Ensayo Principios De Seguridad Informatica.docx

Página |3

INTRODUCCION Con el crecimiento exponencial que están teniendo las telecomunicaciones a nivel mundial cada vez se implementan más centros de operaciones de infraestructura de red, con el fin de estar monitoreando de forma constante las redes de telecomunicaciones y minimizar el riesgo de una caída en los servicios. El objetivo principal de este ensayo es conocer que es un centro de operaciones de redes (network operations center), cuáles son sus funciones y su estructura organizacional, de igual forma se tocarán puntos importantes como la evaluación de riesgos y como mitigarlos. Además conoceremos cuales normas y estándares internacionales nos pueden apoyar en la tarea de administrar y gestionar la seguridad en el NOC. La seguridad en el NOC es una parte primordial que debemos abordar para identificar que ataques comunes puede sufrir el centro y sobre todo de que aspectos debemos considerar para realizar políticas de seguridad, control y lo mas importante podremos identificar qué áreas son las más vulnerables en el NOC, de igual forma luego de evaluar, identificar, mitigar riesgos, crear políticas, también aprenderemos sobre pruebas de cumplimiento para realizar auditorías internas de forma periódica. El desarrollo de este ensayo nos ayudar a justificar el esfuerzo y costo que conlleva implementar ciberseguridad y ciberdefensa en un centro de operaciones de red, estos temas son esenciales en un NOC porque apoyan a mantener una alta disponibilidad en los servicios, ya que nos ayudan a proteger el activo mas valioso en la actualidad que es la información.

Página |4

I.

NETWORK OPERATIONS CENTER

De acuerdo con Zentius. (2017). El NOC es el área designada para la monitorización, mantenimiento y solucionar problemas de redes de telecomunicaciones, esto abarca el monitoreo del comportamiento en situaciones de normal uso, como también, en situaciones de altas demandas de tráfico, con el fin de dar el mantenimiento adecuado, previendo las saturaciones o perdidas de comunicación, en este ultimo caso es necesario que se cuente con la capacidad de solucionar los problemas que se puedan presentar.

Generalmente un NOC se encuentra en empresas de gran tamaño, esto se debe a que el costo de implementación y operación es bastante elevado, sin embargo este costo puede ser cubierto contra la necesidad constante de monitorear la red para garantizar la accesibilidad a la información, servicios, transporte y sus derivados de uso, en el caso de requerir este tipo de servicio para una empresa de menor tamaño y sin el capital suficiente para la implementación, es posible adquirirlo

con un

tercero, esto es únicamente viable brindando acceso a la empresa prestadora de servicio a la red completa y obviamente teniendo una conexión hacia internet.

Dentro de la estructura organizacional de un NOC se establecen 3 niveles, como lo indica, Continuum. (2018). Las fallas mas comunes que el sistema alerta son asignadas automáticamente a los técnicos de nivel 1, después de resolver el problema que generalmente es de fallas de hardware, se realiza un posterior análisis de la red y si el problema persiste, este debe ser asignado al nivel 2 o nivel 3 dependiendo de la complejidad de la falla.

Página |5

Dentro de las capacidades con las que debe contar un técnico o ingeniero de un NOC se pueden mencionar las siguientes: aseguramiento del optimo funcionamiento de la red, soporte de rutina al cliente, configuración de hardware (firewall, router, switch y relacionados a la red), fallas de red, control de ataques DDoS y control de enrutamientos de blackholes. Básicamente la función principal es mantener la estabilidad de la red central a través del control del rendimiento en niveles óptimos, apoyándose de software especializado que alerte de forma visual y sonora los diferentes fallas, clasificándolas en bajas, medias y críticas.

Para garantizar el correcto desempeño de un equipo NOC es necesario establecer hitos para el cumplimiento de estos, de esta manera puede ser medido el desempeño y establecer nuevas estrategias o fortalecer las establecidas.

Resaltando el aporte de U.S.NRC. (2017). Algunos hitos importantes para tomar en cuenta en general para cualquier tamaño de NOC son: 

Identificar sistemas críticos/activos digitales críticos



Instalación de dispositivos de protección entre niveles de seguridad bajos y altos



Establecer un equipo de evaluación de seguridad cibernética



Creación y aplicación de controles de ciberseguridad



Seguimiento y evaluación continua de los controles de ciberseguridad aplicados



Aseguramiento de la continuidad del servicio de red

Los mencionados anteriormente deben ser controlado por el equipo de evaluación de seguridad cibernética, a través de fichas de desarrollo de

Página |6

procesos en las cuales se refleje el trabajo realizado de acuerdo con los hitos establecidos.

En definitiva, el tema de seguridad cibernética hoy en día es y debe ser mas importante de lo que se cree, ya que la mayor parte de información se encuentra depositada en servidores locales o en la nube, información que de no contar con la seguridad necesaria y escalable puede verse comprometida en una total perdida o secuestro. De acuerdo con FireEye. (2019). La seguridad cibernética debe proteger los datos y la integridad de los activos informáticos que pertenecen o se conecta a la red de una organización y el propósito es defender los activos contra todos los ataques existentes actualmente y prevenir los ataques que aún no se conocen.

Algunas de las amenazas de ataques cibernéticos a los que se enfrenta día a día en el área de NOC pueden ser: 

Ransomware



Ataque de día cero



Macros autoejecutables



Ataques DDoS

Para que los ataques cibernéticos puedan ser un hecho los atacantes necesitan vías o medios por la cuales realizar las amenazas o conocidos de otra forma como vectores de ataque. identifica NetworkWorld. (2017). Son: 

Phishing a través de email.



Sitios web maliciosos



Aplicaciones móviles



Aplicación para IoT



Ingeniería social

Algunos vectores de ataque que

Página |7



Botnet



Aparición de dominios engañosos

Los anteriores son algunos de los vectores que son utilizados actualmente para los ataques y algunas de las amenazas que se llevan a cabo a través de estos vectores son: exploit kits, ransomware, malware avanzado y suplantación.

Para poder enfrentar las diferentes amenazas y minimizar las oportunidades de ataques es importante identificar claramente los riesgos que están presentes dentro de las áreas correspondientes, para esto se cuenta con el apoyo de normas internacionales estandarizadas como lo es ISO 27001.

De acuerdo con Kosutic. D. (2019).

Los riesgos pueden

identificarse en 6 pasos básicos. 

Metodología de evaluación de riesgos ISO 27001 En este paso se debe definir las reglas para desarrollar la gestión de riesgo, se debe decidir si la evaluación será cualitativa o cuantitativa, cuáles serán las escalas de medición y cuáles serán los niveles de aceptación de los riesgos.



Implementación de evaluación del riesgo Identificar todos los recursos disponibles y evaluarlos para conocer el nivel de riesgo de cada uno.



Implementación del tratamiento del riesgo Existen 4 opciones para enfrentar o mitigar cada riesgo

1. Aplicación de controles (mitigar) 2. Transferir el riesgo

Página |8

3. Evitar el riesgo deteniendo la actividad 4. Aceptar el riesgo 

Reporte de evaluación del riesgo del SGSI Debe existir documentación de todo lo realizado, con el fin de verificar los resultados.



Declaración de aplicabilidad Listar todos los controles implementados, explicando por que implementaron y como se implementaron.



Plan para el tratamiento de riesgos Se debe definir exactamente quien implementará cada control, cuando será implementado y cual será el presupuesto para implementación.

Evaluación de Riesgos: “Es necesario establecer un vínculo entre los escenarios de riesgos IT y el impacto empresarial que estaos generarían, para así comprender el efecto de los eventos adversos que se pueden desencadenar” ISO 27001:2013 (2017). La evaluación de riesgos se realiza a menudo en más de una interación, la primera es una evaluación de alto nivel para identificar los riesgos altos, mientras que las interacciones posteriores detallan el análisis de los riesgos principales y tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de riesgo: 

Probabilidad



Consecuencias



Ocurrencia

Página |9



Urgencia



Maleabilidad



Dependencia



Proximidad

Entonces podemos concluir que los riesgos podemos categorizarlos según su nivel de importancia en: alto, medio, bajo, esta clasificación nos podrá ayudar para priorizar entre los múltiples riesgos que identifiquemos en el centro de operaciones cual va a ser el orden con el que los trataremos. La clasificación nos ayuda a ver el impacto que el riesgo tendría en el NOC si llegara a materializarse, teniendo conocimiento del impacto podremos crear planes de mitigación o eliminación del riesgo. Mitigación de riesgos: La mitigación consiste en aplicar controles o políticas para reducir la probabilidad de que un riesgo se materialice, algo que nos puede servir de apoyo para el manejo de riesgos es:

Figura 1, Sistel, (2018)

P á g i n a | 10

De acuerdo con Descalzo, F.(2018) podemos concluir que es natural el empleo de estándares relacionados con el gobierno de TI y gobierno corporativo (como ISO 20000 y 27001, ITIL, COBIT5, Normas NIST, etc.) para normalizar nuestros procesos y ayudar a ordenar todas las actividades asociadas a la continuidad operativa, así como a la seguridad de la información, esto nos ayudará para garantizar la continuidad del negocio. Hay cuatro dominios en los cuales deben agruparse las principales actividades de mitigación de estos riesgos de TI: El gobierno de la tecnología, que debe ser compartido con nuestro proveedor de servicios La gestión de riesgos sobre los servicios, tanto internos como externos, y en el caso de terceros, reclamando y auditando a nuestro proveedor en su gestión implementada La educación y actualización para la mejora del conocimiento y capacidades, no solo relacionadas con la infraestructura técnica sino también en los procesos de servicio de TI, tanto de los contratados como de los internos, sobre los cuales el proveedor también debe capacitarse El cumplimiento, sobre la base de ser conscientes de que puede delegarse la operación a un tercero, pero no es recomendable delegar la responsabilidad en el cumplimiento, por lo que deben establecerse los controles y auditorías necesarias para verificar este cumplimiento por parte de nuestro proveedor. Entonces de acuerdo lo anterior concluimos que para mitigar un riesgo, no es solo configuraciones, crear reglas o actualizar el software de los dispositivos, una parte importante es la capacitación al personal ya que puede ser un riesgo alto que el recurso humano que labora en el NOC.

P á g i n a | 11

Uno de las prácticas que pueden apoyarnos en mitigar riesgos y garantizar la seguridad de la información es la implementación o implantación de políticas de seguridad, estas políticas son reglas que todo el personal debe seguir. En las políticas de seguridad también podemos establecer niveles de acceso para así poder tener un mejor control en el ingreso a los activos y áreas del Centro de Operaciones de Redes (NOC). Para una forma adecuada de realizar una política de seguridad informática podemos guiarnos con el siguiente diagrama:

Figura 2, Fuente: Manual de Seguridad en Redes. http://www.arcert.gov.ar

Pruebas de Cumplimiento: Según Vásquez Rodríguez, S. (2015) son aquellas pruebas que diseña el auditor con el objeto de conseguir evidencia que permita tener una seguridad razonable de que los controles internos establecidos por la empresa auditada están siendo aplicados correctamente y son efectivos. Entonces las pruebas de cumplimiento forman parte de las auditorias periódicas que debemos realizar para corroborar que se están aplicando de forma correcta las políticas, formatos de control, bitácoras y los procesos que establecimos en el centro de operaciones de red.

P á g i n a | 12

II.

CONCLUSIONES

Centro de operaciones de infraestructura de red principalmente es implementado por empresas grandes, esto se debe a su alto costo de implementación y operación. Las funciones de un NOC son gestionar, administrar y monitorear la infraestructura de la red, al momento de identificar una falla puede existir 3 niveles en el ámbito organizacional como lo establece Continuum, el nivel 1 sería si la falla se encontrara en el hardware, si después de descartar hardware el problema persiste, este debe ser escalado al nivel 2 o nivel 3 dependiendo de su complejidad. Punto importante a considerar asegurar dentro de una infraestructura de red son las rutas o caminos que puede utilizar un atacante para tener acceso a los dispositivos estas rutas son conocidas como vectores de ataque, los vectores de ataque son una vulnerabilidad en los centros de operaciones de infraestructura de red que pueden interrumpir la prestación de servicios. Estos vectores de ataque también pueden ser identificados en la evaluación de riesgos que se debe realizar, durante esta evaluación es de suma importancia categorizar los riesgos según su impacto para luego poder elegir el mejor trato según la ISO 27001, un riesgo puede ser mitigado, transferido, aceptado o eliminado. Entonces como garantizamos que los riesgos que identificamos en la evaluación no puedan llegar a materializarse, sencillo, mediante la implemntación de politicas de seguridad, controles de acceso, uso de bitacoras, en este largo proceso debemos apoyarnos de estandares internacionales como la ISO 27001:2013, ITIL, COBIT5, Normas NIST. Estas normas nos marcaran el camino que debemos seguir para garantizar la correcta operación del NOC

y que la información sea integra,

confidencial y este siempre disponible.

P á g i n a | 13

III.

BIBLIOGRAFIA

Continuum. (2018). What are the Roles & Responsibilities of a NOC Technician. Continuum.net. recuperado de: https://www.continuum.net/resources/mspedia/network-operations-centernoc-explained

Zentius. (2017). Cómo trabaja un Centro de Operaciones de Red (NOC). blog.zentius.com. recuperado de: https://blog.zentius.com/como-trabaja-uncentro-de-operaciones-de-red-noc

Comarch. (2015). Network operations center. Comarch.com. Recuperado de: https://www.comarch.com/trade-and-services/ict/it-outsourcingintegration/network-operations-center/x

U.S.NRC. (2017). Lessons Learned During Milestones 1 - 7 Cybersecurity Inspections of Nuclear Power Plants. nrc.gov. Recuperado de: https://adamswebsearch2.nrc.gov/webSearch2/main.jsp?AccessionNumber =ML16341B257

FireEye. (2019). What is Cyber Security. Fireeye.com. Recuperado de: https://www.fireeye.com/current-threats/what-is-cyber-security.html

BitLife. (2018). Ciberseguridad: 6 métodos de ataque y defensa que veremos los próximos meses. bitlifemedia.com. Recuperado de: https://bitlifemedia.com/2018/01/ciberseguridad-metodos-ataque-defensaproximos-meses/

P á g i n a | 14

NetworkWorld. (2017). Aumentan las amenazas y los vectores de ataque, según Fortinet. www.networkworld.es. Recuperado de: https://www.networkworld.es/seguridad/aumentan-las-amenazas-y-losvectores-de-ataque-segun-fortinet Kosutic. D. (2019). Evaluación y Tratamiento del Riesgo en ISO 27001 – 6 pasos básicos. https://advisera.com. Recuperado de: https://advisera.com/27001academy/es/knowledgebase/evaluacion-ytratamiento-del-riesgo-en-iso-27001-6-pasos-basicos/

ASOSEC. (2018). Avances y desafíos regulatorios de la ciberseguridad. Asosec.co. Recuperado de: http://asosec.co/2018/08/avances-y-desafiosregulatorios-de-la-ciberseguridad-2/

ISO 27001:2013 (2017). Como identificar los riesgos. Recuperado de: https://www.pmg-ssi.com/2017/01/iso-27005-como-identificar-los-riesgos/ SISTEL (2018). 5 Pasos para la gestión de Riesgos. Recuperado de: https://www.sistel.es/5-pasos-gestion-riesgos-it Descalzo, Fabián. Integración de riesgos de TI y riesgos operacionales. Recuperado de: http://www.magazcitum.com.mx/?p=3656#.XF350LhMGUk

Vásquez Rodriguez Sergio (2015). Diseño de pruebas de auditoria: Recuperado de: https://prezi.com/c2qz68_usg6y/diseno-de-pruebas-deauditoria-de-cumplimiento-y-sustantivas/