Universidad Latina de Costa Rica

SOC-NOC en E-Commerce
Maestra en Telemtica

Comercio Electrnico

Profesor:
Maricel Herrera.

Integrantes:
Carlos Roberto Rojas Chaves. Jason Ulloa Hernndez.

2012

Contenido Introduccin ................................................................................................................................4 Marco Terico ............................................................................................................................5 Componentes de la Seguridad del Comercio Electrnico ...............................................5 Seguridad del software cliente .............................................................................................5 Seguridad en el transporte de los datos .............................................................................5 Mecanismos de seguridad ...................................................................................................5 1. 1.1 2. 2.1 2.2 2.3 2.4 2.5 3. 3.1 4. 4.1 Centro de control de Operaciones de Seguridad Informtica (SOC) .....................6 Dentro de los servicios de un SOC se detallan las siguientes alternativas .......6 Mdulos de un SOC ......................................................................................................7 Sensores .....................................................................................................................8 Pollers .........................................................................................................................8 Cajas C y Cajas D .....................................................................................................9 Cajas A y K .................................................................................................................9 Cajas R .......................................................................................................................9 Arquitectura global de un SOC ....................................................................................9 Procedimientos de reaccin y escalamiento ..........................................................9 Correlacin ...................................................................................................................11 Funcionamiento de la correlacin ..........................................................................11

4.2 Introduccin a los contextos .......................................................................................12 4.2.1 Estructura de los contextos ..................................................................................13 5. 5.1 Anlisis ..........................................................................................................................16 Anlisis estructural ..................................................................................................16

5.2 Mdulos de anlisis de la estructura ..........................................................................16 5.3 Anlisis de la activacin del mdulo ...........................................................................17 5.4 Correlacin avanzada ..................................................................................................17 5.4.1 El anlisis funcional ...............................................................................................17 5.4.2 Anlisis del comportamiento ................................................................................17 6. Modelos Sugeridos para la aplicacin empresarial ................................................17 6.1 Modelo Lgico ...........................................................................................................18 6.2 Modelo Fsico ............................................................................................................20 7. NOC (Network Operation Center) .............................................................................21 7.1 Network Operations Center (NOC) Servicios ........................................................21 7.1 Beneficios ...................................................................................................................22

7.2 Por qu la Convergencia SOC / NOC? ...............................................................22 7.3 Desafos de la convergencia SOC / NOC ............................................................23 7.3 Pasos para la implementacin convergente del SOC/NOC...............................23 7.4 Flujo de Trabajo del NOC ........................................................................................25 7.5 Modelo Fsico del NOC ............................................................................................27 7.6 Modelo Lgico del NOC ..........................................................................................28 7.7 Diagrama Flujo de Datos del NOC .........................................................................29 7.8 Implementacin en empresa de E-commerce ......................................................30 Informacin de Arquitectura de Flujo ............................................................................30 7.9 Estructura de Integracin Propuesta ......................................................................33 8 Proceso para la continuidad del Negocio .................................................................34 Conclusiones............................................................................................................................37 Recomendaciones...................................................................................................................38 Bibliografa................................................................................................................................39

Introduccin
La Internet se ha convertido en un medio en donde se llevan a cabo una gran cantidad de negocios alrededor de todo el mundo, y como en cualquier otro tipo de negocios, no se puede asumir que todos los participantes estarn dispuestos a jugar limpio. El solo hecho de llevar a cabo transacciones de negocios en un medio inseguro es suficiente para alentar la conducta criminal en Internet.

Hay cuatro componentes cuya seguridad es crtica para la realizacin de transacciones de negocios en lnea: el software cliente, los protocolos de transferencia de datos, el servidor Web (o de comercio) y el sistema operativo. Una falla en cualquiera de estos componentes compromete la seguridad de las transacciones y debilitan la confianza de los consumidores y comerciantes en el comercio electrnico.

El uso de herramientas tecnolgicas como Help Desk, NOC y SOC ayudan a estos negocios en la difcil tarea de mantener seguros sus comercios, ayudando as a garantizar la buena imagen de estos para con sus clientes y generando un valor adicional al negocio.

Marco Terico
Componentes de la Seguridad del Comercio Electrnico Si bien no existe un esquema establecido para la seguridad en comercio electrnico, podemos identificar claramente cuatro componentes principales que hay que proteger; el software del lado del cliente, el transporte de los datos, el software del servidor Web y el sistema operativo del servidor. Es importante hacer un esfuerzo para que la seguridad de estos componentes sea consistente, ya que si uno de ellos presentara una debilidad obvia, sera blanco de la mayora de los ataques, y debido a su debilidad muchos de esos ataques seran exitosos. Seguridad del software cliente La seguridad del software cliente se refiere a la seguridad que presenta el software cliente de web, es decir, el software que se utiliza para navegar en Internet. Los dos grandes riesgos de este componente son las vulnerabilidades de los navegadores y los componentes Web activos. Seguridad en el transporte de los datos El transporte de los datos a travs de las redes es el aspecto del comercio electrnico que ha recibido la mayor concentracin de recursos para asegurar su seguridad. El brindar seguridad a los datos en trnsito implica garantizar la integridad y confidencialidad de los datos, y la autenticidad tanto del emisor como del receptor. La integridad de los datos se refiere a asegurar que los datos no son modificados mientras son transportados a travs de la Internet, La confidencialidad se refiere a que los datos no puedan ser ledos por una entidad diferente al receptor y la autenticidad del emisor y receptor se refiere a garantizar que las partes involucradas en la transmisin sean quienes dicen ser, es decir, que no sean suplantados por terceros. Mecanismos de seguridad Para asegurar las transacciones de comercio electrnico es necesario que se cumplan los siguientes requerimientos bsicos:

Privacidad. Es la habilidad de controlar quien puede (o no puede) ver la informacin. Las transacciones deben permanecer privadas e inviolables en el sentido de que entidades no autorizadas no puedan descifrar el contenido de los mensajes.

Integridad. Es la seguridad de que los datos almacenados o transmitidos no son alterados. Se debe asegurar que las transmisiones no son alteradas o interferidas.

Autenticidad. Es la habilidad de determinar la identidad de las partes que se comunican.

No repudiacin. No debe ser posible que un emisor de un mensaje pueda alegar que no envi una comunicacin segura o que no realizo una compra.

Para cumplir con estos requerimientos se han desarrollado mecanismos o combinaciones de mecanismos que permiten asegurar las transacciones. Estos mecanismos se describen a continuacin:

1. Centro de control de Operaciones de Seguridad Informtica (SOC) El objetivo es la administracin y gerenciamiento de los servicios de seguridad, que est operado en modo 7x24x365 por especialistas altamente capacitados y certificados en las herramientas y productos ms sofisticados de la industria de seguridad informtica, quienes estn pendientes de las tareas de monitoreo y proteccin de los activos y recursos informticos de los clientes, mientras verifican permanentemente toda actividad que pueda afectar real o potencialmente, a la normal operacin de las soluciones de IT utilizadas por el Cliente.

Por lo tanto, el SOC tendr tres componentes bsicos de gestin de vulnerabilidades, gestin de amenazas y gestin de acceso.

1.1 Dentro de los servicios de un SOC se detallan las siguientes alternativas

a) Gerenciamiento de Firewalls: Soluciones basadas en appliances especficos de hardware Soluciones basadas en Personal Firewalls de software gerenciales, ideal para uso de pequeas empresas. b) Gerenciamiento de IDS e IPS (Sistemas de Deteccin y Prevencin de Intrusos). c) Gestin de Logs y Correlacin de eventos. d) Anlisis de Vulnerabilidades. e) Tests de Ataque y Penetracin. f) Auditora de Redes Internas.

g) Filtros de Contenidos (gestin de setup o implementacin de soluciones, con reportes estadsticos). h) Gestin de Antivirus y Antispywares de Servidores y de Workstations. i) j) Gestin de Soluciones de Autentificacin Fuerte. Gestin de Redes Privadas Virtuales (VPN) (Site to Site y Cliente Remoto).

k) Gestin de redes de telecomunicaciones y soporte de microinformtica. l) Servicios de Consultora, Auditora y Asesoramiento: Normas ISO 17799 ISO 24001 (BS 7799-2) Compliance y gap analysis. Sarbanes-Oxley Compliance. BCP /DRS planeamiento y definicin (Business Continuity Plan). Diseo de Plan de Seguridad.

m) Servicios de Capacitacin. 2. Mdulos de un SOC Security Operation Center es un trmino genrico que describe una parte o la totalidad de una plataforma cuyo objetivo es proporcionar servicios de deteccin y reaccin a incidentes de seguridad. De acuerdo con esta definicin, podemos distinguir cinco de las operaciones a ser realizadas: generacin de eventos de seguridad, recoleccin, almacenamiento, el anlisis y la reaccin.

Para mayor facilidad vamos a empezar con la definicin de "cajas": Cajas de E: Eventos generadores Cajas D: Eventos bases de datos Cajas R: Eventos reaccin

A continuacin, se altera ligeramente la definicin de las cajas A (descritas como "recibir informes y realizar anlisis ") a tan slo" el anlisis ", dejando la " operacin de recoleccin" de los datos de Cajas E a Cajas C especficas. Cajas A: Anlisis de eventos Cajas C: la recopilacin de eventos y formato

Otro tipo de caja ser definida conforme necesitemos gestionar el conocimiento de las caractersticas protegidas de la plataforma, as como la vulnerabilidad y la intrusin de firmas de base de datos. Cajas K: Base de Conocimiento 7

Como se puede imaginar fcilmente, cada caja describe un grupo funcional de "Mdulos" que realizan operaciones especficas. Como un ejemplo una "caja E" puede ser un grupo de aplicaciones que generan los eventos del sistema a travs del estndar de interfaz syslog del sistema operativo en que se ejecutan. . Tambin

podra ser un conjunto de ID's de Red. En los ejemplos anteriores, los mdulos seran respectivamente aplicaciones y IDS de red.

Desde un punto de vista macro de cajas operara como se describe en la Figura 1.

Figura 1 Diagrama de cajas

2.1 Sensores El tipo ms conocido de sensores son los IDS, pueden ser basados en host o basado en la red.

2.2 Pollers Pollers son un tipo especfico de generadores de eventos. Su funcin es generar un evento cuando un estado especfico se detecta en un sistema de terceros. La analoga ms simple es hacerse con los sistemas de gestin de red.

2.3 Cajas C y Cajas D El propsito de las cajas de recogida es reunir informacin de diferentes sensores y traducirla en un formato estndar, con el fin de tener una base homognea de mensajes.

2.4 Cajas A y K Estos mdulos son responsables para el anlisis de eventos almacenados en las cajas D. Estn para realizar varias operaciones en orden de proveer mensajes de alerta calificados.

2.5 Cajas R Es un trmino genrico utilizado para definir el conjunto de reacciones y herramientas de reporte usadas para reaccionar contra los eventos ofensivos que estn teniendo lugar en o dentro de los sistemas supervisados.

3. Arquitectura global de un SOC La arquitectura global de un SOC implementa los diferentes tipos de cajas definidas anteriormente. Sin embargo, al lado de los puros aspectos tcnicos involucrados en este tipo de implementacin, es necesario tener en cuenta la supervisin de la infraestructura de TI como un proyecto plenamente operativo. 3.1 Procedimientos de reaccin y escalamiento Con el tiempo, reaccionar adecuadamente a un ataque es sobre todo una cuestin de organizacin y los procedimientos a ser aplicados por los equipos de respuesta a incidentes. Por supuesto, la reaccin apropiada debe ser determinada antes de que un ataque se lleva a cabo y los procedimientos deben ser validados a continuacin de forma segura (sobre todo en trminos de integridad) almacenada y accesible a los equipos de supervisin.

En trminos simples, un cierto nivel de escalamiento se debe definir con el fin de asegurar una reaccin rpida y eficaz, en paralelo con el uso de apropiado los recursos humanos. Los procedimientos de escalamiento se dan en la figura 3. Otro aspecto a ser especificado es el retardo, definido como t1 en la figura anterior, en la que el procedimiento de reaccin debe ser puesto en marcha, de acuerdo con atacar a la criticidad. Una vez que este retraso se ha agotado, el escalamiento y el siguiente paso (parte superior) deberan ser automticos. 9

Figura 2 Procedimiento de escalamiento

El primer nivel debe ser lo que nos referimos como agentes, es decir, a mediados de tcnica el personal de nivel, que son capaces de entender los eventos generados por unidades de embalaje, as como el procedimiento de reaccin para aplicar.

El segundo nivel debe ser un equipo de expertos tcnicos. Estos expertos son responsables del anlisis de eventos de intrusin que no se han definido a priori.

El tercer nivel debe ser un "laboratorio" en el que los paquetes sospechosos, el sistema de operaciones y as sucesivamente se volver a jugar, con el fin de determinar la naturaleza de la intrusin desconocida y proporcionar un procedimiento de reaccin completo 10

4. Correlacin

4.1 Funcionamiento de la correlacin El propsito de la correlacin es analizar secuencias complejas de informacin y producir eventos simples, sintetizados y precisos. Con el fin de generar eventos calificados, cinco operaciones deben llevarse a cabo:

a)

Identificacin de duplicados, la primera, la operacin obvia, es identificar duplicados y establecer un indicador especfico, a fin de mantener la informacin y continuar sin la necesidad de mantener mltiples mensajes idnticos.

b)

Patrones de la secuencia de coincidencia, es la operacin ms comn realizada por un motor de correlacin. Su finalidad es identificar una secuencia de mensajes que sera caracterstico de un intento de intrusin. Se hace posible identificar los procesos en curso de intrusin, as como los escenarios complejos de intrusos.

c)

Coincidencia de patrn de tiempo, est diseado para incluir una dimensin importante en el anlisis de intrusin: el tiempo. Esto se utiliza principalmente para el contexto (ver ms abajo) gestin, as como lentas y distribuida procesos de intrusin.

d)

Exposicin del sistema y el anlisis de criticidad, proporciona informacin sobre el sistema de destino de la vulnerabilidad a los intentos de intrusin detectados. En efecto, se parece inapropiado que las alarmas de generacin de SOC sobre una intrusin escenario basado en una vulnerabilidad que el sistema de destino no est expuesto. Otra pieza de informacin es la criticidad de la intrusin es decir, su impacto global sobre el sistema supervisado. Esto ayuda a gestionar las prioridades en trminos de reaccin a los incidentes mltiples.

e)

Coincidencia de las polticas de seguridad, es un filtro basado en el comportamiento que elimina eventos especficos si coinciden con los criterios de polticas de seguridad, como administrador de inicio de sesin, los procesos de identificacin y autorizaciones y restricciones. 11

Una visin global de las operaciones de correlacin se da en la figura 3 a continuacin

Figura 3 Operaciones de Correlacin

4.2 Introduccin a los contextos El anlisis definido anteriormente se basa en una estructura especfica llamada contextos.

Todas las operaciones de correlacin se realizan contra estas estructuras. En trminos sencillos, la definicin de un contexto es la siguiente: un contenedor de datos con formato que corresponden a un criterio comn.

Por lo tanto, cualquier mensaje almacenado en la base de datos de mensaje con formato es parte de uno o ms contextos. Las operaciones de correlacin se llevarn a cabo en paralelo para que se puedan ejecutar simultneamente en cada contexto. 12

Hay dos tipos de enfoque de contexto de la gestin puede llevarse a cabo:

La primera es para definir contextos independientes y distintos. Cada contexto contendr los mensajes que coinciden todos los criterios. Se define la arquitectura como una gran variedad de contextos.

El segundo enfoque es uno de tipo jerrquico. Contextos de nivel superior que coincidan con un nmero limitado de criterios son definidos. A continuacin, subcontextos, basados en diferentes criterios, se crean y as sucesivamente. Esto se define aqu en adelante como contexto rbol.

Como es de esperar, ninguno de los enfoques anteriores satisfacer todas las necesidades, ser que en trminos de rendimiento o funcionalidad. Una arquitectura mixta por lo tanto se tiene que ser definido.

4.2.1 Estructura de los contextos Como cualquier operacin de correlacin se realiza exclusivamente en los contextos, parece que su estructura es probablemente uno de los aspectos ms importantes de la SOC.

4.2.1.1 Arquitectura Funcional La arquitectura funcional se compone de una matriz de rboles de contexto. Cada rbol contiene cuatro niveles de ramas, como se describe en la figura 4.

13

Figura 4 Arquitectura funcional de rbol

4.2.1.2 Estructura de datos Con el fin de manejar la arquitectura que se ha definido anteriormente, es necesario implementar una estructura que garantice un adecuado almacenamiento y acceso a la informacin.

La figura 5 describe un esquema de implementacin de contexto. Como PERL de forma nativa soporta matrices de implementos y tablas de hash vamos a utilizar la notacin de PERL. Sin embargo, esto no es necesariamente una implementacin recomendada.

14

Figura 5 Esquema de implementacin de contexto

4.2.2 Estado de los Contextos Otra caracterstica importante de contexto es su estado. Definimos tres

estados distintos que se detallan a continuacin:

a) Activo: el contexto coincide con los criterios especficos (por lo general basadas en el tiempo pero podra ser cualquier otro criterio)

b) Inactivo: como un contexto, o bien no est de acuerdo con los criterios de "activos" o no recibe un cdigo de cierre especfico

c) Cerrado: el contexto ha sido completado

15

Figura 6 Estado de los contextos

5. Anlisis

5.1 Anlisis estructural El propsito del anlisis estructural consiste en identificar intentos de intrusin en curso, administrar el estado de inactividad y el contexto de las condiciones del contexto de cierre. En trminos sencillos, el anlisis estructural es un conjunto de operaciones realizadas por mdulos independientes en cada contexto. Cada mdulo se activa mediante un mensaje especfico y realiza el anlisis con una semntica "estndar".

5.2 Mdulos de anlisis de la estructura La salida de los mdulos de anlisis es el resultado de varias operaciones lgicas entre las condiciones de autnomos contra los campos de los contextos. La Figura 7 describe miembros de tales operaciones

Figura 7 Mdulos de anlisis

16

5.3 Anlisis de la activacin del mdulo Hay dos tipos de eventos pueden activar los mdulos de anlisis: los mensajes y el tiempo.

5.4 Correlacin avanzada Las operaciones avanzadas de correlacin se realizan a fin de definir la criticidad de un intento de intrusin y evaluar si este tipo de intento de intrusin est permitido de acuerdo con la poltica de seguridad. 5.4.1 El anlisis funcional Este paso correlacin segunda se realiz con el fin de evaluar la exposicin del sistema a la intrusin y el impacto global de una intrusin en la supervisin sistema.

5.4.2 Anlisis del comportamiento El propsito de este ltimo anlisis es definir si los intentos coinciden con la poltica de seguridad. Esto se utiliza principalmente para controlar el acceso a las cuentas, pero puede tambin aplicarse en el caso de auditoras pre-programadas, escaneos de puertos, etc. En tal situacin, un cdigo de cierre se enva al contexto.

6. Modelos Sugeridos para la aplicacin empresarial A continuacin se muestran los diagramas de solucin propuestos para la implementacin de un SOC, tanto en forma fsica como lgica.

17

6.1 Modelo Lgico

Figura 8 Diagrama Lgico

18

Figura 9 Diagrama Lgico, bajo nivel

19

6.2 Modelo Fsico

Figura 10 Diagrama Fsico

20

7. NOC (Network Operation Center)

Un Centro de Operaciones de Red, o NOC, es utilizado para monitorear, administrar y solucionar problemas en una red. El Centro de Operaciones de Red ofrece la supervisin de la gestin de problemas, configuracin y cambios, seguridad de red, el rendimiento y la supervisin de polticas, informes, control de calidad, programacin, documentacin y gestin de la red mediante la utilizacin de sofisticados instrumentos de seguimiento y anlisis. El NOC proporciona un entorno estructurado que coordina de manera efectiva las actividades operacionales con todos los participantes y los proveedores relacionados con la funcin de la red. Los tcnicos NOC suelen proporcionar apoyo veinticuatro horas al da, siete das a la semana.

Los procesos tpicos diarios incluyen:

a) Monitoreo de las operaciones de todos los enlaces troncales y dispositivos de red.

b) Asegurar la operacin continua de servidores y servicios. c) Proporcionar apoyo a la calidad para los usuarios de la red. d) Solucin de problemas de red y todos los problemas relacionados con el sistema. e) Apertura para rastrear y documentar resolucin de problemas. f) 24 horas al da, 7 das a la semana bajo la supervisin y operacin por ingenieros altamente cualificados de la red y del sistema.

7.1 Network Operations Center (NOC) Servicios a) Observar, identificar, aislar, solucionar problemas, escalar, corregir los problemas, y en el documento infraestructura de la informacin, incluyendo la WAN, LAN, cortafuegos, RAS y conexiones secundarias.

b) Identificar la causa raz de los problemas c) Realizar anlisis de tendencias

21

d) Registrar todos los problemas utilizacin de control automatizado, resolucin de problemas y sistemas de ticketing. e) La interaccin con otros tcnicos de la empresa para asegurar un manejo adecuado y edicin resolucin 7.1 Beneficios a) Aumento de la eficiencia de la red existente y recursos empresariales.

b) Le permite planificar con mayor precisin para el futuro inversiones en la infraestructura de red. c) Mejorar el servicio y el acceso a su usuario final comunidad y su cliente. d) Reducir los costos e) Interfaz con varias tcnicas y gestin recursos para la escalada problema, resolucin y documentacin

7.2 Por qu la Convergencia SOC / NOC? Las discusiones son una actividad constante en cualquier organizacin creciente de TI. La clave para la toma de decisiones es encontrar una masa crtica en las capacidades de los grupos. Los beneficios esperados son claros que esperamos optimizar recursos, alinear los servicios del equipo operativo y aumentar la capacidad de respuesta para el negocio.

Hay que tener en cuenta las funciones de un NOC, la tolerancia a fallos, la solucin de problemas especficos de cortes de red, sistema de seguimiento de tiempo de actividad, etc y compararlos con las funciones de un SOC, deteccin de intrusiones, deteccin de anomalas de comportamiento de red, gestin de registros, etc. Cuando se trata de control y la reaccin, la mayor diferencia entre el NOC y SOC es que el SOC es en busca de "adversarios inteligentes."

Siendo realistas, es muy difcil decir la diferencia entre los ataques y actos al azar de la red en las primeras etapas.

Elementos comunes en los procesos existen y deberan ser potenciados. La seguridad debe ser implicado no slo en la identificacin de incidentes y la respuesta, sino 22

tambin cuando se trata de gestin del cambio, implementacin de aplicaciones y seleccin de servicios. Adems, la utilizacin de los sistemas de tickets, los sistemas de evaluacin de riesgos, las herramientas de informacin y sistemas de monitoreo puede ser compartida entre ambos.

7.3 Desafos de la convergencia SOC / NOC

No hay convergencia sin obstculos. Los retos ms importantes giran en torno a la utilizacin de recursos:

a) La racionalizacin de los procesos y el impulso de la eficiencia destacan los procesos que estn siguiendo caminos diferentes a conclusiones similares.

b) Encontrar la herramienta adecuada, el SOC y NOC suelen tener una serie de herramientas para satisfacer sus necesidades. Estas herramientas deben ser inventariadas y evaluadas funcionalmente para encajar dentro del centro de operaciones convergentes. c) Aumento de correlacin, con una gran cantidad de herramientas, los procesos de racionalizacin y herramientas conduce a una necesidad de mayor profundidad de correlacin de eventos. d) Un enfoque metodolgico para la implementacin es la mejor manera de abordar estos desafos.

7.3 Pasos para la implementacin convergente del SOC/NOC

Un proceso para SOC/NOC que aprovecha la implementacin basado en principios de convergencia posee cinco pasos.

Paso 1: evaluar los mandatos y las mejores prcticas Es importante entender las expectativas de una organizacin que considere convergencia. Este primer paso implica la comprensin de las fortalezas de la organizacin y las debilidades, y comparndola con la voluntad de cambiar. La cultura corporativa puede dictar mandatos desde una perspectiva de arriba hacia abajo o

23

basada en un consenso. Comprender el razonamiento de la organizacin asegura coherencia con la iniciativa.

Quizs el factor ms importante en la evaluacin de mandatos internos es entender las mejores prcticas y determinar la cantidad de cambio que sea necesario para cumplir los objetivos. Un enfoque conservador suele proporcionar ms xito y da lugar a una respuesta positiva de los departamentos afectados y personas.

Paso 2: Documentar las polticas y el valor del negocio

Con los mandatos definidos, es importante documentar la poltica a nivel estratgico para las funciones del SOC/NOC. Estas polticas deben definir los objetivos de un grupo de operaciones. La poltica puede poner de relieve las responsabilidades del individuo para cada funcin y sentar las bases para la determinacin de cmo los recursos deben ser asignados.

Tal poltica es ms importante de lo que es el valor del negocio, ya que a menudo se pasa por alto y es clave para que todos los jugadores trabajen bien dentro de los mandatos establecidos por la organizacin.

El valor del negocio debe manejar todas las polticas, procesos y controles.

Paso 3: Definir los controles de apoyo

Teniendo en cuenta la gestin orientada a los servicios, las operaciones de TI que comprenden tanto componentes del SOC y NOC claves de TI y servicios empresariales, su disponibilidad y rendimiento, y los componentes subyacentes de TI que apoyan la prestacin de dicho servicio. Para ello ser necesario identificar e internamente auditar las aplicaciones especficas, sistemas e infraestructura de red que comprenden un servicio de TI.

Un enfoque til es identificar un puado de servicios de TI y organizar en un documento un proceso de auditora. Esto no slo produce la salida manejable (en lugar de intentar documentar todos los servicios posibles), sino que tambin puede identificar reas para mejorar recopilacin de datos. Una vez que el servicio est definido, la disponibilidad bsica o avanzada y requisitos de rendimiento o Acuerdos de Nivel de Servicio (SLA) pueden ser investigados. 24

Esto ayudar a determinar qu controles pueden existir o ser necesarios.

Tanto las operaciones de red y funciones de operaciones de seguridad deben ser evaluados para establecer los controles apropiados. Desde la recogida de informacin sobre el trfico a travs de su anlisis, identificacin de problemas, la investigacin inicial y el seguimiento forense, cada paso en el proceso debe tener controles para las entradas y la transferencia a la siguiente etapa.

Paso 4: Revisin, verificacin y lograr apoyo

Los auditores internos y externos, y los miembros del personal del SOC y NOC deben apoyar el proceso, los objetivos, requisitos y parmetros para garantizar el mayor nivel de xito.

La documentacin y revisin posterior de los pasos 1 a 3, ser necesaria para identificar cualquier punto muerto y hacer mejoras que son tpicas en un amplio esfuerzo.

Paso 5: Implementar, mejorar y ampliar

El paso final es la implementacin. Se sugiere que el mantenimiento de la aplicacin y limitar el alcance del proyecto por etapas antes de la implementacin real, esto asegurar el progreso en la convergencia del SOC/NOC obteniendo un medio ms rpido para las correcciones operativas y la capacidad de medir ms fcilmente los resultados operativos.

7.4 Flujo de Trabajo del NOC El flujo de trabajo NOC se organizar en cinco fases distintas:

a) Fase 1: El NOC se gestiona de forma virtual. Los componentes bsicos del NOC son accesibles de forma ubicua.

b) Fase 2: Parte del NOC es el sistema de gestin de red virtual. Se compone de mejoras en las interfaces grficas de usuarios a fin de planificar,

25

disponer y monitorear (en tiempo real), los cambios fsicos en la infraestructura de red. c) Fase 3: Nuevos servicios se ofrecen con el servicio Virtual

Manager. Estos servicios se utilizan para disear, especificar y organizar el despliegue de servicios avanzados sobre la infraestructura de NOC. d) Fase 4: Cuando se produce un problema es posible interactuar con el Sistema de ayuda, con el fin de resolver los problemas de conectividad y manejar Incidencias del sistema. e) Fase 5: La alta gerencia est disponible para tomar decisiones sobre aspectos estratgicos del proyecto y los correspondientes servicios desplegados.

26

7.5 Modelo Fsico del NOC

Auto Descubrimiento

SNMP

Motor de Auto Descubrimiento y Encuesta

Notificacin Automtica

Ejecutivos

Registro de dispositivos

Receptor Trap/Servidor de Logs

TRAPs/Syslog

Procesador de Alarmas

Archivo de Alarmas

Recoleccin datos de rendimiento y presentacin de informes

SNMP

Interface WEB

Motor Correlacin de eventos

NOC-Help Desk

Figura 11 Diagrama Fsico del NOC

27

Personal Experto

7.6 Modelo Lgico del NOC

Administracin de Vulnerabilidades Internet

Expertos en la matera

Administracin de dispositivos

Proceso Inteligencia Global

Administracin de Amenazas

Administradores del NOC

Jefe del NOC

Procedimientos de Operacin Estandar

Motor de Alarmas

Anlisis y Diagnostico

Funcionamiento de equipos de infraestructura

Calidad de Servicios y Aplicaciones

Administrador de enlaces fsicos

Gestor de fallos y rendimiento

Control de la seguridad de instalaciones

Operaciones de todos los dispositivos de red

Analizar, evaluar y corregir

Deteccin y prevencin de problemas de red

Gestin de fallas, configuracin y base de reglas

Red

Data Center 1

Data Center 2

Computacin de Usuario

Figura 12 Diagrama Lgico del NOC

28

7.7 Diagrama Flujo de Datos del NOC

Inicio

Conectar al NOC

Seleccionar un Servicio: Helpdesk, Administracin de Servicios, Administracin de Servicios de Red

ASR

Administracin Topologa de Red

Ocurri un Problema

HelpDesk

No Reiniciar Servicio de Red No Poner un nuevo servicio

S Llamar administrador Servicio

Poner nuevo servicio

Tomar decisiones estrategicas?

Alta Gerencia

No

Tomar decisiones estratgicas

Fin

Figura 13 Diagrama de Flujo de Datos NOC

29

7.8 Implementacin en empresa de E-commerce

La seguridad es un componente integral y necesaria de los negocios de hoy, cada vez ms, debido a la expansin de Internet y la gran "E": e-business, e-commerce y ecommerce al por menor. La seguridad nunca ha sido tan crtica para la supervivencia de una empresa, la ventaja competitiva y la capacidad de mantener valor en los interesados. Un programa de seguridad eficaz, por lo tanto, no es slo acerca de los dispositivos de seguridad y tecnologa, sino que tambin debe incorporar a las personas y los procesos.

El objetivo de la implementacin se centra en poder integrar tanto el NOC como el SOC junto al Help Desk, para dar a la empresa de venta de Hosting y Dominios un nico punto central de acceso y administracin de Software e Infraestructura.

En este caso el SOC llevara toda la parte de monitoreo y administracin de seguridad, mientras que el NOC manejara toda la parte de Red. Ambos brindaran una interface web integrada que permitir analizar tanto elementos del SOC como del NOC. Es en este punto donde inicia el papel del Help Desk, el cual tendr acceso a estas interfaces para poder generar Tickets o bien poder informar al usuario de forma oportuna sobre algn problema o inconveniente que se est presentando.

Informacin de Arquitectura de Flujo Como se representa en la arquitectura de flujo de informacin en la Figura 14, el sistema requisitos es descompuesto en mdulos jerrquicos y funcionales de flujo horizontal que son elementos de decisin para apoyar el proceso de NOC-SOC tctico para la gestin de la informacin.

Cada una se descompone en sub-funciones de bajo nivel o misiones (Kossiakoff & Sweet p.381, 2003). A continuacin en la Figura 15 se muestra la informacin de alto nivel de la arquitectura de flujo que es de colores codificados para alinear a la Figura 13 que muestra la disposicin fsica y funcional de la NOC.

30

Interpretar

Links de Influencia Sentido Proceso Evaluar Analizar Revisar

Ciclo de Realimentacin continua

Figura 14 NOC-SOC Nivel Superior Flujo de Informacin

Figura 15 Funcin NOC-SOC y maquetacin Fsica

Con el fin de cumplir con los requerimientos tcticos de la misin, la descomposicin se repite en La Figura 16 hasta que la asignacin a un sistema particular (s) o elemento de sistema (s) est completa.

Para los requisitos de rendimiento de la red, y los requisitos de colaboracin de apoyo dentro las relaciones jerrquicas se utilizan en la construccin de las relaciones entre padres e hijos durante la especificacin de los objetos

31

Sentido

Proceso

Evaluar

Analizar

Revisar

Explorar

Correlacin

Interpretar

Seleccionar

Monitorear

Capturar

Asociar

Clasificar

Alinear

Evaluar

Recolectar

Fucionar

Validar

Integrar

Iterar

Ciclo de Realimentacin continua

Figura 16 Informacin NOC-SOC Flujo Arquitectura

32

7.9 Estructura de Integracin Propuesta

Help Desk

Administracin de Vulnerabilidades Internet

Expertos en la matera

Administracin de dispositivos Internet

Administracin de Vulnerabilidades

Expertos en la matera

Administracin de dispositivos

Proceso Inteligencia Global

Administracin de Amenazas

Administradores del SOC

Jefe del SOC

Proceso Inteligencia Global

Administracin de Amenazas

Administradores del NOC

Jefe del NOC

Interface WEB

Motor de deteccin de vulnerabilidades

Herramienta de prevencin fuga de datos

Motor de Alarmas

Anlisis y Diagnostico

Administrador de parches y configuracin Herramienta administracin active directory

Analizador de Log

Funcionamiento de equipos de infraestructura

Calidad de Servicios y Aplicaciones

Gestor de fallos y rendimiento

Administrador de enlaces fsicos

Gestor de fallos y rendimiento

Consola central de antivirus

IDS-IPS

Consola administracin seguridad de dispositivos

Control de la seguridad de instalaciones

Operaciones de todos los dispositivos de red

Analizar, evaluar y corregir

Deteccin y prevencin de amenazas

Gestin de fallas, configuracin y base de reglas

Analizar, evaluar y corregir

Deteccin y prevencin de problemas de red

Gestin de fallas, configuracin y base de reglas

Red

Data Center 1

Data Center 2

Computacin de Usuario

Procedimientos de Operacin Estandar

33

8 Proceso para la continuidad del Negocio

Plan de Continuidad del Negocio (BCP) es el resultado de la aplicacin de una metodologa interdisciplinaria, llamada Cultura BCM, usada para crear y validar planes logsticos para la prctica de cmo una organizacin debe recuperar y restaurar sus funciones crticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado despus de una interrupcin no deseada o desastre.

Los objetivos del Plan de Continuidad de Negocio son:

a) Salvaguardar los intereses de sus clientes y socios adems del negocio y la imagen de la organizacin.

b) Identificar los puntos dbiles en los sistemas de la organizacin. c) Analizar las comunicaciones e infraestructuras. d) Conocer la logstica para restablecer los servicios, independientemente de los sistemas. e) Ofrecer alternativas viables a todos los procesos crticos de negocio.

Antes de iniciar con la propuesta para mantener la continuidad del negocio, es importante aclarar algunos conceptos que estn asociados directamente con el tema y cuyo dominio es relevante. Qu es Riesgo? Los riesgos, que pueden ser naturales o provocados por el hombre, representan la exposicin a la prdida dentro de una organizacin. Los potenciales riesgos son tpicamente medidos en trminos de probabilidad de ocurrencia y el impacto generado en caso que los mismos se materialicen.

Qu es Probabilidad? La probabilidad mide la capacidad de ocurrencia del riesgo en el tiempo, considerando niveles de (como ejemplo): muy poco probable, poco probable, moderada, probable y casi cierta.

34

Qu es Impacto? El impacto mide el nivel de dao provocado una vez manifestado el riesgo. Este nivel de impacto se puede medir (como ejemplo) con la calificacin siguiente: insignificante, menor, moderado, significativo o catastrfico.

Procedimientos de Recuperacin Se elaborarn procedimientos de recuperacin que apoyarn el proceso de recuperacin de la plataforma de TI posterior a la manifestacin de cualquier evento que los afecte parcial o totalmente (escenario de peor caso). De esta forma deber documentarse procedimientos para la recuperacin de:

_ Sistemas de informacin; _ Servidores; _ Equipos y lneas de comunicacin.

En todos los casos se considerar con prioridad aquellos elementos (de los citados anteriormente) que sean crticos de acuerdo a los procesos crticos del negocio y considerando los tiempos mximos de interrupcin identificados en cada uno de los casos.

Desarrollar programas de entrenamiento y concientizacin En esta etapa, se desarrollara un programa orientado a crear y mantener conciencia en el negocio, adems de mejorar las habilidades requeridas para desarrollar e implementar los planes de recuperacin.

Pruebas y dar mantenimiento al Plan Esta etapa se orienta a probar con antelacin y coordinar ejercicios, documentando y evaluando los resultados de ellos. Desarrollar procesos para mantener vigentes las capacidades para lograr una adecuada recuperacin de las operaciones de TI, en acuerdo con la direccin estratgica del negocio.

Centro de Operaciones de Emergencia (COE) El Centro de Operacin de Emergencias (COE) es un local o rea desde la cual se controla toda la emergencia y se realizan actividades de evaluacin inicial, coordinacin y toma de decisiones. Es el sitio que albergar al personal responsable de coordinar los esfuerzos de la recuperacin.

35

Directriz de capacitacin en planes de continuidad Debe ser poltica proveer la capacitacin necesaria a los funcionarios, sobre el Plan de Continuidad de TIC, con el propsito de asegurar la obtencin de una participacin acorde con los lineamientos establecidos en este plan y esperados en el evento de un desastre.

La capacitacin puede ser considerada como la mejor manera de proporcionar al personal con el conocimiento apropiado de sus responsabilidades ante un desastre. Adicionalmente ayuda a mantener el Plan actualizado al permitir la identificacin de reas de mejora y de actualizacin en el mismo.

Captura de Informacin de Riesgos

Ejemplo de Implementacin

36

Conclusiones
La complejidad de la configuracin de SOC-NOC es ms una cuestin de la integracin que la implementacin de los mdulos individuales. Las nuevas normas deben ayudar a reducir las diferencias entre los enfoques tericos, de propiedad las implementaciones y los sistemas independientes.

Mientras tanto, las intrusiones estn claramente teniendo lugar y no hay por tanto una necesidad para sistemas de supervisin operativas en la actualidad. La experiencia demuestra que un enfoque pragmtico debe ser tomado con el fin de poner en prctica un SOC-NOC profesional que puede proporcionar resultados fiables.

La teora se ha descrito anteriormente constituye el marco para la implementacin de un SOC

37

Recomendaciones
Debido a la alta complejidad del tema, as como los elevados costos tras su implementacin, se debe analizar muy bien las necesidades; a fin de determinar si lo mejor es implementarlo o subcontratarlo (actualmente muchas empresas brindan estos servicios a terceros).

Es de vital importancia que si se desea monitorear, vigilar o regular el uso de recursos, informacin o acceso exista una o varias polticas que estipulen ese requerimiento ejecutivo para poder as justificar la implementacin o contratacin de servicios que se encarguen de hacer cumplir las polticas

Debe existir o fomentar una cultura sobre la seguridad informtica, que tenga un peso en las empresas, ya que estas, no gustan de capacitar al personal y la contratada no cuenta con la experiencia suficiente.

Se debe buscar la mayor convergencia entre herramientas del SOC y el NOC con el fin de abaratar los costos

38

Bibliografa

Group, M. P. (s.f.). Mid Point Group. Recuperado el 23 de 11 de 2012, de http://www.mindpointgroup.com/SOC.pdf Intelligence, N. (s.f.). Network Intelligence. Recuperado el 18 de 11 de 2012, de http://www.niiconsulting.com/services/managedsecurity/nocsoc.html Nasa. (s.f.). Nasa. Recuperado el 25 de 11 de 2012, de http://www.uscert.gov/GFIRST/presentations/Incident_Management_Anatomy_of_a_Security_Oper ations_Center.pdf Wikipedia. (s.f.). Wikipedia. Recuperado el 18 de 11 de 2012, de http://en.wikipedia.org/wiki/Security_operations_center http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio

39