universidad central del ecuador facultad … · aplicación de plan de pruebas en ossim ... (siem)...

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA

CARRERA DE INGENIERÍA EN INFORMÁTICA

CUMPLIMIENTO DE LAS NORMAS ISO E ITIL EN EL MANEJO DE LAS

HERRAMIENTAS DE CORRELACIÓN DE EVENTOS Y SEGURIDAD DE LA

INFORMACIÓN

TRABAJO DE GRADUACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO

DE INGENIERO INFORMÁTICO

AUTORES: ORTIZ IMBAQUINGO, Diego Mauricio

VEGA MÉNDEZ, Angela Lucia

TUTOR: Ing. Jairo René Navarro Bustos

Quito, Mayo, 2016

ii

DEDICATORIA

El presente trabajo investigativo que entrego como aporte a la Facultad de Ingeniería Ciencias

Físicas y Matemáticas, de la Gloriosa Universidad Central y a la sociedad en general, quiero

dedicarlo a tres seres maravillosos: Andrea, Enrique y Gael, quienes me han servido de

constante inspiración en mi vida y han hecho que cada día me esfuerce más; espero que para

ellos sea motivo de satisfacción y orgullo y vean en mi un ejemplo de lo que en el futuro segura

estoy sabrán gratificarme con sus logros y con su sano proceder sean seres útiles para la

sociedad y nuestro país.

Con eterno cariño les dedico el presente trabajo.

Angela Lucia Vega Méndez

iii

DEDICATORIA

Este trabajo está dedicado a mi madre Rosa Imbaquingo y hermana Cristina Ortiz que han

hecho posible este trabajo con su apoyo, dedicación y afecto; este trabajo está dedicado a

ustedes por cada una de sus horas de ayuda y desvelo.

Diego Mauricio Ortiz Imbaquingo

iv

AGRADECIMIENTO

A mis padres, Carlos y Yolanda quienes me dieron el privilegio de ser su hija y apoyar en el

cumplimiento de esta etapa académica.

A mis hermanos por cuidar mis deseos y ser un símbolo de superación.

A mi amado esposo por ser la razón de mi vida; y, a ese tierno angelito que desde muy lejos

cuida nuestras vidas.

Ángela Lucia Vega Méndez

v

AGRADECIMIENTO

Mis agradecimientos infinitos para mi familia, maestros y amigos quienes me han tenido

confianza, afecto y consideración; gracias por su ayuda, colaboración y aporte en cada una de

las etapas de investigación y desarrollo de este proyecto para todos ustedes gracias.


vi

AUTORIZACIÓN DE AUTORÍA INTELECTUAL

Nosotros, ORTIZ IMBAQUINGO DIEGO MAURICIO Y VEGA MÉNDEZ ANGELA LUCIA

en calidad de autor(es) del trabajo de investigación: CUMPLIMIENTO DE LAS NORMAS

ISO E ITIL EN EL MANEJO DE LAS HERRAMIENTAS DE CORRELACIÓN DE

EVENTOS Y SEGURIDAD DE LA INFORMACIÓN, autorizo/autorizamos a la Universidad

Central del Ecuador hacer uso de todos los contenidos que me/nos pertenecen o parte de los que

contiene esta obra, con fines estrictamente académicos o de investigación.

Los derechos que como autores nos corresponden, con excepción de la presente autorización,

seguirán vigentes a nuestro favor, de conformidad con lo establecido en los artículos 5, 6, 8; 19

y demás pertinentes de la Ley de Propiedad Intelectual y su Reglamento.

Asimismo, autorizamos a la Universidad Central del Ecuador para que realice la digitalización y

publicación de este trabajo de investigación en el repositorio virtual, de conformidad a lo

dispuesto en el Art. 144 de la Ley Orgánica de Educación Superior.

Quito, 06/Mayo/2016

Nombre: Diego Mauricio Ortiz Imbaquingo Nombre: Angela Lucia Vega Méndez

CI: 1721033304 CI: 1719369439

Telf.: 0992529278 Telf.: 022052767

e-mail: [email protected] e-mail: [email protected]

vii

APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN

Yo, Ingeniero Jairo René Navarro Bustos, en calidad de tutor del trabajo de titulación

CUMPLIMIENTO DE LAS NORMAS ISO E ITIL EN EL MANEJO DE LAS

HERRAMIENTAS DE CORRELACIÓN DE EVENTOS Y SEGURIDAD DE LA

INFORMACIÓN, elaborado por los estudiantes Ortiz Imbaquingo Diego Mauricio y Vega

Méndez Ángela Lucia, de la Carrera de Informática, Facultad de Ingeniería en Ciencias Físicas

y Matemática de la Universidad Central del Ecuador, considero que el mismo reúne los

requisitos y méritos necesarios en el campo metodológico y en el campo epistemológico, para

ser sometido a la evaluación por parte del jurado examinador que se designe, por lo que

APRUEBO, a fin de que trabajo investigativo sea habilitado para continuar con el proceso de

titulación determinado por la Universidad Central del Ecuador.

En la ciudad de Quito, a los cuatro días del mes de abril de 2016.

Ing. Jairo René Navarro Bustos

CC: 1710332832

viii

APROBACIÓN DE REVISORES

x

CONTENIDO

DEDICATORIA .......................................................................................................... ii

DEDICATORIA ......................................................................................................... iii

AGRADECIMIENTO ................................................................................................ iv

AGRADECIMIENTO ................................................................................................. v

AUTORIZACIÓN DE AUTORÍA INTELECTUAL ................................................. vi

APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN ....................... vii

APROBACIÓN DE REVISORES ........................................................................... viii

CONTENIDO .............................................................................................................. x

LISTA DE TABLAS ................................................................................................ xiii

LISTA DE FIGURAS ............................................................................................... xiv

RESUMEN ............................................................................................................... xvi

ABSTRACT ............................................................................................................ xviii

INTRODUCCIÓN ....................................................................................................... 1

1 EL PROBLEMA ................................................................................................... 2

1.1 Formulación del Problema ............................................................................. 2

1.2 Descripción del problema............................................................................... 2

1.3 Preguntas Directrices...................................................................................... 3

1.4 Justificación .................................................................................................... 3

1.5 Objetivos ........................................................................................................ 4

xi

1.5.1 Generales ................................................................................................ 4

1.5.2 Específicos .............................................................................................. 4

2 MARCO TEÓRICO .............................................................................................. 5

2.1 Sistema de correlación de eventos y seguridad de la información: SIEM ..... 5

2.2 Normas, estándares de seguridad de la información ...................................... 5

2.2.1 ITIL V3 ................................................................................................... 5

2.2.2 COBIT v5 ............................................................................................... 7

2.2.3 ISO 27002:2013 .................................................................................... 10

2.3 Alineación de las tres normativas de seguridad ........................................... 11

3 ETODOLOGÍA EXPERIMENTAL ................................................................... 14

3.1 Investigación en Acción ............................................................................... 14

3.1.1 Investigación en Acción aplicada a la Informática ............................... 14

3.2 Ciclo de Deming........................................................................................... 15

3.3 Implementación en la investigación ............................................................. 16

3.3.1 Actualización de la alineación de COBIT, ITIL e ISO ......................... 17

3.3.2 Elaboración de plan de pruebas ............................................................ 21

3.3.3 Esquema de red para implementación de las herramientas SIEM ........ 22

3.3.4 Ciclo 1 ................................................................................................... 22

3.3.5 Ciclo 2 ................................................................................................... 27

4 CÁLCULOS Y RESULTADOS ......................................................................... 33

4.1 DISCUSIÓN................................................................................................. 36

xii

CONCLUSIONES ..................................................................................................... 37

RECOMENDACIONES ............................................................................................ 39

GLOSARIO ............................................................................................................... 41

BIBLIOGRÁFICAS .................................................................................................. 42

ANEXOS ................................................................................................................... 43

xiii

LISTA DE TABLAS

Tabla 1. Dimensión del proceso y los indicadores de rendimiento de procesos ......... 9

Tabla 2. Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002 ............................... 12

Tabla 3. Migración de COBIT 4.1 a COBIT 5 .......................................................... 18

Tabla 4. Alineación COBIT 5 con ITIL v3 ............................................................... 19

Tabla 5. Alineación COBIT v5, ITIL v3 e ISO 27002:2013 ..................................... 20

Tabla 6. Primer Plan de Pruebas ................................................................................ 23

Tabla 7. Aplicación de Plan de Pruebas en OSSIM .................................................. 24

Tabla 8. Aplicación de Plan de Pruebas en QRADAR .............................................. 25

Tabla 9. Segundo Plan de Pruebas ............................................................................. 29

Tabla 10. Aplicación OSSIM segundo plan de pruebas ............................................ 30

Tabla 11. Aplicación OSSIM segundo plan de pruebas ............................................ 31

xiv

LISTA DE FIGURAS

Figura 1. Gestión de procesos de ITIL ........................................................................ 6

Figura 2. Las fases del ciclo de servicios ................................................................... 15

Figura 3. Plan de pruebas con Ciclo de Deming ........................................................ 16

Figura 4. Investigación en acción usando Ciclo de Deming ...................................... 17

Figura 5. Esquema para la generación del Plan de Pruebas ....................................... 21

Figura 6. Esquema de red para SIEM ....................................................................... 22

Figura 7. Resultado de Plan de pruebas en QRADAR .............................................. 33

Figura 8. Resultado de Plan de pruebas en OSSIM ................................................... 33

Figura 9. Detección de Eventos OSSIM .................................................................... 44

Figura 10. Filtros de eventos OSSIM ........................................................................ 45

Figura 11. Definición de Falso Positivo OSSIM ....................................................... 45

Figura 12. Correlación de eventos OSSIM ................................................................ 46

Figura 13. Disparadores OSSIM ................................................................................ 46

Figura 14. Detalle de una Alarma OSSIM ................................................................. 47

Figura 15. Registro de un evento OSSIM .................................................................. 47

Figura 16. Clasificación de Alarmas OSSIM ............................................................ 47

Figura 17. Prioridad de los Incidentes OSSIM .......................................................... 48

Figura 18. Descripción de solución de un incidente en OSSIM ................................ 48

Figura 19. Seguimiento de Incidente OSSIM ............................................................ 49

Figura 20 Creación de Orígenes de Registro ............................................................ 50

Figura 21 Filtrados de Logs recolectados .................................................................. 51

Figura 22 Creación de Falsos Positivos .................................................................... 51

Figura 23 Reglas de QRADAR ................................................................................. 52

xv

Figura 24 Notificaciones de Reglas ........................................................................... 52

Figura 25 Detección de Incidentes o Delitos ............................................................ 53

Figura 26 Asignación de Incidentes ........................................................................... 53

Figura 27 Clasificación de Incidentes por categria ................................................... 54

Figura 28 Características de Incidente ....................................................................... 54

Figura 29 Agregación de Notas de incidentes .......................................................... 54

Figura 30 Cerrar Incidentes ....................................................................................... 55

xvi

TEMA: “Cumplimiento de las normas ISO e ITIL en el manejo de las herramientas de

correlación de eventos y seguridad de la información”

Autores: Angela Lucia Vega Méndez


Tutor: Jairo René Navarro Bustos

RESUMEN

La infraestructura de red de las empresas se compone de varios sistemas, dispositivos y

aplicaciones que generan enormes cantidades de registros todos los días, estos registros

contienen información vital de todas las actividades que suceden en la red. Mediante el análisis

de estos registros las empresas pueden mitigar amenazas. Los sistemas de gestión de eventos y

seguridad de la información SIEM, se encargan de recolectar toda esta información y procesarla

para ofrecer una amplia visión de la seguridad de las organizaciones.

El presente proyecto realiza un plan de pruebas para evaluar herramientas de Gestión de la

seguridad y Correlación de eventos (SIEM), analizando la Gestión de Eventos y la Gestión de

incidentes que la herramienta debe cumplir.

No existe una alineación que integren las normativas de seguridad de la información, ITIL,

COBIT e ISO 27000 y herramientas SIEM, y que nos permitan evaluar diferentes tipos de

herramientas SIEM para lograr decidir la herramienta que más se adecue al negocio ya sea este

por implementación o metodología.

Para la elaboración del plan de pruebas mencionado y de los objetivos planteados se utilizó

como guía la metodología de investigación en acción, que se basa en el ciclo de Deming para la

depuración del producto final que es un plan de pruebas. Adicionalmente se utilizó las

normativas de seguridad de la información, ITIL, COBIT e ISO 27000.

PALABRAS CLAVES: ITIL / ISO / COBIT /GESTION / EVENTOS / INCIDENTES

xviii

TITLE: “Compliance with ISO AND ITIL standards on the management of

events correlation tools and informational security”

Authors: Diego Mauricio Ortiz Imbaquingo

Angela Lucia Vega Méndez

Tutor: Jairo René Navarro Bustos

ABSTRACT

Companies’ network infrastructure consists of several systems, devices and

applications generating large amounts of records every day. Such records contain

essential information on all activities occurring in the network. By analyzing such

records, companies can mitigate threats. Information events and security systems

(SIEM) are engaged in collecting all such information and process it to offer a wide

vision on organizations security.

The current project is intended to conduct a test trial to assess security management

and correlation of events tools (SIEM), by analyzing Events Management and Incidents

Management to be completed by the tool.

No alignment exist, integrated by information security regulations ITIL, COBIT and

ISO 27000 and SIEM tools, so as to allow assessing diverse types of SIEM tools to

decide the tool that matches the business, either through implementation or

methodology.

For the preparation of referred test plan and proposed objects, the action

investigation methodology was used, based on Deming cycle on the duration of the final

term intended to test plans. Additional, information security regulations ITIL, COBIT

and ISO 27000 were used.

KEYWORDS: ITIL / ISO / COBIT / MANAGEMENT / EVENTS / INCIDENTS

I CERTIFY that the above and foregoing is a true and correct translation of the original

document in Spanish.

______________________

Ernesto Andino

Translator

IC:1703852317

1

INTRODUCCIÓN

El propósito de este proyecto integrador es encontrar un plan de pruebas que permita evaluar

SIEM basando en la normativas de seguridad de la información, dicho plan de pruebas

generado será evaluado en dos herramientas SIEM la una de código abierto y la otra de código

propietario.

Para realizar dicho plan de pruebas se utilizará la metodología de investigación en acción

aplicada en la informática guiándonos en el ciclo de Deming para generar un plan de pruebas, y

someterlo a una mejora continua.

El proyecto se desarrolla en cuatro capítulos, estructurados de la siguiente manera:

El Capítulo I, contiene el Planteamiento del problema, que lo vamos a desarrollar de la siguiente

manera: formulación y descripción del problema; preguntas directrices; objetivas, dentro de los

cuales analizaremos el general y específicas; y justificación.

El Capítulo II, contiene el Marco Teórico, que lo vamos a desarrollar de la siguiente manera:

antecedentes del proyecto; fundamentación teórica.

El Capítulo III, contiene la Metodología, que lo vamos a desarrollar utilizando la investigación

en acción aplicada a la informática, utilizando el ciclo de Deming, la elaboración, aplicación,

observación y mejora del plan de pruebas.

El Capítulo IV, contiene análisis e interpretación de resultados y la entrega del plan de pruebas

final.

Finalmente realizó las conclusiones y recomendaciones, del proyecto de integrador.

2

1 EL PROBLEMA

1.1 Formulación del Problema

¿Cómo debe estar definido un plan de pruebas que permita analizar las funciones que debe

cumplir un sistema de gestión de eventos y seguridad de la información SIEM basándonos en

las buenas prácticas que nos enseña ITIL, en las normas internacionales que nos indica ISO y el

Framework de objetivos de seguridad que nos da COBIT?

1.2 Descripción del problema

Existen varias normativas internacionales que nos ayudan a mejorar la seguridad de la

información como ITIL, ISO 27000, ISO 31000, COBIT, NIST SP 800-30, BS entre otras. De

estas normativas hemos decidido abordar las normativas que se alinean a las herramientas de

gestión de eventos y seguridad de la información las cuales son COBIT, ITIL e ISO 2700 que

nos ofrecen una visión de la gestión de eventos y gestión de incidentes.

Los sistemas de gestión de eventos y seguridad de la información SIEM facilitan el trabajo a los

administradores de infraestructuras de tecnología. Los administradores de estas herramientas

deben tener conocimiento de algunas de las normativas de seguridad que se mencionaron,

además del conocimiento técnico del uso de la herramienta, para que la protección sea completa.

Actualmente no existe una plan de pruebas que unan en las 3 normativas de seguridad de la

información ITIL V3, ISO 27000:2013 y COBIT v5 y en base a este plan de pruebas nos

permita evaluar un sistemas de gestión de eventos y seguridad de la información SIEM.

Siendo el Ciclo de Deming el que nos permitirá determinar si el plan de pruebas se ajusta a las

características de las herramientas SIEM

3

1.3 Preguntas Directrices

● ¿Cuáles son las características principales de una herramienta de gestión de eventos y

seguridad de la información SIEM?

● ¿De qué manera se relacionan las normas ITIL v3, COBIT v5 e ISO 27000: 2013 con

los sistemas de gestión de eventos y la gestión de incidentes?

● ¿Cómo puedo determinar si una herramienta de gestión de eventos y seguridad de la

información SIEM cumple con las normativas de ITIL v3, COBIT v5 e ISO 27000: 2013?

1.4 Justificación

En el presente proyecto desarrollaremos un plan de pruebas que permita evaluar los sistemas de

gestión de eventos y seguridad de la información SIEM, basándonos en el cumplimiento de las

normas de seguridad de la información COBIT v5, ITIL v3 e ISO 27000:2013.

Se utilizará la metodología de investigación en acción guiarnos en el Ciclo de Deming (PDCA,

Planear, hacer, chequear y actuar), planear un plan de pruebas iniciales en el cual se determinen

todas las posibles características que tenga un sistema de gestión de incidentes y seguridad de la

información SIEM, siguiendo las mejores prácticas de procesos en Gestión de Eventos y

Gestión de Incidentes que nos indica ITIL v3, en el Framework de objetivos que se alinean a

ITIL que nos da COBIT y sin olvidarnos de los estándares de seguridad de la información que

nos indica ISO 27000:2013. Una vez generado el primer análisis se realizará las pruebas para su

posterior chequeo y validación de nuevas características que aparecen en los chequeos de las

herramientas y la mejora continua en el plan de pruebas generado.

La última entrega del documento Alineando COBIT 4.1, ITILV3 y ISO/IEC 27002 en beneficio

de la empresa generado por ISACA nos indica la alineación que existe entre estas tres

metodologías en la Gestión de eventos y gestión de incidentes, es importante indicar que se

realiza el análisis en versión antiguas de ITIL, COBIT e ISO, actualmente cada una de estas

normativas se encuentran en las siguientes versiones COBIT v5, ITIL v3 e ISO 2007:2013 por

tal razón se realizará una alineación de la gestión de eventos y gestión de incidentes de las tres

normativas en sus nuevas versiones.

4

1.5 Objetivos

1.5.1 Generales

Realizar un plan de pruebas que determina evaluar herramientas de gestión de eventos y

seguridad de la información SIEM.

1.5.2 Específicos

● Encontrar la metodología para validar el cumplimento normativo de las normas COBIT,

ITIL e ISO 27000 para herramientas de gestión de eventos y sistema de la seguridad.

● Evaluar y comparar dos herramientas para gestión de eventos y seguridad de la

información (SIEM).

5

2 MARCO TEÓRICO

2.1 Sistema de correlación de eventos y seguridad de la información: SIEM

El acrónimo SIEM se atribuye a los analistas de Gartner Amrit Williams y Mark Nicolett y es la

combinación de dos tecnologías distintas, pero complementarias: gestión de eventos de

seguridad SEM y de gestión de información de seguridad SIM. Durante la última década, estas

dos tecnologías han convergido en un único conjunto de soluciones que hoy conocemos como

SIEM.

SEM era una solución tecnológica que se centró en tiempo real o la supervisión en tiempo casi

real, la correlación y el procesamiento de eventos de seguridad. Estos eventos se suelen alertas

generadas por un dispositivo de seguridad de la red, como un sistema de detección de

cortafuegos o de intrusos (IDS), ya que el dispositivo había detectado actividad de la red o host

potencialmente malicioso que hacía juego con un patrón pre configurado.

SIM, por otra parte, se centró en el análisis histórico de la información del archivo de registro

para apoyar las investigaciones y los informes forenses. SIM menudo miró a los mismos

eventos que SEM, pero no en tiempo real. Central a la solución SIM fue de eventos y log de

almacenamiento y archivo, búsqueda y funciones de análisis y capacidades de informes

robustos.

2.2 Normas, estándares de seguridad de la información

2.2.1 ITIL V3

ITIL es un conjunto de buenas prácticas con el propósito de mejorar la administración y gestión

de los servicios de la tecnología de la información (TI). Su principal objetivo es mejorar la

calidad de los servicios de TI que se ofrecen, reducir los problemas que se generen en los

mismos y en caso de que se presenten proporcionar un marco de acción para solucionarlos con

el menor impacto en el menor tiempo posible.

6

ITIL nos brinda un marco para la gestión de los procesos tecnológicos alineados a los objetivos

del negocio. La gestión de los procesos que maneja ITIL los podemos observar en la siguiente

figura:

Figura 1. Gestión de procesos de ITIL

(Osiatis S.A.)

En gráfico podemos observar la integración entre el negocio y la tecnología como gestión de

servicios de TI, con un enfoque en la Gestión de la Seguridad.

2.2.1.1 Gestión de Eventos

Los servicios de TI que se ofrecen a los usuarios, al momento que está operando es necesario

monitorear los sucesos que generan para resolver los problemas de mejor manera e inclusive

prevenirlos. Un evento se denomina a todo suceso que se detecta y que es de importancia para la

infraestructura de TI.

La Gestión de Eventos, además de detectar y notificar los sucesos, se encarga de clasificarlos y

dimensionar su impacto en el servicio, también se encarga de documentar el evento y derivarlo

al proceso correspondiente para que tome medidas: Gestión de Incidentes o Gestión de

Problemas.

7

Los subprocesos en la gestión de eventos son los siguientes:

Mantenimiento de Mecanismos y Reglas de Monitorización de Eventos: Establece y

mantiene los mecanismos para generar reglas efectivas para los procesos de descarte y

correlación de Eventos.

Clasificación y Categorización de Eventos: Clasifica aquellos eventos que se pueden obviar, y

asignar categorías a los que son significativos.

Correlación de Eventos y Selección de Respuestas: Interpreta el significado de un Evento y

elegir una respuesta adecuada.

Revisión y Cierre de Eventos: Verifica que los eventos hayan sido manejados adecuadamente y

si se pueden cerrar. Este proceso también sirve para asegurar que los registros de eventos sean

analizados de manera que se identifiquen tendencias y patrones que puedan sugerir medidas

correctivas necesarias.

2.2.2 COBIT v5

COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus

objetivos para el gobierno y la gestión de las TI corporativas. Ayuda a las empresas a crear el

valor óptimo desde TI manteniendo el equilibrio entre la generación de beneficios y la

optimización de los niveles de riesgo y el uso de recursos.

COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la

empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de

responsabilidad de TI, considerando los intereses relacionados con TI de las partes interesadas

internas y externas. COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto

comerciales, como sin ánimo de lucro o del sector público.

El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno y de gestión

de la TI empresarial en dos dominios principales de procesos:

Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se definen prácticas de

evaluación, orientación y supervisión.

8

Gestión: Contiene cuatro dominios, en consonancia con las áreas de responsabilidad de

planificar, construir, ejecutar y supervisar. Proporciona cobertura extremo a extremo de las TI.

Estos dominios son una evolución de la estructura de procesos y dominios de COBIT 4.1. Los

nombres de estos dominios han sido elegidos de acuerdo a estas designaciones de áreas

principales, pero contienen más verbos para describirlos:

Alinear, Planificar y Organizar (Align, Plan and Organise, APO)

Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)

Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)

Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)

Para la siguiente investigación nos enfocaremos en el proceso Entregar, dar Servicio y soporte

(DSS) específicamente en el proceso DSS02 que nos habla de gestionar las solicitudes de

servicios e incidentes, dicho proceso nos ayudará a generar el plan de pruebas para evaluar

herramientas SIEM. En la Tabla 1 podemos observar la toda la información sobre el proceso

DSS02.

9

Tabla 1. Dimensión del proceso y los indicadores de rendimiento de procesos

(ISACA)

ID del proceso DSS02

Nombre del Proceso Entregar, dar Servicio y soporte

Descripción del Proceso

Dar una respuesta oportuna y eficaz de utilizar petición y resolución de todos los

tipos de incidentes cumplir con las peticiones de los usuarios; y registrar,

investigar, diagnostico, escalar y resolver incidentes.

Propósito Archivar una mayor productividad y minimizar las interrupciones a través de una

rápida resolución de consultas de los usuarios y los incidentes

Resultados (Os)

Numero Descripción

DSS02-01 IT-relacionada con el servicio están disponibles para el usuario

DSS02-02 Los incidentes se resuelven de acuerdo con los niveles de servicio acordados.

DSS02-03 Las solicitudes de servicio se tratan de acuerdo con los niveles de servicio

acordados-en y para la satisfacción de los usuarios.

Practicas Bases (BPs)

Numero Descripción Soporte

DSS02-BP1

Definir esquemas de solicitud de clasificación de incidentes y de

servicios. DSS02-01

Definir esquemas de solicitud de clasificación de incidentes,

servicios y modelos

DSS02-BP2

Grabar, clasificar y priorizar las solicitudes e incidentes DSS02-01

/02 Identificar, registrar y clasificar solicitud de servicio y los incidentes,

y asignar una prioridad de acuerdo con la empresa de manera crítica

y acuerdos de servicio.

DSS02-BP3

Verificar, aprobar y cumplir con las solicitudes de servicio

DSS02-03 Seleccionar los procedimientos de solicitud correspondientes y

verificar que la solicitud de servicio cumplen los criterios definidos

de solicitud. Obtener la aprobación, si es necesario y cumplir con las

solicitudes.

DSS02-BP4 Investigar, diagnosticar y asignar los incidentes

DSS02-03 Identificar y registrar los síntomas de incidentes, determinar las

posibles causas, y asignar para la resolución

DSS02-BP5

Resolver y recuperar incidentes

DSS02-02 Documento, aplicar y probar las soluciones o estación de trabajo

identificadas y realizar acciones de recuperación para restaurar el

servicio relacionado con la TI

DSS02-BP6 Cerrar solicitud de servicio y los incidentes.

DSS02-03 Comprobar la resolución satisfactoria incidentes y / o solicitud de

cumplimiento, y se cierran.

DSS02-BP7

Informes de estado de la pista y del procedimiento

DSS02-03 Regularmente rastrear, analizar y reportar incidentes y tendencias

solicitud de cumplimiento de proporcionar información para la

mejora continua.

10

2.2.3 ISO 27002:2013

La ISO 27002 es un conjunto de estándares desarrollado por ISO (International Organization for

Standardization) e IEC (International Electrotechnical Commission), que proporcionan un

marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización.

En el año 2007 fue publicada la ISO 27002:2005 que es una guía de buenas prácticas que

describe los objetivos de control y controles recomendables en cuanto a seguridad de la

información.

A esta norma se le han realizado actualizaciones, teniendo la última en el 2013. Contiene 14

dominios, 35 objetivos de control y 114 controles.

2.2.3.1 Gestión de Incidentes

Dentro de los Dominios de la ISO 27002:2013 tenemos la Gestión de Incidentes que nos

permitirá garantizar que los eventos de seguridad de la información y las debilidades asociados

a los sistemas de información sean comunicados de forma tal que se apliquen las acciones

correctivas en el tiempo oportuno.

Este dominio tiene los siguientes objetivos de control:

Responsabilidades y procedimientos: Se deberían establecer las responsabilidades y

procedimientos de gestión para garantizar una respuesta rápida, eficaz y ordenada a los

incidentes de seguridad de la información.

Notificación de los eventos de seguridad de la información: Los eventos de seguridad de la

información se deberían informar lo antes posible utilizando los canales de administración

adecuados.

Notificación de puntos débiles de la seguridad: Se debería requerir anotar e informar sobre

cualquier debilidad sospechosa en la seguridad de la información en los sistemas o servicios

tanto a los empleados como a contratistas que utilizan los sistemas y servicios de información

de la organización.

11

Valoración de eventos de seguridad de la información y toma de decisiones: Se deberá evaluar

los eventos de seguridad de la información y decidir su clasificación como incidentes.

Respuesta a los incidentes de seguridad: Se deberá responder ante los incidentes de seguridad

de la información en atención a los procedimientos documentados.

Aprendizaje de los incidentes de seguridad de la información: Se deberá utilizar el

conocimiento obtenido del análisis y la resolución de incidentes de seguridad de la información

para reducir la probabilidad y/o impacto de incidentes en el futuro.

Recopilación de evidencias: La organización debería definir y aplicar los procedimientos

necesarios para la identificación, recopilación, adquisición y preservación de la información que

puede servir de evidencia.

2.3 Alineación de las tres normativas de seguridad

En el año 2005 ISACA genero un documento donde nos indica el alineamiento entre COBIT

v4, ITIL v3 e ISO 27002 año 2005. (Isaca, 2008)

Las mejores prácticas de TI deben ajustarse a los requisitos del negocio y ser integradas entre sí

y con los procedimientos internos. COBIT puede ser utilizado en el más alto nivel, ofreciendo

un marco general de control basado en un modelo de procesos de TI que debería adaptarse a

cada organización. Los estándares y las prácticas específicas, tales como ITIL e ISO/IEC 27002

abarcan áreas discretas y pueden ser mapeadas en el marco COBIT, estructurando una jerarquía

de materiales de orientación.

En la Tabla 2. Se puede observar la alineación entre ITIL v3, ISO/IEC 2700 año 2005 y

COBIT v4, donde cada uno de los 34 procesos de TI y los objetivos de control de COBIT han

sido mapeados a secciones específicas de ITIL e ISO/IEC 27002:

12

Tabla 2. Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002

(ISACA)

Objetivo de

Control COBIT

4.1

Áreas clave Información de soporte ITIL

V3

Información de soporte

ISO/IEC 27002:2005

DS8.1 Mesa de

servicios

Interface de usuario

Gestión de llamadas

Clasificación y

priorización de

incidentes basadas en

servicios y ANS

SO 4.1 Gestión de eventos

SO 4.2 Gestión de incidentes

SO 6.2 Mesa de servicios

14.1.4 Marco de

planeamiento de

continuidad del negocio

DS8.2 Registro

de consultas de

clientes

Registro y seguimiento

de todas las llamadas,

incidentes, solicitudes

de servicio y

necesidades de

información

SO 4.1.5.3 Detección de

eventos

SO 4.1.5.4 Filtrado de eventos

SO 4.1.5.5 Significado de los

eventos

SO 4.1.5.6 Correlación de

eventos

SO 4.1.5.7 Trigger

SO 4.2.5.1 Identificación

de incidentes

SO 4.2.5.2 Log de incidentes

SO 4.2.5.3 Clasificación

de incidentes

SO 4.2.5.4 Priorización de

incidentes

SO 4.2.5.5 Diagnóstico inicial

SO 4.3.5.1 Selección por menú

13.1.1 Reporte de eventos

de seguridad de

información

13.1.2 Se pueden agregar

los reportes de

debilidades de seguridad

ya que se relacionan con

la identificación de

eventos

13.2.1

Responsabilidades y

procedimientos

13.2.3 Recolección de

evidencia

DS8.3

Escalamien

to de

incidentes

Escalamiento de

incidentes de acuerdo a

los límites en los ANS

SO 4.1.5.8 Selección de

respuestas

SO 4.2.5.6 Escalamiento de

incidentes

SO 4.2.5.7 Investigación y

diagnóstico

SO 4.2.5.8 Resolución y

recuperación

SO 5.9 Soporte de estaciones

de trabajo

13.1.2 Se pueden agregar los

reportes de debilidades de

seguridad ya que se

relacionan con la

identificación de eventos


evidencia

14.1.1 Incluir la seguridad

de información en el proceso

de gestión de continuidad del

negocio

14.1.4 Marco de

planificación de

continuidad del negocio

DS8.4 Cierre de

incidentes

Registro de los

incidentes resueltos

y no resueltos

SO 4.1.5.10 Cerrar eventos

SO 4.2.5.9 Cierre de incidentes

13.2.2 Aprendiendo de

los incidentes de

seguridad de

información


evidencia

DS8.5

Reportes y

análisis de

tendencias

Reportes de

desempeño de

servicio y tendencias

de los problemas

recurrentes

SO 4.1.5.9 Revisar acciones

CSI 4.3 Mediciones del

servicio

13.2.2 Aprendiendo de

los incidentes de

seguridad de

información

13

A la fecha actual no existe un nuevo alineamiento que utilice las nuevas versiones de COBIT y

de ISO 27002, es por ello que en el desarrollo de este proyecto se realizará una nueva alineación

de las tres normativas COBIT v5, ITIL v3 e ISO 27002 año 2013 basado en un enfoque para

gestionar las solicitudes de servicio e incidentes orientado a las evaluación de herramientas

SIEM.

14

3 ETODOLOGÍA EXPERIMENTAL

3.1 Investigación en Acción

Es considerar las clases (la enseñanza y el aprendizaje) como objeto de estudio e investigación,

de modo que la acción se convierte en fuente de datos y en objeto de reflexión. Tiene como

objetivo fundamental el análisis crítico de la realidad, la explotación de los conflictos entre

valores y conductas… para diagnosticar y solucionar un problema en un contexto específico. El

desarrollo de la investigación - acción supone: el relacionamiento del problema, la planificación

de la investigación (desarrollo de un plan de acción), la acción (poner el plan en práctica), la

observación (en el contexto en que tiene lugar) y la reflexión-evaluación (base para una nueva

planificación). Las técnicas empleadas son básicamente la observación participante, la entrevista

y la recogida de documentos. (Tejedor, 1996)

3.1.1 Investigación en Acción aplicada a la Informática

En el año 1997 en la revista MIS Quarterly aparece un artículo de Michael Myers en el cual se

ofrece una relación extensiva de instrumentos de investigación usados en Investigación en

acción en Sistemas de Información. Tal año el término Investigación en acción en Sistemas de

Información se hace conocido como tal, iniciándose una presencia creciente de trabajos

relacionados en foros de estudio e investigación, grupos de trabajos, congresos y/o revistas,

interesados en analizar las posibilidades de la Investigación en acción aplicada a la informática

Al 2010, luego de una década la situación no ha sido muy positiva para la Investigación en

acción en Sistemas de Información. No puede desconocerse eso sí que al día de hoy muchos

investigadores de campos de la Informática en general ya procuran considerar aspectos

metodológicos en sus estudios (sean o no del tipo cualitativos), mientras ya existe un poco más

de sensibilidad al respecto (Niculcar, 2012)

15

3.2 Ciclo de Deming

El ciclo PDCA: Planificar (Plan), Hacer (Do), Verificar (Check) y Actuar (Act), también

conocido como ciclo de Deming en honor a su creador, Edwards Deming, constituye la columna

vertebral de todos los procesos de mejora continua:

● Planificar: definir los objetivos y los medios para conseguirlos.

● Hacer: implementar la visión preestablecida.

● Verificar: comprobar que se alcanzan los objetivos previstos con los recursos asignados.

● Actuar: analizar y corregir las desviaciones detectadas así como proponer mejoras a los

procesos utilizados.

Las fases del ciclo de vida del servicio son un reflejo de esta estructura básica:

Figura 2. Las fases del ciclo de servicios

(Version 3.0 © Copyright OSIATIS S.A)

En cierta medida todos y cada uno de los procesos de gestión de los servicios TI deben

reproducir esa estructura asegurando que cada una de estas fases se encuentra correctamente

documentada.

La fase de Mejora Continua del Servicio juega un papel esencial en las etapas de verificación y

actuación aunque también debe colaborar en las otras etapas de planificar y hacer:

● Ayudando a definir los objetivos y las métricas de cumplimiento asociadas.

● Monitorizando y evaluando la calidad de los procesos involucrados.

● Definiendo y supervisando las mejoras propuestas.

16

3.3 Implementación en la investigación

Siguiendo el proceso del ciclo de Deming determinamos el procedimiento a seguir para diseñar

el primer plan de pruebas. El primer paso a realizar es un cuestionario a partir de la alineación

de ITIL, COBIT e ISO en sus últimas versiones. Una vez obtenido el primer borrador del plan

de pruebas se procede a aplicar en las dos herramientas de código propietario y de código

abierto (QRADAR y ALIENVAUL).

La evaluación permite hacer observaciones sobre el cumplimiento de la herramienta a las

normas aplicadas, con la información recogida se hace la mejora al plan de pruebas.

El ciclo, detallado en la Figura 3. Nos permitirá obtener un plan de pruebas depurado.

Figura 3. Plan de pruebas con Ciclo de Deming

Elaborado por Vega L, Ortiz D

17

De esta manera se tiene el primer ciclo para posteriormente tomar el plan de pruebas mejorado y

volver a repetir los pasos anteriores hasta obtener un plan de pruebas que se ajuste a las dos

herramientas como se observa en la figura 4 en la que se explica el avance del procedimiento

utilizado para la implementación y manejo de la metodología de investigación.

Figura 4. Investigación en acción usando Ciclo de Deming


3.3.1 Actualización de la alineación de COBIT, ITIL e ISO

Con base a la información detallada en el marco teórico de la alineación de COBIT v4, ITIL v3

e ISO 27002, obtenida de ISACA, se realiza la nueva alineación a las últimas versiones de las

normativas ya mencionadas con un enfoque para gestionar los eventos e incidentes orientado a

las evaluación de herramientas SIEM.

Partiremos de pasar de COBIT v4 a COBIT v5, y nos centraremos en el proceso de la Entrega

de Servicio (DS) que en la nueva versión se llama Entregar Servicio y Soportar (DSS) y

específicamente en Administrar la mesa de servicios y los incidentes (DS8), en la nueva

versión denominado (DSS02) de acuerdo al informe de ISACA (ISACA, 2012)

Con la información que detalla las áreas claves de la nueva versión podemos a cambiar los

objetivos de Control de COBIT 4.1 a COBIT 5

18

Tabla 3. Migración de COBIT 4.1 a COBIT 5

Objetivo de Control COBIT 4.1 Objetivo de Control COBIT 5

DS8.1 Mesa de servicios DSS02-1 Definir esquemas de solicitud de

clasificación de incidentes y de servicios.

DSS02-2 Grabar, clasificar y priorizar las solicitudes

e incidentes

DS8.2 Registro de consultas de clientes DSS02.3 Verificar, aprobar y cumplir con las

solicitudes de servicio

DS8.3 Escalamiento de incidentes DSS02.4 Investigar, diagnosticar y asignar los

incidente

DSS02.5 Resolver y recuperar incidentes

DS8.4 Cierre de incidentes DSS02.6 Cerrar solicitud de servicio y los incidentes.

DS8.5 Reportes y análisis de tendencias DSS02.7 Informes de estado de la pista y del

procedimiento

Para este proyecto solo utilizaremos los objetivos de control DSS02-2, DSS02-3, DSS02-4,

DSS02-5 y DSS02-6, que son los que involucran Gestión de Eventos y Gestión de Incidentes.

Alineando COBIT V5 con ITIL V3

De acuerdo a las áreas claves definidas para cada proceso en COBIT V5 mantendremos los

procesos de ITIL V3 que nos indica ISACA.

19

Tabla 4. Alineación COBIT 5 con ITIL v3

Objetivo de Control COBIT 5 Áreas clave Información de soporte ITIL V3

DSS02.3 Verificar, aprobar y

cumplir con las solicitudes de

servicio

• Seleccionar los

procedimientos de solicitud

correspondientes y verificar

que la solicitud de servicio

cumplen los criterios

definidos de solicitud.

Obtener la aprobación, si es

necesario y cumplir con las

solicitudes.

SO 4.1.5.3 Detección de eventos

SO 4.1.5.4 Filtrado de eventos


eventos

SO 4.1.5.6 Correlación de eventos

SO 4.1.5.7 Trigger

SO 4.2.5.1 Identificación de

incidentes


SO 4.2.5.3 Clasificación de

incidentes


incidentes

SO 4.2.5.5 Diagnóstico inicial

DSS02.4 Investigar,

diagnosticar y asignar los

incidentes

• Escalamiento de incidentes

de acuerdo a los límites en

los ANS

SO 4.1.5.8 Selección de respuestas


incidentes

• Identificar y registrar los

síntomas de incidentes,

determinar las posibles

causas, y asignar para la

resolución


diagnóstico

DSS02.5 Resolver y recuperar

incidentes

• Documento, aplicar y

probar las soluciones o

estación de trabajo

identificadas y realizar

acciones de recuperación

para restaurar el servicio

relacionado con la TI


recuperación

DSS02.6 Cerrar solicitud de

servicio y los incidentes.

• Registro de los incidentes

resueltos y no resueltos

• SO 4.1.5.10 Cerrar eventos

• SO 4.2.5.9 Cierre de incidentes


20

Alineación de COBIT V5, ITIL V3 E ISO 27002:2013

Tabla 5. Alineación COBIT v5, ITIL v3 e ISO 27002:2013


Objetivo de Control

COBIT 5

Información de soporte

ITIL V3

Información de soporte ISO/IEC

27002:2013

DSS02.3 Verificar, aprobar

y cumplir con las solicitudes

de servicio

SO 4.1.5.3 Detección de

eventos

• 16.1.7 Recopilación de evidencias

SO 4.1.5.4 Filtrado de

eventos

• 16.1.2 Notificación de puntos

débiles de la seguridad.


eventos

• 16.1.1 Responsabilidades y

procedimientos

SO 4.1.5.6 Correlación de

eventos

• 16.1.7 Recopilación de evidencia

SO 4.1.5.7 Trigger

SO 4.2.5.1 Identificación de

incidentes


SO 4.2.5.3 Clasificación de

incidentes


incidentes

SO 4.2.5.5 Diagnóstico

inicial

DSS02.4 Investigar,

diagnosticar y asignar los

incidentes

SO 4.1.5.8 Selección de

respuestas

• 16.1.3 Notificación de puntos

débiles de la seguridad


incidentes

• 16.2.7 Recopilación de evidencias


diagnóstico

DSS02.5 Resolver y

recuperar incidentes


recuperación

• 17.1.1. Planificación de la

continuidad de la seguridad de la

información

DSS02.6 Cerrar solicitud de

servicio y los incidentes.

SO 4.1.5.10 Cerrar eventos • 16.1.6 Aprendizaje de los

incidentes de seguridad de la

información.

SO 4.2.5.9 Cierre de

incidentes

• 16.2.7 Recopilación de evidencia

21

3.3.2 Elaboración de plan de pruebas

Una vez obtenida la alineación de las tres normativas, para obtener el plan de pruebas se tomó

como procedimiento determinar cómo debe funcionar la herramienta SIEM considerando las

normativas revisadas.

Figura 5. Esquema para la generación del Plan de Pruebas


En cada actividad que nos sugiere la normativa, se propuso preguntas entorno al funcionamiento

de las herramientas que determine su cumplimiento, siendo base los procesos de ITIL, desde la

Detección de Eventos hasta el Cierre de Incidentes.

22

3.3.3 Esquema de red para implementación de las herramientas SIEM

En el siguiente gráfico podemos observar que la herramienta SIEM se encuentra

transversalmente en toda la infraestructura de red es decir la herramienta debe tener la capacidad

de recibir todos los eventos generados por los servidores de red, switches, routers, firewall etc.

Es decir la herramienta debe recibir todos los eventos de todos los activos de red.

Figura 6. Esquema de red para SIEM


3.3.4 Ciclo 1

Para el primer plan de prueba nos guiaremos en la alineación desarrollada anteriormente

haciendo hincapié en el proceso de Gestión de Eventos, que nos indica ITIL, una vez analizada

este proceso en la herramienta mejoraremos el plan de pruebas y acoplamos la Gestión de

Incidentes.

3.3.4.1.1 Desarrollo del plan pruebas

Objetivo de COBIT: Verificar, aprobar y cumplir con las solicitudes de servicio.

23

Tabla 6. Primer Plan de Pruebas

N° Criterio

1 ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog de

Servidores LDAP?


Servidores de Correo?


Servidores Linux o Unix?


Servidores DNS?


Servidores Proxy?


Servidores BD?


Firewall, Switch y Routers?

8 ¿Puede definir una Jerarquía de red en la cual se detalle DMZ, VPN, Servidores, etc.?

9 ¿Permite descubrir activos?

10 ¿Permite dar peso a cada uno de los activos de res?

11 Permite filtrar la actividad de los eventos por Origen de Registros

12 Permite filtrar la actividad de los eventos por dirección IP de origen o por dirección de IP de

destino

13 Permite filtrar la actividad de los eventos por puerto de origen o por puerto de destino

14 Permite filtrar la actividad de los eventos por nombre del evento

15 Permite definir un falso positivo en base a evento analizado por el administrador de la

herramienta

16 Permite definir un falso positivo en base a la IP de origen analizado por el administrador de la

herramienta

17 Permite correlacionar eventos en base a un Programa malicioso

18 Permite correlacionar eventos en base a un Actividad sospechosa

19 Permite correlacionar eventos en base a un Acceso

20 Permite correlacionar eventos en base a un Sistema

21 Permite correlacionar eventos en base a un Explotación potencial

22 Permite correlacionar eventos en base a Autenticación

23 Permite correlacionar eventos en base a Explotación

24 Permite correlacionar eventos en base a Auditoría

25 Permite generar una correlación de eventos en base a criterios definidos por el administrador

de la herramienta

26 Permite generar un alarma, mensaje advertencia que indique cuando suscite una secuencias

de eventos correlacionados que conlleven a un incidente

27 Permite notificaciones por teléfono

28 Permite notificaciones por correo

29 Permite crear un incidente (ticket)


3.3.4.1.2 Aplicación y observaciones de plan de pruebas en OSSIM

24

Se procede a aplicar el plan de pruebas generado anteriormente y realizamos las siguientes

observaciones. Ver Anexo A

Tabla 7. Aplicación de Plan de Pruebas en OSSIM

No. Cumple el criterio

Observaciones Si No

1 X Recolecta los registros enviados a través del colector ossec







8 X Registra todas las redes de la infraestructura haciendo un escaneo

inicial

9 X Descubre activos al inicio de la configuración

10 X Da un valor entre cero y cuatro de peso a los activos

11 X Permite filtrar por varios criterios

12 X Permite filtrar por la IP de origen y de destino de los eventos

generados

13 X Permite filtrar los eventos por el puerto de origen y destino de los

eventos generados

14 X Tiene varios criterios de filtro

15 X El falso positivo se lo debe personalizar a través de políticas

16 X El falso positivo se lo debe personalizar a través de políticas

17 X Debe recibir los registros de un antivirus

18 X Correlaciona eventos comunes

19 X Correlaciona los accesos a todos los sistemas de la infraestructura

20 X No tiene esa característica

21 X Correlaciona según las vulnerabilidades de los sistemas en la

infraestructura

22 X Correlaciona los accesos no autorizados

23 X Permite verificar las vulnerabilidades de los sistemas

24 X No tiene esa característica

25 X Permite definir nuevos criterios de correlación

26 X Permite notificaciones cuando se presenta una alarma

27 X No posee notificaciones por mensajería de texto

28 X Solo necesita una cuenta para realizar envíos y se personaliza el

mensaje de envió

29 X Gestiona sus propios tickets de servicio

25

3.3.4.1.3 Aplicación y observaciones de plan de pruebas en QRADAR

Tabla 8. Aplicación de Plan de Pruebas en QRADAR

N°

Cumple el

criterio Observaciones

Si No

1 X Se lo realiza median el agente WINCOLLECT, si es un SO Windows si es

un SO Linux se configura el archivo syslog

2 X

Si es Exchange o Lotus tiene una configuración específica, si es otro tipo

de servidor si está bajo Windows se lo realiza mediante WINCOLLECT

caso contrario si es Linux mediante syslog

3 X Se configura el Syslog para enviar logs





6 X

Si es un gestor de base de datos SQL Server, DB2 tienen una

configuración específica, si es otro tipo de servidor si está bajo Windows

se lo realiza mediante WINCOLLECT caso contrario si es Linux mediante

syslog

7 X

Existe una configuración específica para cada switch, router o firewall si

no está soportado por el fabricante se debe generar un DSM universal para

a conexión

8 X Si permite definir una jerarquía de red

9 X Si permite siempre y cuando hayamos definido unos flujos de red y

orígenes de eventos.

10 X No permite dar un peso a cada uno de los activos de red

11 X Permite filtrar los eventos por Origen de Registro

12 X Permite filtrar los eventos por dirección IP ya sea de destino u origen

13 X Permite filtrar los eventos por puerto de origen o destino

14 X Permite filtrar los eventos por nombre de eventos

15 X Si la herramienta encuentra un evento con alta criticidad el administrador

puede marcarlo como falso positivo

16 X Si la herramienta encuentra un evento de una dirección con alta criticidad

el administrador puede marcarlo como falso positivo

17 X Correlaciona Sucesos que están relacionados con virus, troyanos, puertas

traseras y otras formas de software hostil. Los sucesos de programas

26

maliciosos pueden incluir un virus, un troyano, software malicioso o

spyware.

18 X

La naturaleza de la amenaza es desconocida pero el comportamiento es

sospechoso. La amenaza puede incluir anomalías de protocolo que

potencialmente indican técnicas evasivas; por ejemplo, las técnicas de

evasión de IDS (sistema de detección de intrusiones) conocidas o la

fragmentación de paquetes.

19 X Correlaciona Sucesos que están relacionados con los cambios del sistema,

la instalación de software o los mensajes de estado.

20 X Habilita una gestión de amenazas más eficaz y además genera informes

detallados sobre la actividad del usuario y el acceso a datos.

21 X

Correlaciona Sucesos que están relacionados con explotaciones de

aplicación e intentos de desbordamiento de almacenamiento intermedio;

por ejemplo, desbordamiento de almacenamiento intermedio o

explotaciones de aplicación web.

22 X

Correlaciona Sucesos que están relacionados con los controles de

autenticación, grupo o cambio de privilegios; por ejemplo, inicio o cierre

de sesión.

23 X

Correlaciona Sucesos que están relacionados con explotaciones de

aplicación e intentos de desbordamiento de almacenamiento intermedio;

por ejemplo, desbordamiento de almacenamiento intermedio o

explotaciones de aplicación web.

24 X Correlaciona Sucesos que están relacionados con la actividad de auditoría.

25 X

El software incorpora IBM Security X-Force Threat Intelligence, que

suministra una lista de direcciones IP potencialmente maliciosas que

incluyen hosts de programas maliciosos, orígenes de correo no deseado y

otras amenazas

26 X Reduce y prioriza alertas para centrar las investigaciones en una lista

procesable de incidentes sospechosos

27 X

28 X

Permite notificar mediante correo electrónico si existe algún posible

incidente, para que cumpla la notificación se debe configurar cada regla

para envió de correos.

29 X

Elaborado por Vega L.

27

3.3.4.1.4 Mejora

Una vez realizado el desarrollo del primer plan de pruebas, aplicación del plan de pruebas en las

herramientas SIEM QRADAR y OSSIM, se realizó las observaciones para cada uno de los

ítems y se determina que en el plan de pruebas se puede agrupar los ítems de la siguiente

forma:

● Del ítem 1-6 podemos agrupar y definir como:

o ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante

syslog de Servidores?

● De igual manera podemos hacer con el filtrado de eventos y la correlación de eventos

● Consideramos que es importante agregar al plan de pruebas la gestión de incidentes y de

acuerdo a la alineación generada previamente podemos aplicar los procesos de ITIL:

o Identificación de incidentes

o Clasificación de incidentes

o Priorización de los incidentes

o Diagnóstico inicial

o Escalamiento de incidentes

o Investigación y diagnóstico

o Resolución y recuperación de incidentes

o Cierre de eventos

o Cierre de incidentes

● Cabe indicar que las herramientas SIEM son herramientas preventivas más no

correctivas, una vez que el incidente haya suscitado la herramienta SIEM no puede dar una

resolución y recuperación del incidente es tarea del administrador de la herramienta dar

seguimiento y solución al incidente,

● El proceso cierre de eventos no va a ser tomado en cuenta para el plan de pruebas ya

que los eventos jamás son cerrados porque los mismos son almacenados en la base de datos

de conocimiento de la herramienta SIEM para futuras correlaciones.

3.3.5 Ciclo 2

Con las mejoras mencionadas en el CICLO anterior procedemos a definir el siguiente plan de

pruebas:

28

3.3.5.1 Desarrollo del plan pruebas

Objetivos de COBIT:

Verificar, aprobar y cumplir con las solicitudes de servicio.

Investigar, diagnosticar y asignar los incidentes.

Resolver y recuperar incidentes. Cerrar solicitudes de servicio y los incidentes.

29

Tabla 9. Segundo Plan de Pruebas

N°. Criterio


Servidores?


activos de la red?

3 ¿Puede definir una Jerarquía de red en la cual se detalle DMZ, VPN, Servidores, etc.?

4 ¿Permite descubrir activos?

5 ¿Permite dar peso a cada uno de los activos de red?

6 ¿Permite filtrar la actividad de los eventos?

7 Permite definir un falso positivo en base a evento analizado por el administrador de la

herramienta

8 Permite definir un falso positivo en base a la dirección ip de origen analizado por el

administrador de la herramienta

9

Permite correlacionar eventos de acuerdo a su base de conocimiento que suministra una lista

de direcciones IP potencialmente maliciosas que incluyen hosts de programas maliciosos,

orígenes de correo no deseado y otras amenazas

10 Permite correlacionar eventos de diferentes fuentes de datos

11 Tiene la herramienta una base de datos en la cual analiza sus eventos para determinar un

incidente.

12 Permite generar una correlación de eventos en base a criterios definidos por el administrador

de la herramienta

13 Permite generar un alarma, mensaje advertencia que indica una secuencias de eventos

correlacionados que conlleven a un incidente

14 Permite notificaciones

15 Permite identificar los incidentes después de un correlación de eventos

16 Permite identificar los incidentes por categoría de Incidentes

17 Permite identificar los incidentes por dirección IP de origen o dirección IP de destino

18 Permite identificar los incidentes por ubicación en la red

19 Permite la herramienta registrar incidentes.

20 Permite la herramienta asignar el incidente a un usuario del SIEM

21 Permite la herramienta clasificar los incidentes.

22 Permite la herramienta clasificar los incidentes por filtros definidos por el usuario

23 Permite la herramienta dar una magnitud al incidente

24 Permite la herramienta dar una credibilidad al incidente

25 Permite la herramienta dar una gravedad al incidente

26 Permite la herramienta visualizar el total de eventos que desencadenaron el incidente

27 Permite la herramienta ver la duración del incidente

28 Permite la herramienta visualizar notas del incidente

29 Permite la herramienta visualizar orígenes o destinos de delito

30 Permite la herramienta visualizar por orígenes de registro de activos de la red

31 Permite la herramienta visualizar por usuarios asignados al incidente

32 Permite la herramienta visualizar el incidente por categoría de todos los eventos

33 Permite la herramienta visualizar el incidente por ubicación de la red donde ocurrió el

incidente

34 El usuario asignado el delito puede agregar notas al incidente

35 El usuario asignado puede cerrar el incidente


30

Aplicación y observaciones de plan de pruebas en OSSIM

Una vez obtenido el segundo plan de pruebas con las mejoras mencionadas, aplicamos sobre la

herramienta OSSIM. En el siguiente cuadro podemos observar los criterios que cumple la

herramienta. Ver todo la configuración sobre la aplicación del plan de pruebas en Anexo C.

Tabla 10. Aplicación OSSIM segundo plan de pruebas

N° Cumple el criterio Observaciones

Si No

1 X Puede recolectar eventos de un gran número de servidores

2 X Tiene agentes y plugins que recolectan logs de la infraestructura de red

3 X Se puede determinar las redes a monitorear y detallarlas

4 X Permite escanear la red y descubrir todos los activos conectados la red

5 X Permite valorar el activo entre 1 y 5

6 X Tiene varias opciones de filtro

7 X El administrador puede determinar falsos positivos sobre eventos conocidos

8 X Se lo puede hacer a través de políticas

9 X Tiene varias formas de correlacionar los eventos

10 X Correlaciona todos los eventos que monitorea

11 X Se conecta a una base de datos interna y otra externa llamada OTX

12 X El administrador puede personalizar las correlaciones

13 X Posee varias disparadores ante una alarma

14 X Tiene notificaciones por email

15 X Te da toda la información acerca del incidente

16 X Tiene su propia forma de clasificación y se la puede personalizar

17 X Posee varias formas de identificación de incidentes

18 X Posee varias formas de identificación de incidentes

19 X Gestiona sus propios tickets de servicio ante incidentes

20 X Asigna automáticamente los tickets para resolver

21 X Tiene varias formas de clasificación

22 X Tiene varias formas de clasificación

23 X Automáticamente asigna un valor al incidente según su impacto

24 X No posee esa característica

25 X Automáticamente asigna un valor al incidente según su impacto

26 X En el detalle del incidente de informa los eventos desencadenantes

27 X Se registra la fecha de inicio del incidente y el de cierre

28 X Puede ingresar notas para más información del incidente

29 X Te detalla toda la información del incidente





34 X Puede agregar información adicional sobre el incidente

35 X Una vez resuelto el incidente el usuario debe cerrar el ticket

Elaborado por Ortiz D

31

3.3.5.2 Aplicación y observaciones de plan de pruebas en QRADAR

Ver todo la configuración sobre la aplicación del plan de pruebas en Anexo D.

Tabla 11. Aplicación OSSIM segundo plan de pruebas

N° Cumple

Observaciones Si No

1 X

Si permite puede ser mediante el sistema operativo ya sea Windows con

Wincollect o Linux mediante syslog, si es una aplicación se debe realizar otras

configuraciones

2 X

Existe una configuración específica para cada switch, router o firewall si no

está soportado por el fabricante se debe generar un DSM universal para a

conexión

3 X Si permite definir una jerarquía de red

4 X Si permite siempre y cuando hayamos definido flujos de red y orígenes de

eventos.

5 X

6 X La herramienta permite filtrar los eventos por IP de origen, IP destino, nombre

del evento, puerto, etc.

7 La herramienta permite definir falsos positivos de acuerdo a la base de

conocimiento generada por eventos previos, definido por el administrador

8

La herramienta permite definir falsos positivos de acuerdo a la base de

conocimiento generada por eventos previos con IP de origen o destino similar,

definido por el administrador

9 La herramienta correlación los eventos de acuerdo a las reglas activas.

10 X La herramienta permite que el usuario defina sus reglas en donde puede definir

dirección IP, puertos, nombre de eventos, etc.

11 X Si la base de conocimiento se conecta con IBM Security X-Force Threat

Intelligence el usuario define la hora para actualizar

12 X La herramienta permite que el usuario defina sus reglas en donde puede definir

dirección IP, puertos, nombre de eventos, etc.

13 X La herramienta permite modificar las reglas por defecto y las nuevas reglas

donde se define la notificación del incidente.

14 X La herramienta permite modificar las reglas por defecto y las nuevas reglas

donde se define la notificación del incidente.

15 La herramienta permite visualizar todos los incidentes denominados delitos,

generados en la herramienta.

16 La herramienta permite visualizar los incidentes por categorías definidas por el

mismo SIEM

17 La herramienta permite visualizar los incidentes por ip ya sea esta de origen o

destino

18 La herramienta permite visualizar los incidentes por ubicación de la red

19 X La herramienta no permite registrar incidentes ya que estos son

automáticamente registrados en el sistema

20 X La herramienta permite asignar un incidente o delito a un usuario previamente

creado en el SIEM

21 X La herramienta permite filtrar los incidentes de acuerdo a los filtros del SIEM

22 X La herramienta permite filtrar los incidentes de acuerdo a los filtros del SIEM

23 X La herramienta asigna una magnitud al incidente esta magnitud está definida en

32

la regla creada o regla por default

24 X La herramienta asigna una credibilidad al incidente esta credibilidad está

definida en la regla creada o regla por default

25 X La herramienta asigna una gravedad al incidente esta gravedad está definida en

la regla creada o regla por default

26 X La herramienta permite visualizar todos los eventos que son parte del

incidente

27 X La herramienta registra la hora del primer evento y del último evento del

incidente.

28 X Si permite visualizar las notas registradas por usuarios


incidente


incidente


incidente


incidente


incidente

34 X El usuario puede agregar notas al incidente

35 X El usuario puede cerrar el incidente pero debe indicar el motivo para cerrar el

incidente

Elaborado por Vega L

3.3.5.3 MEJORA

Una vez implementado la Gestión de Eventos, La gestión de incidentes de acuerdo al

cumplimiento de las normativas y a la alineación de ITIL, COBIT e ISO e implementando el

ciclo de Deming con la investigación en acción podemos determinar que el plan de pruebas

generado en este ciclo será el último plan de pruebas después de las mejoras realizadas en el

CICLO 1, ya que cumple con el objetivo planteado de obtener un plan de pruebas que permita

evaluar las herramientas SIEM.

33

4 CÁLCULOS Y RESULTADOS

Implementando plan de pruebas en las dos herramientas obtuvimos los siguientes resultados:

Gestión de Eventos y Gestión Incidentes:

● QRADAR cumple con 33 de 35 ítems es decir cumple con un 94%

● OSSIM cumple con 34 de 35 ítems es decir cumple con un 97%

Figura 7. Resultado de Plan de pruebas en QRADAR


Figura 8. Resultado de Plan de pruebas en OSSIM


94%

6%

IBM Security QRADAR

SI

NO

Cumple Criterio Cumple Criterio

97%

3%

Alienvault OSSIM

SI

NO

Cumple Criterio

34

Podemos observar que no existe mucha diferencia en los resultados obtenidos, y podemos

concluir que las herramientas SIEM cumplen con las tres normativas propuestas, ITIL, COBIT e

ISO. Se ha determinado el plan de pruebas que permite evaluar este tipo de sistemas, para que

estén lo más apegadas a un marco de buenas prácticas de seguridad.

Resultados del Plan de Pruebas

La sesión descrita a continuación contiene los resultados del plan de pruebas implementado en

las herramientas SIEM utilizando las herramientas OSSIM Alien Vault y IBM Security

Qradar, que fue desarrollado con los objetivos de COBIT en la Gestión de mesa de servicio y

los incidentes, enfocándose en los objetivos DSS02.3 al DSS02.3.

A continuación se detalla el plan de pruebas final, indicando el objetivo de control de COBIT y

el proceso de ITIL:

COBIT: DSS02.3, ITIL: Detección de Eventos

1. ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog

de Servidores?

2. ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog

de activos de la red?

3. ¿Puede definir una Jerarquía de red en la cual se detalle DMZ, VPN, Servidores, etc?

4. ¿Permite descubrir activos?

5. ¿Permite dar peso a cada uno de los activos de red?

COBIT: DSS02.3, ITIL: Filtrado de eventos

6. ¿Permite filtrar la actividad de los eventos?

COBIT: DSS02.3, ITIL: Significado de Eventos

7. ¿Permite definir un falso positivo en base a la IP de origen analizado por el

administrador de la herramienta?

8. ¿Permite definir un falso positivo en base a la IP de origen analizado por el


COBIT: DSS02.3, ITIL: Correlación de Eventos

9. ¿Permite correlacionar eventos en base a atributos comunes?

10. ¿Permite correlacionar eventos de diferentes fuentes de datos?

11. ¿Tiene la herramienta una base de datos en la cual analiza sus eventos para determinar

un incidente?

35

12. ¿Permite generar una correlación de eventos en base a criterios definidos por el


COBIT: DSS02.3, ITIL: Triggers

13. ¿Permite generar una alarma, mensaje advertencia que indique cuando ocurra una

secuencia de eventos correlacionados que conlleven a un incidente?

14. ¿Permite notificaciones?

COBIT: DSS02.3, ITIL: Identificación de Incidentes

15. ¿Permite identificar los incidentes después de una correlación de eventos?

16. ¿Permite identificar los incidentes por categoría de Incidentes?

17. ¿Permite identificar los incidentes por ip de origen o ip de destino?

18. ¿Permite identificar los incidentes por ubicación en la red?

COBIT: DSS02.3, ITIL: Log de incidentes

19. ¿Permite la herramienta registrar incidentes?

20. ¿Permite la herramienta asignar el incidente a un usuario del SIEM?

COBIT: DSS02.3, ITIL: Clasificación de incidentes

21. ¿Permite la herramienta clasificar los incidentes?

22. ¿Permite la herramienta clasificar los incidentes por filtros definidos por el usuario?

COBIT: DSS02.3, ITIL: Priorización de Incidentes

23. ¿Permite la herramienta dar una magnitud al incidente?

24. ¿Permite la herramienta dar una credibilidad al incidente?

25. ¿Permite la herramienta dar una gravedad al incidente?

26. ¿Permite la herramienta visualizar el total de eventos que desencadenaron el incidente?

27. ¿Permite la herramienta ver la duración del incidente?

COBIT: DSS02.4, ITIL: Investigación y diagnostico

28. ¿Permite la herramienta visualizar notas del incidente?

29. ¿Permite la herramienta visualizar orígenes o destinos de delito?

30. ¿Permite la herramienta visualizar por orígenes de registro de activos de la red?

31. ¿Permite la herramienta visualizar por usuarios asignados al incidente?

32. ¿Permite la herramienta visualizar el incidente por categoría de todos los eventos?

33. ¿Permite la herramienta visualizar el incidente por ubicación de la red donde ocurrió el

incidente?

COBIT: DSS02.5- DSS02.6, ITIL: Resolver, recuperar y Cerrar incidentes

34. ¿El usuario asignado el delito puede agregar notas al incidente?

35. ¿El usuario asignado puede cerrar el incidente?

36

4.1 DISCUSIÓN

Los resultados obtenidos con el plan de pruebas generado en base a las normativas COBIT,

ITIL e ISO podemos decir que: COBIT nos indica el QUE hacer, ITIL nos indica el CÓMO

hacer e ISO nos indica hasta donde podemos llegar, es decir el QUE HACER es Dar Soporte,

Servicio y Entregar, el COMO HACER es aplicar los procesos de ITIL de Gestión de Eventos

y Gestión de Incidentes de la fase de Operación, esto validando que la herramienta cumpla con

los estándares de gestión de la seguridad informática que no dice ISO 27002.

IBM Security QRADAR y OSSIM AlienVault cumplen el plan de pruebas esto se debe a que

las herramientas fueron creadas en base a la Gestión de eventos y Gestión de incidentes

cumpliendo con las normativas y estándares de COBIT, ITIL e ISO 27002.

De acuerdo a Gartner en su última publicación del 2015 donde posesiona a IBM Security

QRADAR en el primer cuadrante y como líder y OSSIM AlienVault en el cuarto cuadrante

como visionario, se puede refutar que la principal diferencia es el tipo de código de desarrollo

de cada herramienta siendo la una de código propietario y la otra de código abierto, además de

las características que tienen tanto en la implementación como en la administración, podríamos

otorgar la ventaja a IBM Security QRADAR en su diseño y sofisticación de correlación de

eventos.

37

CONCLUSIONES

Metodología

● El plan de pruebas elaborado es una recopilación de las buenas prácticas en la

Gestión de Eventos e Incidentes al momento de implementar un sistema de correlación

de eventos, determinando los parámetros que se debe tomar en cuenta para que la

herramienta brinde un mejor apoyo a la gestión de seguridad de la infraestructura

empresarial.

● Las dos herramientas cumplen con las normativas indicadas por COBIT, ITIL

e ISO, todas parten de la Gestión de Eventos y culminan en el cierre de incidentes que

es la Gestión de Eventos.

● Las dos herramientas se encuentran en el cuadrante de Gartner, QRADAR en el

cuadrante de los Líderes y OSSIM AlienVault en el cuadrante de los visionarios, esto

nos ayuda a identificar que las dos herramientas pueden ser utilizadas en beneficio de la

continuidad del negocio.

Herramientas

OSSIM

● La herramienta OSSIM de AlienVault responde de forma positiva a la

evaluación realizada, ofreciendo una visión amplia del entorno del negocio, cumpliendo

a cabalidad el funcionamiento básico de un sistema de correlación de eventos y

seguridad de la información, sobre todo entregando información de suma importancia

en las tareas de protección de la infraestructura.

● OSSIM si bien cumple con el plan de pruebas propuesto, su cumplimiento se ve

mermado a la gran cantidad de configuraciones que se debe realizar para personalizar la

herramienta de tal forma que esté alineado a las normativas consideradas en este

proyecto.

38

QRADAR

● IBM Security Qradar cumple satisfactoriamente el plan de pruebas

desarrollado, esto se debe a que ofrece una arquitectura unificada en la que se integran

la Gestión de Eventos y la Gestión de incidentes que nos indica en los proceso de ITIL,

cumpliendo de esta manera los Objetivos de control de COBIT, y manteniendo el

estándar de ISO 27002.

● La detección de eventos en IBM Security Qradar depende de la configuración

realizada para la recolección de los orígenes de registro, la ventaja que posee IBM

Security Qradar sobre otras herramientas es la detección de incidentes y anomalías ya

que posee una base de conocimiento sincronizada con IBM X-Force.

● IBM Security Qradar tiene reglas pre configuradas para correlación de eventos

e incidentes, dichas reglas se instalan inicialmente en el despliegue de la herramienta, lo

que facilita la configuración y administración de sucesos para el administrador de la

herramienta.

39

RECOMENDACIONES

● Se debe tomar en cuenta al momento de implementar un sistema de monitoreo

de gestión de eventos y seguridad de la información, cuáles son los activos de mi

empresa y darles una valoración respecto al impacto que pueda tener sobre la

continuidad del negocio. El sistema de correlación de eventos utiliza esta información

para realizar su análisis y brindar una mayor protección al entorno de tecnología,

permitiendo anticiparse a futuros incidentes y evitarlos antes que sucedan.

● Los encargados de seguridad de la información de las organizaciones antes de

elegir una herramienta SIEM, pueden usar el plan de pruebas desarrollado en este

proyecto para determinar si la herramienta elegida se alinea a los procesos de ITIL,

controles de COBIT y normas de ISO.

● Los encargados de seguridad de la información de las organizaciones para

elegir una herramienta SIEM, deben tener en cuenta, si inclinarse por una herramienta

código abierto que disminuya los costos comerciales pero el grado de implementación

es más alto frente a un herramienta código propietario que aumenten los costos

comerciales pero el grado de implementación es más bajos, es decir deben tomar una

decisión entre gasto frente a tiempo.

41

GLOSARIO

EVENTO: Ocurrencia identificada de un estado de un sistema, servicio o red que indica una

posible violación de la política de seguridad de la información, la falla de medidas de seguridad

o una situación previamente desconocida, que pueda ser relevante para la seguridad.

INCIDENTE DE SEGURIDAD: Cualquier evento que tenga, o pueda tener, como resultado la

interrupción de los servicios suministrados por un Sistema de Información y/o pérdidas físicas,

de activos o financieras. En otras palabras la materialización de una amenaza.

INFORMACIÓN: Conjunto de datos propios que se gestionan y mensajes que se intercambian

personas y/o máquinas dentro de una organización. La información da las pruebas de la calidad

y circunstancias en las que se encuentra la empresa.

VULNERABILIDAD: Cualquier debilidad en los Sistemas que pueda permitir a las amenazas

causarles daños y producir pérdidas.

AMENAZA: Cualquier evento que pueda provocar daño a la información, produciendo a la

empresa pérdidas materiales, financieras o de otro tipo.

RIESGO: Es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del

Sistema Informático, causando un impacto en la empresa.

SEGURIDAD DE INFORMACIÓN: Un conjunto de métodos y herramientas destinados a

proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un

proceso en el cual participan además personas.

INVESTIGACIÓN ACCIÓN: Se centra en generar cambios en una realidad estudiada y no

coloca énfasis en lo teórico. Trata de unir la investigación con la práctica a través de la

aplicación, y se orienta en la toma de decisiones y es de carácter ideográfico.

42

BIBLIOGRÁFICAS

1. GARTNER, K. M. (2015). Magic Quadrant for Security Information and Event

Management. Obtenido de http://www.gartner.com/technology/reprints.do?id=1-

2JNR3RU&ct=150720&st=sb

2. ISACA. (2008). Alineando Cobit 4.1, ITIL V3 e ISO/IEC 27002 en beneficio

del negocio. Madrid: Madrid. Obtenido de http://www.isaca.org

3. ISACA. (2012). Cambios de la nueva versión. Obtenido de

http://www.isaca.org/Groups/Professional-English/cobit-5-use-it-

effectively/Pages/ViewDiscussion.aspx?PostID=18

4. ISO27000. (s.f.). ISO2700. Obtenido de http://iso27000.es/iso27000.html

5. NICULAR, C. A. (22 de Abril de 2012). Proyecto de Investigación-Acción en

Sistemas de Información: Hacia una docencia y práctica Informática unificada

bajo la óptica de la gestión de proyectos bajo enfoque sistémico. Obtenido de

https://cestay.wordpress.com/2012/04/22/investigacion-accion-en-sistemas-de-

informacion-hacia-una-docencia-y-practica-informatica-unificada-bajo-la-

optica-de-la-gestion-de-proyectos-bajo-enfoque-sistemico-2011/

6. OSIATIS S.A. (s.f.). Ciclo de Deming . Obtenido de

http://itilv3.osiatis.es/proceso_mejora_continua_servicios_TI/ciclo_deming.php

7. OSIATIS S.A. (s.f.). osiatis.es. Obtenido de http://itil.osiatis.es

8. TEJEDOR, F. J., & GARCÍA VALCÁRCEL, A. (1996). Perspectivas de las

nuevas tecnologías en la educación.

43

ANEXOS

44

Anexo A

Esquema del procedimiento de evaluación de OSSIM

COBIT: Verificar, aprobar y cumplir con las solicitudes de servicio

1. ITIL: Detección de eventos, ISO 27002: Recopilación de evidencias

Figura 9. Detección de Eventos OSSIM

Elaborado por Ortiz D.

2. ITIL: Filtrado de eventos, ISO 27002: Notificación de puntos débiles de

la seguridad.

45

Figura 10. Filtros de eventos OSSIM


3. ITIL: Significado de Eventos, ISO 27002: Responsabilidades y

procedimientos

Figura 11. Definición de Falso Positivo OSSIM


4. ITIL: Correlación de Eventos, ISO 2702: Recopilación de evidencia

46

Figura 12. Correlación de eventos OSSIM


5. ITIL: Triggers

Figura 13. Disparadores OSSIM


6. ITIL: Identificación de Incidentes,

47

Figura 14. Detalle de una Alarma OSSIM


7. ITIL: Log de incidentes

Figura 15. Registro de un evento OSSIM


8. ITIL: Clasificación de incidentes

Figura 16. Clasificación de Alarmas OSSIM


9. ITIL: Priorización de Incidentes

48

Figura 17. Prioridad de los Incidentes OSSIM


10. ITIL: Investigación y diagnostico

Figura 18. Descripción de solución de un incidente en OSSIM


11. ITIL: Resolver, recuperar y Cerrar incidentes, ISO 27002: Aprendizaje

de los incidentes de seguridad de la información.

49

Figura 19. Seguimiento de Incidente OSSIM


50

Anexo B

Esquema de evaluación del plan de pruebas QRADAR

COBIT: Verificar, aprobar y cumplir con las solicitudes de servicio

1. ITIL: Detección de eventos, ISO 27002: Recopilación de evidencias

Figura 20 Creación de Orígenes de Registro


2. ITIL: Filtrado de eventos, ISO 27002: Notificación de puntos débiles de

la seguridad.

51

Figura 21 Filtrados de Logs recolectados


3. ITIL: Significado de Eventos, ISO 27002: Responsabilidades y

procedimientos

Figura 22 Creación de Falsos Positivos


4. ITIL: Correlación de Eventos, ISO 2702: Recopilación de evidencia

52

Figura 23 Reglas de QRADAR


5. ITIL: Triggers

Figura 24 Notificaciones de Reglas


6. ITIL: Identificación de Incidentes,

53

Figura 25 Detección de Incidentes o Delitos


7. ITIL: Log de incidentes

Figura 26 Asignación de Incidentes


8. ITIL: Clasificación de incidentes

54

Figura 27 Clasificación de Incidentes por categria


9. ITIL: Priorización de Incidentes

Figura 28 Características de Incidente


10. ITIL: Investigación y diagnostico

Figura 29 Agregación de Notas de incidentes


11. ITIL: Resolver, recuperar y Cerrar incidentes, ISO 27002: Aprendizaje

de los incidentes de seguridad de la información.

55

Figura 30 Cerrar Incidentes


Anexo C

Anexo D

Video herramienta OSSIM

Video herramienta QRADAR

Videos/OSSIM.wmv

Videos/QRADAR.wmv

universidad central del ecuador facultad … · aplicación de plan de pruebas en ossim ... (siem)...

Documents