Blog sobre la Gestión de TI

En este blog encontrarás información relevante acerca de temas relacionados con las soluciones de ManageEngine y TI. Es un medio importante para estar actualizado y encontrar respuestas a preguntas frecuentes.
Tamaño de fuente: +

¿Realmente está Segura tu Organización?

¿Realmente está Segura tu Organización?

Un gran porcentaje de las organizaciones en México no cuentan con la cultura de establecer un sistema de protección contra ataques a nivel de TI (Tecnologías de la Información); es posible que sí dispongan de algún tipo de vigilancia y conozcan que ocurre en sus sistemas de información de primera mano pero no tienen la capacidad de analizar la problemática o vulnerabilidades que ocurren dentro de su información confidencial y como consecuencia no tienen la capacidad de tomar decisiones adecuadas.

Actualmente muchas de las empresas se han preocupado por proteger a la organización y garantizar la seguridad mediante medidas estrictas como sistemas de vigilancia complejos y de acceso a la organización sin embargo ¿Realmente está protegidos de un verdadero ataque?

El problema de las bitácoras o logs es que contienen muchos datos y es difícil definir en forma manual cuales son importantes para la toma de decisiones y cuales no; en muchas ocasiones solamente son datos sobre la situación de seguridad de la empresa que pueden ser guardados o borrados sin la posibilidad de extraer conclusiones o decisiones que nos apoyen a evitar o mejorar la seguridad de nuestros sistemas.

Tomando en cuenta la norma ISO 27035, esta nos indica sobre la gestión de incidentes que debemos realizar una separación entre seguridad e incidente. Todo incidente es generado por un evento de seguridad pero no todo evento de seguridad se transforma en un incidente. En el terreno de la bitácoras nos movemos básicamente sobre el análisis de eventos que posteriormente hemos de decidir si son clasificados como incidentes.

En la siguiente imagen se muestran diferentes campos a gestionar y los separamos en tres áreas que atienden también a diferentes escenarios de acuerdo a su nivel de amenaza:

Gestion de Logs

Explicando a detalle los escenarios:

Personas

  • Escenario de la gestión de usuarios: Los eventos generados en este campo están relacionados con el ciclo de vida del usuario (Alta, baja, rol de permisos), los registros de acceso fallidos y con éxito, conexiones de usuarios con privilegios máximos.
  • Escenario de acceso a recursos: En este terreno los eventos a vigilar tienen que ver con los registros de auditoría de acceso del personal legítimo o interno sobre elementos muy protegidos que deben notificar cada intento de acceso a ellos para disponer de trazabilidad sobre el uso del recurso.

Recursos

  • Escenario del cambio en recursos TI: En este escenario los eventos más relevantes son los relacionados con la instalación de software, la actualización, los cambios relevantes para la seguridad sobre parámetros de configuración, la modificación de las directrices de auditoría y la deshabilitación de las medidas de seguridad instaladas. También se pueden controlar desde este escenario el funcionamiento de las medidas de seguridad como pueden ser la actualización de las firmas de patrones del antivirus, la aplicación de parches sobre los sistemas y los resultados de los chequeos de vulnerabilidades.
  • Escenario de los problemas detectados: los eventos vinculados con este escenario están relacionados con la monitorización del funcionamiento de los recursos, su disponibilidad, incidencias de caída o fallo de componentes, errores en los sistemas, errores en sistemas de copia de seguridad, alertas sobre la gestión de la capacidad, eventos de reinicio y parada de sistemas, etc.
  • Escenario de la actividad interna de nuestra red: en este terreno, los eventos a vigilar están relacionados con los patrones de comportamiento de nuestra red y nuestros usuarios, los protocolos más utilizados, el consumo de ancho de banda, el volumen de tráfico demandado y recibido, la carga de nuestras conexiones, etc.

Enemigos

  • Escenario del malware detectado: en este escenario, los eventos a vigilar deben provenir de las medidas de protección perimetral y antivirus. Se debe vigilar el número de infecciones recogido, los archivos en cuarentena, las estadísticas sobre el tipo de malware que se detecta (gusanos, troyanos, virus, hacking tools) así como la fuente de infección (descargas en la red, dispositivos USB, correo electrónico).
  • Escenario de la actividad externa sobre nuestra red: en este terreno, la información relevante proviene de las medidas de protección perimetral que inspeccionan el tráfico y que detienen aquellas peticiones que no superan la política de filtrado de tráfico y contenido. Sirve para poder detectar intentos de ataque, abusos sobre recursos accesibles desde el exterior, vulneración de las medidas de seguridad. Es necesario también atender a los volúmenes de información recibidos y salientes para detectar si hay elementos en la red interna comprometidos y que están siendo controlados desde el exterior.

Como conclusión podemos decir que una pieza esencial en la línea de seguridad y defensa de toda organización es el monitoreo y gestión de eventos de seguridad.

Existen soluciones que ayudan a SIEM que permiten monitorear y gestionar los registros del día a día sin necesidad de realizar la dolorosa tarea manual. Si desea conocer más sobre el monitoreo y gestión de bitácoras visite EventLog Analyzer.

¡Felíz IT Security!

El Juego de Culpar al Otro
Seguridad y protección del Active Directory

Artículos relacionados

Suscríbete al Blog