Presentaci

1
Gestión de Eventos y Cuadros de Mando de
Seguridad La experiencia de la Comunidad de
Madrid
Emilio García García, CISM Consultor de Sistemas
de Información Área de Seguridad
Informática Agencia de Informática y
Comunicaciones de la Comunidad de Madrid
Abril de 2007
2
ICM en la Comunidad de Madrid
La misión de ICM es dar respuesta a las
necesidades de la Administración de la Comunidad
de Madrid en el ámbito de la Informática y las
Comunicaciones
Catálogo de servicios
Línea I Dotación y mantenimiento de
infraestructuras y comunicaciones de voz y
datos. Línea II Dotación y mantenimiento de
puestos de trabajo informáticos. Línea
III Desarrollo y mantenimiento de sistemas de
información. Línea IV Atención y soporte. Línea
V Formación en sistemas de información,
ofimática y software específico. Línea
VI Consultoría, asesoría y asistencia técnica.
3
ICM en cifras
ICM en la Comunidad de Madrid
Evolución del presupuesto total (19972006)
Millones de
4
ICM en cifras
ICM en la Comunidad de Madrid
ICM en cifras
Parque de Pcs 32.843 Correo electrónico
27.239 Internet (ldap) 34.081 Aplicaciones
(Oracle) 14.220 Equipamiento
movilidad Portátiles uso genérico
1.900 Portátiles directivos 350 DMM 250 PDA
100 PDA (proy AFD) 2.900
Impresoras 14.600 Locales 3.800 (26) Red
10.800 (74)
Apuesta Tecnológica Aplicativo JAV Servidor
Aplicaciones LINUX/INTEL Servidor
BBDD ORACLE/SOLARIS Almacenamiento EMC
SYMMETRIX Gestor de contenidos Content Server
(Fatwire)
5

• 01 Introducción
• 02 Tecnologías y estrategias
• 03 Experiencia en la Comunidad de Madrid
• 04 Métricas de seguridad

6
Necesidad de establecer medidas de seguridad de
la información
Source Symantec, Feb 2007
Hacia finales de 2007, el 75 de las empresas se
verán afectadas por malware indetectable y
motivado económicamente que evadirá el
tradicional perímetro de seguridad y las defensas
del Host. - Gartner
7
Necesidad de gestionar la información de
seguridad

• Miles de eventos diarios en una organización (En
  Comunidad de Madrid, sólo en lo referente a
  dispositivos de seguridad entorno 10 GB diarios).
• Requerimientos legales (LOPD, LSSI, peticiones de
  información en juicios y/o denuncias. OJO Esto
  no significa almacenar logs).
• Necesidad de información crítica antes, durante y
  después de un incidente.
• Centralización y correlación de información
  dispersa mejorando el uso de eficiente de
  recursos humanos.

Correlación y filtrado
Inspección en tiempo real
Análisis forense
8
Objetivo de la gestión de la información de
seguridad La mejora continua
Herramientas de auditoría y cumplimiento de
políticas
Priorizar
Seguridad Base / Descubrir
Amenazas externas Servicios
Inventario de Activos y Clasificación
ScanningSistemas de aplicación de red
Proteger
Firewall IPSEscáner y bloqueos
Mitigar
Flujo de Mitigación
Mantener
Instalación de Parches
Gestión de la Configuración
Provisioning
9
Cómo alcanzar los objetivos de gestionar la
información de seguridad
10
Gestión de la información de seguridad Etapas
del proyecto
Estudio de estrategia y mercado de las tecnologías

Preselección de las alternativas más adecuadas

Experiencia piloto

Selección tecnológica y de integrador

Implantación solución (aproximaciones sucesivas)
11

• 01 Introducción
• 02 Tecnologías y estrategias
• 03 Experiencia en la Comunidad de Madrid
• 04 Métricas de seguridad

12
Qué alternativas estratégicas tengo para
gestionar la información de seguridad?

• No realizar gestión alguna de la información de
  seguridad
• Asumir que no se está en riesgo.
• Ojos que no ven, corazón que no siente.
• Realizar la gestión de la información de
  seguridad con los medios humanos y tecnológicos
  disponibles
• Revisar los logs cuando se puede.
• Extraer conclusiones si se puede.

• Poner en marcha las capacidades necesarias para
  gestionar la información de seguridad
• Integrar la tecnología apropiada como soporte del
  proceso.
• Disponer de un equipo especializado 24x7.

• Externalizar el servicio de gestión de la
  información de seguridad
• Identificar un proveedor del servicio de
  confianza.
• Establecer de modo claro los SLAs y transición de
  servicio.

13
Modelo In-house vs Modelo Outsorcing
No son modelos incompatibles en el tiempo Es
posible la migración de un modelo a otro
El modelo seleccionado dependerá
1.
2.

• Factores de costes.
• Modelo de negocio global de la organización.
• Visión de las TI dentro del modelo de negocio de
  la organización.

• Comprar primero para controlar el proceso
  inicial de implantación y el conjunto de
  requisitos mínimos.
• Alquilar primero para aprender de un MSSP el
  modelo de servicio.

14
Alternativas tecnológicas

• Alternativas nacionales
• Bitacora
• LogICA
• Software libre
• OSSIM

15
Modelos tecnológicos SIM vs SEM
Fuente Gartner (marzo 2006)
16
Selección tecnológica de la solución

• Enfoque SIM o SEM del proyecto
• Servicios y dispositivos susceptibles de ser
  monitorizados
• Integración con otros elementos del entorno TIC
  de la organización
• Capacidad de generar información

î
Identificar las funciones necesarias para la
organización y ponderarlas

• Facilidad de despliegue
• Curva de aprendizaje

î
Necesidad de experiencias pilotos, propias o
ajenas

• Experiencia de integrador en despliegue del
  producto
• Referencias locales y reales del producto

î
Valorar la función del integrador y soporte local
17

• 01 Introducción
• 02 Tecnologías y estrategias
• 03 Experiencia en la Comunidad de Madrid
• 04 Métricas de seguridad

18
Fases previas a despliegue de la solución

• Estudio de mercado tecnológico y estratégico
  (2006)
• Referencias inexistentes de outsourcing de
  gestión de la información de seguridad en la
  Administración
• Se analizan hasta ocho soluciones tecnológicas,
  maduras (aunque pocas referencias locales de gran
  escala), pero en constante proceso de
  adquisiciones y fusiones
• Neusecure comprada por Micromuse que a su vez es
  comprada por IBM
• EMC compra Network Intelligence
• Novell compra e-security

• Dificultades de realizar un piloto interno
  solventada con pilotos externos

• Pliego de requisitos público y disponible en
  www.madrid.org

• Concurso con seis licitantes y tres tecnologías

19
Selección tecnológica en Comunidad de Madrid
(1) centraliza logs que facilitan el analisis
forense
(4) presenta una consola integrada para que cada
perfil tenga acceso a consulta, análisis y
respuesta ante incidentes
(2) identifica eventos de seguridad a medida que
éstos se producen
(3) analiza eventos para identificar situaciones
de mayor riesgo
20
Fase inicial de despliegue de la solución

• Monitorización de servicio Internet de CPD
• Dispositivos de seguridad perimetral.
• Gestión de identidad.
• Control configuración buenas prácticas en
  sistemas operativos.
• Integración con aviso vulnerabilidades y escaners
  de red.
• Métricas y cuadros de mando de seguridad
  (técnicos).

21
Posibles objetivos de sucesivas fases de
despliegue

• Aplicaciones y servicios
• Evaluar por número de incidencias la calidad de
  suministradores

• Telefonía IP
• Acciones de interceptación de tráfico

1
3

• Seguridad física
• Correlación de control de acceso físico y lógico

• Dispositivos multifunción
• Alguien captura la información (confidencial)
  que imprimimos?

2
4
22

• 01 Introducción
• 02 Tecnologías y estrategias
• 03 Experiencia en la Comunidad de Madrid
• 04 Métricas de seguridad

23
Métricas de seguridad Introducción

• Necesidad de establecer métricas de seguridad
• Saber cómo estamos
• Saber cómo hemos mejorado
• Saber cómo contribuimos a la mejora del negocio

• Cómo elaboramos las métricas de seguridad
• Determinar el conjunto de indicadores objetivos
• Establecer el nivel deseado para cada indicador
• Encontrar fuentes de evidencia para los
  indicadores
• Automatizar la recogida de evidencias (en lo
  posible)

24
Políticas, Normativas y Procedimientos de
Seguridadcomo base de las Métricas de Seguridad
Nivel estratégico Directrices para mejorar la
seguridad y calidad de los servicios.
Nivel táctico Desarrollo de política de
seguridad, definiendo por áreas de aplicación QUÉ
hay que cumplir
Nivel operativo Desarrollo de campos específicos
de cada normativa, indicando CÓMO hay que
cumplirlas
Han de estar apoyadas por el máximo nivel
directivo
Han de ser vistas como un valor compartido por la
organización
Nos permiten definir de un modo sistemático los
controles de monitorizar
25
Metodología desarrollo de métricas de seguridad
Identificación y definición
Intereses de la Organización
Políticas, guías y procedimientos
Programa de Implementación de Seguridad
Metas y objetivos
Implementación continua
Actualización de la política
Redefinición de metas y objetivos
Nivel de Implementación
Resultados del programa
Impacto en el servicio
Desarrollo y selección de métricas
Impacto en el servicio
Implementación de procesos
Eficiencia/Efectividad
Valor ganado o perdido por la organización. Perdid
as aceptables estimadas
Nivel de implementación de estándares de
seguridad, políticas y procedimientos
Resultados operacionales experimentados por la
aplicación del programa de seguridad
Fuente Security metrics guide for information
technology systems NIST-SP 800-55
26
Catalogo de métricas de seguridad

• Creación de catálogo indicadores, facilitando
  para cada uno
• Normativa, capítulo y apartado de política de
  seguridad
• Evidencias de efectividad necesarias
• Fuentes de evidencia de efectividad
• Formulación matemática de indicador
• Frecuencia de medida
• Nivel deseado de indicador

• Identificar las posibles fuentes de evidencias
• Gestión de eventos de seguridad
• Verificación controles en procesos y servicios
• Sistemas de desarrollo de Análisis de Riesgos

• Alineamiento con estándares (ISO 27004)

27
Implementación métricas de seguridad
Análisis de Riesgos
Control de Procesos
Gestión de Eventos
28
(No Transcript)