universidad central del ecuador facultad … · aplicación de plan de pruebas en ossim ... (siem)...
TRANSCRIPT
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA
CARRERA DE INGENIERÍA EN INFORMÁTICA
CUMPLIMIENTO DE LAS NORMAS ISO E ITIL EN EL MANEJO DE LAS
HERRAMIENTAS DE CORRELACIÓN DE EVENTOS Y SEGURIDAD DE LA
INFORMACIÓN
TRABAJO DE GRADUACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO
DE INGENIERO INFORMÁTICO
AUTORES: ORTIZ IMBAQUINGO, Diego Mauricio
VEGA MÉNDEZ, Angela Lucia
TUTOR: Ing. Jairo René Navarro Bustos
Quito, Mayo, 2016
ii
DEDICATORIA
El presente trabajo investigativo que entrego como aporte a la Facultad de Ingeniería Ciencias
Físicas y Matemáticas, de la Gloriosa Universidad Central y a la sociedad en general, quiero
dedicarlo a tres seres maravillosos: Andrea, Enrique y Gael, quienes me han servido de
constante inspiración en mi vida y han hecho que cada día me esfuerce más; espero que para
ellos sea motivo de satisfacción y orgullo y vean en mi un ejemplo de lo que en el futuro segura
estoy sabrán gratificarme con sus logros y con su sano proceder sean seres útiles para la
sociedad y nuestro país.
Con eterno cariño les dedico el presente trabajo.
Angela Lucia Vega Méndez
iii
DEDICATORIA
Este trabajo está dedicado a mi madre Rosa Imbaquingo y hermana Cristina Ortiz que han
hecho posible este trabajo con su apoyo, dedicación y afecto; este trabajo está dedicado a
ustedes por cada una de sus horas de ayuda y desvelo.
Diego Mauricio Ortiz Imbaquingo
iv
AGRADECIMIENTO
A mis padres, Carlos y Yolanda quienes me dieron el privilegio de ser su hija y apoyar en el
cumplimiento de esta etapa académica.
A mis hermanos por cuidar mis deseos y ser un símbolo de superación.
A mi amado esposo por ser la razón de mi vida; y, a ese tierno angelito que desde muy lejos
cuida nuestras vidas.
Ángela Lucia Vega Méndez
v
AGRADECIMIENTO
Mis agradecimientos infinitos para mi familia, maestros y amigos quienes me han tenido
confianza, afecto y consideración; gracias por su ayuda, colaboración y aporte en cada una de
las etapas de investigación y desarrollo de este proyecto para todos ustedes gracias.
Diego Mauricio Ortiz Imbaquingo
vi
AUTORIZACIÓN DE AUTORÍA INTELECTUAL
Nosotros, ORTIZ IMBAQUINGO DIEGO MAURICIO Y VEGA MÉNDEZ ANGELA LUCIA
en calidad de autor(es) del trabajo de investigación: CUMPLIMIENTO DE LAS NORMAS
ISO E ITIL EN EL MANEJO DE LAS HERRAMIENTAS DE CORRELACIÓN DE
EVENTOS Y SEGURIDAD DE LA INFORMACIÓN, autorizo/autorizamos a la Universidad
Central del Ecuador hacer uso de todos los contenidos que me/nos pertenecen o parte de los que
contiene esta obra, con fines estrictamente académicos o de investigación.
Los derechos que como autores nos corresponden, con excepción de la presente autorización,
seguirán vigentes a nuestro favor, de conformidad con lo establecido en los artículos 5, 6, 8; 19
y demás pertinentes de la Ley de Propiedad Intelectual y su Reglamento.
Asimismo, autorizamos a la Universidad Central del Ecuador para que realice la digitalización y
publicación de este trabajo de investigación en el repositorio virtual, de conformidad a lo
dispuesto en el Art. 144 de la Ley Orgánica de Educación Superior.
Quito, 06/Mayo/2016
Nombre: Diego Mauricio Ortiz Imbaquingo Nombre: Angela Lucia Vega Méndez
CI: 1721033304 CI: 1719369439
Telf.: 0992529278 Telf.: 022052767
e-mail: [email protected] e-mail: [email protected]
vii
APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN
Yo, Ingeniero Jairo René Navarro Bustos, en calidad de tutor del trabajo de titulación
CUMPLIMIENTO DE LAS NORMAS ISO E ITIL EN EL MANEJO DE LAS
HERRAMIENTAS DE CORRELACIÓN DE EVENTOS Y SEGURIDAD DE LA
INFORMACIÓN, elaborado por los estudiantes Ortiz Imbaquingo Diego Mauricio y Vega
Méndez Ángela Lucia, de la Carrera de Informática, Facultad de Ingeniería en Ciencias Físicas
y Matemática de la Universidad Central del Ecuador, considero que el mismo reúne los
requisitos y méritos necesarios en el campo metodológico y en el campo epistemológico, para
ser sometido a la evaluación por parte del jurado examinador que se designe, por lo que
APRUEBO, a fin de que trabajo investigativo sea habilitado para continuar con el proceso de
titulación determinado por la Universidad Central del Ecuador.
En la ciudad de Quito, a los cuatro días del mes de abril de 2016.
Ing. Jairo René Navarro Bustos
CC: 1710332832
viii
APROBACIÓN DE REVISORES
ix
x
CONTENIDO
DEDICATORIA .......................................................................................................... ii
DEDICATORIA ......................................................................................................... iii
AGRADECIMIENTO ................................................................................................ iv
AGRADECIMIENTO ................................................................................................. v
AUTORIZACIÓN DE AUTORÍA INTELECTUAL ................................................. vi
APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN ....................... vii
APROBACIÓN DE REVISORES ........................................................................... viii
CONTENIDO .............................................................................................................. x
LISTA DE TABLAS ................................................................................................ xiii
LISTA DE FIGURAS ............................................................................................... xiv
RESUMEN ............................................................................................................... xvi
ABSTRACT ............................................................................................................ xviii
INTRODUCCIÓN ....................................................................................................... 1
1 EL PROBLEMA ................................................................................................... 2
1.1 Formulación del Problema ............................................................................. 2
1.2 Descripción del problema............................................................................... 2
1.3 Preguntas Directrices...................................................................................... 3
1.4 Justificación .................................................................................................... 3
1.5 Objetivos ........................................................................................................ 4
xi
1.5.1 Generales ................................................................................................ 4
1.5.2 Específicos .............................................................................................. 4
2 MARCO TEÓRICO .............................................................................................. 5
2.1 Sistema de correlación de eventos y seguridad de la información: SIEM ..... 5
2.2 Normas, estándares de seguridad de la información ...................................... 5
2.2.1 ITIL V3 ................................................................................................... 5
2.2.2 COBIT v5 ............................................................................................... 7
2.2.3 ISO 27002:2013 .................................................................................... 10
2.3 Alineación de las tres normativas de seguridad ........................................... 11
3 ETODOLOGÍA EXPERIMENTAL ................................................................... 14
3.1 Investigación en Acción ............................................................................... 14
3.1.1 Investigación en Acción aplicada a la Informática ............................... 14
3.2 Ciclo de Deming........................................................................................... 15
3.3 Implementación en la investigación ............................................................. 16
3.3.1 Actualización de la alineación de COBIT, ITIL e ISO ......................... 17
3.3.2 Elaboración de plan de pruebas ............................................................ 21
3.3.3 Esquema de red para implementación de las herramientas SIEM ........ 22
3.3.4 Ciclo 1 ................................................................................................... 22
3.3.5 Ciclo 2 ................................................................................................... 27
4 CÁLCULOS Y RESULTADOS ......................................................................... 33
4.1 DISCUSIÓN................................................................................................. 36
xii
CONCLUSIONES ..................................................................................................... 37
RECOMENDACIONES ............................................................................................ 39
GLOSARIO ............................................................................................................... 41
BIBLIOGRÁFICAS .................................................................................................. 42
ANEXOS ................................................................................................................... 43
xiii
LISTA DE TABLAS
Tabla 1. Dimensión del proceso y los indicadores de rendimiento de procesos ......... 9
Tabla 2. Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002 ............................... 12
Tabla 3. Migración de COBIT 4.1 a COBIT 5 .......................................................... 18
Tabla 4. Alineación COBIT 5 con ITIL v3 ............................................................... 19
Tabla 5. Alineación COBIT v5, ITIL v3 e ISO 27002:2013 ..................................... 20
Tabla 6. Primer Plan de Pruebas ................................................................................ 23
Tabla 7. Aplicación de Plan de Pruebas en OSSIM .................................................. 24
Tabla 8. Aplicación de Plan de Pruebas en QRADAR .............................................. 25
Tabla 9. Segundo Plan de Pruebas ............................................................................. 29
Tabla 10. Aplicación OSSIM segundo plan de pruebas ............................................ 30
Tabla 11. Aplicación OSSIM segundo plan de pruebas ............................................ 31
xiv
LISTA DE FIGURAS
Figura 1. Gestión de procesos de ITIL ........................................................................ 6
Figura 2. Las fases del ciclo de servicios ................................................................... 15
Figura 3. Plan de pruebas con Ciclo de Deming ........................................................ 16
Figura 4. Investigación en acción usando Ciclo de Deming ...................................... 17
Figura 5. Esquema para la generación del Plan de Pruebas ....................................... 21
Figura 6. Esquema de red para SIEM ....................................................................... 22
Figura 7. Resultado de Plan de pruebas en QRADAR .............................................. 33
Figura 8. Resultado de Plan de pruebas en OSSIM ................................................... 33
Figura 9. Detección de Eventos OSSIM .................................................................... 44
Figura 10. Filtros de eventos OSSIM ........................................................................ 45
Figura 11. Definición de Falso Positivo OSSIM ....................................................... 45
Figura 12. Correlación de eventos OSSIM ................................................................ 46
Figura 13. Disparadores OSSIM ................................................................................ 46
Figura 14. Detalle de una Alarma OSSIM ................................................................. 47
Figura 15. Registro de un evento OSSIM .................................................................. 47
Figura 16. Clasificación de Alarmas OSSIM ............................................................ 47
Figura 17. Prioridad de los Incidentes OSSIM .......................................................... 48
Figura 18. Descripción de solución de un incidente en OSSIM ................................ 48
Figura 19. Seguimiento de Incidente OSSIM ............................................................ 49
Figura 20 Creación de Orígenes de Registro ............................................................ 50
Figura 21 Filtrados de Logs recolectados .................................................................. 51
Figura 22 Creación de Falsos Positivos .................................................................... 51
Figura 23 Reglas de QRADAR ................................................................................. 52
xv
Figura 24 Notificaciones de Reglas ........................................................................... 52
Figura 25 Detección de Incidentes o Delitos ............................................................ 53
Figura 26 Asignación de Incidentes ........................................................................... 53
Figura 27 Clasificación de Incidentes por categria ................................................... 54
Figura 28 Características de Incidente ....................................................................... 54
Figura 29 Agregación de Notas de incidentes .......................................................... 54
Figura 30 Cerrar Incidentes ....................................................................................... 55
xvi
TEMA: “Cumplimiento de las normas ISO e ITIL en el manejo de las herramientas de
correlación de eventos y seguridad de la información”
Autores: Angela Lucia Vega Méndez
Diego Mauricio Ortiz Imbaquingo
Tutor: Jairo René Navarro Bustos
RESUMEN
La infraestructura de red de las empresas se compone de varios sistemas, dispositivos y
aplicaciones que generan enormes cantidades de registros todos los días, estos registros
contienen información vital de todas las actividades que suceden en la red. Mediante el análisis
de estos registros las empresas pueden mitigar amenazas. Los sistemas de gestión de eventos y
seguridad de la información SIEM, se encargan de recolectar toda esta información y procesarla
para ofrecer una amplia visión de la seguridad de las organizaciones.
El presente proyecto realiza un plan de pruebas para evaluar herramientas de Gestión de la
seguridad y Correlación de eventos (SIEM), analizando la Gestión de Eventos y la Gestión de
incidentes que la herramienta debe cumplir.
No existe una alineación que integren las normativas de seguridad de la información, ITIL,
COBIT e ISO 27000 y herramientas SIEM, y que nos permitan evaluar diferentes tipos de
herramientas SIEM para lograr decidir la herramienta que más se adecue al negocio ya sea este
por implementación o metodología.
Para la elaboración del plan de pruebas mencionado y de los objetivos planteados se utilizó
como guía la metodología de investigación en acción, que se basa en el ciclo de Deming para la
depuración del producto final que es un plan de pruebas. Adicionalmente se utilizó las
normativas de seguridad de la información, ITIL, COBIT e ISO 27000.
PALABRAS CLAVES: ITIL / ISO / COBIT /GESTION / EVENTOS / INCIDENTES
xvii
xviii
TITLE: “Compliance with ISO AND ITIL standards on the management of
events correlation tools and informational security”
Authors: Diego Mauricio Ortiz Imbaquingo
Angela Lucia Vega Méndez
Tutor: Jairo René Navarro Bustos
ABSTRACT
Companies’ network infrastructure consists of several systems, devices and
applications generating large amounts of records every day. Such records contain
essential information on all activities occurring in the network. By analyzing such
records, companies can mitigate threats. Information events and security systems
(SIEM) are engaged in collecting all such information and process it to offer a wide
vision on organizations security.
The current project is intended to conduct a test trial to assess security management
and correlation of events tools (SIEM), by analyzing Events Management and Incidents
Management to be completed by the tool.
No alignment exist, integrated by information security regulations ITIL, COBIT and
ISO 27000 and SIEM tools, so as to allow assessing diverse types of SIEM tools to
decide the tool that matches the business, either through implementation or
methodology.
For the preparation of referred test plan and proposed objects, the action
investigation methodology was used, based on Deming cycle on the duration of the final
term intended to test plans. Additional, information security regulations ITIL, COBIT
and ISO 27000 were used.
KEYWORDS: ITIL / ISO / COBIT / MANAGEMENT / EVENTS / INCIDENTS
I CERTIFY that the above and foregoing is a true and correct translation of the original
document in Spanish.
______________________
Ernesto Andino
Translator
IC:1703852317
1
INTRODUCCIÓN
El propósito de este proyecto integrador es encontrar un plan de pruebas que permita evaluar
SIEM basando en la normativas de seguridad de la información, dicho plan de pruebas
generado será evaluado en dos herramientas SIEM la una de código abierto y la otra de código
propietario.
Para realizar dicho plan de pruebas se utilizará la metodología de investigación en acción
aplicada en la informática guiándonos en el ciclo de Deming para generar un plan de pruebas, y
someterlo a una mejora continua.
El proyecto se desarrolla en cuatro capítulos, estructurados de la siguiente manera:
El Capítulo I, contiene el Planteamiento del problema, que lo vamos a desarrollar de la siguiente
manera: formulación y descripción del problema; preguntas directrices; objetivas, dentro de los
cuales analizaremos el general y específicas; y justificación.
El Capítulo II, contiene el Marco Teórico, que lo vamos a desarrollar de la siguiente manera:
antecedentes del proyecto; fundamentación teórica.
El Capítulo III, contiene la Metodología, que lo vamos a desarrollar utilizando la investigación
en acción aplicada a la informática, utilizando el ciclo de Deming, la elaboración, aplicación,
observación y mejora del plan de pruebas.
El Capítulo IV, contiene análisis e interpretación de resultados y la entrega del plan de pruebas
final.
Finalmente realizó las conclusiones y recomendaciones, del proyecto de integrador.
2
1 EL PROBLEMA
1.1 Formulación del Problema
¿Cómo debe estar definido un plan de pruebas que permita analizar las funciones que debe
cumplir un sistema de gestión de eventos y seguridad de la información SIEM basándonos en
las buenas prácticas que nos enseña ITIL, en las normas internacionales que nos indica ISO y el
Framework de objetivos de seguridad que nos da COBIT?
1.2 Descripción del problema
Existen varias normativas internacionales que nos ayudan a mejorar la seguridad de la
información como ITIL, ISO 27000, ISO 31000, COBIT, NIST SP 800-30, BS entre otras. De
estas normativas hemos decidido abordar las normativas que se alinean a las herramientas de
gestión de eventos y seguridad de la información las cuales son COBIT, ITIL e ISO 2700 que
nos ofrecen una visión de la gestión de eventos y gestión de incidentes.
Los sistemas de gestión de eventos y seguridad de la información SIEM facilitan el trabajo a los
administradores de infraestructuras de tecnología. Los administradores de estas herramientas
deben tener conocimiento de algunas de las normativas de seguridad que se mencionaron,
además del conocimiento técnico del uso de la herramienta, para que la protección sea completa.
Actualmente no existe una plan de pruebas que unan en las 3 normativas de seguridad de la
información ITIL V3, ISO 27000:2013 y COBIT v5 y en base a este plan de pruebas nos
permita evaluar un sistemas de gestión de eventos y seguridad de la información SIEM.
Siendo el Ciclo de Deming el que nos permitirá determinar si el plan de pruebas se ajusta a las
características de las herramientas SIEM
3
1.3 Preguntas Directrices
● ¿Cuáles son las características principales de una herramienta de gestión de eventos y
seguridad de la información SIEM?
● ¿De qué manera se relacionan las normas ITIL v3, COBIT v5 e ISO 27000: 2013 con
los sistemas de gestión de eventos y la gestión de incidentes?
● ¿Cómo puedo determinar si una herramienta de gestión de eventos y seguridad de la
información SIEM cumple con las normativas de ITIL v3, COBIT v5 e ISO 27000: 2013?
1.4 Justificación
En el presente proyecto desarrollaremos un plan de pruebas que permita evaluar los sistemas de
gestión de eventos y seguridad de la información SIEM, basándonos en el cumplimiento de las
normas de seguridad de la información COBIT v5, ITIL v3 e ISO 27000:2013.
Se utilizará la metodología de investigación en acción guiarnos en el Ciclo de Deming (PDCA,
Planear, hacer, chequear y actuar), planear un plan de pruebas iniciales en el cual se determinen
todas las posibles características que tenga un sistema de gestión de incidentes y seguridad de la
información SIEM, siguiendo las mejores prácticas de procesos en Gestión de Eventos y
Gestión de Incidentes que nos indica ITIL v3, en el Framework de objetivos que se alinean a
ITIL que nos da COBIT y sin olvidarnos de los estándares de seguridad de la información que
nos indica ISO 27000:2013. Una vez generado el primer análisis se realizará las pruebas para su
posterior chequeo y validación de nuevas características que aparecen en los chequeos de las
herramientas y la mejora continua en el plan de pruebas generado.
La última entrega del documento Alineando COBIT 4.1, ITILV3 y ISO/IEC 27002 en beneficio
de la empresa generado por ISACA nos indica la alineación que existe entre estas tres
metodologías en la Gestión de eventos y gestión de incidentes, es importante indicar que se
realiza el análisis en versión antiguas de ITIL, COBIT e ISO, actualmente cada una de estas
normativas se encuentran en las siguientes versiones COBIT v5, ITIL v3 e ISO 2007:2013 por
tal razón se realizará una alineación de la gestión de eventos y gestión de incidentes de las tres
normativas en sus nuevas versiones.
4
1.5 Objetivos
1.5.1 Generales
Realizar un plan de pruebas que determina evaluar herramientas de gestión de eventos y
seguridad de la información SIEM.
1.5.2 Específicos
● Encontrar la metodología para validar el cumplimento normativo de las normas COBIT,
ITIL e ISO 27000 para herramientas de gestión de eventos y sistema de la seguridad.
● Evaluar y comparar dos herramientas para gestión de eventos y seguridad de la
información (SIEM).
5
2 MARCO TEÓRICO
2.1 Sistema de correlación de eventos y seguridad de la información: SIEM
El acrónimo SIEM se atribuye a los analistas de Gartner Amrit Williams y Mark Nicolett y es la
combinación de dos tecnologías distintas, pero complementarias: gestión de eventos de
seguridad SEM y de gestión de información de seguridad SIM. Durante la última década, estas
dos tecnologías han convergido en un único conjunto de soluciones que hoy conocemos como
SIEM.
SEM era una solución tecnológica que se centró en tiempo real o la supervisión en tiempo casi
real, la correlación y el procesamiento de eventos de seguridad. Estos eventos se suelen alertas
generadas por un dispositivo de seguridad de la red, como un sistema de detección de
cortafuegos o de intrusos (IDS), ya que el dispositivo había detectado actividad de la red o host
potencialmente malicioso que hacía juego con un patrón pre configurado.
SIM, por otra parte, se centró en el análisis histórico de la información del archivo de registro
para apoyar las investigaciones y los informes forenses. SIM menudo miró a los mismos
eventos que SEM, pero no en tiempo real. Central a la solución SIM fue de eventos y log de
almacenamiento y archivo, búsqueda y funciones de análisis y capacidades de informes
robustos.
2.2 Normas, estándares de seguridad de la información
2.2.1 ITIL V3
ITIL es un conjunto de buenas prácticas con el propósito de mejorar la administración y gestión
de los servicios de la tecnología de la información (TI). Su principal objetivo es mejorar la
calidad de los servicios de TI que se ofrecen, reducir los problemas que se generen en los
mismos y en caso de que se presenten proporcionar un marco de acción para solucionarlos con
el menor impacto en el menor tiempo posible.
6
ITIL nos brinda un marco para la gestión de los procesos tecnológicos alineados a los objetivos
del negocio. La gestión de los procesos que maneja ITIL los podemos observar en la siguiente
figura:
Figura 1. Gestión de procesos de ITIL
(Osiatis S.A.)
En gráfico podemos observar la integración entre el negocio y la tecnología como gestión de
servicios de TI, con un enfoque en la Gestión de la Seguridad.
2.2.1.1 Gestión de Eventos
Los servicios de TI que se ofrecen a los usuarios, al momento que está operando es necesario
monitorear los sucesos que generan para resolver los problemas de mejor manera e inclusive
prevenirlos. Un evento se denomina a todo suceso que se detecta y que es de importancia para la
infraestructura de TI.
La Gestión de Eventos, además de detectar y notificar los sucesos, se encarga de clasificarlos y
dimensionar su impacto en el servicio, también se encarga de documentar el evento y derivarlo
al proceso correspondiente para que tome medidas: Gestión de Incidentes o Gestión de
Problemas.
7
Los subprocesos en la gestión de eventos son los siguientes:
Mantenimiento de Mecanismos y Reglas de Monitorización de Eventos: Establece y
mantiene los mecanismos para generar reglas efectivas para los procesos de descarte y
correlación de Eventos.
Clasificación y Categorización de Eventos: Clasifica aquellos eventos que se pueden obviar, y
asignar categorías a los que son significativos.
Correlación de Eventos y Selección de Respuestas: Interpreta el significado de un Evento y
elegir una respuesta adecuada.
Revisión y Cierre de Eventos: Verifica que los eventos hayan sido manejados adecuadamente y
si se pueden cerrar. Este proceso también sirve para asegurar que los registros de eventos sean
analizados de manera que se identifiquen tendencias y patrones que puedan sugerir medidas
correctivas necesarias.
2.2.2 COBIT v5
COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus
objetivos para el gobierno y la gestión de las TI corporativas. Ayuda a las empresas a crear el
valor óptimo desde TI manteniendo el equilibrio entre la generación de beneficios y la
optimización de los niveles de riesgo y el uso de recursos.
COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la
empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de
responsabilidad de TI, considerando los intereses relacionados con TI de las partes interesadas
internas y externas. COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto
comerciales, como sin ánimo de lucro o del sector público.
El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno y de gestión
de la TI empresarial en dos dominios principales de procesos:
Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se definen prácticas de
evaluación, orientación y supervisión.
8
Gestión: Contiene cuatro dominios, en consonancia con las áreas de responsabilidad de
planificar, construir, ejecutar y supervisar. Proporciona cobertura extremo a extremo de las TI.
Estos dominios son una evolución de la estructura de procesos y dominios de COBIT 4.1. Los
nombres de estos dominios han sido elegidos de acuerdo a estas designaciones de áreas
principales, pero contienen más verbos para describirlos:
Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
Para la siguiente investigación nos enfocaremos en el proceso Entregar, dar Servicio y soporte
(DSS) específicamente en el proceso DSS02 que nos habla de gestionar las solicitudes de
servicios e incidentes, dicho proceso nos ayudará a generar el plan de pruebas para evaluar
herramientas SIEM. En la Tabla 1 podemos observar la toda la información sobre el proceso
DSS02.
9
Tabla 1. Dimensión del proceso y los indicadores de rendimiento de procesos
(ISACA)
ID del proceso DSS02
Nombre del Proceso Entregar, dar Servicio y soporte
Descripción del Proceso
Dar una respuesta oportuna y eficaz de utilizar petición y resolución de todos los
tipos de incidentes cumplir con las peticiones de los usuarios; y registrar,
investigar, diagnostico, escalar y resolver incidentes.
Propósito Archivar una mayor productividad y minimizar las interrupciones a través de una
rápida resolución de consultas de los usuarios y los incidentes
Resultados (Os)
Numero Descripción
DSS02-01 IT-relacionada con el servicio están disponibles para el usuario
DSS02-02 Los incidentes se resuelven de acuerdo con los niveles de servicio acordados.
DSS02-03 Las solicitudes de servicio se tratan de acuerdo con los niveles de servicio
acordados-en y para la satisfacción de los usuarios.
Practicas Bases (BPs)
Numero Descripción Soporte
DSS02-BP1
Definir esquemas de solicitud de clasificación de incidentes y de
servicios. DSS02-01
Definir esquemas de solicitud de clasificación de incidentes,
servicios y modelos
DSS02-BP2
Grabar, clasificar y priorizar las solicitudes e incidentes DSS02-01
/02 Identificar, registrar y clasificar solicitud de servicio y los incidentes,
y asignar una prioridad de acuerdo con la empresa de manera crítica
y acuerdos de servicio.
DSS02-BP3
Verificar, aprobar y cumplir con las solicitudes de servicio
DSS02-03 Seleccionar los procedimientos de solicitud correspondientes y
verificar que la solicitud de servicio cumplen los criterios definidos
de solicitud. Obtener la aprobación, si es necesario y cumplir con las
solicitudes.
DSS02-BP4 Investigar, diagnosticar y asignar los incidentes
DSS02-03 Identificar y registrar los síntomas de incidentes, determinar las
posibles causas, y asignar para la resolución
DSS02-BP5
Resolver y recuperar incidentes
DSS02-02 Documento, aplicar y probar las soluciones o estación de trabajo
identificadas y realizar acciones de recuperación para restaurar el
servicio relacionado con la TI
DSS02-BP6 Cerrar solicitud de servicio y los incidentes.
DSS02-03 Comprobar la resolución satisfactoria incidentes y / o solicitud de
cumplimiento, y se cierran.
DSS02-BP7
Informes de estado de la pista y del procedimiento
DSS02-03 Regularmente rastrear, analizar y reportar incidentes y tendencias
solicitud de cumplimiento de proporcionar información para la
mejora continua.
10
2.2.3 ISO 27002:2013
La ISO 27002 es un conjunto de estándares desarrollado por ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission), que proporcionan un
marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización.
En el año 2007 fue publicada la ISO 27002:2005 que es una guía de buenas prácticas que
describe los objetivos de control y controles recomendables en cuanto a seguridad de la
información.
A esta norma se le han realizado actualizaciones, teniendo la última en el 2013. Contiene 14
dominios, 35 objetivos de control y 114 controles.
2.2.3.1 Gestión de Incidentes
Dentro de los Dominios de la ISO 27002:2013 tenemos la Gestión de Incidentes que nos
permitirá garantizar que los eventos de seguridad de la información y las debilidades asociados
a los sistemas de información sean comunicados de forma tal que se apliquen las acciones
correctivas en el tiempo oportuno.
Este dominio tiene los siguientes objetivos de control:
Responsabilidades y procedimientos: Se deberían establecer las responsabilidades y
procedimientos de gestión para garantizar una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información.
Notificación de los eventos de seguridad de la información: Los eventos de seguridad de la
información se deberían informar lo antes posible utilizando los canales de administración
adecuados.
Notificación de puntos débiles de la seguridad: Se debería requerir anotar e informar sobre
cualquier debilidad sospechosa en la seguridad de la información en los sistemas o servicios
tanto a los empleados como a contratistas que utilizan los sistemas y servicios de información
de la organización.
11
Valoración de eventos de seguridad de la información y toma de decisiones: Se deberá evaluar
los eventos de seguridad de la información y decidir su clasificación como incidentes.
Respuesta a los incidentes de seguridad: Se deberá responder ante los incidentes de seguridad
de la información en atención a los procedimientos documentados.
Aprendizaje de los incidentes de seguridad de la información: Se deberá utilizar el
conocimiento obtenido del análisis y la resolución de incidentes de seguridad de la información
para reducir la probabilidad y/o impacto de incidentes en el futuro.
Recopilación de evidencias: La organización debería definir y aplicar los procedimientos
necesarios para la identificación, recopilación, adquisición y preservación de la información que
puede servir de evidencia.
2.3 Alineación de las tres normativas de seguridad
En el año 2005 ISACA genero un documento donde nos indica el alineamiento entre COBIT
v4, ITIL v3 e ISO 27002 año 2005. (Isaca, 2008)
Las mejores prácticas de TI deben ajustarse a los requisitos del negocio y ser integradas entre sí
y con los procedimientos internos. COBIT puede ser utilizado en el más alto nivel, ofreciendo
un marco general de control basado en un modelo de procesos de TI que debería adaptarse a
cada organización. Los estándares y las prácticas específicas, tales como ITIL e ISO/IEC 27002
abarcan áreas discretas y pueden ser mapeadas en el marco COBIT, estructurando una jerarquía
de materiales de orientación.
En la Tabla 2. Se puede observar la alineación entre ITIL v3, ISO/IEC 2700 año 2005 y
COBIT v4, donde cada uno de los 34 procesos de TI y los objetivos de control de COBIT han
sido mapeados a secciones específicas de ITIL e ISO/IEC 27002:
12
Tabla 2. Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002
(ISACA)
Objetivo de
Control COBIT
4.1
Áreas clave Información de soporte ITIL
V3
Información de soporte
ISO/IEC 27002:2005
DS8.1 Mesa de
servicios
Interface de usuario
Gestión de llamadas
Clasificación y
priorización de
incidentes basadas en
servicios y ANS
SO 4.1 Gestión de eventos
SO 4.2 Gestión de incidentes
SO 6.2 Mesa de servicios
14.1.4 Marco de
planeamiento de
continuidad del negocio
DS8.2 Registro
de consultas de
clientes
Registro y seguimiento
de todas las llamadas,
incidentes, solicitudes
de servicio y
necesidades de
información
SO 4.1.5.3 Detección de
eventos
SO 4.1.5.4 Filtrado de eventos
SO 4.1.5.5 Significado de los
eventos
SO 4.1.5.6 Correlación de
eventos
SO 4.1.5.7 Trigger
SO 4.2.5.1 Identificación
de incidentes
SO 4.2.5.2 Log de incidentes
SO 4.2.5.3 Clasificación
de incidentes
SO 4.2.5.4 Priorización de
incidentes
SO 4.2.5.5 Diagnóstico inicial
SO 4.3.5.1 Selección por menú
13.1.1 Reporte de eventos
de seguridad de
información
13.1.2 Se pueden agregar
los reportes de
debilidades de seguridad
ya que se relacionan con
la identificación de
eventos
13.2.1
Responsabilidades y
procedimientos
13.2.3 Recolección de
evidencia
DS8.3
Escalamien
to de
incidentes
Escalamiento de
incidentes de acuerdo a
los límites en los ANS
SO 4.1.5.8 Selección de
respuestas
SO 4.2.5.6 Escalamiento de
incidentes
SO 4.2.5.7 Investigación y
diagnóstico
SO 4.2.5.8 Resolución y
recuperación
SO 5.9 Soporte de estaciones
de trabajo
13.1.2 Se pueden agregar los
reportes de debilidades de
seguridad ya que se
relacionan con la
identificación de eventos
13.2.3 Recolección de
evidencia
14.1.1 Incluir la seguridad
de información en el proceso
de gestión de continuidad del
negocio
14.1.4 Marco de
planificación de
continuidad del negocio
DS8.4 Cierre de
incidentes
Registro de los
incidentes resueltos
y no resueltos
SO 4.1.5.10 Cerrar eventos
SO 4.2.5.9 Cierre de incidentes
13.2.2 Aprendiendo de
los incidentes de
seguridad de
información
13.2.3 Recolección de
evidencia
DS8.5
Reportes y
análisis de
tendencias
Reportes de
desempeño de
servicio y tendencias
de los problemas
recurrentes
SO 4.1.5.9 Revisar acciones
CSI 4.3 Mediciones del
servicio
13.2.2 Aprendiendo de
los incidentes de
seguridad de
información
13
A la fecha actual no existe un nuevo alineamiento que utilice las nuevas versiones de COBIT y
de ISO 27002, es por ello que en el desarrollo de este proyecto se realizará una nueva alineación
de las tres normativas COBIT v5, ITIL v3 e ISO 27002 año 2013 basado en un enfoque para
gestionar las solicitudes de servicio e incidentes orientado a las evaluación de herramientas
SIEM.
14
3 ETODOLOGÍA EXPERIMENTAL
3.1 Investigación en Acción
Es considerar las clases (la enseñanza y el aprendizaje) como objeto de estudio e investigación,
de modo que la acción se convierte en fuente de datos y en objeto de reflexión. Tiene como
objetivo fundamental el análisis crítico de la realidad, la explotación de los conflictos entre
valores y conductas… para diagnosticar y solucionar un problema en un contexto específico. El
desarrollo de la investigación - acción supone: el relacionamiento del problema, la planificación
de la investigación (desarrollo de un plan de acción), la acción (poner el plan en práctica), la
observación (en el contexto en que tiene lugar) y la reflexión-evaluación (base para una nueva
planificación). Las técnicas empleadas son básicamente la observación participante, la entrevista
y la recogida de documentos. (Tejedor, 1996)
3.1.1 Investigación en Acción aplicada a la Informática
En el año 1997 en la revista MIS Quarterly aparece un artículo de Michael Myers en el cual se
ofrece una relación extensiva de instrumentos de investigación usados en Investigación en
acción en Sistemas de Información. Tal año el término Investigación en acción en Sistemas de
Información se hace conocido como tal, iniciándose una presencia creciente de trabajos
relacionados en foros de estudio e investigación, grupos de trabajos, congresos y/o revistas,
interesados en analizar las posibilidades de la Investigación en acción aplicada a la informática
Al 2010, luego de una década la situación no ha sido muy positiva para la Investigación en
acción en Sistemas de Información. No puede desconocerse eso sí que al día de hoy muchos
investigadores de campos de la Informática en general ya procuran considerar aspectos
metodológicos en sus estudios (sean o no del tipo cualitativos), mientras ya existe un poco más
de sensibilidad al respecto (Niculcar, 2012)
15
3.2 Ciclo de Deming
El ciclo PDCA: Planificar (Plan), Hacer (Do), Verificar (Check) y Actuar (Act), también
conocido como ciclo de Deming en honor a su creador, Edwards Deming, constituye la columna
vertebral de todos los procesos de mejora continua:
● Planificar: definir los objetivos y los medios para conseguirlos.
● Hacer: implementar la visión preestablecida.
● Verificar: comprobar que se alcanzan los objetivos previstos con los recursos asignados.
● Actuar: analizar y corregir las desviaciones detectadas así como proponer mejoras a los
procesos utilizados.
Las fases del ciclo de vida del servicio son un reflejo de esta estructura básica:
Figura 2. Las fases del ciclo de servicios
(Version 3.0 © Copyright OSIATIS S.A)
En cierta medida todos y cada uno de los procesos de gestión de los servicios TI deben
reproducir esa estructura asegurando que cada una de estas fases se encuentra correctamente
documentada.
La fase de Mejora Continua del Servicio juega un papel esencial en las etapas de verificación y
actuación aunque también debe colaborar en las otras etapas de planificar y hacer:
● Ayudando a definir los objetivos y las métricas de cumplimiento asociadas.
● Monitorizando y evaluando la calidad de los procesos involucrados.
● Definiendo y supervisando las mejoras propuestas.
16
3.3 Implementación en la investigación
Siguiendo el proceso del ciclo de Deming determinamos el procedimiento a seguir para diseñar
el primer plan de pruebas. El primer paso a realizar es un cuestionario a partir de la alineación
de ITIL, COBIT e ISO en sus últimas versiones. Una vez obtenido el primer borrador del plan
de pruebas se procede a aplicar en las dos herramientas de código propietario y de código
abierto (QRADAR y ALIENVAUL).
La evaluación permite hacer observaciones sobre el cumplimiento de la herramienta a las
normas aplicadas, con la información recogida se hace la mejora al plan de pruebas.
El ciclo, detallado en la Figura 3. Nos permitirá obtener un plan de pruebas depurado.
Figura 3. Plan de pruebas con Ciclo de Deming
Elaborado por Vega L, Ortiz D
17
De esta manera se tiene el primer ciclo para posteriormente tomar el plan de pruebas mejorado y
volver a repetir los pasos anteriores hasta obtener un plan de pruebas que se ajuste a las dos
herramientas como se observa en la figura 4 en la que se explica el avance del procedimiento
utilizado para la implementación y manejo de la metodología de investigación.
Figura 4. Investigación en acción usando Ciclo de Deming
Elaborado por Vega L, Ortiz D
3.3.1 Actualización de la alineación de COBIT, ITIL e ISO
Con base a la información detallada en el marco teórico de la alineación de COBIT v4, ITIL v3
e ISO 27002, obtenida de ISACA, se realiza la nueva alineación a las últimas versiones de las
normativas ya mencionadas con un enfoque para gestionar los eventos e incidentes orientado a
las evaluación de herramientas SIEM.
Partiremos de pasar de COBIT v4 a COBIT v5, y nos centraremos en el proceso de la Entrega
de Servicio (DS) que en la nueva versión se llama Entregar Servicio y Soportar (DSS) y
específicamente en Administrar la mesa de servicios y los incidentes (DS8), en la nueva
versión denominado (DSS02) de acuerdo al informe de ISACA (ISACA, 2012)
Con la información que detalla las áreas claves de la nueva versión podemos a cambiar los
objetivos de Control de COBIT 4.1 a COBIT 5
18
Tabla 3. Migración de COBIT 4.1 a COBIT 5
Objetivo de Control COBIT 4.1 Objetivo de Control COBIT 5
DS8.1 Mesa de servicios DSS02-1 Definir esquemas de solicitud de
clasificación de incidentes y de servicios.
DSS02-2 Grabar, clasificar y priorizar las solicitudes
e incidentes
DS8.2 Registro de consultas de clientes DSS02.3 Verificar, aprobar y cumplir con las
solicitudes de servicio
DS8.3 Escalamiento de incidentes DSS02.4 Investigar, diagnosticar y asignar los
incidente
DSS02.5 Resolver y recuperar incidentes
DS8.4 Cierre de incidentes DSS02.6 Cerrar solicitud de servicio y los incidentes.
DS8.5 Reportes y análisis de tendencias DSS02.7 Informes de estado de la pista y del
procedimiento
Para este proyecto solo utilizaremos los objetivos de control DSS02-2, DSS02-3, DSS02-4,
DSS02-5 y DSS02-6, que son los que involucran Gestión de Eventos y Gestión de Incidentes.
Alineando COBIT V5 con ITIL V3
De acuerdo a las áreas claves definidas para cada proceso en COBIT V5 mantendremos los
procesos de ITIL V3 que nos indica ISACA.
19
Tabla 4. Alineación COBIT 5 con ITIL v3
Objetivo de Control COBIT 5 Áreas clave Información de soporte ITIL V3
DSS02.3 Verificar, aprobar y
cumplir con las solicitudes de
servicio
• Seleccionar los
procedimientos de solicitud
correspondientes y verificar
que la solicitud de servicio
cumplen los criterios
definidos de solicitud.
Obtener la aprobación, si es
necesario y cumplir con las
solicitudes.
SO 4.1.5.3 Detección de eventos
SO 4.1.5.4 Filtrado de eventos
SO 4.1.5.5 Significado de los
eventos
SO 4.1.5.6 Correlación de eventos
SO 4.1.5.7 Trigger
SO 4.2.5.1 Identificación de
incidentes
SO 4.2.5.2 Log de incidentes
SO 4.2.5.3 Clasificación de
incidentes
SO 4.2.5.4 Priorización de
incidentes
SO 4.2.5.5 Diagnóstico inicial
DSS02.4 Investigar,
diagnosticar y asignar los
incidentes
• Escalamiento de incidentes
de acuerdo a los límites en
los ANS
SO 4.1.5.8 Selección de respuestas
SO 4.2.5.6 Escalamiento de
incidentes
• Identificar y registrar los
síntomas de incidentes,
determinar las posibles
causas, y asignar para la
resolución
SO 4.2.5.7 Investigación y
diagnóstico
DSS02.5 Resolver y recuperar
incidentes
• Documento, aplicar y
probar las soluciones o
estación de trabajo
identificadas y realizar
acciones de recuperación
para restaurar el servicio
relacionado con la TI
SO 4.2.5.8 Resolución y
recuperación
DSS02.6 Cerrar solicitud de
servicio y los incidentes.
• Registro de los incidentes
resueltos y no resueltos
• SO 4.1.5.10 Cerrar eventos
• SO 4.2.5.9 Cierre de incidentes
Elaborado por Vega L, Ortiz D
20
Alineación de COBIT V5, ITIL V3 E ISO 27002:2013
Tabla 5. Alineación COBIT v5, ITIL v3 e ISO 27002:2013
Elaborado por Vega L, Ortiz D
Objetivo de Control
COBIT 5
Información de soporte
ITIL V3
Información de soporte ISO/IEC
27002:2013
DSS02.3 Verificar, aprobar
y cumplir con las solicitudes
de servicio
SO 4.1.5.3 Detección de
eventos
• 16.1.7 Recopilación de evidencias
SO 4.1.5.4 Filtrado de
eventos
• 16.1.2 Notificación de puntos
débiles de la seguridad.
SO 4.1.5.5 Significado de los
eventos
• 16.1.1 Responsabilidades y
procedimientos
SO 4.1.5.6 Correlación de
eventos
• 16.1.7 Recopilación de evidencia
SO 4.1.5.7 Trigger
SO 4.2.5.1 Identificación de
incidentes
SO 4.2.5.2 Log de incidentes
SO 4.2.5.3 Clasificación de
incidentes
SO 4.2.5.4 Priorización de
incidentes
SO 4.2.5.5 Diagnóstico
inicial
DSS02.4 Investigar,
diagnosticar y asignar los
incidentes
SO 4.1.5.8 Selección de
respuestas
• 16.1.3 Notificación de puntos
débiles de la seguridad
SO 4.2.5.6 Escalamiento de
incidentes
• 16.2.7 Recopilación de evidencias
SO 4.2.5.7 Investigación y
diagnóstico
DSS02.5 Resolver y
recuperar incidentes
SO 4.2.5.8 Resolución y
recuperación
• 17.1.1. Planificación de la
continuidad de la seguridad de la
información
DSS02.6 Cerrar solicitud de
servicio y los incidentes.
SO 4.1.5.10 Cerrar eventos • 16.1.6 Aprendizaje de los
incidentes de seguridad de la
información.
SO 4.2.5.9 Cierre de
incidentes
• 16.2.7 Recopilación de evidencia
21
3.3.2 Elaboración de plan de pruebas
Una vez obtenida la alineación de las tres normativas, para obtener el plan de pruebas se tomó
como procedimiento determinar cómo debe funcionar la herramienta SIEM considerando las
normativas revisadas.
Figura 5. Esquema para la generación del Plan de Pruebas
Elaborado por Vega L, Ortiz D
En cada actividad que nos sugiere la normativa, se propuso preguntas entorno al funcionamiento
de las herramientas que determine su cumplimiento, siendo base los procesos de ITIL, desde la
Detección de Eventos hasta el Cierre de Incidentes.
22
3.3.3 Esquema de red para implementación de las herramientas SIEM
En el siguiente gráfico podemos observar que la herramienta SIEM se encuentra
transversalmente en toda la infraestructura de red es decir la herramienta debe tener la capacidad
de recibir todos los eventos generados por los servidores de red, switches, routers, firewall etc.
Es decir la herramienta debe recibir todos los eventos de todos los activos de red.
Figura 6. Esquema de red para SIEM
Elaborado por Vega L, Ortiz D
3.3.4 Ciclo 1
Para el primer plan de prueba nos guiaremos en la alineación desarrollada anteriormente
haciendo hincapié en el proceso de Gestión de Eventos, que nos indica ITIL, una vez analizada
este proceso en la herramienta mejoraremos el plan de pruebas y acoplamos la Gestión de
Incidentes.
3.3.4.1.1 Desarrollo del plan pruebas
Objetivo de COBIT: Verificar, aprobar y cumplir con las solicitudes de servicio.
23
Tabla 6. Primer Plan de Pruebas
N° Criterio
1 ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog de
Servidores LDAP?
2 ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog de
Servidores de Correo?
3 ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog de
Servidores Linux o Unix?
4 ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog de
Servidores DNS?
5 ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog de
Servidores Proxy?
6 ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog de
Servidores BD?
7 ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog de
Firewall, Switch y Routers?
8 ¿Puede definir una Jerarquía de red en la cual se detalle DMZ, VPN, Servidores, etc.?
9 ¿Permite descubrir activos?
10 ¿Permite dar peso a cada uno de los activos de res?
11 Permite filtrar la actividad de los eventos por Origen de Registros
12 Permite filtrar la actividad de los eventos por dirección IP de origen o por dirección de IP de
destino
13 Permite filtrar la actividad de los eventos por puerto de origen o por puerto de destino
14 Permite filtrar la actividad de los eventos por nombre del evento
15 Permite definir un falso positivo en base a evento analizado por el administrador de la
herramienta
16 Permite definir un falso positivo en base a la IP de origen analizado por el administrador de la
herramienta
17 Permite correlacionar eventos en base a un Programa malicioso
18 Permite correlacionar eventos en base a un Actividad sospechosa
19 Permite correlacionar eventos en base a un Acceso
20 Permite correlacionar eventos en base a un Sistema
21 Permite correlacionar eventos en base a un Explotación potencial
22 Permite correlacionar eventos en base a Autenticación
23 Permite correlacionar eventos en base a Explotación
24 Permite correlacionar eventos en base a Auditoría
25 Permite generar una correlación de eventos en base a criterios definidos por el administrador
de la herramienta
26 Permite generar un alarma, mensaje advertencia que indique cuando suscite una secuencias
de eventos correlacionados que conlleven a un incidente
27 Permite notificaciones por teléfono
28 Permite notificaciones por correo
29 Permite crear un incidente (ticket)
Elaborado por Vega L, Ortiz D
3.3.4.1.2 Aplicación y observaciones de plan de pruebas en OSSIM
24
Se procede a aplicar el plan de pruebas generado anteriormente y realizamos las siguientes
observaciones. Ver Anexo A
Tabla 7. Aplicación de Plan de Pruebas en OSSIM
No. Cumple el criterio
Observaciones Si No
1 X Recolecta los registros enviados a través del colector ossec
2 X Recolecta los registros enviados a través del colector ossec
3 X Recolecta los registros enviados a través del colector ossec
4 X Recolecta los registros enviados a través del colector ossec
5 X Recolecta los registros enviados a través del colector ossec
6 X Recolecta los registros enviados a través del colector ossec
7 X Recolecta los registros enviados a través del colector ossec
8 X Registra todas las redes de la infraestructura haciendo un escaneo
inicial
9 X Descubre activos al inicio de la configuración
10 X Da un valor entre cero y cuatro de peso a los activos
11 X Permite filtrar por varios criterios
12 X Permite filtrar por la IP de origen y de destino de los eventos
generados
13 X Permite filtrar los eventos por el puerto de origen y destino de los
eventos generados
14 X Tiene varios criterios de filtro
15 X El falso positivo se lo debe personalizar a través de políticas
16 X El falso positivo se lo debe personalizar a través de políticas
17 X Debe recibir los registros de un antivirus
18 X Correlaciona eventos comunes
19 X Correlaciona los accesos a todos los sistemas de la infraestructura
20 X No tiene esa característica
21 X Correlaciona según las vulnerabilidades de los sistemas en la
infraestructura
22 X Correlaciona los accesos no autorizados
23 X Permite verificar las vulnerabilidades de los sistemas
24 X No tiene esa característica
25 X Permite definir nuevos criterios de correlación
26 X Permite notificaciones cuando se presenta una alarma
27 X No posee notificaciones por mensajería de texto
28 X Solo necesita una cuenta para realizar envíos y se personaliza el
mensaje de envió
29 X Gestiona sus propios tickets de servicio
25
3.3.4.1.3 Aplicación y observaciones de plan de pruebas en QRADAR
Tabla 8. Aplicación de Plan de Pruebas en QRADAR
N°
Cumple el
criterio Observaciones
Si No
1 X Se lo realiza median el agente WINCOLLECT, si es un SO Windows si es
un SO Linux se configura el archivo syslog
2 X
Si es Exchange o Lotus tiene una configuración específica, si es otro tipo
de servidor si está bajo Windows se lo realiza mediante WINCOLLECT
caso contrario si es Linux mediante syslog
3 X Se configura el Syslog para enviar logs
4 X Se lo realiza median el agente WINCOLLECT, si es un SO Windows si es
un SO Linux se configura el archivo syslog
5 X Se lo realiza median el agente WINCOLLECT, si es un SO Windows si es
un SO Linux se configura el archivo syslog
6 X
Si es un gestor de base de datos SQL Server, DB2 tienen una
configuración específica, si es otro tipo de servidor si está bajo Windows
se lo realiza mediante WINCOLLECT caso contrario si es Linux mediante
syslog
7 X
Existe una configuración específica para cada switch, router o firewall si
no está soportado por el fabricante se debe generar un DSM universal para
a conexión
8 X Si permite definir una jerarquía de red
9 X Si permite siempre y cuando hayamos definido unos flujos de red y
orígenes de eventos.
10 X No permite dar un peso a cada uno de los activos de red
11 X Permite filtrar los eventos por Origen de Registro
12 X Permite filtrar los eventos por dirección IP ya sea de destino u origen
13 X Permite filtrar los eventos por puerto de origen o destino
14 X Permite filtrar los eventos por nombre de eventos
15 X Si la herramienta encuentra un evento con alta criticidad el administrador
puede marcarlo como falso positivo
16 X Si la herramienta encuentra un evento de una dirección con alta criticidad
el administrador puede marcarlo como falso positivo
17 X Correlaciona Sucesos que están relacionados con virus, troyanos, puertas
traseras y otras formas de software hostil. Los sucesos de programas
26
maliciosos pueden incluir un virus, un troyano, software malicioso o
spyware.
18 X
La naturaleza de la amenaza es desconocida pero el comportamiento es
sospechoso. La amenaza puede incluir anomalías de protocolo que
potencialmente indican técnicas evasivas; por ejemplo, las técnicas de
evasión de IDS (sistema de detección de intrusiones) conocidas o la
fragmentación de paquetes.
19 X Correlaciona Sucesos que están relacionados con los cambios del sistema,
la instalación de software o los mensajes de estado.
20 X Habilita una gestión de amenazas más eficaz y además genera informes
detallados sobre la actividad del usuario y el acceso a datos.
21 X
Correlaciona Sucesos que están relacionados con explotaciones de
aplicación e intentos de desbordamiento de almacenamiento intermedio;
por ejemplo, desbordamiento de almacenamiento intermedio o
explotaciones de aplicación web.
22 X
Correlaciona Sucesos que están relacionados con los controles de
autenticación, grupo o cambio de privilegios; por ejemplo, inicio o cierre
de sesión.
23 X
Correlaciona Sucesos que están relacionados con explotaciones de
aplicación e intentos de desbordamiento de almacenamiento intermedio;
por ejemplo, desbordamiento de almacenamiento intermedio o
explotaciones de aplicación web.
24 X Correlaciona Sucesos que están relacionados con la actividad de auditoría.
25 X
El software incorpora IBM Security X-Force Threat Intelligence, que
suministra una lista de direcciones IP potencialmente maliciosas que
incluyen hosts de programas maliciosos, orígenes de correo no deseado y
otras amenazas
26 X Reduce y prioriza alertas para centrar las investigaciones en una lista
procesable de incidentes sospechosos
27 X
28 X
Permite notificar mediante correo electrónico si existe algún posible
incidente, para que cumpla la notificación se debe configurar cada regla
para envió de correos.
29 X
Elaborado por Vega L.
27
3.3.4.1.4 Mejora
Una vez realizado el desarrollo del primer plan de pruebas, aplicación del plan de pruebas en las
herramientas SIEM QRADAR y OSSIM, se realizó las observaciones para cada uno de los
ítems y se determina que en el plan de pruebas se puede agrupar los ítems de la siguiente
forma:
● Del ítem 1-6 podemos agrupar y definir como:
o ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante
syslog de Servidores?
● De igual manera podemos hacer con el filtrado de eventos y la correlación de eventos
● Consideramos que es importante agregar al plan de pruebas la gestión de incidentes y de
acuerdo a la alineación generada previamente podemos aplicar los procesos de ITIL:
o Identificación de incidentes
o Clasificación de incidentes
o Priorización de los incidentes
o Diagnóstico inicial
o Escalamiento de incidentes
o Investigación y diagnóstico
o Resolución y recuperación de incidentes
o Cierre de eventos
o Cierre de incidentes
● Cabe indicar que las herramientas SIEM son herramientas preventivas más no
correctivas, una vez que el incidente haya suscitado la herramienta SIEM no puede dar una
resolución y recuperación del incidente es tarea del administrador de la herramienta dar
seguimiento y solución al incidente,
● El proceso cierre de eventos no va a ser tomado en cuenta para el plan de pruebas ya
que los eventos jamás son cerrados porque los mismos son almacenados en la base de datos
de conocimiento de la herramienta SIEM para futuras correlaciones.
3.3.5 Ciclo 2
Con las mejoras mencionadas en el CICLO anterior procedemos a definir el siguiente plan de
pruebas:
28
3.3.5.1 Desarrollo del plan pruebas
Objetivos de COBIT:
Verificar, aprobar y cumplir con las solicitudes de servicio.
Investigar, diagnosticar y asignar los incidentes.
Resolver y recuperar incidentes. Cerrar solicitudes de servicio y los incidentes.
29
Tabla 9. Segundo Plan de Pruebas
N°. Criterio
1 ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog de
Servidores?
2 ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog de
activos de la red?
3 ¿Puede definir una Jerarquía de red en la cual se detalle DMZ, VPN, Servidores, etc.?
4 ¿Permite descubrir activos?
5 ¿Permite dar peso a cada uno de los activos de red?
6 ¿Permite filtrar la actividad de los eventos?
7 Permite definir un falso positivo en base a evento analizado por el administrador de la
herramienta
8 Permite definir un falso positivo en base a la dirección ip de origen analizado por el
administrador de la herramienta
9
Permite correlacionar eventos de acuerdo a su base de conocimiento que suministra una lista
de direcciones IP potencialmente maliciosas que incluyen hosts de programas maliciosos,
orígenes de correo no deseado y otras amenazas
10 Permite correlacionar eventos de diferentes fuentes de datos
11 Tiene la herramienta una base de datos en la cual analiza sus eventos para determinar un
incidente.
12 Permite generar una correlación de eventos en base a criterios definidos por el administrador
de la herramienta
13 Permite generar un alarma, mensaje advertencia que indica una secuencias de eventos
correlacionados que conlleven a un incidente
14 Permite notificaciones
15 Permite identificar los incidentes después de un correlación de eventos
16 Permite identificar los incidentes por categoría de Incidentes
17 Permite identificar los incidentes por dirección IP de origen o dirección IP de destino
18 Permite identificar los incidentes por ubicación en la red
19 Permite la herramienta registrar incidentes.
20 Permite la herramienta asignar el incidente a un usuario del SIEM
21 Permite la herramienta clasificar los incidentes.
22 Permite la herramienta clasificar los incidentes por filtros definidos por el usuario
23 Permite la herramienta dar una magnitud al incidente
24 Permite la herramienta dar una credibilidad al incidente
25 Permite la herramienta dar una gravedad al incidente
26 Permite la herramienta visualizar el total de eventos que desencadenaron el incidente
27 Permite la herramienta ver la duración del incidente
28 Permite la herramienta visualizar notas del incidente
29 Permite la herramienta visualizar orígenes o destinos de delito
30 Permite la herramienta visualizar por orígenes de registro de activos de la red
31 Permite la herramienta visualizar por usuarios asignados al incidente
32 Permite la herramienta visualizar el incidente por categoría de todos los eventos
33 Permite la herramienta visualizar el incidente por ubicación de la red donde ocurrió el
incidente
34 El usuario asignado el delito puede agregar notas al incidente
35 El usuario asignado puede cerrar el incidente
Elaborado por Vega L, Ortiz D
30
Aplicación y observaciones de plan de pruebas en OSSIM
Una vez obtenido el segundo plan de pruebas con las mejoras mencionadas, aplicamos sobre la
herramienta OSSIM. En el siguiente cuadro podemos observar los criterios que cumple la
herramienta. Ver todo la configuración sobre la aplicación del plan de pruebas en Anexo C.
Tabla 10. Aplicación OSSIM segundo plan de pruebas
N° Cumple el criterio Observaciones
Si No
1 X Puede recolectar eventos de un gran número de servidores
2 X Tiene agentes y plugins que recolectan logs de la infraestructura de red
3 X Se puede determinar las redes a monitorear y detallarlas
4 X Permite escanear la red y descubrir todos los activos conectados la red
5 X Permite valorar el activo entre 1 y 5
6 X Tiene varias opciones de filtro
7 X El administrador puede determinar falsos positivos sobre eventos conocidos
8 X Se lo puede hacer a través de políticas
9 X Tiene varias formas de correlacionar los eventos
10 X Correlaciona todos los eventos que monitorea
11 X Se conecta a una base de datos interna y otra externa llamada OTX
12 X El administrador puede personalizar las correlaciones
13 X Posee varias disparadores ante una alarma
14 X Tiene notificaciones por email
15 X Te da toda la información acerca del incidente
16 X Tiene su propia forma de clasificación y se la puede personalizar
17 X Posee varias formas de identificación de incidentes
18 X Posee varias formas de identificación de incidentes
19 X Gestiona sus propios tickets de servicio ante incidentes
20 X Asigna automáticamente los tickets para resolver
21 X Tiene varias formas de clasificación
22 X Tiene varias formas de clasificación
23 X Automáticamente asigna un valor al incidente según su impacto
24 X No posee esa característica
25 X Automáticamente asigna un valor al incidente según su impacto
26 X En el detalle del incidente de informa los eventos desencadenantes
27 X Se registra la fecha de inicio del incidente y el de cierre
28 X Puede ingresar notas para más información del incidente
29 X Te detalla toda la información del incidente
30 X Te detalla toda la información del incidente
31 X Te detalla toda la información del incidente
32 X Te detalla toda la información del incidente
33 X Te detalla toda la información del incidente
34 X Puede agregar información adicional sobre el incidente
35 X Una vez resuelto el incidente el usuario debe cerrar el ticket
Elaborado por Ortiz D
31
3.3.5.2 Aplicación y observaciones de plan de pruebas en QRADAR
Ver todo la configuración sobre la aplicación del plan de pruebas en Anexo D.
Tabla 11. Aplicación OSSIM segundo plan de pruebas
N° Cumple
Observaciones Si No
1 X
Si permite puede ser mediante el sistema operativo ya sea Windows con
Wincollect o Linux mediante syslog, si es una aplicación se debe realizar otras
configuraciones
2 X
Existe una configuración específica para cada switch, router o firewall si no
está soportado por el fabricante se debe generar un DSM universal para a
conexión
3 X Si permite definir una jerarquía de red
4 X Si permite siempre y cuando hayamos definido flujos de red y orígenes de
eventos.
5 X
6 X La herramienta permite filtrar los eventos por IP de origen, IP destino, nombre
del evento, puerto, etc.
7 La herramienta permite definir falsos positivos de acuerdo a la base de
conocimiento generada por eventos previos, definido por el administrador
8
La herramienta permite definir falsos positivos de acuerdo a la base de
conocimiento generada por eventos previos con IP de origen o destino similar,
definido por el administrador
9 La herramienta correlación los eventos de acuerdo a las reglas activas.
10 X La herramienta permite que el usuario defina sus reglas en donde puede definir
dirección IP, puertos, nombre de eventos, etc.
11 X Si la base de conocimiento se conecta con IBM Security X-Force Threat
Intelligence el usuario define la hora para actualizar
12 X La herramienta permite que el usuario defina sus reglas en donde puede definir
dirección IP, puertos, nombre de eventos, etc.
13 X La herramienta permite modificar las reglas por defecto y las nuevas reglas
donde se define la notificación del incidente.
14 X La herramienta permite modificar las reglas por defecto y las nuevas reglas
donde se define la notificación del incidente.
15 La herramienta permite visualizar todos los incidentes denominados delitos,
generados en la herramienta.
16 La herramienta permite visualizar los incidentes por categorías definidas por el
mismo SIEM
17 La herramienta permite visualizar los incidentes por ip ya sea esta de origen o
destino
18 La herramienta permite visualizar los incidentes por ubicación de la red
19 X La herramienta no permite registrar incidentes ya que estos son
automáticamente registrados en el sistema
20 X La herramienta permite asignar un incidente o delito a un usuario previamente
creado en el SIEM
21 X La herramienta permite filtrar los incidentes de acuerdo a los filtros del SIEM
22 X La herramienta permite filtrar los incidentes de acuerdo a los filtros del SIEM
23 X La herramienta asigna una magnitud al incidente esta magnitud está definida en
32
la regla creada o regla por default
24 X La herramienta asigna una credibilidad al incidente esta credibilidad está
definida en la regla creada o regla por default
25 X La herramienta asigna una gravedad al incidente esta gravedad está definida en
la regla creada o regla por default
26 X La herramienta permite visualizar todos los eventos que son parte del
incidente
27 X La herramienta registra la hora del primer evento y del último evento del
incidente.
28 X Si permite visualizar las notas registradas por usuarios
29 X La herramienta permite visualizar todos los eventos que son parte del
incidente
30 X La herramienta permite visualizar todos los eventos que son parte del
incidente
31 X La herramienta permite visualizar todos los eventos que son parte del
incidente
32 X La herramienta permite visualizar todos los eventos que son parte del
incidente
33 X La herramienta permite visualizar todos los eventos que son parte del
incidente
34 X El usuario puede agregar notas al incidente
35 X El usuario puede cerrar el incidente pero debe indicar el motivo para cerrar el
incidente
Elaborado por Vega L
3.3.5.3 MEJORA
Una vez implementado la Gestión de Eventos, La gestión de incidentes de acuerdo al
cumplimiento de las normativas y a la alineación de ITIL, COBIT e ISO e implementando el
ciclo de Deming con la investigación en acción podemos determinar que el plan de pruebas
generado en este ciclo será el último plan de pruebas después de las mejoras realizadas en el
CICLO 1, ya que cumple con el objetivo planteado de obtener un plan de pruebas que permita
evaluar las herramientas SIEM.
33
4 CÁLCULOS Y RESULTADOS
Implementando plan de pruebas en las dos herramientas obtuvimos los siguientes resultados:
Gestión de Eventos y Gestión Incidentes:
● QRADAR cumple con 33 de 35 ítems es decir cumple con un 94%
● OSSIM cumple con 34 de 35 ítems es decir cumple con un 97%
Figura 7. Resultado de Plan de pruebas en QRADAR
Elaborado por Vega L, Ortiz D
Figura 8. Resultado de Plan de pruebas en OSSIM
Elaborado por Vega L, Ortiz D
94%
6%
IBM Security QRADAR
SI
NO
Cumple Criterio Cumple Criterio
97%
3%
Alienvault OSSIM
SI
NO
Cumple Criterio
34
Podemos observar que no existe mucha diferencia en los resultados obtenidos, y podemos
concluir que las herramientas SIEM cumplen con las tres normativas propuestas, ITIL, COBIT e
ISO. Se ha determinado el plan de pruebas que permite evaluar este tipo de sistemas, para que
estén lo más apegadas a un marco de buenas prácticas de seguridad.
Resultados del Plan de Pruebas
La sesión descrita a continuación contiene los resultados del plan de pruebas implementado en
las herramientas SIEM utilizando las herramientas OSSIM Alien Vault y IBM Security
Qradar, que fue desarrollado con los objetivos de COBIT en la Gestión de mesa de servicio y
los incidentes, enfocándose en los objetivos DSS02.3 al DSS02.3.
A continuación se detalla el plan de pruebas final, indicando el objetivo de control de COBIT y
el proceso de ITIL:
COBIT: DSS02.3, ITIL: Detección de Eventos
1. ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog
de Servidores?
2. ¿Permite la herramienta SIEM colectar eventos mediante un agente o mediante syslog
de activos de la red?
3. ¿Puede definir una Jerarquía de red en la cual se detalle DMZ, VPN, Servidores, etc?
4. ¿Permite descubrir activos?
5. ¿Permite dar peso a cada uno de los activos de red?
COBIT: DSS02.3, ITIL: Filtrado de eventos
6. ¿Permite filtrar la actividad de los eventos?
COBIT: DSS02.3, ITIL: Significado de Eventos
7. ¿Permite definir un falso positivo en base a la IP de origen analizado por el
administrador de la herramienta?
8. ¿Permite definir un falso positivo en base a la IP de origen analizado por el
administrador de la herramienta?
COBIT: DSS02.3, ITIL: Correlación de Eventos
9. ¿Permite correlacionar eventos en base a atributos comunes?
10. ¿Permite correlacionar eventos de diferentes fuentes de datos?
11. ¿Tiene la herramienta una base de datos en la cual analiza sus eventos para determinar
un incidente?
35
12. ¿Permite generar una correlación de eventos en base a criterios definidos por el
administrador de la herramienta?
COBIT: DSS02.3, ITIL: Triggers
13. ¿Permite generar una alarma, mensaje advertencia que indique cuando ocurra una
secuencia de eventos correlacionados que conlleven a un incidente?
14. ¿Permite notificaciones?
COBIT: DSS02.3, ITIL: Identificación de Incidentes
15. ¿Permite identificar los incidentes después de una correlación de eventos?
16. ¿Permite identificar los incidentes por categoría de Incidentes?
17. ¿Permite identificar los incidentes por ip de origen o ip de destino?
18. ¿Permite identificar los incidentes por ubicación en la red?
COBIT: DSS02.3, ITIL: Log de incidentes
19. ¿Permite la herramienta registrar incidentes?
20. ¿Permite la herramienta asignar el incidente a un usuario del SIEM?
COBIT: DSS02.3, ITIL: Clasificación de incidentes
21. ¿Permite la herramienta clasificar los incidentes?
22. ¿Permite la herramienta clasificar los incidentes por filtros definidos por el usuario?
COBIT: DSS02.3, ITIL: Priorización de Incidentes
23. ¿Permite la herramienta dar una magnitud al incidente?
24. ¿Permite la herramienta dar una credibilidad al incidente?
25. ¿Permite la herramienta dar una gravedad al incidente?
26. ¿Permite la herramienta visualizar el total de eventos que desencadenaron el incidente?
27. ¿Permite la herramienta ver la duración del incidente?
COBIT: DSS02.4, ITIL: Investigación y diagnostico
28. ¿Permite la herramienta visualizar notas del incidente?
29. ¿Permite la herramienta visualizar orígenes o destinos de delito?
30. ¿Permite la herramienta visualizar por orígenes de registro de activos de la red?
31. ¿Permite la herramienta visualizar por usuarios asignados al incidente?
32. ¿Permite la herramienta visualizar el incidente por categoría de todos los eventos?
33. ¿Permite la herramienta visualizar el incidente por ubicación de la red donde ocurrió el
incidente?
COBIT: DSS02.5- DSS02.6, ITIL: Resolver, recuperar y Cerrar incidentes
34. ¿El usuario asignado el delito puede agregar notas al incidente?
35. ¿El usuario asignado puede cerrar el incidente?
36
4.1 DISCUSIÓN
Los resultados obtenidos con el plan de pruebas generado en base a las normativas COBIT,
ITIL e ISO podemos decir que: COBIT nos indica el QUE hacer, ITIL nos indica el CÓMO
hacer e ISO nos indica hasta donde podemos llegar, es decir el QUE HACER es Dar Soporte,
Servicio y Entregar, el COMO HACER es aplicar los procesos de ITIL de Gestión de Eventos
y Gestión de Incidentes de la fase de Operación, esto validando que la herramienta cumpla con
los estándares de gestión de la seguridad informática que no dice ISO 27002.
IBM Security QRADAR y OSSIM AlienVault cumplen el plan de pruebas esto se debe a que
las herramientas fueron creadas en base a la Gestión de eventos y Gestión de incidentes
cumpliendo con las normativas y estándares de COBIT, ITIL e ISO 27002.
De acuerdo a Gartner en su última publicación del 2015 donde posesiona a IBM Security
QRADAR en el primer cuadrante y como líder y OSSIM AlienVault en el cuarto cuadrante
como visionario, se puede refutar que la principal diferencia es el tipo de código de desarrollo
de cada herramienta siendo la una de código propietario y la otra de código abierto, además de
las características que tienen tanto en la implementación como en la administración, podríamos
otorgar la ventaja a IBM Security QRADAR en su diseño y sofisticación de correlación de
eventos.
37
CONCLUSIONES
Metodología
● El plan de pruebas elaborado es una recopilación de las buenas prácticas en la
Gestión de Eventos e Incidentes al momento de implementar un sistema de correlación
de eventos, determinando los parámetros que se debe tomar en cuenta para que la
herramienta brinde un mejor apoyo a la gestión de seguridad de la infraestructura
empresarial.
● Las dos herramientas cumplen con las normativas indicadas por COBIT, ITIL
e ISO, todas parten de la Gestión de Eventos y culminan en el cierre de incidentes que
es la Gestión de Eventos.
● Las dos herramientas se encuentran en el cuadrante de Gartner, QRADAR en el
cuadrante de los Líderes y OSSIM AlienVault en el cuadrante de los visionarios, esto
nos ayuda a identificar que las dos herramientas pueden ser utilizadas en beneficio de la
continuidad del negocio.
Herramientas
OSSIM
● La herramienta OSSIM de AlienVault responde de forma positiva a la
evaluación realizada, ofreciendo una visión amplia del entorno del negocio, cumpliendo
a cabalidad el funcionamiento básico de un sistema de correlación de eventos y
seguridad de la información, sobre todo entregando información de suma importancia
en las tareas de protección de la infraestructura.
● OSSIM si bien cumple con el plan de pruebas propuesto, su cumplimiento se ve
mermado a la gran cantidad de configuraciones que se debe realizar para personalizar la
herramienta de tal forma que esté alineado a las normativas consideradas en este
proyecto.
38
QRADAR
● IBM Security Qradar cumple satisfactoriamente el plan de pruebas
desarrollado, esto se debe a que ofrece una arquitectura unificada en la que se integran
la Gestión de Eventos y la Gestión de incidentes que nos indica en los proceso de ITIL,
cumpliendo de esta manera los Objetivos de control de COBIT, y manteniendo el
estándar de ISO 27002.
● La detección de eventos en IBM Security Qradar depende de la configuración
realizada para la recolección de los orígenes de registro, la ventaja que posee IBM
Security Qradar sobre otras herramientas es la detección de incidentes y anomalías ya
que posee una base de conocimiento sincronizada con IBM X-Force.
● IBM Security Qradar tiene reglas pre configuradas para correlación de eventos
e incidentes, dichas reglas se instalan inicialmente en el despliegue de la herramienta, lo
que facilita la configuración y administración de sucesos para el administrador de la
herramienta.
39
RECOMENDACIONES
● Se debe tomar en cuenta al momento de implementar un sistema de monitoreo
de gestión de eventos y seguridad de la información, cuáles son los activos de mi
empresa y darles una valoración respecto al impacto que pueda tener sobre la
continuidad del negocio. El sistema de correlación de eventos utiliza esta información
para realizar su análisis y brindar una mayor protección al entorno de tecnología,
permitiendo anticiparse a futuros incidentes y evitarlos antes que sucedan.
● Los encargados de seguridad de la información de las organizaciones antes de
elegir una herramienta SIEM, pueden usar el plan de pruebas desarrollado en este
proyecto para determinar si la herramienta elegida se alinea a los procesos de ITIL,
controles de COBIT y normas de ISO.
● Los encargados de seguridad de la información de las organizaciones para
elegir una herramienta SIEM, deben tener en cuenta, si inclinarse por una herramienta
código abierto que disminuya los costos comerciales pero el grado de implementación
es más alto frente a un herramienta código propietario que aumenten los costos
comerciales pero el grado de implementación es más bajos, es decir deben tomar una
decisión entre gasto frente a tiempo.
40
41
GLOSARIO
EVENTO: Ocurrencia identificada de un estado de un sistema, servicio o red que indica una
posible violación de la política de seguridad de la información, la falla de medidas de seguridad
o una situación previamente desconocida, que pueda ser relevante para la seguridad.
INCIDENTE DE SEGURIDAD: Cualquier evento que tenga, o pueda tener, como resultado la
interrupción de los servicios suministrados por un Sistema de Información y/o pérdidas físicas,
de activos o financieras. En otras palabras la materialización de una amenaza.
INFORMACIÓN: Conjunto de datos propios que se gestionan y mensajes que se intercambian
personas y/o máquinas dentro de una organización. La información da las pruebas de la calidad
y circunstancias en las que se encuentra la empresa.
VULNERABILIDAD: Cualquier debilidad en los Sistemas que pueda permitir a las amenazas
causarles daños y producir pérdidas.
AMENAZA: Cualquier evento que pueda provocar daño a la información, produciendo a la
empresa pérdidas materiales, financieras o de otro tipo.
RIESGO: Es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del
Sistema Informático, causando un impacto en la empresa.
SEGURIDAD DE INFORMACIÓN: Un conjunto de métodos y herramientas destinados a
proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un
proceso en el cual participan además personas.
INVESTIGACIÓN ACCIÓN: Se centra en generar cambios en una realidad estudiada y no
coloca énfasis en lo teórico. Trata de unir la investigación con la práctica a través de la
aplicación, y se orienta en la toma de decisiones y es de carácter ideográfico.
42
BIBLIOGRÁFICAS
1. GARTNER, K. M. (2015). Magic Quadrant for Security Information and Event
Management. Obtenido de http://www.gartner.com/technology/reprints.do?id=1-
2JNR3RU&ct=150720&st=sb
2. ISACA. (2008). Alineando Cobit 4.1, ITIL V3 e ISO/IEC 27002 en beneficio
del negocio. Madrid: Madrid. Obtenido de http://www.isaca.org
3. ISACA. (2012). Cambios de la nueva versión. Obtenido de
http://www.isaca.org/Groups/Professional-English/cobit-5-use-it-
effectively/Pages/ViewDiscussion.aspx?PostID=18
4. ISO27000. (s.f.). ISO2700. Obtenido de http://iso27000.es/iso27000.html
5. NICULAR, C. A. (22 de Abril de 2012). Proyecto de Investigación-Acción en
Sistemas de Información: Hacia una docencia y práctica Informática unificada
bajo la óptica de la gestión de proyectos bajo enfoque sistémico. Obtenido de
https://cestay.wordpress.com/2012/04/22/investigacion-accion-en-sistemas-de-
informacion-hacia-una-docencia-y-practica-informatica-unificada-bajo-la-
optica-de-la-gestion-de-proyectos-bajo-enfoque-sistemico-2011/
6. OSIATIS S.A. (s.f.). Ciclo de Deming . Obtenido de
http://itilv3.osiatis.es/proceso_mejora_continua_servicios_TI/ciclo_deming.php
7. OSIATIS S.A. (s.f.). osiatis.es. Obtenido de http://itil.osiatis.es
8. TEJEDOR, F. J., & GARCÍA VALCÁRCEL, A. (1996). Perspectivas de las
nuevas tecnologías en la educación.
43
ANEXOS
44
Anexo A
Esquema del procedimiento de evaluación de OSSIM
COBIT: Verificar, aprobar y cumplir con las solicitudes de servicio
1. ITIL: Detección de eventos, ISO 27002: Recopilación de evidencias
Figura 9. Detección de Eventos OSSIM
Elaborado por Ortiz D.
2. ITIL: Filtrado de eventos, ISO 27002: Notificación de puntos débiles de
la seguridad.
45
Figura 10. Filtros de eventos OSSIM
Elaborado por Ortiz D.
3. ITIL: Significado de Eventos, ISO 27002: Responsabilidades y
procedimientos
Figura 11. Definición de Falso Positivo OSSIM
Elaborado por Ortiz D.
4. ITIL: Correlación de Eventos, ISO 2702: Recopilación de evidencia
46
Figura 12. Correlación de eventos OSSIM
Elaborado por Ortiz D.
5. ITIL: Triggers
Figura 13. Disparadores OSSIM
Elaborado por Ortiz D.
6. ITIL: Identificación de Incidentes,
47
Figura 14. Detalle de una Alarma OSSIM
Elaborado por Ortiz D.
7. ITIL: Log de incidentes
Figura 15. Registro de un evento OSSIM
Elaborado por Ortiz D.
8. ITIL: Clasificación de incidentes
Figura 16. Clasificación de Alarmas OSSIM
Elaborado por Ortiz D.
9. ITIL: Priorización de Incidentes
48
Figura 17. Prioridad de los Incidentes OSSIM
Elaborado por Ortiz D.
10. ITIL: Investigación y diagnostico
Figura 18. Descripción de solución de un incidente en OSSIM
Elaborado por Ortiz D.
11. ITIL: Resolver, recuperar y Cerrar incidentes, ISO 27002: Aprendizaje
de los incidentes de seguridad de la información.
49
Figura 19. Seguimiento de Incidente OSSIM
Elaborado por Ortiz D.
50
Anexo B
Esquema de evaluación del plan de pruebas QRADAR
COBIT: Verificar, aprobar y cumplir con las solicitudes de servicio
1. ITIL: Detección de eventos, ISO 27002: Recopilación de evidencias
Figura 20 Creación de Orígenes de Registro
Elaborado por Vega L.
2. ITIL: Filtrado de eventos, ISO 27002: Notificación de puntos débiles de
la seguridad.
51
Figura 21 Filtrados de Logs recolectados
Elaborado por Vega L.
3. ITIL: Significado de Eventos, ISO 27002: Responsabilidades y
procedimientos
Figura 22 Creación de Falsos Positivos
Elaborado por Vega L.
4. ITIL: Correlación de Eventos, ISO 2702: Recopilación de evidencia
52
Figura 23 Reglas de QRADAR
Elaborado por Vega L.
5. ITIL: Triggers
Figura 24 Notificaciones de Reglas
Elaborado por Vega L.
6. ITIL: Identificación de Incidentes,
53
Figura 25 Detección de Incidentes o Delitos
Elaborado por Vega L.
7. ITIL: Log de incidentes
Figura 26 Asignación de Incidentes
Elaborado por Vega L.
8. ITIL: Clasificación de incidentes
54
Figura 27 Clasificación de Incidentes por categria
Elaborado por Vega L.
9. ITIL: Priorización de Incidentes
Figura 28 Características de Incidente
Elaborado por Vega L.
10. ITIL: Investigación y diagnostico
Figura 29 Agregación de Notas de incidentes
Elaborado por Vega L.
11. ITIL: Resolver, recuperar y Cerrar incidentes, ISO 27002: Aprendizaje
de los incidentes de seguridad de la información.
55
Figura 30 Cerrar Incidentes
Elaborado por Vega L.
Anexo C
Anexo D
Video herramienta OSSIM
Video herramienta QRADAR