Durante los últimos años, ha aumentado las medidas de protección, equipos y sistemas que los departamentos de TI usan para defenderse de ataques externos e internos, aumentando exponencialmente la necesidad de una gestión adecuada de la seguridad de la información.

La expansión de las fronteras de los negocios hacia entornos de más riesgo, cada vez más dinámicos y cambiantes, el despliegue progresivo de contramedidas, las responsabilidades distribuidas entre los actores que intervienen en su mantenimiento, la complejidad y diversidad de los sistemas, la existencia de muy diversas fuentes de información inconexas y la necesidad de centralizar la visión del estado de la Seguridad han incrementado la complejidad de esta gestión y, por tanto, el esfuerzo que hay que emplear para garantizar unos niveles de seguridad adecuados.

En este artículo explicaremos qué alternativas existen para enfrentarse a las situaciones descritas anteriormente.

La problemática

La Gestión de la Seguridad es un servicio al Negocio que debe abordarse desde una perspectiva de eficacia y mejora continua y, necesariamente, pasa por saber qué está ocurriendo y qué podría ocurrir. Para saber lo que está sucediendo en la red, en los sistemas y en las aplicaciones se deben monitorizar y, por tanto, gestionar los eventos de seguridad; para predecir lo que podría ocurrir es necesario detectar qué vulnerabilidades tienen los sistemas, cuáles son las nuevas amenazas que podrían afectarles y realizar las gestiones adecuadas para minimizar el riesgo de sufrir un incidente.

Algunas de las tareas que habrá que realizar en la gestión de eventos de seguridad son la definición de sistemas y eventos a monitorizar, la centralización de eventos, su normalización, su correlación, su categorización, la definición de acciones de contención y/o resolución de un posible incidente, su comunicación, la ejecución de las acciones definidas, el seguimiento de la resolución del incidente y el reporte en informes y Cuadros de Mando.

En paralelo, las tareas a realizar en la gestión de vulnerabilidades incluyen la planificación de los análisis, su ejecución de manera que no afecten a la Producción, la interpretación de los resultados para eliminar falsos positivos, la propuesta de acciones de resolución de las vulnerabilidades identificadas, el apoyo especializado para ayudar a los administradores de los sistemas a resolver las vulnerabilidades identificadas y, por último, hacer seguimiento de las resueltas y el reporte en informes y Cuadros de Mando.

Finalmente, las tareas propias de la gestión de amenazas incluyen la atención a listas de avisos de vulnerabilidades y la participación en chats, foros y eventos de seguridad para detectar las amenazas que podrían concretarse en la organización. Una vez detectadas, la gestión para su contención es similar a la de las vulnerabilidades: propuesta de acciones, apoyo a los administradores, seguimiento y reporte.

La problemática concreta de la gestión de amenazas reside en el elevado número de nuevas vulnerabilidades que se publican cada día en Internet, que hace necesario dedicar un gran esfuerzo para su revisión y comprensión, así como valorar si aplican a nuestra infraestructura, proponer acciones para su resolución y su posterior seguimiento.

Por otro lado, la calidad del inventario es fundamental para evitar falsos positivos y priorizar las acciones. Este inventario debe facilitar la agrupación de activos por criterios abiertos, la definición de la criticidad de cada activo o grupo de activos, la orientación del servicio a procesos de Negocio, así como la relación de la información procedente de la gestión de eventos, vulnerabilidades y amenazas con los activos o grupos de activos.

Las alternativas

Desde el punto de vista de Organización debe valorarse si alguna de estas actividades se quiere y se puede externalizar. Deben responderse preguntas relativas al Qué, Cómo, Cuándo, Con quién y Cuál es el coste.

Desde el punto de vista Tecnológico, se puede optar por dos estrategias. La primera consiste en adquirir y mantener una herramienta de monitorización y gestión de eventos. La segunda tiene relación con la contratación de un servicio gestionado que realice las actividades que no sean consideradas estratégicas.

El objetivo será automatizar todo lo posible las actividades a realizar. De otro modo, o no se ejecutarán adecuadamente o será necesario un esfuerzo muy elevado.

La opción de la adquisición de una herramienta se debe valorar teniendo en cuenta los costes de adquisición de licencias al igual que el esfuerzo de despliegue de agentes, de definición, mantenimiento y evolución de reglas de filtrado y correlación de eventos, y, finalmente, de integración de métricas en un Cuadro de Mando de Seguridad. En consecuencia, los recursos y tiempo necesarios para conseguir resultados óptimos son importantes.

Además, no es suficiente abordar un proyecto que implante la herramienta; es necesaria una actividad continuada que analice las alarmas generadas y realice un seguimiento de su resolución, que evolucione las reglas, los indicadores, etc. que se necesitarán cuando cambien el entorno o los sistemas monitorizados.

Otro aspecto que no debe obviarse es la necesidad de migración de versiones de la herramienta. Suelen ser complejas debido a integraciones realizadas con sistemas de workflow, migraciones de BBDD, desarrollo de agentes propios, etc.

En contraposición a la herramienta, la opción del servicio gestionado ofrece:

Otro aspecto fundamental es la medición de la calidad del servicio y su constatación contra el Acuerdo de Nivel de Servicio firmado entre cliente y proveedor.

Finalmente, el servicio ofrece una visión unificada de la seguridad, al integrar la gestión de eventos, la gestión de vulnerabilidades y la gestión de amenazas de seguridad. Esta integración se hace evidente en los informes y Cuadros de Mando.

Los informes que el servicio genera permiten mejorar el nivel de seguridad de la información del cliente, ya que facilitan el análisis de tendencias; ofrecen información sobre el nivel de seguridad y su evolución; y ayudan al equipo que presta el servicio a proponer acciones y al cliente a tomar decisiones.

Los informes deben ser de dos tipos: los informes técnicos (proporcionan información táctica) y los informes ejecutivos (ofrecen información estratégica, útil para la toma de decisiones y valoración de las diferentes opciones).

Ambos tipos de informes están orientados a ofrecer, a distintos interlocutores, información del siguiente tipo: cómo estoy y qué me puede pasar, qué ha ocurrido en este periodo de tiempo en cada sistema y en cada proceso de negocio, y qué conclusiones y recomendaciones se obtienen a partir del análisis del periodo que recoge el informe.

Estos informes son fundamentales en un servicio que ofrece valor al cliente, ya que tienen como objetivos resumir, sintetizar y ofrecer información con la que priorizar las acciones necesarias para mejorar el nivel de seguridad y reducir la posibilidad de sufrir un incidente.

Conclusiones

Para obtener el nivel de seguridad válido es necesario que todas las medidas y sistemas de seguridad disponibles estén adecuadamente gestionados. Esto implica un notable esfuerzo de recursos y conocimiento en la organización. Una alternativa cada vez más atractiva y económica es la de externalizar estas tareas.

El Servicio de Seguridad Gestionada persigue alinear la seguridad con el negocio. Está orientado al control de Riesgos mediante herramientas adecuadas y personal que aporta experiencia e inteligencia al proceso facilitando la toma de decisiones; garantiza una reducción drástica del nivel de riesgo de la organización mediante la monitorización en tiempo real 7x24x365; y posibilita un marco para la mejora continua basado en normas, estándares y buenas prácticas como ITIL y UNE 71502-2004 (BS 7799-2)

El Servicio de Seguridad Gestionada ofrece diversos niveles de informes a los distintos interlocutores de la Empresa, prestando especial atención a los informes ejecutivos de recomendaciones.