La Seguridad es una sensación. Marlon molina Director General Tecnofor

Transcripción

1 1

2 GOBIERNO en la práctica

3

4

5 La Seguridad es una sensación Marlon molina Director General Tecnofor

6 Qué pueden esperar de José Rosell? Ingeniero Superior Industrial por la Escuela Técnica Superior de Ingenieros Industriales de la Universidad Politécnica de Valencia. Master en Dirección y Gestión de la Seguridad por ASIMELEC y por la Universidad Pontificia de Salamanca. Master en transporte y negocio marítimo por la Universidad Pontificia de Comillas (Instituto universitario de Administración y Dirección de Empresas. ICADE ). Socio Director de S2 Grupo. Consultor especializado en Seguridad y en Sistemas de Gestión en Tiempo Real. CIO en un grupo de Astilleros Director de Explotación de Tissat Gerente de la UTE Tissat-Fujitsu para la explotación de InfoCentre (Centro telemático de la Generalitat Valenciana), Responsable de explotación de la plataforma de Internet de Antena 3 Interactiva, Responsable de explotación de la plataforma tecnológica de los Centros de Emergencias de Valencia y Murcia Responsable de explotación de la plataforma tecnológica de la tarjeta sanitaria Consultor de sistemas de gestión 6

7 Qué pueden esperar de la empresa? S2 Grupo tiene sedes en Valencia y Madrid y desarrolla su trabajo en toda España El trabajo desarrollado por S2 Grupo es muy especializado y el tipo de cliente es un cliente mediano o grande Las líneas de negocio de S2 Grupo son: Seguridad de la información Monitorización y control de procesos Sistemas de gestión en tiempo real Desarrollo seguro Servicios seguros de explotación

8 La jornada El objetivo de la charla de hoy en el marco de esta jornada es hablar de SEGURIDAD EN LA PRÁCTICA

9 Esta NO es la solución

10 Protección de los activos de las organizaciones 10

11 Falsa sensación de seguridad 11

12 La jornada 1. El enfoque práctico del PDS es fundamental para no perdernos en los papeles. Cómo se enfoca en la práctica un PDS? 2. Qué relación tiene en la práctica el Plan Director de Seguridad con el SGSI? Necesitamos los dos? 3. Cómo y cuándo implantar un SGSI? 4. Razones para su implantación Cómo puedo vender más hierro con el SGSI? 5. Qué necesitamos para implantar un SGSI? 6. Cuánto tiempo nos puede costar implantar un SGSI? 7. Es necesario hacer un análisis de riesgos para implantar un SGSI? Análisis de riesgos en la práctica. Tendencias: Análisis de riesgos en tiempo real 8. Qué debemos esperar de un análisis diferencial de la ISO 27002? Caso práctico 12

13 La jornada 9. Implantación de controles. Sistemas de monitorización basados en herramientas Open Source 10. El cumplimiento legal desde el punto de vista de la entidad de certificación. 11. La importancia de la definición del alcance de una certificación 12. La eterna discusión sobre los indicadores de seguridad y de cualquier cosa 13. Qué podemos esperar de un centro de servicios gestionados? Análisis del caso. Acceso con empresa piloto 14. Incident Handling. Cómo se actúa ante un incidente de seguridad? 15. Mecanismos de seguridad. Son los mejores mecanismos de seguridad una garantía? Estrategias de defensa. Análisis en función del riesgo 16. Explotación y Seguridad. Juntas de la mano 13

14 Seguridad en la práctica El Mapa de la Seguridad del Siglo XXI

15 Diapositiva eliminada Material de Acceso Restringido

16 0.- Presentación

17 Nivel cumplimiento ISO INDICE Entorno Normas Negocio Qué es un Plan Director de Seguridad según S2 Grupo? POLÍTICA DE SEGURIDAD ANÁLISIS RIESGOS Exclusiones CERTIFICACIÓN ISO Informe motivado 100% ISO Objetivo cumplimiento Iniciativas y proyectos Selección controles Nivel mínimo ISO Auditoría ISO Existencia y eficacia controles Alertas Nivel actual ISO PAU Planificación de iniciativas en función del riesgo SGSI Tiempo

18 Respuestas 1.- Enfoque práctico del PDS. Cómo se enfoca en la práctica? 2.- Qué relación tiene en la práctica el SGSI con el PDS? Necesitamos los dos? Podríamos decir desde un punto de vista práctico que el PDS es el proyecto que nos lanza el SGSI Un SGSI no necesita estar certificado ni tampoco estar basado en el estándar ISO En la familia 27XXX, no se puede certificar la ISO 27002

19 Seguridad como proceso SOA Activos queremos Securizar Seguimiento y Monitorización hacemos Evaluación de riesgos revisamos tomamos Medidas de protección revisamos Información de seguimiento ISO operamos obtenemos Mecanismos de detección y respuesta

20 1. Política de seguridad 4. Mecanismos de seguridad 6. Certificación 3. Análisis de riesgos 2. Auditoría 5. SGSI 20

21 1.- Política de Seguridad Aspectos prácticos

22 Cuestiones a comentar 11. La importancia de la definición del alcance de un Sistema de Gestión Ejemplos: Concursos de la administración pública Caso Puerto de Houston Caso S2 Grupo Caso Aparcamiento Caso SecuryLink Caso OEA Esquema Nacional de Seguridad

23 Descripción del alcance Seguridad de los Sistemas de Información en los procesos de negocio de consultoría, desarrollo y explotación de sistemas de tecnologías de la información y comunicaciones

24 24 Puerto de Houston

25 PUERTO MAPA DE PROCESOS Procesos estratégicos PE1 Planificación Estratégica PE2 Secretaría General PE3 I+D+i PE4 Responsabiilidad Social Corporativa PE5 Comunicación y Relaciones Externas PE6 Formación y cooperación internacional PC6 PC2 PC7 OPERACIONES Y DOMINIO PÚBLICO Facturación Procesos clave PC1 COMERCIAL PC3 SERVICIOS GENERALES (Seguridad) PC7 Gestión de calidad PC4 Atención clientes GESTIÓN INFRAESTRUCTURAS Procesos de soporte PS1 Gestión de RRHH y formación PS2 Gestión económica y financiera PS3 Gestión de compras y proveedores PS5 Prevención de riesgos laborales PS6 Gestión medioambiental PS7 Sistemas de Información

26 Certificado Puerto de Houston Diapositiva eliminada Material de Acceso Restringido 26

27 2.- Auditoría. Análisis diferencial. Aspectos prácticos

28 Cuestiones a comentar 8. Qué debemos esperar de un análisis diferencial de la ISO 27002? Existencia de los controles Eficacia de los controles, no eficiencia Auditoría de existencia vs eficacia Una auditoría no es un checklist. Para qué nos sirve un checklist? Una auditoría tampoco es usar una serie de herramientas automáticas para presentar un informe de vulnerabilidades

29 Casos prácticos Resultados auditoría empresa industrial Resultados auditoría empresa servicios Ataques de ingeniería social Seguridad semántica Las cosas no siempre son lo que parecen: Auditoría sistema control de acceso RFID Auditoría sistema de central de alarmas físicas 29

30 3.- Análisis de Riesgos Aspectos prácticos

31 PROBABILIDAD Muy Baja Baja Media Alta Muy Alta Qué es el riesgo? Muy Bajo Bajo Medio Alto Muy Alto IMPACTO

32 Cuestiones a comentar 7. Es necesario hacer un Análisis de riesgos para montar un SGSI? Análisis de riesgos en la práctica. Análisis de riesgos en tiempo real. Metodologías de análisis de riesgos. Podemos elegir? Con cuál nos quedamos? Análisis de riesgos basados en escenarios El problema de los análisis de riesgos estáticos. Caso 11S Tendencias: Análisis de riesgos en tiempo real Riesgo residual

33 PROBABILIDAD Muy Baja Baja Media Alta Muy Alta Matriz de riesgo MATRIZ DE RIESGO Cumplimiento normativa Seguridad física y ambiental Seguridad Organizativa Seguridad Física Seguridad lógica Seguridad Legal Seguridad Personal Gestión comunicaciones y operaciones Continuidad Negocio Clasificación y control activos Política de seguridad Seguridad Organizativa Control de acceso Desarrollo y mantenimiento de sistemas Muy Bajo Bajo Medio Alto Muy Alto IMPACTO

34 PROBABILIDAD Muy Baja Baja Media Alta Muy Alta Matriz de riesgo MATRIZ DE RIESGO LOPD E7 Sector 1 Sector 2 E3 E2 E1 Sector 3 E5 E4 E6 Muy Bajo Bajo Medio Alto Muy Alto IMPACTO

35 4.- Mecanismos de Seguridad Controles o salvaguardas

36 Respuestas 14. Mecanismos de seguridad. Son los mejores mecanismos de seguridad una garantía? Estrategias de defensa. Análisis en función del riesgo

37 37

38 Disuasión La seguridad por oscuridad no funciona. Debe ser patente que se dispone de medidas de seguridad tecnológicas. La propia publicidad de las medidas es en si mismo un mecanismo de disuasión 38

39 Protección Bastionado de equipos personales (instalación segura), cifrado de comunicaciones (voz móvil y fija, SMS, correo electrónico y otros medios), encriptado de llaves USB y medios de almacenamiento masivo, uso del DNI-e, servidores de información secreta o confidencial 39

40 Detección Además de las técnicas clásicas para la detección de intrusos en equipos personales, detección de malware, keyloggers y otro tipo de dispositivos que se quieran conectar a un elemento o activo especialmente protegido (EEP / AEP), se deben emplear técnicas de Honey-tokens y técnicas de ingeniería social para detección de actividades electrónicas anómalas o sospechosas 40

41 Respuesta Coordinación de actuaciones con fuerzas y cuerpos de seguridad del estado. Cadena de custodia de pruebas electrónicas. 41

42 Detección y respuesta 42

43 Recuperación Mecanismos que garanticen la operación en condiciones normales una vez se sabe o se sospecha que ha sido comprometido un EEP 43

44 Dominios de control Táctico Estratégico Política de seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Control de accesos Seguridad organizativa Seguridad lógica Seguridad física Seguridad legal Operativo Conformidad Seguridad de recursos humanos Gestión de incidentes de seguridad de la información Seguridad física y del entorno Adquisición, desarrollo y mantenimiento de sistemas Gestión de comunicaciones y operaciones Gestión de continuidad del negocio

45 Objetivos de control

46 Respuestas 9. Implantación de controles. Sistemas de monitorización basados en herramientas Open Source Caso: ejemplo de monitorización de infraestructuras TIC. Mapa de controles Caso: Controles LOPD Caso: Plan de continuidad de negocio

47 Respuestas 13. Incident handling. Cómo se actúa ante un incidente de seguridad? Nuestra primera experiencia con un incidente de seguridad Caso: Yo bicho Caso: Seguridad de las instalaciones Análisis forense. Buscando la causa Dificultades por falta de monitorización Ejemplo: Sincronización de relojes

48 Respuestas 11. Qué podemos esperar de un SOC? Casos Un SOC no deja de ser más que un conjunto de controles subcontratados a un tercero especialista igual que puede ser la firma de un contrato Caso: Seguridad gestionada universidad Caso: Seguridad gestionada empresa industrial

49 5.- Sistema de Gestión de la Seguridad SGSI

50 3.- Cuándo debemos implantar un SGSI? Respuestas

51 Los sistemas de gestión de la seguridad nos permiten afianzar las medidas de seguridad que desplegamos y por tanto: Apuntalar la mina

52 Respuestas 4. Razones para la implantación de un SGSI La seguridad es un proceso de apoyo en cualquier organización y cada vez tiene más peso. La figura del socio y el deber in vigilando Las organizaciones necesitan garantizar su seguridad por diversos motivos: Garantizar la seguridad de la información de negocio y la continuidad del mismo. Proteger la información para cumplir la legislación: LOPD, SOX, Evitar que se comentan acciones ilícitas o delictivas haciendo uso de la infraestructura de la organización: Interna: empleados o colaboradores de la organización Externa: Intrusos en nuestros sistemas Control interno para evitar manipulaciones en los datos Códigos de Buen Gobierno Responsabilidad Social Corporativa Delimitar responsabilidades personales

53 Respuestas 5. Qué necesitamos para implantar un SGSI? Cómo puedo vender más hierro con un SGSI? PDS, Sistema documental, Sistema de soporte al SGSI 6. Cuánto tiempo nos puede costar montar un SGSI? Depende del punto de partida Sistema de monitorización? Grado de implantación de controles? LOPD? ISO 9000?

54 Respuestas 12. La eterna discusión sobre los indicadores de seguridad Indicadores de eficacia y eficiencia del proceso Caso: Indicadores de disponibilidad

55 Indicadores de disponibilidad Cuadro de Mando TIC. HERA P1 Procesos de Negocio A1 A2 Aplicaciones S1 S2 S3 S4 Software base Infraestructura 55

56 15. Explotación y seguridad. Juntas de la mano. Respuestas

57 6.- Certificación del SGSI

58 Modelo PDCA Fuente:

59 Hacia los sistemas de gestión en tiempo real DA CP CP DA Check Act Plan Do Monitorizar

60 Respuestas 10. El cumplimiento legal desde el punto de vista de la entidad de certificación Requisitos mínimos La entidad de certificación El proceso de certificación. Diferencias respecto a otros referenciales La visita previa Ejemplos de no conformidades Plan de acciones correctivas

61 CONCLUSIONES

62 Starbucks Partner & Asset Protection: Protecting the Starbucks Experience from Origin to the Cup Protect people Secure asset Eanble mission

63 No vive el que no vive seguro Francisco Quevedo

64 64

65 Nota para los asistentes Se ha eliminado información confidencial de algunos casos prácticos Se han eliminado algunos de los casos prácticos completos por ser de uso restringido 65

66 Sistemas de monitorización: Caso práctico

67 Caso: Esquema proporcionado

68 Simplificación Arquitectura de RED LOCAL OFICINAS SW I INTERNET Equipos de fábrica y centro II y siguientes ROUTER INTERNET/CORREO ROUTER Representantes Equipos fábrica Centro I FW SW I SW UNIDAD DE CINTAS 7 U SW I SW II Servidor Localsrv ARRAY DE DISCOS Servidor EBS Enlace FIBRA Servidor Fax Servidor Usuarios Servidor Domino CLUSTER AXAPTA DPC TServer

69 Sensores Monitores Estandar CPU, Disco, RAM, NRPE SMTP (25) MONITORIZACIÓN TRÁFICO SERV. IMPRESIÓN (específicos ASVNT22) HTTPS (443) JABBER POSTGRESQL ARGOS (Incluye varios) EMAS CPU MEMORIA RAM # CONNS/SEC HTTP (8080) HTTP (80) SQL Server ORACLE Terminal Server CONECTIVIDAD VERITAS NTP PROCESOS SERVICIOS LDAP CONTROL ACCESO SNMP MONITORIZACIÓN DE ACCESO REMOTO LOPD: Fichero de nivel bajo LOPD: Fichero de nivel medio LOPD: Fichero de nivel alto Auditorías de seguridad periódicas Monitorización de puertos Monitorización de servicios y procesos HFT T H HR SENSORES HR: Humedad Relativa T: Temperatura H: Humo HFT: Humo Falso Techo ARGOS dispone de más de 500 tipos sensores para monitorizar y controlar todo tipo de infraestructura

70 Monitorización infraestructura de RED LOCAL OFICINAS SW I INTERNET Equipos de fábrica y centro II y siguientes ROUTER INTERNET/CORREO ROUTER Representantes Equipos fábrica Centro I FW SW I SW UNIDAD DE CINTAS 7 U SW I SW II Servidor Localsrv ARRAY DE DISCOS Servidor EBS Servidor ARGOS Enlace FIBRA Servidor Fax Servidor Usuarios Servidor emas CLUSTER AXAPTA Servidor Domino DPC TServer

71 Monitorización infraestructura de RED LOCAL OFICINAS T HFT HR H SW I Equipos de fábrica y centro II y siguientes ROUTER INTERNET/CORREO INTERNET ROUTER Representantes Equipos fábrica Centro I SW I FW HFT T H HR SW UNIDAD DE CINTAS 7 U SW I SW II Servidor Localsrv HFT T H HR Servidor ARGOS ARRAY DE DISCOS Enlace FIBRA Servidor EBS Servidor Fax Servidor Usuarios Servidor Servidor emas Domino CLUSTER AXAPTA HFT T H HR DPC HFT T H HR HFT T H HR TServer

72

73 Sistema de monitorización Sistema de monitorización de infraestructuras tecnológicas Monitorización de disponibilidad Control de acceso lógico Monitorización de capacidad (consumo de recursos) Monitorización de tráfico de red Detección de intrusiones Análisis automático de vulnerabiilidades Monitorización de elementos de red Monitorización y gestión de copias de seguridad Descubrimiento automático de red Inventario automático de activos TIC

74 Sistema de monitorización Continuación. Análisis de uso de la red Análisis de logs Monitorización y registro de acceso a ficheros Monitorización de tráfico de internet Monitorización de tráfico de vozip

75 Sistema de monitorización Sistema de monitorización de seguridad física de emplazamientos y equipos y monitorización de instalaciones físicas Control de Acceso a AAR y AAL Registro de acceso a AAR Registro de entrada y salida de activos (RFID) Registro de acceso a información en papel Videovigilancia Control de movimiento de activos. Trazabilidad de activos físicos Monitorización presencial. Control de presencia y localización mediante RFID y bluetooth Monitorización ambiental: temperatura, humo, humedad relativa, fluidos, luz, etc Monitorización de suministro eléctrico

76 Nota Mapa de controles eliminados Material acceso restringido 76

77 Caso II: Empresa datos de nivel alto NOTA: Este caso es un caso real basado en los estándares del momento (ISO 17799:2005)

78 Aspectos destacables La ISO nos permite marcar un punto de origen y establecer un objetivo o punto de destino la que debemos llegar a través de la implantación de distintos mecanismos definidos en el Plan Director de Seguridad. La ISO 17799:2005 define un punto de inicio para la seguridad de la información. De alguna forma está marcando unos mínimos: Contemplar el cumplimiento del dominio de control 11 relativo al marco legal de cada país (LOPD, LSSI, LPI, ) Documento de política de seguridad de la información (5.1.1) Establecer responsabilidades (6.1.3) Formación, información y entrenamiento en seguridad de la información (8.2.2) Controles que aseguren el correcto funcionamiento de aplicaciones para evitar pérdidas de información o accesos no autorizados a la misma (12.2) Dominio de control 14. Controles relacionados con la gestión de continuidad del negocio Gestión de información de incidentes de seguridad y proceso de mejora continua en su evaluación y monitorización (13.2) 78 José Rosell. S2 Grupo. febrero de 2010

79 Dominios de Control Nivel de cumplimiento ISO (%) Indicador Z% Objetivo estratégico: Nivel de seguridad deseado D Y% Nivel de seguridad necesario a corto plazo C B PAU Acciones urgentes X% A Situación actual t 1 t 0 t 2 t 3 Tiempo Auditoría de dominios de control de la ISO Política de seguridad 100% Cumplimientos 41% Cumplimientos 90% 80% Seguridad organizativa. Organización de la seguridad Gestión de continuidad del negocio 96% 70% 60% Desarrollo y mantenimiento de sistemas Control de acceso 65% 72% Gestión de continuidad del negocio 50% 40% 30% 20% Clasificación y control de activos Gestión de comunicaciones y operaciones 68% 10% 0% Seguridad física o ambiental 39% Seguridad de personal 28% Desarrollo y mantenimiento de sistemas Seguridad de personal Clasificación y control de activos 29% Seguridad organizativa. Organización de la seguridad 53% Política de seguridad 60% Control de acceso Seguridad física o ambiental 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Grado de Cumplimiento Gestión de comunicaciones y operaciones Objetivo Auditoría cumplimiento por dominio 79 José Rosell. S2 Grupo. febrero de 2010

80 Resultados auditoría ISO Auditoría cumplimiento por dominio Dominio 1 Política de seguridad 60% Dominio 2 Seguridad organizativa. Organización de la seguridad 53% Dominio 3 Clasificación y control de activos 29% Dominio 4 Seguridad de personal 28% Dominio 5 Seguridad física o ambiental 39% Dominio 6 Gestión de comunicaciones y operaciones 68% Dominio 7 Control de acceso 65% Dominio 8 Desarrollo y mantenimiento de sistemas 72% Dominio 9 Gestión de continuidad del negocio 96% Dominio 10 Cumplimientos 41% 55% 80 José Rosell. S2 Grupo. febrero de 2010

81 Resultados auditoría ISO Los dominios de control mostrados se despliegan en sus objetivos de control. La distancia al objetivo de cada objetivo de control se plasma en el diagrama radial adjunto: Información sobre la política de seguridad Consideraciones sobre la auditoría del sistema Infraestructura de la Seguridad de la Información. 100,0% Revisiones de las Políticas de Seguridad y conformidad técnica. Seguridad frente al acceso por parte de terceros. Seguridad de los sistemas de archivo Seguridad en aplicaciones Requisitos de seguridad del sistema Cumplimiento con requerimientos legales Aspectos sobre la gestión de continuidad del negocio Seguridad en los procesos de desarrollo y soporte Controles criptográficos 90,0% 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Externalización. Outsourcing. Responsabilidades en los activos. Clasificación de la información Seguridad en la definición de puestos de trabajo y la asignación de recursos. Entrenamiento de los usuarios. Respuesta ante incidentes y anomalías en materia de seguridad Áreas seguras Elementos móviles y teletrabajo Seguridad del equipamiento. Monitorización de acceso y utilización del sistema Controles generales. Control de acceso del aplicativo Responsabilidades y procedimientos operativos. Control de acceso al sistema operativo Planificación y aceptación de sistemas Control de acceso de red Protección contra software maligno Responsabilidades del usuario Operaciones de mantenimiento interno Gestión de acceso de usuarios Gestión de red Requisitos de control de acceso del negocio Administración y seguridad de los medios de almacenamiento Intercambio de información y software 81 José Rosell. S2 Grupo. febrero de 2010

82 Resultados auditoría ISO Los objetivos de control se despliegan a su vez en los puntos de control establecidos por la ISO Esquemáticamente se representa en el radial adjunto: % José Rosell. S2 Grupo. febrero de % 80% 70% 60% 50% 40% 30% 20% 10% 0%

83 Matriz de controles y riesgos Muy alto 2 Seguridad Física y Ambiental Alto Clasificación y Control de Activos Seguridad del Personal 2 Cumplimiento Normativa 3 3 Seguridad organizativa Seguridad lógica Seguridad física Seguridad legal Medio RIESGO Política de Seguridad 1 3 Seguridad Organizativa Bajo Gestión Comunicaciones Desarrollo y y Operaciones mantenimiento de sistemas Control de Acceso Muy bajo Gestión Continuidad Negocio 1 Fuente: S2 Grupo Muy bajo Bajo IMPACTO Medio Alto Muy alto 83

84 Iniciativas del Plan Director de Seguridad Imagen eliminada Material acceso restringido A partir del punto de partida identificado se definen una serie de iniciativas y proyectos cuyo objetivo fundamental será, por una parte, la consolidación o mantenimiento de los niveles de seguridad alcanzados, y por otra elevar los mismos hasta el nivel de seguridad objetivo marcado por la organización, de forma gradual.

85 Plan Director de Seguridad Gestión de continuidad del negocio Cumplimientos Política de seguridad 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Seguridad organizativa. Organización de la seguridad Clasificación y control de activos Desarrollo y mantenimiento de sistemas Seguridad de personal Control de acceso Seguridad física o ambiental Gestión de comunicaciones y operaciones Objetivo PDS Año 2 PDS Año 1 Auditoría cumplimiento por dominio 85

86 Servicios de Seguridad Gestionada La seguridad de la información y el conocimiento en manos de profesionales Centro de Servicios de S2 Grupo Enero 2010

87 Infraestructura de Argopolis Equipado actualmente con 16 puestos de trabajo totalmente funcionales. Capacidad del centro hasta 21 puestos de operación Sala de acceso limitado con control y registro de acceso Single Point of Contact para sus clientes mediante PBX/CTI basado en Asterisk totalmente operativo e integrado completamente con la plataforma de monitorización y de gestión de eventos y alarmas del centro 87

88 Infraestructuras de Argopolis Argopolis es un centro soportado y monitorizado por la plataforma tecnológica de S2 Grupo Dispone de una sala técnica perfectamente equipada con alta disponibilidad en comunicaciones y en suministro eléctrico mediante grupo electrógeno Dispone de una Sala de crisis diseñada con garantía de suministro eléctrico y comunicaciones para incident handling 88

89 Modelo de gestión del centro Los servicios del centro de seguridad gestionada están certificados con ISO 27001, ISO 9001 y en vías de obtención ISO Los procesos del centro están monitorizados en tiempo real Incluso el proceso de atención a clientes a través del Service Desk está monitorizado (Objetivo: No se pierde ninguna llamada al centro de servicios) 89

90 Equipo humano El equipo humano que da servicio al Centro de Seguridad Gestionada de S2 Grupo está compuesto por especialistas en seguridad, informática y telecomunicaciones, con certificaciones CISA, CISM, OSSTMM, CISSP, ITIL, CCNA, CCNP, etc Entre consultores y técnicos de seguridad el equipo está compuesto por más de 20 miembros 90

91 Plataforma tecnológica Argopolis dispone de una completa plataforma tecnológica desarrollada por S2 Grupo específicamente para Centros de Servicios Gestionados. La plataforma se compone de: Sistema de atención de llamadas: Basado en una PBX/CTI opensource Completo sistema de monitorización compuesto por un grupo de herramientas OpenSource seleccionadas: Nagios, Nessus, Snort, Ntop, MRTG, Squid, OCSInventory, OpenNMS, etc y agentes de desarrollo propio. Sistema propio de correlación compleja de eventos Sistema de gestión de eventos y alarmas con gestión de cambios, autorizaciones, CMDB, biblioteca de conocimiento, SLAs por proyecto, catálogo de servicios, Cuadro de Mando Activo con indicadores en tiempo real del servicio al cliente 91

92 Plataforma tecnológica La plataforma tecnológica permite controlar 24x7 las infraestructuras del centro y de sus clientes a través de su Consola única de eventos y alarmas 92

93 Plataforma tecnológica El cliente dispone de un acceso personalizado a la información de su proyecto en el Centro de Servicios a través de su portal

94 ArgoBox Para cada tipo de cliente, Argopolis implanta un ArgoBox con el entorno de monitorización adecuado. ArgoBox contiene una instancia de Argos adecuada para cada tipo de cliente S2 Grupo dispone de ArgoBox-Lite montados en un embedded-pc para pequeños clilentes o ArgoBox montados incluso en dos máquinas (IDS por una parte y el resto de monitorización por otra). Ejemplos de ArgoBox-Lite

95 Caso: Implantación ArgoBox y gestión remota seguridad

96 Antecedentes La situación inicial que se encuentra es desconocida por la organización, aunque se sabe que existen algunos problemas Hablamos de una organización del ámbito de la educación con muchos alumnos en el campus Inicialmente la organización tiene problemas indeterminados reportados en algunos casos por terceros Problemas de seguridad lógica continuos. Intrusiones. Virus. Vulnerabilidades. El desarrollo de una auditoría de seguridad lógica califica el estado de seguridad como INSATISFACTORIO

97 Actuación Tras un período inicial marcado por la ejecución de un PAU (Plan de Acciones Urgentes) se implanta un servicio de seguridad gestionada desde ARGÓPOLIS ARGÓPOLIS diseña el sistema de monitorización con el despliegue de una sonda ARGOBOX para la gestión de los sensores Dentro del dominio protegible de la organización se incluyen un total de 50 activos monitorizados entre los que hay: Servidores Electrónica de red Se alcanza una profundidad de monitorización de 7,2. HIDS. NIDS. Control de disponibilidad. Control de ancho de banda. Control de vulnerabilidades.

98 Mapa de controles REDIRIS WWW 10.X.X.X Router BRI0/1 BRI 1/1 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X WAN 10.X.X.X Router CARRIER SIMÉTRICO Firewall DMZ 10.X.X.X BRI1 10.X.X.X BRI0 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X SNMP XXXXX XXXXX SNMP LAN 10.X.X.X 10.X.X.X 10.X.X.X XXXXX 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X XXXXX XXX REDIRIS DNS DNS 10.X.X.X 10.X.X.X 10.X.X.X XXXXX 10.X.X.X 10.X.X.X 10.X.X.X XXXXX 10.X.X.X 10.X.X.X Switch RED 3 10.X.X.X RED 1 10.X.X.X XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX SMB 10.X.X.X SMB LDAP SMB DNS WINS LDAP SMB DNS WINS LDAP SMB DNS WINS LDAP SMB RED 2 XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX SMB 10.X.X.X FTP SMB SMB FTP FTP NFS SMB XXXXXX XXXXXX LDAP SMB LDAP SMB

99 Situación actual La situación actual de operación de ARGÓPOLIS arroja unas cifras inimaginables a priori Argopolis está gestionando la seguridad de la organización en remoto, manteniendo reuniones periódicas de seguimiento y coordinando, a través del centro de soporte todos los incidentes que surgen de forma continua Las cifras hablan por si solas. Datos del servicio durante el último año (01/03/08-01/03/09): eventos de seguridad. 537 alertas emitidas. 62 vulnerabilidades detectadas. 105 notificaciones críticas. 68 incidentes con gestión asociada. Además de la gestión de eventos de seguridad se ha trabajado en la elaboración de procedimientos y normativas e incluso en el apoyo ante las FFCCSE

100 Organización educativa. En un año se gestionan 8824 eventos de seguridad y se tratan 537 alertas de seguridad, 24 eventos por día y aproximadamente 10 alertas de seguridad por semana y 1 incidente grave por semana Alertas

101 Plataforma de gestión de un SGSI

102 Seguridad como proceso

103 emas-tic: Plataforma para la gestión de la infraestructura TIC Cuadro de mando activo Consola única de gestión de eventos Motor de correlación Plataforma de correlación Bus de eventos Sensores Procesos de la organización

104 Capacidades a tener en cuenta Trazabilidad de los eventos. Gestión en tiempo real. La necesidad de disponer de la información en el momento en que se produce. Multicanal. Selecciona el canal por el que debe comunicarse con cada recurso de la unidad de servicio. Facilitar una gestión proactiva de la Calidad del Servicio mediante la medición de indicadores en tiempo real como tiempo de respuesta, tiempo de resolución, disponibilidad, etcétera. Capacidad para monitorizar y controlar los procesos 24h, generando avisos al personal de guardia cuando es necesario. Plataforma única para gestionar TODOS los eventos relacionados con la Seguridad y con la Gestión del Sistema (tareas programadas, periódicas, no conformidades, eventos de sensores, etc )

105 Capacidades a tener en cuenta Gestionar el conocimiento asociado a los eventos que trata, facilitando los procesos de aprendizaje y mejora continua. El conocimiento del entorno y de su gestión queda en manos de la compañía, no de las personas. Capacidad de procedimentar la forma de actuación de la organización Capacidad para gestión los activos relacionados con los procesos. Medición de eficacia y eficiencia de los procesos.