya que se los pueden hacer invisibles al resto de la red en la que se encuentra. Desventajas: Los IDSs tienen un problema con la información cifrada ya que no la analizan esto es un problema cuando la organización utiliza cifrado en 17

35 el propio nivel de red entre host, pero esto se puede resolver con una política de red más relajada como por ejemplo IPSec en modo túnel. Los IDS al estar en una red muy grande o con mucho tráfico pueden fallar en reconocer ataques o intrusos durante el tiempo en que haya tráfico muy alto en la red, por eso algunos fabricantes están implementando IDSs completamente en hardware ya que esto es mucho más rápido para este tipo de tráfico. Los IDS que operan en nivel de red no saben si el ataque tuvo éxito o no lo único que saben es que hubo un ataque, esto significa que después de que se ha detectado un ataque los administradores deben analizar manualmente cada host que se ha atacado para detectar si hubo penetración en la red y si tuvo éxito o no. Algunos IDS tienen problemas ala analizar paquetes que vienen fragmentados ya que esto hace que sea inestable el análisis de intrusión Sistemas de Detección de Intrusos basados en hosts (HIDS) Este tipo de IDS fueron los primeros en desarrollarse y en ser implementados, estos IDS operan desde dentro de una computadora en base a la información recogida como son los ficheros de auditoría del sistema operativo, al realizar este tipo de análisis el IDS determina con una mayor exactitud que usuarios y que procesos han sido involucrados para realizar un ataque en particular dentro de su sistema sin que se dieran cuenta. Lo HIDS pueden monitorizar directamente los ficheros de datos, procesos y al mismo tiempo ver el resultado de una ataque interno, por otra parte esto no lo realice un NIDS. Ventajas: Al tener la capacidad de monitorear directamente sobre el host atacado pueden detectar los ataques mucho mejor, un IDS no puede observar estos ataques. También los HIDS puede operar en entornos donde el tráfico se presenta en forma cifrada, esto se da por que la información es analizada en el host de origen antes de que se cifre los datos y también 18

36 Desventajas: la pueden analizar después de que los datos sean descifrados en el host de destino. Si el host al que se está realizando un ataque puede ser deshabilitado si es que el ataque realizado tuvo éxito, aunque este host se encuentre monitorizado. Se puede deshabilitar por algunos ataques DoS. Influyen en el sistema monitorizado ya que utilizan recursos del host que se encuentra monitorizando a los demás. El costo de un IDS basado en host es más costoso en cuanto a la administración por el hecho en que la configuración y gestión se la realiza uno por uno, se tiene un IDS por cada sistema que se monitoriza. Mientras que en los NIDS se tiene un IDS por múltiples sistemas monitorizados. Figura 9: IDS basados en host 19

37 2.7 TPOS DE IDS EN FUNCIÓN DE SU ESTRUCTURA. La clasificación que se presenta está basada en las estrategias de control que utiliza el IDS. Y es por eso que tenemos dos tipos de estructuras: distribuidos y centralizados Distribuidos Los Sistemas de Detección de Intrusos Distribuidos aparecieron con el fin de paliar las deficiencias de los sistemas centralizados, ya que en algunas estructuras de red no se puede analizar todo el tráfico en un solo punto sin producir una degradación en el rendimiento. Para estos casos instalamos sistemas distribuidos, estos sistemas disponen de varios sensores que están repartidos en varios puntos de red y diversas máquinas, todo esto se comunica con un nodo central a este nodo se envía toda la información relevante y donde los datos se analizan para tener una visión más amplia acerca del sistema como conjunto y así poder detectar con mayor fiabilidad los ataques de los intrusos. Como se tiene varios sensores esto permite ampliar la información para la detección de un incidente en el sistema. Este tipo de IDS nos ayuda más a monitorizar la actividad entre varias redes ya sí podemos tener una visión global. Los componentes habituales de un IDS son: Transceptores que se encargan de la comunicación. Agentes que monitorizan la actividad. Maestros que centralizan los datos. La consola de eventos, que es el interfaz con el operador. Otros componentes como: generadores, proxies, actores, clusters. 20

38 Figura 10: Estructura Distribuida En el esquema anterior podemos observar los elementos de un sistema distribuido. En primer lugar está la consola de eventos (E), y posteriormente aparece un maestro (M) y cinco transceptores que constituyen cinco subsistemas (T). Cada subsistema está compuesto por un número determinado de agentes (A) Centralizados Estos IDS emplean sensores que transmiten información a un sistema central desde donde se controla todo. Así se ahorra equipamiento pero manteniendo un amplio conjunto de sensores desde donde se recoge la información. Figura 11: Estructura Centralizada 21

39 2.8 TIPOS DE IDS EN FUNCIÓN DE SU COMPORTAMIENTO Los IDS se clasifican en función de las tareas que realizan. Estas tareas son principalmente la prevención y la reacción. IDS Pasivos: realizan la prevención escuchando el tráfico. IDS Activos: elaboran respuestas defensivas antes del ataque Pasivos (IDS) Estos IDS realizan la función de notificar a la autoridad competente o al administrador de la red que hubo un intento de ataque mediante el sistema que sea: alerta, log, etc. Pero no actúan sobre el ataque o el atacante. Estos IDS solamente se dedican a a procesar la información en busca de intrusos, una vez que se encuentra con una intruso o un intento de intrusión el IDS emite una alerta y deja que el operador o administrador de la red tome una decisión para realizar una acción en consecuencia a la intrusión, este sistema carece de las unidades de respuesta Activos (IPS) IPS, Sistema de Prevención de Intrusos se está publicando para la solución a las empresas, lo que realiza un IPS es responder a las alertas de intrusos a medida en que se van generando, para realizar esto lo realizamos en conjunto común cortafuegos o un router para escribir las reglas personalizadas en el momento en que se genera un problema podemos bloquear las direcciones ip sospechosas o se puede contratacar al sistemas que quiere realizar la intrusión. Estos sistemas proporcionan respuestas que son automatizadas, se toman al momento en que se generan cierto tipo de intrusiones, tenemos tres categorías de respuestas activas: Incrementar la sensitividad de las fuentes de información: ya que se tiene información sobre los ataques se podría incrementar el nivel de sensitividad de las fuentes de información, debemos incrementar el número de paquetes que debe capturar un NIDS no restringirlo solamente a un puerto o una computadora, esto va a permitir a nuestra organización tener una mayor cantidad de información para poder capturar a un atacante. 22

40 Cambiar el ambiente: Esto consiste en detener un ataque en progreso, a través de la reconfiguración de dispositivos como routers o sistemas de protección perimetral para bloquear el acceso del atacante. Tomar acciones contra el atacante: Esta parte es en la que podemos lanzar ataque directamente al intruso para obtener información de la computadora que nos está atacando, o el sitio en donde se encuentra el atacante. Sin embargo este tipo de respuesta no se recomienda ya que la mayoría de los atacantes realizan ataques desde redes falsas 2.9 DETECCIÒN DE ANOMALÍAS La detección de anomalías se centra en identificar comportamientos inusuales en un host o una red, basan su funcionamiento asumiendo que los ataques que se producen son diferentes a la actividad normal en base a la construcción de perfiles que representan el comportamiento normal de usuarios, conexiones de red o hosts, para realizar estos perfiles se lo hace mediante la recolección de datos a lo largo del uso normal de las operaciones que se realizan, estos detectores de anomalías recogen eventos y usan medidas para saber cuándo la actividad que se está monitorizando se desvía de una actividad normal. Figura 12: Detección de Anomalías Las medidas y técnicas usadas en la detección de anomalías incluyen: Detección de un umbral sobre los comportamientos de un usuario como son el número de intentos en el que intento acceder a un fichero en un tiempo establecido, la cantidad de uso de CPU que se utiliza para un proceso, el número de intentos fallidos para entrar al sistema, etc. Estos niveles pueden ser estáticos o heurísticos. Medidas estadísticas, donde pueden ser paramétricas donde un atributo perfilado se va a asumir que encaja con un cierto patrón, o no paramétricas, 23

41 donde los atributos perfilados para su distribución son aprendidos de valores históricos que han sido almacenados y observados a lo largo del tiempo. Otras técnicas incluyen redes neuronales, algoritmos genéticos y modelos de sistema inmune. Solo las dos primeras se utilizan en los IDS actuales, el resto son parte de proyectos de investigación. Ventajas: Los IDSs que se basan en detección de anomalías tienen la capacidad de detectar ataques para los cuales no tiene un conocimiento específico ya que detectan comportamientos inusuales. Estos IDSs pueden obtener información para producir firmas que a su vez se las puede utilizar en la detección de abusos COMPARACIÒN CON CORTAFUEGOS Los sistemas de detección de intrusos y los cortafuegos se encuentran relacionados con seguridad en redes de información, pero un Cortafuegos examina exteriormente las intrusiones que se puedan realizar para evitar que estas ocurran, un cortafuegos limita el acceso entre redes, para prevenir una intrusión, pero no puede determinar un ataque que pueda estar ocurriendo internamente en la red. Mientras que un IDS evalúa una intrusión al momento en que se genera un alarma y que se originan dentro del sistema, estos ataques normalmente se pueden conseguir examinando comunicaciones y examinando mediante patrones que ya antes hayan ocurrido o ataques comunes ya clasificados en las firmas de ataques y a su vez los IDS toman una acción para alertar a un operador DONDE COLOCAR UN IDS La primera decisión que debemos tomar una vez que se requiere instalar un IDS es saber dónde se va a localizar ya que de esta decisión dependerá tanto el equipo que usemos como el software IDS o la base de datos, se explica de la siguiente manera: 24

42 En una Organización Tenemos tres zonas donde se puede colocar un IDS, como se muestra en la figura: Figura 13: Colocación de IDS en una Organización Características que representa cada una de estas zonas: Zona Roja: Esta es una zona d alto riesgo. En esta zona debemos configurar al IDS para que trabaje con poca sensibilidad ya que está ubicado donde entra y sale todo el tráfico de nuestra red y por está razón tendríamos más posibilidades de que ocurran falsas alarmas. Zona Verde: En esta zona el IDS se deberá configurar con un poco más de sensibilidad que en la zona roja ya que tenemos a un firewall incluido que nos ayudará con algunos accesos no permitidos que se han definido en las políticas de nuestra organización, en esta zona tenemos menor número de falsas alarmas puesto que solo deben estar permitidos accesos a nuestros servidores. Zona Azul: Esta es la zona de confianza cualquier tráfico anómalo que llegue hasta esta zona debe ser considerado como hostil, también en este punto de la red se producirán la menor cantidad de falsas alarmas, por lo que al momento 25

43 de que se presente cualquier alarma del IDS deberá ser estudiada inmediatamente En un ISP Es posible que el tráfico a la entrada de este ISP sea demasiado grande como para ser técnicamente imposible instalar un único IDS que lo analice todo. Para estos casos es necesario un sistema de detección de intrusos que pueda separar los sensores de la estación de análisis. Una posible solución podría serla de instalar un sensor en cada uno de los nodos que conectan físicamente con las organizaciones a las que da servicio el ISP, y que estos sensores envíen las alertas generadas a la estación de análisis. Figura 14: Colocación de un IDS en ISP Esta transmisión debe realizarse de forma segura (y esto quiere decir cifrada ) y a intervalos de puestos que si el sensor avisa de la alerta nada más ésta se ha producido, un atacante podría monitorizar todo el tráfico que genera el sensor hacia la estación de análisis y deducir si un ataque ha sido detectado por el sensor o no. 26

44 2.12 ACTUALIDAD EN LOS SISTEMAS DE DETECCIÒN DE INTRUSOS En la actualidad hay muchos sistemas de detección de intrusos que ofrecen una gran variedad de soluciones tanto para la red como para las aplicaciones y hay muchas empresas que hoy en día se dedican a la creación de estos IDS. Entre los principales Sistemas de Detección de Intrusos destacan en la actualidad los siguientes: Cisco Symantec Internet Security Systems Enterasys Snort A continuación se describirán brevemente cada uno de ellos: Sistemas Cisco Figura 15: IDS Cisco El sistema de detección de intrusos de Cisco, introdujo su primer IDS en el mercado en Proporciona soluciones basadas tanto en sistemas basados en host como en red, y permiten detectar, prevenir y reaccionar contra actividades no autorizadas a través de la red. La versión del sensor de Cisco v3.0, incluye un mecanismo de actualización automática de firmas, un lenguaje robusto que permite a los clientes escribir sus 27

45 propias firmas y extensiones al módulo de respuestas que añaden soporte para la familia de firewalls Cisco PIX y para los conmutadores Cisco Catalyst R. Cisco Secure IDS incluye dos componentes: Sensor y Director. Las herramientas de red de alta velocidad Cisco Secure IDS Sensors analizan el contenido y el contexto de los paquetes individuales para determinar si se autoriza su tráfico. Si se detecta una intrusión, los sensores de Cisco Secure IDS pueden detectar el uso incorrecto en tiempo real, enviar alarmas a una consola de gestión de Cisco Secure IDS Director para su localización y sacar al atacante de la red Internet Security Systems (ISS) Este IDS proporciona una solución de detección de intrusión híbrida y un sistema NIDS que funciona independientemente del sistema híbrido. IIS apareció en el mercado de los NIDS con el lanzamiento de RealSecure. RealSecure proporciona detección, prevención y respuestas a ataques y abusos originados en cualquier punto de la red. Entre las respuestas automáticas a actividades no autorizadas se incluyen el almacenamiento de los eventos en una base de datos, el bloqueo de una conexión, enviar s, suspender o deshabilitar una cuenta en un host o crear una alerta definida por el usuario. El sensor de red rápidamente se ajusta a diferentes necesidades de red, incluyendo alertas específicas por el usuario, sintonización de firmas de ataques y creación de firmas definidas por el usuario. Las firmas son actualizables automáticamente mediante la aplicación X-Press Update. Todos los sensores son centralmente gestionados por la consola RealSecure SiteProtector Symantec Symantec adquirió Axent y así obtuvo las tecnologías NetProwler y su Intruder Alert. Entre la gama de productos de Symantec, están los modelos de Seguridad de Gateway 320, 360 y 360R que no son vulnerables a los ataques de Denegación de Servicios, aunque sí lo son a ataques como servicios activos de identificación en la interfaz WAN, la exploración de los servicios y a la alteración del firewall. 28

46 Figura 16: SYMANTEC Gateway Security 320 Firewall Enterasys Enterasys: es un tipo de compañía que construye diferentes medidas de seguridad para los usuarios y para las aplicaciones a través de hardware de red orientado a los servicios y software de seguridad. Un ejemplo de producto desarrollado por Enterasys es Secure Gigabit Ethernet Workgroup L2 Switch con Soporte de Políticas Opcional, llamado Enterasys D2. Enterasys D2 proporciona 12 puertos Gigabit Ethernet (GbE) con conectividad de 10/100/1000 Mbps RJ45 con opciones integradas Power sobre Ethernet (PoE) y soporte para potencia redundante. Figura 17: Enterasys Por otro lado además de las soluciones comerciales se encuentran soluciones de libre distribución de gran utilidad como son: Snort ( Prelude ( Secure Point ( Aide ( Snare ( 29

47 2.13 ITIL Infraestructura de Tecnologías de la Información Figura 18: Logo de ITIL Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de para la Gestión de Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente y de libre utilización Que es ITIL? ITIL puede ser definido como un conjunto de buenas prácticas destinadas a mejorar la gestión y provisión de servicios TI. Su objetivo último es mejorar la calidad de los servicios TI ofrecidos, evitar los problemas asociados a los mismos y en caso de que estos ocurran ofrecer un marco de actuación para que estos sean solucionados con el menor impacto y a la mayor brevedad posible. Sus orígenes se remontan a la década de los 80 cuando el gobierno británico, preocupado por la calidad de los servicios TI de los que dependía la administración, solicito a una de sus agencias, la CCTA acrónimo de Central Computer and Telecommunications Agency, para que desarrollara un estándar para la provisión eficiente de servicios TI. En la actualidad es AXELOS el organismo encargado de velar por este estándar: 30

48 AXELOS cuenta con la colaboración de varias organizaciones para el mantenimiento de ITIL: itsmf: el Information Technology Management Forum es una organización independiente y reconocida internacionalmente que tiene como principal objetivo impulsar la adopción de las mejores prácticas ITIL para la gestión de servicios TI. APM Group: es una organización comercial encargada por AXELOS de definir, publicar y gestionar las certificaciones ITIL así como de acreditar a los organismos examinadores. Organismos examinadores: en la actualidad existen varios organismos examinadores acreditados por AXELOS entre los que se encuentran EXIN, BCS/ISEB y LCS Gestión de Servicios TI Aunque todos tengamos una idea intuitivamente clara del concepto de servicio es difícil proponer una única y sucinta definición del mismo. ITIL nos ofrece la siguiente definición: Un servicio es un medio para entregar valor a los clientes facilitándoles un resultado deseado sin la necesidad de que estos asuman los costes y riesgos específicos asociados. En otras palabras, el objetivo de un servicio es satisfacer una necesidad sin asumir directamente las capacidades y recursos necesarios para ello. Si deseamos, por ejemplo, mantener limpias las instalaciones de nuestra empresa disponemos de dos opciones: Contratar a todo el personal y recursos necesarios (limpiadores, productos de limpieza, etcétera) asumiendo todos los costes y riesgos directos de su gestión. Contratar los servicios de una empresa especializada. Si optamos por esta segunda opción cuál es el valor aportado por la prestadora de ese servicio: 31

49 Utilidad: las instalaciones de la empresa se mantendrán limpias. Garantía: la empresa contratada será responsable de que se realice la limpieza de forma periódica y según unos estándares de calidad predeterminados. Es obvio que optar por otra opción dependerá de las circunstancias de cada empresa: su tamaño, estructura, etcétera. Sin embargo, la tendencia actual es a subcontratar todos aquellos servicios que se alejen de la actividad principal de la empresa. Un aspecto importante a destacar es que aún en el caso de que se adoptara la decisión de realizar las tareas de limpieza por personal de la empresa estas podrían ser ofrecidas por un proveedor interno siempre que las funciones y procesos involucrados se estructurarán consecuentemente. En cualquier caso una correcta gestión de este servicio requerirá: Conocer las necesidades del cliente Estimar la capacidad y recursos necesarios para la prestación del servicio Establecer los niveles de calidad del servicio Supervisar la prestación del servicio Establecer mecanismos de mejora y evolución del servicio El objetivo de ITIL es precisamente ofrecer tanto a los proveedores como receptores de servicios TI de un marco que facilite todas estas tareas y procesos. ITIL define la Gestión de Servicios como un conjunto de capacidades organizativas especializadas para la provisión de valor a los clientes en forma de servicios. Los principios básicos para la gestión de servicios se resumen en: Especialización y coordinación: los clientes deben especializarse en la gestión de su negocio y los proveedores en la gestión del servicio. El proveedor debe garantizar la coordinación entre los recursos y capacidades de ambos. El principio de Agencia: los agentes actúan como intermediarios entre el cliente o usuario y el proveedor de servicios y son los responsables de la correcta prestación de dichos servicios. Estos deben de actuar siguiendo las 32

50 indicaciones del cliente y protegiendo los intereses del cliente, los usuarios y los suyos propios. Los agentes pueden ser empleados del proveedor de servicios o incluso interfaces de interacción con el usuario en sistema gestionados automáticamente. Encapsulación: los clientes y usuarios solo están interesados en la utilidad y garantía del servicio y no en los detalles precisos para su correcta prestación. La encapsulación se consigue a través de la: o Separación de conceptos complejos se en diferentes partes independientes que pueden ser tratadas independientemente. o o Modularidad que permite agrupar funcionalidades similares en forma de módulos auto contenidos. Acoplamiento flexible entre recursos y usuarios, mediante, por ejemplo, sistemas redundantes, que evita que cambios o alteraciones en los recursos afecten negativamente a la experiencia de usuario. Sistemas: según ITIL los sistemas son grupos de componentes interrelacionados o interdependientes que forman una unidad y colaboran entre sí para conseguir un objetivo común. Los aspectos clave para el correcto rendimiento de un sistema son: o o Procesos de control Feedback y aprendizaje Gobierno TI Aunque no existe una única y universalmente adoptada definición de Gobierno TI sí existe un consenso general sobre la importancia de disponer de un marco general de referencia para la dirección, administración y control de las infraestructuras y servicios TI. Aunque ITIL es a veces considerado como un marco para el Gobierno TI sus objetivos son más modestos pues se limitan exclusivamente a aspectos de gestión. 33

51 Para aclarar las diferencias quizá sea conveniente remitirnos a un ejemplo que se aparta del entorno de las TI y del que todos somos buenos conocedores: gobierno versus administración pública. El gobierno es el responsable de establecer políticas y directrices de actuación que recojan las inquietudes y cubran las necesidades de los ciudadanos. Las administraciones públicas son las encargadas de asegurar que esas políticas se implementen, ofreciendo los servicios correspondientes, asegurando el cumplimiento de las normas establecidas, prestando apoyo, recogiendo reclamaciones y propuestas, etcétera. ITIL sería en este caso el equivalente TI de un conjunto de buenas prácticas para la administración del estado pero no para su gobierno (aunque algunas veces las fronteras entre ambos no estén claramente delimitadas). Es evidente la dificultad de establecer un conjunto de buenas prácticas para el buen gobierno, sin embargo, estas existen de hecho y ejemplo de ello son la Declaración Universal de Derechos Humanos y todo el corpus del derecho internacional. El Gobierno TI es parte integrante del Gobierno Corporativo y como tal debe centrarse en las implicaciones que los servicios e infraestructura TI tienen en el futuro y sostenibilidad de la empresa asegurando su alineación con los objetivos estratégicos. La creciente importancia de los servicios TI para las empresas nos hace creer que todos los aspectos relacionados con el Gobierno TI serán un hot topic en los próximos años y que se realizarán importantes desarrollos en este terreno El ciclo de vida de los servicios TI ITIL es una estructura la gestión de los servicios TI sobre el concepto de Ciclo de Vida de los Servicios. Este enfoque tiene como objetivo ofrecer una visión global de la vida de un servicio desde su diseño hasta su eventual abandono sin por ello ignorar los detalles de todos los procesos y funciones involucrados en la eficiente prestación del mismo. El Ciclo de Vida del Servicio consta de cinco fases que se corresponden con los nuevos libros de ITIL: 34

52 1. Estrategia del Servicio: propone tratar la gestión de servicios no sólo como una capacidad sino como un activo estratégico. 2. Diseño del Servicio: cubre los principios y métodos necesarios para transformar los objetivos estratégicos en portafolios de servicios y activos. 3. Transición del Servicio: cubre el proceso de transición para la implementación de nuevos servicios o su mejora. 4. Operación del Servicio: cubre las mejores prácticas para la gestión del día a día en la operación del servicio. 5. Mejora Continua del Servicio: proporciona una guía para la creación y mantenimiento del valor ofrecido a los clientes a traces de un diseño, transición y operación del servicio optimizado. Figura 19: Ciclo de vida de ITIL Estos libros no son departamentos estancos e ITIL tiene en cuenta las múltiples interrelaciones entre ellos y como estas afectan a los aspectos globales de todo el ciclo de vida del servicio. Estos cinco libros ofrecen una guía práctica sobre como 35

53 estructurar la Gestión de Servicios TI de forma que estos estén correctamente alineados con los procesos de negocio Funciones, procesos y roles ITIL marca una clara distinción entre funciones y procesos. Una función es una unidad especializada en la realización de una cierta actividad y es la responsable de su resultado. Las funciones incorporan todos los recursos y capacidades necesarias para el correcto desarrollo de dicha actividad. Las funciones tienen como principal objetivo dotar a las organizaciones de una estructura acorde con el principio de especialización. Sin embargo la falta de coordinación entre funciones puede resultar en la creación de nichos contraproducentes para el rendimiento de la organización como un todo. En este último caso un modelo organizativo basado en procesos puede ayudar a mejorar la productividad de la organización en su conjunto. Un proceso es un conjunto de actividades interrelacionadas orientadas a cumplir un objetivo específico. Los procesos comparten las siguientes características: Los procesos son cuantificables y se basan en el rendimiento. Tienen resultados específicos. Los procesos tienen un cliente final que es el receptor de dicho resultado. Se inician como respuesta a un evento. El Centro de Servicios y la Gestión del Cambio son dos claros ejemplos de función y proceso respectivamente. Sin embargo, en la vida real la dicotomía entre funciones y procesos no siempre es tan evidente pues puede depender de la estructura organizativa de la empresa u organismo en cuestión. Un rol es un conjunto de actividades y responsabilidades asignada a una persona o un grupo. Una persona o grupo puede desempeñar simultáneamente más de un rol. 36

54 Hay cuatro roles genéricos que juegan un papel especialmente importante en la gestión de servicios TI: Gestor del Servicio: es el responsable de la gestión de un servicio durante todo su ciclo de vida: desarrollo, implementación, mantenimiento, monitorización y evaluación. Propietario del Servicio: es el último responsable cara al cliente y a la organización TI de la prestación de un servicio específico. Gestor del Proceso: es el responsable de la gestión de toda la operativa asociada a un proceso en particular: planificación, organización, monitorización y generación de informes. Propietario del Proceso: es el último responsable frente a la organización TI de que el proceso cumple sus objetivos. Debe estar involucrado en su fase de diseño, implementación y cambio asegurando en todo momento que se dispone de las métricas necesarias para su correcta monitorización, evaluación y eventual mejora. Sin embargo, ITIL no sólo supone un cambio de perspectiva sino que propone una visión mucho más integral y conceptualmente detallada de todos los aspectos involucrados en la Gestión de los Servicios y sus procesos asociados. ITIL también introduce como elemento básico el concepto de función, que puede ser brevemente definida como una unidad especializada en la realización de una cierta actividad y que es la responsable de su resultado. Cabe destacar las siguientes principales diferencias en los procesos definidos para ITIL: Estrategia del Servicio o Gestión del Portfolio de Servicios: este proceso encargado de la definición de la cartera o Portfolio de Servicios, incluyendo el Catálogo de Servicios prestados, los servicios retirados y los servicios en preparación, es propio de ITIL. 37

55 Diseño del Servicio o o o Gestión del Catálogo de Servicios: anteriormente un subproceso de la Gestión de Niveles de Servicio, es un nuevo proceso en ITIL el responsable del diseño de un Catálogo de Servicios enfocado a las necesidades de los clientes. Gestión de los Proveedores: su principal objetivo es obtener de los proveedores un alto nivel de calidad en su servicio a un precio asequible y adecuado al mercado. En ITIL v2 formaba parte de la Gestión de Niveles de Servicio de los proveedores. Gestión de la Seguridad TI: en ITIL v2 se trataba por separado en un libro específico al respecto Transición del Servicio o o o o Gestión del Conocimiento: este proceso se hallaba subdividido en varios procesos en ITIL v2, como, por ejemplo, mediante la base de datos de errores conocidos en la Gestión de Problemas. En ITIL se ha convertido en un proceso por derecho propio. Validación y Pruebas del Servicio: Este proceso se desgaja en ITIL de la Gestión de Versiones o Gestión del despliegue del Servicio para asegurar que se realizan todas las pruebas para validar el servicio como un adecuado en uso y propósito. Gestión de la Configuración y Activos del Servicio: Amplía la Gestión de la Configuración de ITIL v2 para incorporar activos no TI. Evaluación: este proceso genérico se ocupa de verificar la relación calidad/precio, el rendimiento y otros parámetros de interés asociados al servicio. Operación del Servicio o Gestión de Peticiones: se desgaja en ITIL de la Gestión de Incidencias, encargándose de gestionar las peticiones de cambio solicitadas por los clientes. 38

56 o o o Gestión de Eventos: nueva, como tal, en ITIL es la encargada de monitorizar el rendimiento de la infraestructura TI para la prevención de errores o interrupciones en el servicio. Gestión de Accesos: es un nuevo proceso en ITIL. En ITIL v2 formaba parte de la Gestión de la Seguridad y se encarga de gestionar los permisos de acceso a los diferentes usuarios de un servicio. Además del Centro de Servicios ITIL introduce nuevas funciones: Gestión de Operaciones TI: responsable del mantenimiento de la infraestructura TI. Gestión Técnica: responsable del soporte técnico a todos los agentes implicados en la Gestión del Servicio. Gestión de Aplicaciones: responsable de la gestión de las aplicaciones de software durante todo su ciclo de vida. Mejora Continua del Servicio o o o Sus actividades estaban subsumidas por la Gestión de Niveles de Servicio en ITIL. Proceso de Mejora CSI: establece los protocolos de monitorización, seguimiento y generación de informes y es, en particular, la responsable de generar los Planes de Mejora del Servicio (SIP). Informes de servicio: genera los informes sobre rendimiento, resultado y calidad de los servicios ofrecidos. 39

57 2.14 COBIT (Objetivos de Control para Información y Tecnologías Relacionadas) Figura 20: Logo de COBIT Visión General de COBIT COBIT 5 proporciona la guía de nueva generación de ISACA para el gobierno y la gestión de las TI en la empresa. Se construye sobre más de 15 años de uso práctico y aplicación de COBIT por parte de muchas empresas y usuarios de las comunidades de negocio, TI, riesgo, seguridad y aseguramiento. Los principales impulsos para el desarrollo de COBIT 5 incluyen la necesidad de: Dar voz a más partes interesadas para determinar qué es lo que esperan de la información y tecnologías relacionadas (qué beneficios a qué nivel aceptable de riesgo y a qué coste) y cuáles son sus prioridades para asegurarse que el valor esperado es realmente proporcionado. Algunos querrán retornos a corto plazo y otros sostenibilidad a largo plazo. Algunos estarán preparados para asumir riesgos que otros no asumirían. Estas expectativas divergentes y algunas veces en conflicto necesitan ser tratadas con efectividad. Más allá, no solo estas partes interesadas quieren estar más involucradas, sino que demandan más transparencia en relación a cómo se va a llevar esto a cabo y los resultados reales alcanzados. Considerar la dependencia creciente del éxito de la empresa e n compañías externas y grupos de TI tales como contratistas externos, proveedores, consultores, clientes, proveedores de servicios en la nube y otros servicios y en un conjunto variado de medios y mecanismos internos para entregar el valor esperado. 40

58 Tratar con la cantidad de información, que ha crecido significantemente en el tiempo. Cómo seleccionan las empresas la información relevante y fidedigna que conduzca a decisiones empresariales eficaces y eficientes? La información también necesita ser gestionada eficazmente y un modelo eficaz de la información puede asistir en este empeño. Tratar con unas TI mucho más generalizadas que son más y más una parte integral de la empresa. A menudo, ya no es satisfactorio tener las TI separadas incluso si están alineadas con el negocio. Tienen que ser una parte integral de los proyectos empresariales, estructuras de organización, gestión de riesgos, políticas, técnicas, procesos, etc. Las funciones del director de información (CIO) y la función de TI están evolucionando. Cada vez más personas dentro de las funciones de la empresa tienen habilidades de TI y están, o estarán, implicadas en las decisiones y operaciones de TI. El negocio y las TI necesitarán estar mejor integradas. Proporcionar orientación adicional en el ámbito de la innovación y las tecnologías emergentes. Esto es, sobre la creatividad, la inventiva, el desarrollo de nuevos productos haciendo que los productos existentes sean más convincentes para los clientes, y llegar a nuevos tipos de clientes. La innovación también implica la racionalización del desarrollo de productos, procesos de fabricación y cadena de suministro para entregar los productos al mercado con niveles crecientes de eficiencia, rapidez y calidad. Cubrir completamente las responsabilidades funcionales de TI y del negocio, y todos los aspectos que llevan a la gestión y el gobierno eficaz de las TI de la empresa, tales como estructuras organizativas, políticas y cultura, además de los procesos. Adquirir mejor control sobre soluciones de TI adquiridas y controladas por los usuarios Alcanzar por parte de la empresa: Creación de valor a través del uso efectivo e innovador de la TI de la empresa Satisfacción del usuario de negocio con el nivel de compromiso y los servicios de las TI. Cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas internas relevantes. 41

59 Relaciones mejoradas entre las necesidades de negocio y metas de TI Enlazar y, cuando sea relevante, alinearse con otros marcos y estándares principales existentes en el mercado, tales como Information Technology Infrastructure Library (ITIL), The Open Group Architecture Framework (TOGAF), Project Management Body of Knowledge (PMBOK), PRojects IN Controlled Environments 2 (PRINCE2), Committee of Sponsoring Organizations of the Treadway Commission (COSO) y la Organización Internacional de Estándares de normalización (ISO). Esto ayudará a los interesados a entender cómo varios marcos, buenas prácticas y normas están posicionadas respecto al resto y cómo pueden utilizarse juntos. Integrar los principales marcos y guías de ISACA, con un enfoque principal en COBIT, ValIT y RiskIT, pero considerando también el Modelo de Negocio para la Seguridad de la Información (BMIS), el Marco de Aseguramiento de TI (ITAF), la publicación titulada Board Briefing on IT Governance y el documento Taking Governance Forward (TGF), de modo que COBIT 5 cubra la actividad de la empresa al completo y proporcione una base para integrar otros marcos, normas y prácticas como un marco único Un Marco de Negocio para el gobierno y la gestión de la TI de la Empresa La publicación de Cobit 5 contiene el marco Cobit 5 para el gobierno y la gestión de las TI de la empresa. La publicación es parte de la familia como se muestra en la figura. 42

60 El marco COBIT 5 se construye sobre cinco principios básicos, que quedan cubiertos en detalle e incluyen una guía exhaustiva sobre los catalizadores para el gobierno y la gestión de las TI de la empresa. La familia de productos de COBIT 5 incluye los siguientes productos: COBIT 5 (el marco de trabajo) Guías de catalizadores de COBIT 5, en las que se discuten en catalizadores para el gobierno y gestión, estas incluyen: detalle los COBIT 5: Información Catalizadora Información posibilitadora (en desarrollo) Otras guías de catalizadores (visitar Guías profesionales de COBIT 5, incluyendo: Implementación de COBIT 5 COBIT 5 para Seguridad de la Información (en desarrollo) COBIT 5 para Aseguramiento (en desarrollo) COBIT 5 para Riesgos (en desarrollo) Otras guías profesionales (visitar Un entorno colaborativo online, que estará disponible para dar soporte a COBIT 5, La información es un recurso clave para todas las empresas y desde el momento en que la información se crea hasta que es destruida, la tecnología juega un papel importante. La tecnología de la información está avanzando cada vez más y se ha generalizado en las empresas y en entornos sociales, públicos y de negocios. Como resultado, hoy más que nunca, las empresas y sus ejecutivos se esfuerzan en: Mantener información de alta calidad para soportar las decisiones del negocio. 43

61 Generar valor al negocio con las inversiones en TI, por ejemplo, alcanzando metas estratégicas y generando beneficios al negocio a través de un uso de las TI eficaz e innovador. Alcanzar la excelencia operativa a través de una aplicación de la tecnología fiable y eficiente. Mantener los riesgos relacionados con TI en un nivel aceptable Optimizar el coste de los servicios y tecnologías de TI Cumplir con las constantemente crecientes leyes, regulaciones, contractuales y políticas aplicables. acuerdos Durante la pasada década, el término gobierno ha pasado a la vanguardia del pensamiento empresarial como respuesta a algunos ejemplos que han demostrado la importancia del buen gobierno y, en el otro extremo de la balanza, a incidentes corporativos a nivel global. Empresas de éxito han reconocido que el comité y los ejecutivos deben aceptar las TI como cualquier otra parte importante de hacer negocios. Los comités y la dirección tanto en funciones de negocio como de TI deben colaborar y trabajar juntos, de modo que se incluya la TI en el enfoque del gobierno y la gestión. Además, cada vez se aprueba más legislación y se implementan regulaciones para cubrir esta necesidad. COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el equilibrio entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de recursos. COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de responsabilidad de TI, considerando los intereses relacionados con TI de las partes interesadas internas y externas. COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto comerciales, como sin ánimo de lucro o del sector público. 44

62 Principios de COBIT Figura 21: Principios de COBIT COBIT 5 se basa en cinco principios claves para el gobierno y la gestión de las TI empresariales: Principio 1: Satisfacer las Necesidades de las Partes Interesadas Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de recursos. COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto nivel en otras metas más manejables, específicas, relacionadas con TI y mapeándolas con procesos y prácticas específicos. Principio 2: Cubrir la Empresa Extremo-a-Extremo COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo: 45

63 Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca sólo en la función de TI, sino que trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por todos en la empresa. Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y todos internos y externos los que sean relevantes para el gobierno y la gestión de la información de la empresa y TI relacionadas. Principio 3: Aplicar un Marco de Referencia Único Integrado Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las Ti de la empresa. Principio 4: Hacer Posible un Enfoque Holístico Un gobierno y gestión de las TI de la empresa efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT 5 define un conjunto de catalizadores para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. Los catalizadores se definen en líneas generales como cualquier cosa que puede ayudar a conseguir las metas de la empresa. El marco de trabajo COBIT 5 define siete categorías de catalizadores: Principios, Políticas y Marcos de Trabajo Procesos Estructuras Organizativas Cultura, Ética y Comportamiento Información Servicios, Infraestructuras y Aplicaciones Personas, Habilidades y Competencias 46

64 Principio 5: Separar el Gobierno de la Gestión El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes estructuras organizativas y sirven a diferentes propósitos. La visión de COBIT 5 en esta distinción clave entre gobierno y gestión es: Gobierno El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas. En muchas corporaciones, el gobierno global es responsabilidad del comité de dirección bajo el liderazgo del presidente. Algunas responsabilidades de gobierno específicas se pueden delegar en estructuras organizativas especiales al nivel apropiado, particularmente en las corporaciones más grandes y complejas. Gestión La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales. En muchas empresas, la gestión es responsabilidad de la dirección ejecutiva bajo el liderazgo del Director General Ejecutivo (CEO). Juntos, estos cinco principios habilitan a la empresa a construir un marco de gestión de gobierno y gestión efectivo que optimiza la inversión y el uso de información y tecnología para el beneficio de las partes interesada 47

65 CAPÍTULO 3 3. MARCO METODOLÓGICO 3.1 Diseño de la Investigación La elaboración del Modelo de gestión de seguridad se lo hace mediante una investigación aplicada, la cual consta en dar solución a un grupo de problemas mediante el estudio de casos prácticos. Investigación Aplicada: Es aquella que parte de una situación problemática que requiere ser intervenida y mejorada. Comienza con la descripción sistemática de la situación deficitaria, luego se enmarca en una teoría suficientemente aceptada de la cual se exponen los conceptos más importantes y pertinentes; posteriormente, la situación descrita se evalúa a la luz de esta Teoría y se proponen secuencias de acción o un prototipo de solución. El presente modelo de gestión de seguridad será experimental, puesto que se va a utilizar una guía de buenas prácticas para la gestión de servicios TI como ITIL y COBIT que nos ayuda en el gobierno y la gestión de TI aplicadas a los Sistemas de Detección de Intrusos, en la Cooperativa de ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui. Investigación Experimental: se puede definir como aquella situación en la que el investigador produce las condiciones en las que se va a observar la conducta, con un absoluto control de las variables, además de su conducta. En base a lo explicado anteriormente podemos investigar en donde se puede ubicar los Sistemas de Detección de Intrusos. La localización de los Sistemas de Detección de Intrusos es una cuestión que depende en gran medida de la infraestructura de la red en la que estemos trabajando. En el caso de la red de la Cooperativa de ahorro y crédito Chibuleo.Ltda podemos distinguir dos partes la red interna y el acceso a Internet. Dependiendo del tráfico que queramos analizarnos centraremos más en una parte o en otra. 48

66 Figura 22: Ubicaciones de IDS 3.2 Requerimientos y aplicaciones Sistema Windows 2000 Professional, Windows XP Professional, Windows 7. Aunque la configuración sencilla de Snort corre en prácticamente en cualquier versión de 32 y 64 bits de Windows, Windows 2000 Pro y XP Pro son más seguros y estables que las "ediciones caseras", esto ocurre principalmente por la falta de características como el sistema de archivos NTFS, el servidor Web IIS para ACID y soporte de más de un procesador. Por otro lado, Windows 2000, XP, Windows 7, tienen soporte de Microsoft y son alternativas de mejor precio que Windows Server o Windows Server Las versiones de servidor de Windows sólo se recomiendan si se desea tener un mejor control del equipo, mayor capacidad de almacenamiento y lectura de paquetes. Una o más interfaces de red (NICs) y conexión de red. Driver de captura de paquetes para Windows WinPcap 2.3 o superior. Sitio de Descarga: Snort o superior. Sitio de Descarga: 49

67 Mysql d o superior Sitio de Descarga: Acid 0.9.6b23 superior Sitio de Descarga: Internet Information Server IIS : ya viene preinstalado en Sistema Operativo de Windows. MyODBC Sitio de Descarga: Es recomendable utilizar como mínimo dos particiones, una con el sistema operativo y la otra para almacenar los resultados de la captura; su tamaño dependerá de la cantidad de datos que se recopilen, así como del tamaño de la red a analizar. 3.3 Elección de herramientas a utilizar en el sistema Snort: es un Sistema de Detección de Intrusiones (IDS), capaz de ejecutar análisis de tráfico y autentificación de paquetes en tiempo real en redes TCP/IP. Snort realiza exploración al contenido de paquetes y puede usarse para detectar una variedad de ataques y pruebas de intrusión como escaneo de puertos, ataques mediante consola, etc. Los eventos detectados por Snort pueden ser registrados en syslog o en alguna base de datos como Mysql o Postgres, para el análisis del administrador de red. Figura 23: Logo Snort 50

68 MySQL: es un sistema de administración de bases de datos muy potente. La principal virtud es que es totalmente gratuito, por lo que es una fuerte alternativa ante sistemas como SQL Server u Oracle. El servidor de bases de datos MySQL es muy rápido, seguro, y fácil de usar por lo que es la solución adecuada para la implementación de Snort con un modelo de base de datos que permita tener un registro y control del análisis del tráfico. Figura 24: Logo MySQL ACID: es una consola de análisis Web que permite al administrador del sistema analizar los datos que fueron generados por Snort y almacenarlos en una base de datos, permitiendo ver la dirección IP del atacante, la fecha, el tipo de ataque, etc. ACID genera gráficos y estadísticas, basados en tiempo, sensores, vulnerabilidad, protocolo, dirección IP, puertos TCP/UDP. El objetivo de este documento es servir como guía para la instalación e implementación del IDS Snort, con la base de datos MySQL y la consola de análisis ACID para tener una herramienta de seguridad adicional que permita tener un control adecuado del tráfico de red. 51

69 3.4 Protección del equipo Figura 25: Pantalla de Análisis ACID Limitar acceso físico. Colocar Snort en un área segura, accesible sólo por el personal autorizado o el administrador de red. Configurar el sistema para que inicie sólo desde disco duro. Control de acceso. Limitar el número de usuarios que pueden ingresar al sistema utilizando una directiva de contraseñas adecuada. Instalar únicamente componentes necesarios para el funcionamiento del sistema operativo y no instalar componentes adicionales. Terminar todos los servicios que no se desean utilizar. Deshabilitar protocolos de red no necesarios. Establecer comunicaciones remotas si son necesarias con protocolos y aplicaciones seguras como IPSec o SSH. Aplicar actualizaciones de seguridad, parches, Services Packs. 52

70 3.5 ITIL utilizado en el desarrollo Para la realización del proyecto se tomó como base de la fase del ciclo de vida de los servicios el capítulo número dos que se enfoca en el Diseño, que tiene como subtema la Gestión de la Seguridad que será detalla a continuación: Gestión de la Seguridad de la Información La Gestión de la Seguridad de la Información se remonta al albor de los tiempos. La criptología o la ciencia de la confidencialidad de la información existen desde el inicio de nuestra civilización y ha ocupado algunas de las mentes matemáticas más brillantes de la historia, especialmente (y desafortunadamente) en tiempos de guerra. Sin embargo, desde el advenimiento de las ubicuas redes de comunicación y, en especial, de Internet los problemas asociados a la seguridad de la información se han agravado considerablemente y nos afectan a todos. Que levante la mano el que no haya sido víctima de algún virus informático en su ordenador, del spam (ya sea por correo electrónico o teléfono) por una deficiente protección de sus datos personales o, aún peor, del robo del número de su tarjeta de crédito. La información es consustancial al negocio y su correcta gestión debe apoyarse en tres pilares fundamentales: Confidencialidad: la información debe ser sólo accesible a sus destinatarios predeterminados. Integridad: la información debe ser correcta y completa. Disponibilidad: debemos de tener acceso a la información cuando la necesitamos. La Gestión de la Seguridad debe, por tanto, velar por que la información sea correcta y completa, esté siempre a disposición del negocio y sea utilizada sólo por aquellos que tienen autorización para hacerlo. 53

71 Figura 26: Fases de la Gestión de la Seguridad Los principales objetivos de la Gestión de la Seguridad se resumen en: Diseñar una política de seguridad, en colaboración con clientes y proveedores, correctamente alineada con las necesidades del negocio. Asegurar el cumplimiento de los estándares de seguridad acordados en los SLAs. Minimizar los riesgos de seguridad que amenacen la continuidad del servicio. La correcta Gestión de la Seguridad no es responsabilidad (exclusiva) de "expertos en seguridad" que desconocen los otros procesos de negocio. Si caemos en la tentación de establecer la seguridad como una prioridad en sí misma, limitaremos las oportunidades de negocio que nos ofrece el flujo de información entre los diferentes agentes implicados y la apertura de nuevas redes y canales de comunicación. La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad que aseguren que la información esté accesible cuando es necesaria para aquellos que tengan autorización para utilizarla. 54

72 Una vez comprendidos cuáles son los requisitos de seguridad del negocio, la Gestión de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAs correspondientes para, a renglón seguido, garantizar su cumplimiento. La Gestión de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que está expuesta la infraestructura TI, y que no necesariamente tienen por qué figurar en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio. Es importante que la Gestión de la Seguridad sea proactiva y evalúe a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etcétera. Figura 27: Gestión de la Seguridad 55

73 Los principales beneficios de una correcta Gestión de la Seguridad: Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etcétera. Se minimiza el número de incidentes. Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos. Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios. Se cumplen los reglamentos sobre protección de datos. Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio. Las principales dificultades a la hora de implementar la Gestión de la Seguridad se resumen en: No existe el suficiente compromiso de todos los miembros de la organización TI con el proceso. Se establecen políticas de seguridad excesivamente restrictivas que afectan negativamente al negocio. No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, etc.). El personal no recibe una formación adecuada para la aplicación de los protocolos de seguridad. Falta de coordinación entre los diferentes procesos, lo que impide una correcta evaluación de los riesgos Proceso La Gestión de la Seguridad está estrechamente relacionada con prácticamente todos los otros procesos TI y necesita para su éxito la colaboración de toda la organización. Para que esa colaboración sea eficaz, es necesario que la Gestión de la Seguridad: Establezca una clara y definida política de seguridad que sirva de guía a todos los otros procesos. 56

74 Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos. Implemente el Plan de Seguridad. Monitorice y evalúe el cumplimiento de dicho plan. Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades. Realice periódicamente auditorías de seguridad. Figura 28: Proceso de la Gestión de Seguridad Política y Plan de Seguridad Es imprescindible disponer de un marco general en el que encuadrar todos los subprocesos asociados a la Gestión de la Seguridad. Su complejidad e intricadas interrelaciones necesitan de una política global clara en donde se fijen aspectos tales como los objetivos, responsabilidades y recursos. En particular la Política de Seguridad debe determinar: 57

75 La relación con la política general del negocio. La coordinación con los otros procesos TI. Los protocolos de acceso a la información. Los procedimientos de análisis de riesgos. Los programas de formación. El nivel de monitorización de la seguridad. Qué informes deben ser emitidos periódicamente. El alcance del Plan de Seguridad. La estructura y responsables del proceso de Gestión de la Seguridad. Los procesos y procedimientos empleados. Los responsables de cada subproceso. Los auditores externos e internos de seguridad. Los recursos necesarios: software, hardware y personal Plan de Seguridad El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser incluidos como parte de los SLAs, OLAs y UCs. Este plan ha de ser desarrollado en colaboración con la Gestión del Nivel de Servicio, que es la responsable en última instancia tanto de la calidad del servicio prestado a los clientes como la del servicio recibido por la propia organización TI y los proveedores externos. El Plan de Seguridad debe ser diseñado con el fin de ofrecer un mejor y más seguro servicio al cliente y nunca como un obstáculo para el desarrollo de sus actividades de negocio. Siempre que sea posible, deben definirse métricas e indicadores clave que permitan evaluar los niveles de seguridad acordados. Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos de seguridad coherentes en todas las fases del servicio y para todos los estamentos implicados. "Una cadena es tan resistente como el más débil de sus eslabones", por lo que carece de sentido, por ejemplo, establecer una estrictas normas de acceso si una aplicación tiene vulnerabilidades frente a inyecciones de SQL. Quizá con ello podamos 58

76 engañar a algún cliente durante algún tiempo ofreciendo la imagen de "fortaleza", pero esto valdrá de poco si alguien descubre que la "puerta de atrás está abierta" Aplicación de las Medidas de Seguridad Por muy buena que sea la planificación de la seguridad resultará inútil si las medidas previstas no se ponen en práctica. Es responsabilidad de la Gestión de Seguridad coordinar la implementación de los protocolos y medidas de seguridad establecidas en la Política y el Plan de Seguridad. En primer lugar la Gestión de la Seguridad debe verificar que: El personal conoce y acepta las medidas de seguridad establecidas así como sus responsabilidades al respecto. Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y responsabilidad. Se imparte la formación pertinente. Es también responsabilidad directa de la Gestión de la Seguridad: Asignar los recursos necesarios. Generar la documentación de referencia necesaria. Colaborar con el Centro de Servicios y la Gestión de Incidentes en el tratamiento y resolución de incidentes relacionados con la seguridad. Instalar y mantener las herramientas de hardware y software necesarias para garantizar la seguridad. Colaborar con la Gestión de Cambios y la de Entregas y Despliegues para asegurar que no se introducen nuevas vulnerabilidades en los sistemas en producción o entornos de pruebas. Proponer RFCs a la Gestión de Cambios que aumenten los niveles de seguridad. Colaborar con la Gestión de la Continuidad del Servicio para asegurar que no peligra la integridad y confidencialidad de los datos en caso de desastre. Establecer las políticas y protocolos de acceso a la información. Monitorizar las redes y servicios en red para detectar intrusiones y ataques. 59

77 Es necesario que la gestión de la empresa reconozca la autoridad de la Gestión de la Seguridad respecto a todas estas cuestiones y que incluso permita que ésta proponga medidas disciplinarias vinculantes cuando los empleados u otro personal relacionado con la seguridad de los servicios incumplan con sus responsabilidades Evaluación y mantenimiento Evaluación No es posible mejorar aquello que no se conoce, por lo que resulta indispensable evaluar el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento de los SLAs. Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con auditorías de seguridad externas y/o internas realizadas por personal independiente de la Gestión de la Seguridad. Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer mejoras que se plasmarán en documentos que habrán de ser evaluados por la Gestión de Cambios. Independientemente de estas evaluaciones de carácter periódico, se deberán generar informes específicos cada vez que ocurra algún incidente grave relacionado con la seguridad. De nuevo, si la Gestión de la Seguridad lo considera oportuno, estos informes se acompañaran de las soluciones correspondientes. Mantenimiento La Gestión de la Seguridad es un proceso continuo y se han de mantener al día el Plan de Seguridad y las secciones de seguridad de los SLAs. Los cambios en el Plan de Seguridad y los SLAs pueden ser resultados de la evaluación arriba citada o de cambios implementados en la infraestructura o servicios TI. No hay nada más peligroso que la falsa sensación de seguridad que ofrecen medidas de seguridad obsoletas. 60

78 Es asimismo importante que la Gestión de la Seguridad esté al día en lo que respecta a nuevos riesgos y vulnerabilidades frente a virus, spyware, ataques de denegación de servicio, etcétera, y que adopte las medidas necesarias de actualización de equipos de hardware y software, sin olvidar el apartado de formación: el factor humano es normalmente el eslabón más débil de la cadena Control del proceso Al igual que en el resto de procesos TI, es necesario realizar un riguroso control del proceso para asegurar que la Gestión de la Seguridad cumple sus objetivos. Una buena Gestión de la Seguridad debe traducirse en: Disminución del número de incidentes relacionados con la seguridad. Un acceso eficiente a la información por el personal autorizado. Gestión proactiva, que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten y provoquen una seria degradación de la calidad del servicio. La correcta elaboración de informes permite evaluar el rendimiento de la Gestión de Seguridad y aporta información de vital importancia a otras áreas de la infraestructura TI. Entre la documentación generada cabría destacar: Informes sobre el cumplimiento, en lo todo lo referente al apartado de seguridad, de los SLAs, OLAs y UCs en vigor. Relación de incidentes relacionados con la seguridad, calificados por su impacto sobre la calidad del servicio. Evaluación de los programas de formación impartidos y sus resultados. Identificación de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI. Auditorías de seguridad. Informes sobre el grado de implementación y cumplimiento de los planes de seguridad establecidos. 61

79 3.6 COBIT Para la realización del proyecto se tomaron los siguientes temas como base los cuales se detallarán a continuación: Satisfacer las Necesidades de las partes Interesadas Las empresas existen para crear valor para sus accionistas. En consecuencia, cualquier empresa, comercial o no, tendrá la creación de valor como un objetivo de Gobierno. Creación de valor significa conseguir beneficios a un coste óptimo de los recursos mientras se optimiza el riesgo. Los beneficios pueden tomar muchas formas, por ejemplo, financieros para las empresas comerciales o de servicio público para entidades gubernamentales. Figura 29: Objetivo de Gobierno Las empresas tienen muchas partes interesadas, y crear valor significa cosas diferentes y a veces contradictorias para cada uno de ellos. Las actividades de gobierno tratan sobre negociar y decidir entre los diferentes intereses en el valor de las partes interesadas. En consecuencia, el sistema de gobierno debe considerar a todas las partes interesadas al tomar decisiones sobre beneficios, evaluación de riesgos y recursos. Para cada decisión, las siguientes preguntas pueden y deben hacerse: Para quién son los beneficios? Quién asume el riesgo? Qué recursos se requieren? 62

80 Cascada de Metas de COBIT 5 Cada empresa opera en un contexto diferente; este contexto está determinado por factores externos (el mercado, la industria, geopolítica, etc.) y factores internos (la cultura, organización, umbral de riesgo, etc.) y requiere un sistema de gobierno y gestión personalizado. Las necesidades de las partes interesadas deben transformarse en una estrategia corporativa factible. La cascada de metas de COBIT 5 es el mecanismo para traducir las necesidades de las partes interesadas en metas corporativas, metas relacionadas con las TI y metas catalizadoras específicas, útiles y a medida. Esta traducción permite establecer metas específicas en todos los niveles y en todas las áreas de la empresa en apoyo de los objetivos generales y requisitos de las partes interesadas y así, efectivamente, soportar la alineación entre las necesidades de la empresa y las soluciones y servicios de TI. La cascada de metas de COBIT 5 se detalla a continuación: Paso 1. Los Motivos de las Partes Interesadas Influyen en las Necesidades de las Partes Interesadas. Las necesidades de las partes interesadas están influenciadas por diferentes motivos, por ejemplo, cambios de estrategia, un negocio y entorno regulatorio cambiantes y las nuevas tecnologías. Paso 2. Las Necesidades de las Partes Interesadas Desencadenan Metas Empresariales Las necesidades de las partes interesadas pueden estar relacionadas con un conjunto de metas empresariales genéricas. Estas metas corporativas han sido desarrolladas utilizando las dimensiones del cuadro de mando integral (CMI. En inglés: Balanced Scorecard, BSC) y representan una lista de objetivos comúnmente usados que una empresa puede definir por sí misma. Aunque esta lista no es exhaustiva, la mayoría metas corporativas específicas de la empresa pueden relacionarse fácilmente con uno o más de los objetivos genéricos de la empresa. En el Apéndice D se representa una tabla de las partes interesadas y metas corporativas. 63

81 Figura 30: Cascada de metas COBIT COBIT 5 define 17 objetivos genéricos, donde incluye la siguiente información: La dimensión del CMI en la que encaja la meta corporativa Las metas corporativas La relación con los tres objetivos principales de gobierno -- realización de beneficios, optimización de riesgos y optimización de recursos ( P indica una relación primaria y S una relación secundaria, es decir una relación menos fuerte). Paso 3. Cascada de Metas de Empresa a Metas Relacionadas con las TI. El logro de metas empresariales requiere un número de resultados relacionados con las TI que están representados por las metas relacionadas con la TI. Se entiende como 64

82 relacionados con las TI a la información y tecnologías relacionadas, y las metas relacionadas con las TI se estructuran en dimensiones del CMI. COBIT 5 define 17 metas relacionadas con las TI, La tabla que mapea entre las metas relacionadas con TI y los empresariales está incluida en el apéndice B y muestra cómo cada meta corporativa es soportada por varias metas relacionadas con TI. Paso 4. Cascada de Metas Relacionadas con las TI Hacia Metas Catalizadoras Alcanzar metas relacionadas con las TI requiere la aplicación satisfactoria y el uso de varios catalizadores. El concepto de catalizador se explica detalladamente en el capítulo 5. Los catalizadores incluyen procesos, estructuras organizativas e información, y para cada catalizador puede definirse un conjunto de metas relevantes en apoyo de las metas relacionadas con la TI. Los procesos son uno de los catalizadores y el apéndice C contiene una relación entre metas relacionadas con las TI y los procesos relevantes de COBIT 5, los cuales contienen metas de los procesos relacionados. Figura 31: Metas Corporativas 65

83 Figura 32: Metas Relacionadas con las TI Utilizando la Cascada de Metas de COBIT 5 Beneficios de la Cascada de Metas de COBIT 5 La cascada de metas es importante porque permite la definición de prioridades de implementación, mejora y aseguramiento del gobierno de las TI de la empresa, que se basa en metas corporativas (estratégicas) de la empresa y el riesgo relacionado. En la práctica, la cascada de metas: Define objetivos y metas relevantes y tangibles a varios niveles de responsabilidad Filtra la base de conocimiento de COBIT 5, sobre la base de las metas corporativas, para extraer las guías relevantes a incluir en proyectos específicos de implementación, mejora o aseguramiento. 66

84 Identifica claramente y comunica cómo (algunas veces de forma m uy operativa) los catalizadores son importantes para alcanzar metas de la empresa. Utilizando Cuidadosamente la Cascada de Metas de COBIT 5 Las metas en cascada con sus tablas de relación entre metas empresariales y las metas relacionadas con la TI y entre las metas relacionadas con la TI y catalizadores de COBIT 5 (incluyendo procesos) no contienen la verdad universal y los usuarios no deben intentar usarlo de una manera puramente mecánica, sino como una guía. Hay varias razones para esto, incluyendo: Cada empresa establece sus objetivos con distintas prioridades, y estas prioridades pueden cambiar con el tiempo. Las tablas de relación no distinguen entre el tamaño y/o la industria en la que se enmarca la empresa. Representan una especie de común denominador sobre cómo, en general, los diferentes niveles de objetivos se interrelacionan. Los indicadores usados en la relación utilizan dos niveles de importancia o relevancia, lo que sugiere que hay niveles distintos de relevancia, cuando, en realidad, la asignación se acercará a un continuo de diversos grados de correspondencia. Utilizando la Cascada de Metas de COBIT 5 en la Práctica En línea con la advertencia anterior, es obvio que el primer paso que una empresa debe realizar siempre que utiliza la cascada de metas es personalizar la asignación, teniendo en cuenta su situación específica. En otras palabras, cada empresa debe construir su propia cascada de metas, compararla con COBIT y luego refinarla. Por ejemplo, la empresa podría desear: Traducir las prioridades estratégicas a ponderaciones o importancia para cada objetivo de la empresa. Validar las relaciones de la cascada de metas corporativas, teniendo en cuenta su entorno específico, industria, etc. 67

85 3.6.2 Cubrir la Empresa de Extremo a Extremo COBIT 5 contempla el gobierno y la gestión de la información y la tecnología relacionada desde una perspectiva extremo-a-extremo y para toda la empresa. Esto significa que COBIT 5: Integra el gobierno de la empresa TI en el gobierno corporativo. Es decir, el sistema de gobierno para la empresa TI propuesto por COBIT 5 se integra sin problemas en cualquier sistema de gobierno. COBIT 5 se alinea con las últimas visiones sobre gobierno. Cubre todas las funciones y procesos necesarios para gobernar y gestionar la información corporativa y las tecnologías relacionadas donde quiera que esa información pueda ser procesada. Dado este alcance corporativo amplio, COBIT 5 contempla todos los servicios TI internos y externos relevantes, así como los procesos de negocio internos y externos. COBIT 5 proporciona una visión integral y sistémica del gobierno y la gestión de la empresa TI, basada en varios catalizadores. Los catalizadores son para toda la empresa y extremo-a-extremo, es decir, incluyendo todo y a todos, internos y externos, que sean relevantes para el gobierno y la gestión de la información de la empresa y TI relacionada, incluyendo las actividades y responsabilidades tanto de las funciones TI como de las funciones de negocio. La información es una de las categorías de catalizadores de COBIT. El modelo mediante el que COBIT 5 define los catalizadores permite a cada grupo de interés definir requisitos exhaustivos y completos para la información y el ciclo de vida de procesamiento de la información, conectando de este modo el negocio y su necesidad de una información adecuada y la función TI, y soportando el negocio y el enfoque de contexto. Enfoque de Gobierno El enfoque de gobierno extremo-a-extremo que es la base de COBIT 5 está representado en la figura, mostrando los componentes clave de un sistema de gobierno. 68

86 Figura 33: Gobierno y Gestión Además del objetivo de gobierno, los otros elementos principales del enfoque de gobierno incluye catalizadores, alcance y roles, actividades y relaciones. Catalizadores de Gobierno Los catalizadores de gobierno son los recursos organizativos para el gobierno, tales como marcos de referencia, principios, estructuras, procesos y prácticas, a través de los que o hacia los que las acciones son dirigidas y los objetivos pueden ser alcanzados. Los catalizadores también incluyen los recursos corporativos por ejemplo, capacidades de servicios (infraestructura TI, aplicaciones, etc.), personas e información. Una falta de recursos o catalizadores puede afectar a la capacidad de la empresa de crear valor. Dada la importancia de los catalizadores de gobierno, COBIT 5 incluye una sola forma de mirar a y de tratar los catalizadores. Alcance de Gobierno El gobierno puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o intangible, etc. Es decir, es posible definir diferentes vistas de la empresa a la que se aplica el gobierno, y es esencial definir bien este alcance del sistema de gobierno. El 69

87 alcance de COBIT 5 es la empresa pero en esencia, COBIT 5 puede tratar con cualquiera de las diferentes vistas. Roles, Actividades y Relaciones Un último elemento son los roles, actividades y relaciones de gobierno. Definen quién está involucrado en el gobierno, como se involucran, lo que hacen y cómo interactúan, dentro del alcance de cualquier sistema de gobierno. En COBIT se hace una clara diferenciación entre las actividades de gobierno y de gestión en los dominios de gobierno y gestión, así como en la interconexión entre ellos y los actores implicados. Enumerando las interacciones entre los diferentes roles, tenemos: Aplicar un Marco de Referencia Único Integrado COBIT 5 es un marco de referencia único e integrado porque: Se alinea con otros estándares y marcos de referencia relevantes y, por tanto, permite a la empresa usar COBIT 5 como el marco integrador general de gestión y gobierno. Es completo en cuanto a la cobertura de la empresa, proporcionando una base para integrar de manera efectiva otros marcos, estándares y prácticas utilizadas. Un marco general único sirve como una fuente consistente e integrada de guía en un lenguaje común, no-técnico y tecnológicamente agnóstico. Proporciona una arquitectura simple para estructurar los materiales de guía y producir un conjunto consistente. 70

88 Integra todo el conocimiento disperso previamente en los difere ntes marcos de ISACA. Marco Integrador de COBIT 5 La figura proporciona una descripción gráfica de cómo COBIT 5 logra su papel de marco integrado y alineado. El marco de referencia COBIT 5 proporciona a sus grupos de interés la guía más completa y actualizada sobre el gobierno y la gestión de la empresa TI mediante: La investigación y utilización de un conjunto de fuentes que han impulsado el nuevo contenido desarrollado, incluyendo: 71

89 La unión de todas las guías existentes de ISACA (COBIT4.1, Val IT 2.0, Risk IT, BMIS) en este único marco. Completar este contenido con áreas que necesitaban más elaboración y actualización. El alineamiento a otros estándares y marcos relevantes, tales como ITIL, TOGAF y estándares ISO. Se puede encontrar una lista completa de referencias. Definiendo un conjunto de catalizadores de gobierno y gestión que proporcionan una estructura para todos los materiales de guía. Poblando una base de conocimiento COBIT 5 que contiene todas las guías y contenido producido hasta ahora y que proporcionará una estructura para contenidos futuros adicionales. Proporcionando una referencia base de buenas prácticas exhaustiva y sólida. Figura 34: Productos COBIT 72

90 CAPÍTULO 4 4. Aplicación de un Modelo de Gestión de Seguridad ITIL y COBIT en la Cooperativa de Ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui. 4.1 Breve Reseña de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia Sangolqui. Historia La Cooperativa de Ahorro y Crédito Chibuleo Ltda. nace el 17 de Enero de 2003, fruto de un inspirador y 27 jóvenes no mayores de 20 años, aquellos que, no teniendo nada, juntaron sus ideas y pensamientos en la búsqueda de un firme rumbo que aliviara sus penumbras y tormentos en difíciles momentos en que se veían rodeados las clases menos privilegiadas de nuestro país. Con el paso de los años la Cooperativa de Ahorro y Crédito Chibuleo está escribiendo una historia de éxito ha logrado posicionarse en el sistema financiero como una cooperativa de demostrada capacidad de crecimiento e innovadora, que trabaja por un futuro mejor para nuestra gente, con más de 70 mil socios, 7 oficinas: Quito, Riobamba, Salcedo, Machachi, Latacunga, Sangolqui y su principal en Ambato con un edificio propio de última generación. Este sitial de honor se ha obtenido gracias al respaldo que hemos recibido de todos nuestros socios que con gran orgullo, lealtad y confianza continúan apoyando esta empresa cooperativa. 73

91 Es importante recalcar que la Cooperativa Chibuleo ha logrado llegar a un tamaño que le permite sobresalir entre las iniciativas de creación de Cooperativas de Ahorro y Crédito impulsadas por sectores indígenas. Actualmente la cooperativa está atendiendo en la sierra central, siendo sus principales mercados las provincias de Tungurahua, Cotopaxi, Chimborazo y Pichincha, en esta última principalmente en la capital, Sangolqui y Machachi. Desde su creación en el año 2003 la Cooperativa ha logrado llegar a un total de Activos de US$ ,48; un total de Pasivos de US$ ,36 y un patrimonio de US$ ,12, posicionándola como la Cooperativa de Ahorro y Crédito del Segmento 3 de mayor tamaño con matriz en Tungurahua, frente a sus pares como son la Coop. Ambato ($ de Activo a mar/14), Coop. Kullky Wasy ($ de Activo a mar/14), Coop SAC, sin considerar la Coop Mushuc Runa que está en el segmento 4, según la distribución del a SEPS. El mercado natural de la Cooperativa son microempresarios ubicados en la zona de influencia de la cooperativa, con un claro enfoque de atención a sectores rurales y urbanos marginales. Los principales objetivos de la Cooperativa son: o o o o Brindar servicios financieros a los sectores no atendidos por la banca tradicional y principalmente del sector indígena de Tungurahua. Contribuir al mejoramiento socio económico de los socios de la Cooperativa. Fortalecer y mantener los servicios financieros acorde a las necesidades de los sectores atendidos. Generar satisfacción y compromiso de los socios. Misión Somos una Cooperativa de Ahorro y Crédito que genera, administra y comercializa servicios financieros, con enfoque de calidad, competitividad y rentabilidad mutua, satisfaciendo las necesidades de la población, comprometidos con el desarrollo socioeconómico del país. 74

92 Visión Al 2014 la Cooperativa de Ahorro y Crédito Chibuleo consolidará su liderazgo en la sierra central ampliando su cobertura, con indicadores financieros de calidad, comprometidos con el desarrollo de la sociedad, con personal calificado y de alto desempeño, reconocido por la sociedad, obteniendo una calificación de riesgo de B+. Los principales valores y principios que rigen el accionar institucional son: Agilidad Honestidad Respeto Confianza Integración Creatividad Productos Financieros Cuenta de Ahorros Cuenta Ahorro Fácil Póliza a Plazo Fijo Línea de Créditos Ahorro Programado 75

93 4.2 Instalación de las Herramientas a utilizar Instalación WinPcap WinPcap es un driver de captura de paquetes, esto significa que WinPcap puede tomar paquetes de una red y colocarlo en Snort, para su utilización. Sus funciones son: Obtener una lista de adaptadores de red y salvar esa información. Sniffer de paquetes usando más de un adaptador seleccionado. Almacenar paquetes capturados en disco duro. La versión de WinPcap que se utilizó en este tutorial es la 2.3, debido a que las versiones 3.0 y superiores presentan algunas deficiencias al trabajar con Snort mientras que versiones inferiores como la 2.3 trabajan de forma adecuada. Para su instalación únicamente ejecute el programa de instalación WinPcap_2_3.exe. Dé clic en el botón Next y nos mostrará la siguiente pantalla. Figura 35: Pantalla de Instalación Wincap Luego aparece una pantalla en donde debemos aceptar la licencia. 76

94 Luego de dar click en I Agree nos muestra una pantalla de Install y el software se empezara a instalar automáticamente. Snort llama a WinPcap de forma automática, por lo tanto si al momento de ejecutar Snort, éste no funciona adecuadamente, puede ser que WinPcap no haya sido debidamente instalado. 77

95 Instalación de Snort Como ya se mencionó, Snort es un IDS (Sistema de Detección de Intrusos), capaz de ejecutar análisis de tráfico y autentificación de paquetes en tiempo real en redes TCP/IP. Para su instalación, Snort.org tiene una distribución de instalación automática para Windows, la cual puede ser utilizada de forma sencilla. Ejecute el programa de instalación de snort y aparece la ventana de la Licencia Pública GNU. De click en el botón de I agree. Luego nos muestra la siguiente pantalla en donde se escogen las opciones de componentes y se marca con un check los componentes que deseamos instalar. Luego presionamos el botón de Siguiente. Luego debemos escoger la ruta en donde se instalará el software. 78

96 Luego damos click en el botón de Siguiente para que empiece la instalación y al momento de finalizar debemos dar click en el Close. Al final nos da un aviso de que el software se ha instalado correctamente. 79

97 Configuración de Snort Para que Snort comience a trabajar es necesario modificar algunos archivos especiales ubicados en SnortPath. Localice el archivo SnortPath\etc\snort.conf y ábralo con algún editor de texto que no corrompa el formato original como Notepad o Wordpad. Configuración de red. De forma predeterminada Snort.conf contiene la siguiente línea, la cual indica el rango de monitoreo. var HOME_NET any Para monitorear una IP o un segmento específico, inserte el rango de direcciones IP y la subred de la red del host en snort.conf. Para hacer esto reemplace la configuración de esta forma: var HOME_NET IPAddressRange/Subnet Ejemplos: 80