Objetivo

Mantener la Continuidad de los servicios de seguridad y proteger los procesos críticos que soporten a toda la operación del Negocio garantizando que la infraestructura y los servicios de TI necesarios, incluyendo soporte y centro de servicio, continúen operando y pueden restaurarse dentro de los limites aceptables tras un evento que detenga la continuidad de las operaciones (ISO).

4.6.2 Descripción

Se encarga de asegurar que la operación de los sistemas y servicios de seguridad no sean impactados en gran medida si un desastre ocurre. Contra ataca las interrupciones de los sistemas y de los procesos operativos de inmediato para no impactar a los usuarios (ITIL & ISO).

Elabora planes de contingencia con la finalidad de asegurar que las operaciones continúen, con la posibilidad de recuperar los servicios de computación y la información cuando se presente un evento que dañe o paralice el funcionamiento de los sistemas. Si los servicios de seguridad son interrumpidos, la vulnerabilidad de los clientes quedara abierta lo cual pone en riesgo inminente la operación de los mismos (ITIL).

Las consecuencias de los desastres, fallas de seguridad, perdida del servicio y disponibilidad del servicio, deben de sujetarse a un análisis de impacto. Los planes de continuidad deben ser desarrollados e implementados para asegurar la restitución de las operaciones esenciales y de los procesos clave (ISO & COBIT).

El proceso de continuidad de la operación de seguridad debe incluir controles para identificar y reducir riesgos que limiten las consecuencias y el daño que generen los incidentes, asegurando la protección de la información. (ISO)

4.6.3 Posicionamiento y Relación Administrador de Configuraciones ENTRADAS → Análisis de riesgos → Especificaciones de disponibilidad, continuidad y recuperación → Manuales de usuario, operativos, técnicos, de soporte y administrativos Bases de Datos/ Sistemas de Información SALIDAS Resultados de pruebas de contingencia Planes de protección y respaldo Requerimientos de servicios en desastres con roles y responsabilidades Continuidad de la

operación de seguridad

Figura 4.6 Posicionamiento del Proceso de Continuidad de la operación de seguridad.

4.6.4 Normatividad Básica

1. Identificar y acordar las responsabilidades y los procedimientos de continuidad de operaciones. (ISO)

2. Identificar los procesos y recursos de TI críticos que soportan la operación de seguridad de información (ISO & COBIT)

3. Analizar los impactos que las interrupciones pueden causar (ISO)

4. Formular y documentar planes de recuperación de las operaciones (ISO & COBIT)

5. Mantener y actualizar los planes de continuidad de operaciones (COBIT) 6. Considerar la implementación de controles adicionales que permitan prevenir y mitigar riesgos. (ISO)

7. Probar regularmente los planes de continuidad. (COBIT)

8. Entrenar a las personas involucradas en el proceso de recuperación. (COBIT)

9. Distribuir los planes de continuidad de operaciones a las áreas involucradas. (COBIT)

10. Planear las acciones y servicios que se brindaran mientras se restablecen las operaciones. (COBIT)

11. Revisar la efectividad de los planes de continuidad después de algún evento, buscando errores y proponiendo mejoras. (COBIT)

4.6.5 Métricas de desempeño

√ Numero de horas perdidas por usuario por mes causadas por eventos externos no planeados

√ Numero de procesos de negocio críticos apoyados en TI no cubiertos por el plan de continuidad de seguridad.

Capitulo 5. Conclusiones

En cuanto al Objetivo planteado

La Propuesta de los principales procesos operativos de seguridad de información se logra plasmar, permitiendo construir un marco de referencia real y útil sobre el cual se puede obtener información para operar eficientemente un centro de operaciones de seguridad.

El desarrollo de la normatividad básica refuerza el modelo propuesto, presentando las funciones, relaciones, normas y métricas de desempeño que le dan cuerpo a la estructura desarrollada.

En cuanto a la Seguridad de Información

La Seguridad de Información es un tema que claramente denota una gran relevancia hoy en día en diversos sectores de la sociedad, entre los que destacan el sector gubernamental, sector educativo, sector empresarial, entre otros.

La importancia que la seguridad de la información representa se ha convertido en un factor crítico para todas las organizaciones que deseen operar bajo esquemas de protección bien regulados que les permitan mantener una

integridad de la información que manejan, así como de realizar operaciones y transacciones de manera segura.

Se ha analizado el papel que juega la información en las organizaciones, anteriormente se le daba mayor a importancia a otros activos tangibles que podían ser contabilizados en términos económicos, sin embargo, hoy en día el valor que se le da a este activo es considerado como el mas importante para las organizaciones.

El estudio realizado sobre este tema ha dejado claro que mantener la seguridad de la información es una tarea constante que debe estar bien implementada para brindar a las empresas la posibilidad de operar bajo esquemas tecnológicos que posibiliten realizar estrategias de negocio modernas con las cuales se generen mayores ventajas competitivas.

Si no existe un esquema de seguridad establecido que proporcione sus servicios bajo el esquema 24/7, las diversas amenazas existentes pueden en cualquier momento afectar la integridad de las organizaciones y detener las operaciones de los sistemas de información, esto provocaría una parálisis operativa generando perdidas millonarias para los diferentes sectores de la sociedad.

En cuanto a los Procesos Operativos

Anteriormente la importancia de la seguridad radicaba en la arquitectura y los servicios que se brindaban a través de las tecnologías de información y comunicaciones. Así mismo otro punto clave para la implementación de este tipo de sistemas se basaba en los controles que se proponían para impedir violaciones a los sistemas de información de las organizaciones. Ambos factores son importantes y deben continuar como parte de las fortalezas que un sistema

protegido contiene. Sin embargo, hoy en día existe otro factor indiscutiblemente importante para lograr establecer esquemas de seguridad bien definidos, conocidos como Procesos Operativos.

Los Procesos Operativos de seguridad de Información son clave para estructurar esquemas de seguridad bien fundamentados y regulados que permitan guiar las operaciones de seguridad en una organización, sin importar el tamaño de la misma.

La formulación de estos procesos debe ser minuciosa y probada para asegurar que las normas y políticas que se establezcan respondan a las necesidades específicas de las organizaciones. Cada proceso debe contar con procedimientos formales que guíen a los operadores de seguridad la manera en la cual realizar sus funciones y reaccionar ante diversas circunstancias que activen la intromisión de estos procesos.

Cada proceso por separado realiza funciones especificas de acuerdo con los niveles de acción que le corresponden, sin embargo la relación que debe existir entre todos los procesos del el esquema de seguridad debe de estar bien determinada para poder reaccionar y solucionar los problemas de fondo aplicando las acciones correspondientes a las normas de seguridad establecidas.

La importancia de separar las operaciones por medio de procesos abre el panorama para ver las cosas como un conjunto de partes relacionadas que trabajan entre si para lograr un objetivo en común, lo que evita que se realicen operaciones al azar que lejos de solucionar un problema lo hagan mas grave, o bien que se caiga en ambigüedades que no permitan continuar con la operación normal de la seguridad.

En cuanto a los Estándares de Seguridad

La posibilidad de tener diversos estándares bien fundamentados y reconocidos en el ámbito de la seguridad nos proporciona un alto valor al momento de querer implementar prácticas de seguridad. La posibilidad de extraer información probada sobre las mejores prácticas en esta área o en cualquier otra, nos da las herramientas esenciales para construir esquemas de seguridad eficaces apoyados en la experiencia que estos estándares pueden tener. Esto evita cometer errores fatales tratando de implementar algo que no se sabe con certeza, o pretendiendo reinventar algo que ya ha sido definido y constatado por expertos en la materia.

Existen diversos Estándares en cuanto a seguridad de información se refiere, cada uno con notables fortalezas y algunos con áreas de oportunidad, sin embargo el valor que aportan a la comunidad tecnológica es muy considerable, lo cual debe ser aprovechado al máximo para desarrollar esquemas de seguridad eficaces.

La investigación realizada consideró a tres estándares de seguridad altamente reconocidos, los cuales aportaron valor en diferentes áreas de la investigación:

ITIL (Information Technology Infrastructure Library) proporcionó un

importante desarrollo en cuanto a los procesos operativos y su relación, esta norma contiene información muy importante en esta área, Su principal aportación es que maneja la forma en la cual se van ligando los procesos, permitiendo así desarrollar un esquema de seguridad integrado.

COBIT por su lado, propone un esquema de seguridad igualmente efectivo en procesos pero con mayor valor en el área de controles y parámetros de medición que permiten evaluar el desempeño de cada proceso por separado. Así

como detectar los parámetros de entrada y salida correspondientes a cada proceso.

Por ultimo pero no menos importante se considero a ISO17799 el cual es experto en normas y controles bien definidos, que permiten establecer procedimientos claramente especificados y estructurados que guían la manera en la cual de deben hacer las cosas en los diferentes procesos que maneja.

Es importante señalar que los tres estándares seleccionados proporcionaron un valor muy alto, sin embargo el punto mas fuerte de la investigación es la integración de los mismos, ya que tomando las mejores cualidades de cada uno se logro construir un esquema de seguridad soportado por las mejores características de ellos.

En cuanto a la propuesta presentada

El modelo propuesto en esta investigación presenta los principales procesos operativos que deben existir en la operación de un SOC. Esta propuesta esta fundamentada en los estándares de seguridad mencionados, gracias a los cuales fue posible desarrollar un esquema real y confiable.

La selección de cada uno de los procesos de seguridad considerados esta soportada por una investigación bien fundamentada sobre los principales procesos existentes en la actualidad así como de la función que cada uno desempeña. Si bien es cierto que todos los procesos que proponen los diferentes Estándares tienen una razón de ser bien justificada, no todos son esenciales o necesarios para que un SOC pueda operar con un nivel aceptable mínimo.

Los procesos planteados están considerados como necesarios para lograr una entrega de servicio de seguridad confiable, la ausencia de alguno de ellos es considerada por parte de los expertos como una situación riesgosa para un Centro de Operaciones de Seguridad.

La estructura completa de la propuesta permite visualizar la relación existente entre los diversos procesos planteados, lo cual permite ver al modelo como un sistema integral que opera bajo relaciones bien definidas que permiten entender la razón de estar de cada uno de los procesos y principalmente la operación conjunta de los estos.

La columna vertebral del modelo esta bien definida por los cuatro principales procesos mencionados, los cuales a su vez son apoyados por los últimos dos, manteniendo así un marco de referencia lógico.

Por otro lado, el ciclo de operación descrito, muestra a grandes rasgos la manera en la cual opera esta propuesta, proporcionando una visión integral de cómo va reaccionando cada proceso y por medio de que elemento es relacionado con el siguiente proceso.

Finalmente, el planteamiento de la normatividad básica de cada proceso pone el punto final y muy importante sobre la manera en la cual opera cada proceso individualmente. No obstante, se describe la relación existente con algún otro ya que es dependiente para su operación.

El planteamiento del objetivo así como la descripción de cada proceso proporciona la información necesaria para comprender la función que tiene cada proceso dentro de la propuesta, así como su razón de estar considerado como un proceso critico dentro de un SOC.

El posicionamiento y relación nos describe la ubicación dentro del esquema en la que se encuentra el proceso así como de la relación inmediata con el proceso que le antecede o continúa.

La normatividad descrita para cada elemento es la base para construir un esquema de normas y procedimientos bien definidos que establezcan las acciones a seguir.

Por ultimo las métricas de desempeño son un elemento de gran ayuda para poder evaluar el desempeño de cada uno de los procesos, con esto la propuesta toma un mayor valor dada la importancia de este aspecto para toda organización.

5.1 Trabajos Futuros

El presente trabajo de investigación tiene importantes aplicaciones las cuales pueden ser retomadas en investigaciones futuras, la base de conocimiento que brinda esta investigación es relevante para ser tomada como referencia ante cualquier trabajo de investigación relacionado con este tema o sus áreas especificas.

La propuesta presentada sobre los procesos operativos críticos para operar un SOC, así como el desarrollo de la normatividad básica de cada uno de los procesos aporta un marco de referencia importante para poder indagar con mayor profundidad o continuidad sobre algunos aspectos relevantes, dentro de los que están:

Desarrollo de la Normatividad completa de los procesos operativos críticos

La normatividad básica presentada en este trabajo de investigación puede tomarse como un punto de partida para desarrollar a fondo cada una de las normas propuestas. Esto implicaría proponer e identificar los procedimientos específicos de operación de cada proceso, con sus etapas, reglas, flujos de operación y controles que determinen la manera completa de cómo operar cada proceso.

Cada proceso puede tomar sus normas de los estándares presentados en esta tesis, o bien se puede investigar en otras mejores prácticas que manejen controles bien definidos en los procesos a manejar.

La posibilidad de desarrollar a profundidad este tema es clara, y los resultados que se podrían obtener serian muy importantes al grado de poder

implementar este marco de referencia como norma en un centro de operaciones de seguridad.

Otros Procesos operativos importantes para operar un SOC

Los procesos operativos presentados en este trabajo son los de mayor importancia, es decir los necesarios para operar un SOC, sin embargo esto no significa que no existan muchos otros procesos de gran utilidad para lograr o mejorar los objetivos de calidad que se plantean en un SOC.

Proponer los procesos operativos de apoyo a las operaciones tiene un gran potencial ya que basándose en la estructura propuesta se pueden ir agregando módulos secundarios que den un enfoque mas general a la propuesta. Con esto se lograría obtener un marco de referencia amplio sobre todos los procesos importantes ya sea de primer o segundo nivel que conforman una propuesta de operación para un SOC.

Es claro que el alcance que tiene este tema de investigación es muy amplio, la importancia de la Seguridad de Información continuara tomando mayor relevancia conforme la evolución de los sistemas se vaya dando, por lo que constantemente habrá mucho por investigar en esta área tan critica para las organizaciones.

Referencias Bibliográficas

Atkinson William “Integrating Risk Management & Security” Vol.52. New York ,

United States (Oct 2005) pg. 32, 5 pgs

Avizienis, Algirdas. “Basic Concepts and Taxonomy of Dependable and Secure Computing” IEEE Transactions on dependable and secure computing, Vol. 1, No.1; (2004).

Awe Jide. “Processes that Secure Computing” http://www.jidaw.com/itsolutions/security6.html (s.f.)

Brown, Jennifer. “Going deep inside the SOC” Computing Canada. Willowdale: Vol.30, United States (Jan 16, 2004). pg. 19, 1 pgs

Byrnes F. Christian “Three Lenses Into Information Security” Gartner, Inc. ID Number: G00136780, January 2006

Caselles Joana, Josep M. ”Gestión por procesos: innovación y mejora”, Instituto Catalán de Tecnología (ICT) España, (2003).

Campbell Katherine, Lawrence A. Gordon, Martin P. Loeb and Lei Zhou. “The Economic Cost of Publicly Announced Information Security Breaches: Empirical Evidence From the Stock Market,” Journal of Computer Security. vol. 11, (2003). pp. 431-448.

COBIT 4.0, C o n t r o l O b j e c t i v e s M a n a g e m e n t G u i d e l i n e s M a t u r i t y M o d e l s 4.0, IT Governance Institute. ISBN 1-933284-37-4, United States of America, 2005.

Corletti Estrada Alejandro, “Análisis de ISO-27001:205”, Madrid, abril de 2006. Cossío Ortiz Saidd Gerardo, Damián Fco. Javier Palomino Martínez “ITIL: servicios de tecnologías de información”

HTTP://WWW.ENTERATE.UNAM.MX/ARTICULOS/2005/NOVIEM/ITIL.HTM, Noviembre de 2005.

Cummings Joanne “How to staff a SOC” Network World. Framingham: Vol.22. United States (Mar 21, 2005). pg. S22, 1 pgs

Fischer Steven J., Acterberg Jan, Vining Tsvi G. “IDENTIFYING DIFFERENT PARADIGMS FOR MANAGING INFORMATION TECHNOLOGY” Faculty of Economic Sciences, Business Administration and Econometrics Department of Information Technology and Information Management Vrije University Amsterdam (s.f.)

Giannacopoulos, Peter. “Paranoia is good”. Strategic Finance. Montvale: Vol.83, United States (Feb 2002); pg. 26, 4 pgs

Haj Barky, Saad “Development of security policies for private network”

INTERNATIONAL JOURNAL OF NETWORK MANAGEMENT. (2003). 203–210 Hanemann Andreas, Sailer Martin, Schmitz David “Assured Service Quality by Improved Fault Management” Munich Network Management Team, s.f.

Hemmen, Van. “Models supporting the network management organization” INTERNATIONAL JOURNAL OF NETWORK MANAGEMENT (2000).

Henning Ronda R. “Security Service Level Agreements: Quantifiable Security for the Enterprise?” Harris Corporation, (2000).

Hernándes Roberto, Fernández Carlos y Baptista Pilar. “Metodología de la Investigación” Tercera edición, Ed. Mc Graw Hill, Chile (2003).

Hochstein Axel & Dr. Zarnekow Rüdiger & Prof. Dr. Brenner Walter “ITIL as Common Practice Reference Model for IT Service Management: Formal Assessment and Implications for Practice” Institute for Information Management University of St. Gallen, (s.f.)

International Standard ISO/IEC 17799, “Information technology — Security techniques — Code of practice for information security management” 2005

ISACA (Information Systems Audit and Control Association), www.isaca.org, 2006 IT Governance Institute (ITGI) and Office of Government commerce (OGC) “Aligning COBIT®, ITIL® and ISO 17799 for Business Benefit” A Management Briefing. The IT Service Management Forum 2005.

Kemmerling, Georges. “Gestión de servicios TI: una introducción a ITIL”, Van Haren Publishing, 2004.

Lackey James & Brown Steve. “Why Informal Information Technology Management Models do not Work” Oklahoma State University. United States (s.f.) Lawrence A. Gordon & Martin P. Loeb “Budgeting Process for INFORMATION SECURITY EXPENDITURES”, COMMUNICATIONS OF THE ACM, Vol. 49, No.1, January 2006.

Mercury Rebecca T. “Standars In security” COMMUNICATIONS OF THE ACM December 2003, Vol. 46, No. 12.

Neubauer Thomas, Klemen Markus, Biffl Stefan “Business Process-based Valuation of IT-Security” Institute of Software Technology and Interactive Systems Vienna University of Technology, Karlsplatz 13, A-1040, Austria (s.f.)

Nigel Rix “Return on TCO-why measure the cost of security?” Information Management & Computer Security; ABI/INFORM Global, 2004.

NTT Comunications, http://www.ntt.com/business_e/solution/g-secops/ 2007.

Núñez Sandoval Alejandro “Estándares de seguridad en la información” Universidad Nacional Autónoma de México,

http://www.enterate.unam.mx/Articulos/2005/febrero/seguridad.htm, (2005)

OGC ITIL “Best Practice for Security Management” eighth impression, London Office of Government Commerce, ITIL Services, 2004

OGC ITIL. “Best Practice for ICT Infrastructure Management” (2da. Edición) Londres, Inglaterra: TSO (The Stationery Office), 2002.

OGC ITIL. “Best Practice for Service Support” (2da. Edición) Londres, Inglaterra: TSO (The Stationery Office), 2002.

OGC ITIL http://www.itil.co.uk/index.htm, 2007.

Stevenson Brady R. & Romney Gordon W. “Teaching Security Best Practices by Architecting and Administering an IT Security Lab” Brigham Young University, (s.f.) Tront, Joseph G. & Marchany, Randy C. “CANDI: A System for Classifying the Security Risks in Network Appliance” Electrical & Computer Engineering Virginia Tech. Hawaii (2002).

Wagner Ray “Recommendations for Information Security 2006” Gartner, Inc. ID Number: G00137905, February 2006.

Walton Jinx P. “Developing an Enterprise Information Security Policy” University of Pittsburgh, (s.f.)

Ye, Nong, Giordano Joseph, Feldman John. "A process control approach to cyber attack detection." Association for Computing Machinery. Communications of the ACM 2001, 44.8 : 76-82.