universidad central del ecuador facultad de … · sistemas de detección de intrusos aplicando la...
TRANSCRIPT
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA
CARRERA DE INGENIERÍA INFORMÁTICA
MODELO DE GESTIÓN DE SEGURIDAD A TRAVÉS DEL USOS DE
BUENAS PRÁCTICAS DE ITIL Y COBIT ENFOCADO A LOS
SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS) EN LAS
APLICACIONES INFORMÁTICAS DE LA COOPERATIVA DE
AHORRO Y CRÉDITO CHIBULEO.LTDA AGENCIA SANGOLQUI.
TRABAJO DE GRADUACIÓN PREVIO A LA OBTENCIÓN DEL
TÍTULO DE INGENIERO INFORMÁTICO
AUTOR:
MARCOS JAVIER OVIEDO DE MORA
TUTOR:
ING. MARIO RAÚL MORALES MORALES, MBA
QUITO – ECUADOR
2015
ii
DEDICATORIA
A Dios, ya que nunca me ha dejado solo y me ha dado fuerza y paciencia para
continuar con las metas que me he propuesto.
A mi Madre Romy De Mora, que con su constante esfuerzo para darme una educación,
me ha ayudado a seguir adelante, no rendirme y a tener la fuerza de superar todos los
obstáculos que la vida me impone.
A mis abuelitos Jaime de Mora y Nelly Moreno, ya que desde pequeño me inculcaron
principios y a ser perseverante en lo que uno quiere para conseguirlo con propio
esfuerzo.
A la Cooperativa de Ahorro y Crédito Chibuleo.Ltda, ya que me ha dado la oportunidad
y me ha brindado la ayuda necesario para la realización del proyecto en base a su
infraestructura.
iii
AGRADECIMIENTO
A las personas intervinientes en el proyecto como son los revisores y tutores por la
orientación brindada a lo largo del desarrollo del proyecto para que el proyecto finalice
de la mejor manera posible.
A la Universidad Central del Ecuador, ya que han sido años en los cuales me ha
brindado la infraestructura necesaria para continuar con mis estudios, con mi formación
tanto intelectual como humana.
A los profesores de la Facultad de Ingeniería Ciencias Físicas y Matemáticas por el
conocimiento impartido en el transcurso de la Carrera de Ingeniería Informática y
consejos de estudio.
ix
Contenido
DEDICATORIA .................................................................................................................................. ii
AGRADECIMIENTO ......................................................................................................................... iii
AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL .............................................................................. iv
CERTIFICACIÓN TUTOR ................................................................................................................... v
INFORME FINAL POR PARTE DEL TUTOR ....................................................................................... vi
RESULTADO DEL TRABAJO DE GRADUACIÓN ............................................................................... vii
LISTA DE FIGURAS ........................................................................................................................ xiii
RESUMEN ..................................................................................................................................... xiv
ABSTRACT ...................................................................................................................................... xv
CERTIFICADO DEL TRADUCTOR .................................................................................................... xvi
TÍTULO DEL TRADUCTOR............................................................................................................. xvii
INTRODUCCIÓN .............................................................................................................................. 1
CAPÍTULO 1 .................................................................................................................................... 2
1. PRESENTACIÓN DEL PROBLEMA ............................................................................................ 2
1.1 Planteamiento del Problema .............................................................................................. 2
1.2 Formulación del Problema .................................................................................................. 2
1.3 Objetivos .............................................................................................................................. 2
1.3.1Objetivo General ........................................................................................................... 2
1.3.2 Objetivo Específico ....................................................................................................... 2
1.4 Alcance del Proyecto ........................................................................................................... 3
1.5 Justificación del Problema .................................................................................................. 4
1.6 Limitaciones del Proyecto ................................................................................................... 4
CAPÍTULO 2 .................................................................................................................................... 5
2. ANTECEDENTES .......................................................................................................................... 5
2.1 MARCO TEÓRICO ..................................................................................................................... 5
2.1.1 Introducción a la seguridad informática ........................................................................ 5
2.2 SISTEMAS DE DETECCIÓN DE INTRUSOS .......................................................................... 10
2.2.1 ¿Qué es un Sistema de Detección de Intrusos? ........................................................ 10
2.2.2 Objetivos de los Sistemas de Detección de Intrusos ................................................ 11
x
2.3 FUNCIONAMIENTO DE LOS IDS ......................................................................................... 11
2.4 ¿POR QUÉ UTILIZAR UN IDS? ............................................................................................ 12
2.4.1 Prevenir problemas al disuadir a individuos hostiles. .............................................. 13
2.4.2 Detectar ataque y otras violaciones de seguridad .................................................... 13
2.4.3 Detectar preámbulos de ataques .............................................................................. 13
2.4.4 Documentar el riesgo de la organización .................................................................. 14
2.4.5 Proveer información útil sobre las intrusiones que se están produciendo. ............ 14
2.5 ARQUITECTURA DE LOS SISTEMAS DE DETECCIÓN DE INTRUSOS. .................................. 14
2.6 CLASIFICACIÒN DE LOS SISTEMAS DE DETECCIÒN DE INTRUSOS .................................... 16
2.6.1 Sistema de Detección de Intrusos basados en Red (NIDS) ....................................... 16
2.6.2 Sistemas de Detección de Intrusos basados en hosts (HIDS) ................................... 18
2.7 TPOS DE IDS EN FUNCIÓN DE SU ESTRUCTURA. .............................................................. 20
2.7.1 Distribuidos ................................................................................................................ 20
2.7.2 Centralizados .............................................................................................................. 21
2.8 TIPOS DE IDS EN FUNCIÓN DE SU COMPORTAMIENTO ................................................... 22
2.8.1 Pasivos (IDS) ............................................................................................................... 22
2.8.2 Activos (IPS) ................................................................................................................ 22
2.9 DETECCIÒN DE ANOMALÍAS ............................................................................................. 23
2.10 COMPARACIÒN CON CORTAFUEGOS ............................................................................. 24
2.11 DONDE COLOCAR UN IDS ................................................................................................ 24
2.11.1 En una Organización ................................................................................................. 25
2.11.2 En un ISP ................................................................................................................... 26
2.12 ACTUALIDAD EN LOS SISTEMAS DE DETECCIÒN DE INTRUSOS ..................................... 27
2.12.1 Sistemas Cisco .......................................................................................................... 27
2.12.2 Internet Security Systems (ISS) ................................................................................ 28
2.12.3 Symantec .................................................................................................................. 28
2.12.4 Enterasys .................................................................................................................. 29
2.13 ITIL .................................................................................................................................... 30
2.13.1 Que es ITIL? .............................................................................................................. 30
2.13.2 Gestión de Servicios TI ............................................................................................. 31
2.13.3 Gobierno TI ............................................................................................................... 33
2.13.4 El ciclo de vida de los servicios TI ............................................................................ 34
xi
2.13.5 Funciones, procesos y roles ..................................................................................... 36
2.14 COBIT ............................................................................................................................... 40
2.14.1 Visión General de COBIT .............................................................................................. 40
2.14.2 Un Marco de Negocio para el gobierno y la gestión de la TI de la Empresa .............. 42
2.14.3 Principios de COBIT ...................................................................................................... 45
CAPÍTULO 3 .................................................................................................................................. 48
3. MARCO METODOLÓGICO ........................................................................................................ 48
3.1 Diseño de la Investigación ................................................................................................ 48
3.2 Requerimientos y aplicaciones ......................................................................................... 49
3.3 Elección de herramientas a utilizar en el sistema ............................................................ 50
3.4 Protección del equipo ....................................................................................................... 52
3.5 ITIL utilizado en el desarrollo ............................................................................................ 53
3.5.1 Gestión de la Seguridad de la Información ................................................................... 53
3.5.2 Proceso ........................................................................................................................... 56
3.5.3 Política y Plan de Seguridad ........................................................................................... 57
3.5.4 Plan de Seguridad ........................................................................................................... 58
3.5.5 Aplicación de las Medidas de Seguridad ................................................................... 59
3.5.6 Evaluación y mantenimiento ......................................................................................... 60
3.5.7 Control del proceso ........................................................................................................ 61
3.6 COBIT ................................................................................................................................. 62
3.6.1 Satisfacer las Necesidades de las partes Interesadas ............................................... 62
3.6.2 Cubrir la Empresa de Extremo a Extremo ..................................................................... 68
3.6.3 Aplicar un Marco de Referencia Único Integrado ......................................................... 70
CAPÍTULO 4 .................................................................................................................................. 73
4. Aplicación de un Modelo de Gestión de Seguridad ITIL y COBIT en la Cooperativa de Ahorro y
Crédito Chibuleo Ltda. Agencia Sangolqui. .................................................................................. 73
4.1 Breve Reseña de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia Sangolqui.
................................................................................................................................................. 73
4.2 Instalación de las Herramientas a utilizar ........................................................................ 76
4.2.1 Instalación WinPcap ................................................................................................... 76
4.3 Modelo de Gestión de Seguridad ..................................................................................... 92
4.3.1 Consideraciones Generales ............................................................................................ 92
xii
4.3.2 Presentación del Modelo de Gestión de Seguridad ...................................................... 92
4.3.3 Estructura del Plan de Seguridad Informática ............................................................ 93
4.4 Políticas de Seguridad Informática ........................................................................................ 96
4.1 Creación de una política de seguridad ............................................................................... 96
4.5 Medidas y Procedimientos de Seguridad Informática ................................................... 101
4.6 Seguridad Física y Ambiental .......................................................................................... 102
4.7 Seguridad de Operaciones .............................................................................................. 103
4.8 Identificación, Autenticación y Control de Acceso ......................................................... 104
4. 9 Seguridad ante programas malignos ............................................................................. 104
4.10 Respaldo de Información .............................................................................................. 105
4.11 Seguridad en Redes ....................................................................................................... 105
4.12 Gestión de Incidentes de Seguridad ............................................................................. 105
CAPÍTULO 5 ................................................................................................................................ 107
5. CONCLUSIONES Y RECOMENDACIONES ................................................................................. 107
5.1 Conclusiones .................................................................................................................... 107
5.2 Recomendaciones ........................................................................................................... 107
REFERENCIAS BIBLIOGRÁFICAS .................................................................................................. 109
ANEXOS ...................................................................................................................................... 110
ANEXO A (Presupuesto) ........................................................................................................ 110
ANEXO B (Cronograma) ......................................................................................................... 112
ANEXO C ................................................................................................................................. 113
Muestra de Información obtenida sobre ataques o intentos de intrusiones .................... 113
TERMINOLOGÍA ..................................................................................................................... 116
xiii
LISTA DE FIGURAS
FIGURA 1 REPRESENTACIÓN DE SEGURIDAD INFORMÁTICA 6
FIGURA 2: DENEGACIÓN DE SERVICIO 7
FIGURA 3: INDAGACIÓN O EXPLORACIÓN 8
FIGURA 4: REMOTE TO LOCAL 9
FIGURA 5: USER TO ROOT 9
FIGURA 6: SISTEMA DE DETECCIÓN DE INTRUSOS 10
FIGURA 7: FUNCIONAMIENTO DE LOS IDS 12
FIGURA 8: IDS BASADOS EN RED 17
FIGURA 9: IDS BASADOS EN HOST 19
FIGURA 10: ESTRUCTURA DISTRIBUIDA 21
FIGURA 11: ESTRUCTURA CENTRALIZADA 21
FIGURA 12: DETECCIÓN DE ANOMALÍAS 23
FIGURA 13: COLOCACIÓN DE IDS EN UNA ORGANIZACIÓN 25
FIGURA 14: COLOCACIÓN DE UN IDS EN ISP 26
FIGURA 15: IDS CISCO 27
FIGURA 16: SYMANTEC GATEWAY SECURITY 320 – FIREWALL 29
FIGURA 17: ENTERASYS 29
FIGURA 18: LOGO DE ITIL 30
FIGURA 19: CICLO DE VIDA DE ITIL 35
FIGURA 20: LOGO DE COBIT 40
FIGURA 21: PRINCIPIOS DE COBIT 45
FIGURA 22: UBICACIONES DE IDS 49
FIGURA 23: LOGO SNORT 50
FIGURA 24: LOGO MYSQL 51
FIGURA 25: PANTALLA DE ANÁLISIS ACID 52
FIGURA 26: FASES DE LA GESTIÓN DE LA SEGURIDAD 54
FIGURA 27: GESTIÓN DE LA SEGURIDAD 55
FIGURA 28: PROCESO DE LA GESTIÓN DE SEGURIDAD 57
FIGURA 29: OBJETIVO DE GOBIERNO 62
FIGURA 30: CASCADA DE METAS COBIT 64
FIGURA 31: METAS CORPORATIVAS 65
FIGURA 32: METAS RELACIONADAS CON LAS TI 66
FIGURA 33: GOBIERNO Y GESTIÓN 69
FIGURA 34: PRODUCTOS COBIT 72
FIGURA 35: PANTALLA DE INSTALACIÓN WINCAP 76
FIGURA 36: ESTRUCTURA DE LA EMPRESA 100
xiv
RESUMEN
Modelo de Gestión de Seguridad a través del uso de buenas prácticas de ITIL y
COBIT enfocado a los Sistemas de Detección de Intrusos (IDS) en las
aplicaciones informáticas de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda
Agencia Sangolqui.
El Modelo de Gestión de Seguridad ITIL y COBIT con base en los Sistemas de
Detección de Intrusos para la Cooperativa de Ahorro y Crédito Chibuleo Ltda. Agencia
Sangolqui, ayuda a la organización a tener un nivel de seguridad controlado para que
la búsqueda de intrusiones sea eficiente y eficaz, el Sistema de Detección de Intrusos
siempre estará en busca de constantes intrusiones o ataques informáticos, que se
realicen a nivel de las aplicaciones o red de la empresa.
ITIL y COBIT brinda el nivel de confianza que se necesita para manejar de una mejor
manera la gestión y gobierno de los servicios de Tecnologías de información que tiene
la organización, por esto se debe dirigir al personal de la empresa para que tomen
mayor conciencia en base a la seguridad de la empresa y colaboren en su protección.
DESCRIPTORES:
SEGURIDAD DE LA INFORMACIÓN / ITIL / COBIT 5 / SISTEMA DE DETECCIÓN
DE INTRUSOS / INTRUSIONES DE RED / MONITOREO DE LA RED /
APLICACIONES INFORMÁTICAS / ATAQUES DE HACKING / RED DE LA
EMPRESA.
xv
ABSTRACT
Security management model through the use of best practices ITIL and COBIT
focused to the intrusion detection systems (IDS) in the computer applications of
the Cooperative of Savings and Credit Chibuleo.Ltda, Sangolqui Agency.
Security management model through the use of best practices ITIL and COBIT focused
to the intrusion detection systems (IDS) in the computer applications of the Cooperative
of Savings and Credit Chibuleo.Ltda, Sangolqui Agency, helps the organization to have
a security level controlled search for efficient intrusion and effective, the intrusion
Detection System is always looking for constant intrusions or computer attacks, carried
out at the level of the applications or enterprise network.
I ITIL and COBIT provides the level of trust that is needed for a better way to handle the
management and governance of information technology services that the organization
has, so should be directed to company personnel to take based awareness security of
the company and contribute to its protection.
KEY WORDS:
SECURITY INFORMATION / ITIL / COBIT 5 / INTRUSION DETECTION SYSTEM /
NETWORK INTRUSION / NETWORK MONITORING / APPLICATIONS SYSTEMS /
NETWORK SYSTEM
1
INTRODUCCIÓN
Desde la aparición de los sistemas informáticos con la funcionalidad de
proporcionar ayuda en los procesos de negocio de una organización, tenemos
la necesidad de mejorar, controlar y agilitar todos estos procesos; es por esta
necesidad que nace la inquietud acerca del estudio de investigación sobre los
Sistemas de Detección de Intrusos aplicando la guía de buenas prácticas para
la Gestión de Servicios TI ITIL y para Gobierno TI COBIT, con el único objetivo
de poder controlar y evaluar los procesos y seguridad de los sistemas
informáticos en las organizaciones.
Podemos decir que en la actualidad la Informática ha crecido con una rapidez
impresionante y se encuentra presente desde una pequeña organización hasta
la más importante y grande de un país, es por esto que la Informática se ha ido
involucrando en las organizaciones tanto en el área administrativa como el área
operativa para proveer de seguridad a las mismas.
La Informática está encargada de proteger activos digitales dentro de la
organización, tales como información confidencial, accesos a sus computadores
de trabajo, archivos de clientes y otros elementos propios de las
organizaciones.
Es por esta razón y necesidad que se han creado metodologías, herramientas y
técnicas que nos sean de utilidad para poder asegurar o salvaguardar la
información o los datos importantes de las organizaciones; este es uno de los
puntos que se puede evaluar al realizar un estudio acerca de la Detección de
Intrusos y así proceder a otorgar la respectiva documentación para realizar la
seguridad de los datos de una organización.
Con el nacimiento de la Seguridad Informática se da cumplimiento a los
objetivos de los sistemas informáticos en cuanto a la integridad, disponibilidad y
confidencialidad de la información para poder realizar de una manera eficaz y
eficiente el manejo de las tecnologías de información
2
CAPÍTULO 1
1. PRESENTACIÓN DEL PROBLEMA
1.1 Planteamiento del Problema
El siguiente modelo de gestión de seguridad se presenta con motivo de que se ha
encontrado muy poca información acerca de la aplicación de ITIL (Information
Technology Infrastructure Library) y COBIT (Control Objectives for Information and
Related Technologies), para la detección de intrusos a nivel tecnológico en la
cooperativa de ahorro y crédito Chibuleo Ltda. Agencia Sangolqui.
1.2 Formulación del Problema
A medida de que se han detectado intentos de ataques o intrusiones para acceder a
información confidencial de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda que se
encuentra en las aplicaciones informáticas o en la red de la empresa, se ha dado la
necesidad de realizar un Modelo de Gestión de Seguridad mediante el uso de ITIL y
COBIT enfocado a los Sistemas de Detección de Intrusos que nos ayudará a
determinar y controlar los riesgos de la seguridad de la información en la Cooperativa.
1.3 Objetivos
1.3.1Objetivo General
Elaborar un Modelo de Gestión de Seguridad mediante el uso de un Sistema de
Detección de Intrusos en las aplicaciones informáticas preinstaladas en la Cooperativa
de Ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui.
1.3.2 Objetivo Específico
Para poder cumplir con el objetivo general planteado tenemos los siguientes objetivos
específicos:
Determinar las aplicaciones informáticas existentes que presenten un mayor
riesgo de seguridad de la información.
Definir el modelo de gestión de seguridad mediante las técnicas de ITIL y
COBIT que describan la gestión de procesos y una guía de buenas prácticas de
gestión de servicios TI.
3
Aplicar ITIL y COBIT en el modelo de gestión de seguridad planteado.
1.4 Alcance del Proyecto
El presente modelo de gestión de seguridad sobre el uso de buenas prácticas
de ITIL 2011 y COBIT 5 enfocado a los sistemas de detección de intrusos,
pretende servir como guía teórica y práctica para poder realizar su aplicación en
los sistemas informáticos y utilizarlo en la cooperativa de ahorro y crédito
Chibuleo Ltda. Agencia Sangolqui, ya que en esta cooperativa se tiene un
mayor riesgo de seguridad informática, por ser del ámbito financiero.
Al hacer el estudio se realizará la parte de análisis de la información de donde
obtendremos la manera en que trabaja la cooperativa de ahorro y crédito
Chibuleo Ltda. Agencia Sangolqui.
El modelo de gestión de seguridad contará con la elaboración de un informe en
donde se presentan las situaciones más destacadas durante la investigación,
las cuales vendrán hacer las dificultades encontradas y las partes de mayor
interés que aportan al modelo de gestión de seguridad que se realizará.
En el informe se presentarán las conclusiones y recomendaciones que se han
obtenido a lo largo del desarrollo del modelo de gestión de seguridad las cuales
se presentarán a la Cooperativa de Ahorro y Crédito Chibuleo Ltda. Agencia
Sangolqui.
Se conocerá de qué manera podemos aplicar ITIL 2011 y COBIT 5 en los
sistemas de detección de intrusos, para otorgar una mayor seguridad
informática a la cooperativa de ahorro y crédito Chibuleo Ltda. Agencia
Sangolqui.
El Modelo de Gestión de seguridad por parte de ITIL 2011 se enfocará en la
Gestión de seguridad.
El Modelo de Gestión de seguridad por parte de COBIT 5 se enfocará en:
Satisfacer las necesidades de las partes interesadas.
4
Cubrir la organización de forma integral.
Aplicar un solo marco Integrado.
1.5 Justificación del Problema
La Cooperativa de ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui se encuentra
sujetas a riesgos, vulnerabilidades, imprevistos naturales en su información, ya que
manejan grandes volúmenes de datos confidenciales de sus clientes y de la propia
cooperativa y también atienden de forma independiente las operaciones de distintos
usuarios u organizaciones, es por esto que se requiere un mayor nivel de seguridad, en
los usuarios, en la cooperativa y en la forma de manejar la información a nivel general.
Por eso que se ha dado la necesidad de elaborar un modelo de gestión de seguridad
en base a ITIL y COBIT enfocado en los sistemas de detección de intrusos con
procedimientos y métodos a seguir con el fin de ayudar a tener mayor seguridad en la
parte informática, teniendo en cuenta dicho estudio como una guía teórica y práctica
para que la Cooperativa de ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui, pueda
aplicar una metodología adecuada, eficaz y eficiente para realizar un correcto manejo
de la seguridad tanto internamente como externamente.
1.6 Limitaciones del Proyecto
El proyecto solo se basará en ITIL (Information Technology Infrastructure
Library), COBIT (Control Objectives for Information and Related
Technologies) y los IDS (Sistemas de Detección de Intrusos).
El proyecto se elaborará en base a la Cooperativa de Ahorro y Crédito
Chibuleo Ltda. Agencia Sangolqui.
5
CAPÍTULO 2
2. ANTECEDENTES
En investigaciones que se han realizado anteriormente se observó que el desarrollo
solo se ha realizado en base a los Sistemas de Detección de Intrusos como en la
investigación del señor Emilio José Mira Alfaro en el año 2008.
El objetivo del trabajo fue Instalar un Sistema de Detección de Intrusos (IDS) en la
Universidad de Valencia dela mano de Red IRIS, la red académica española queda
acceso de internet a la mayoría de las universidades de España.
La relación que tiene el trabajo antes mencionado con él estudió que se va a realizar
es que mediante los IDS vamos a tener la información de intrusiones y ataque que se
estén intentando realizar a la Cooperativa de Ahorro y Crédito Chibuleo.Ltda, pero la
diferencia que tenemos es que dicha información nos va a servir de ayuda para aplicar
ITIL y COBIT como guías para la creación del Modelo de Gestión de Seguridad
planteado.
2.1 MARCO TEÓRICO
2.1.1 Introducción a la seguridad informática
La seguridad informática es el área de la informática que se enfoca en la protección de
la infraestructura computacional y todo lo relacionado con esta y, especialmente, la
información contenida o circulante. Para ello existen una serie de estándares,
protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la información. La seguridad informática
comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la
organización valore (activo) y signifique un riesgo si esta información confidencial llega
a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.
La RAE (Real Academia Española de la Lengua) define la palabra seguridad como
cualidad de lo seguro, es decir que se está exento de todo daño, peligro o riesgo.
Ahora desde el punto de vista de la informática afirmar que un sistema informático es
seguro está más cerca de la utopía que de la realidad es por eso que debemos hablar
de fiabilidad en lugar de seguridad. La fiabilidad la entendemos como la probabilidad
6
de que un dispositivo sea cualquiera este, desarrolle una determinada función, bajo
condiciones óptimas y durante un período de tiempo determinado.
Se puede considerar un sistema informático seguro si cumple con las siguientes
características:
Figura 1 Representación de Seguridad Informática
Confidencialidad: La información solo debe ser legible para los autorizados.
Integridad: La información solo puede ser modificada por quien está
autorizado.
Disponibilidad: La información debe estar disponible cuando se necesite.
Irrefutabilidad (No rechazo, No repudio): Que no se pueda negar la autoría.
En la actualidad la conectividad que se maneja es muy rápida y de muy buena calidad
en las empresas y hasta los propios usuarios dan cabida a una gran cantidad de datos
y su crecimiento es imparable, actualmente los atacantes son personas muy
preparadas llegando a ser muchos de ellos expertos en buscar vulnerabilidades de los
sistemas. Y a todo esto se suman el aspecto de cómo están configurados los sistemas,
falta de recursos para instalar los parches de seguridad necesarios.
Son por todas estas razones que es necesario enseñar desde el contexto de la
seguridad informática, para poder entender cuan necesario es tener políticas y
procedimientos de seguridad de primera línea, como pueden ser los cortafuegos, la
encriptación de datos, antivirus, anti spyware etc., en esta primera línea todas estas
7
defensas deben ser complementadas con herramientas que permitan monitorizar el
comportamiento del tráfico y las actividades de los usuarios de red. Es en esta área y
situación que surgen los Sistemas de Detección de Intrusos, como uno de los campos
más investigados en los últimos años.
A continuación tenemos cuatro tipos de ataques en los que los Sistemas de Detección
de Intrusos nos ayudan a detectar:
Denegación de Servicio: Estos ataques tratan de detener el funcionamiento de una
red, máquina o proceso; en caso contrario denegar el uso de los recursos o servicios a
usuarios autorizados. Hay dos tipos de ataques DoS: por un lado ataques de sistema
operativo, los cuales tratan de explotar los fallos en determinados sistemas operativos
y pueden evitarse aplicando los respectivos parches y ataques de red que explotan
limitaciones inherentes de los protocolos e infraestructura de red.
Figura 2: Denegación de Servicio
8
Indagación o Exploración: Este tipo de ataques escanean las redes tratando de
identificar direcciones IP válidas y recoger información acerca de ellas. A menudo, esta
información provee al atacante una lista de vulnerabilidades potenciales que podrían
ser utilizadas para cometer ataques a los servicios y a las máquinas. Estos ataques
son los más frecuentes y a menudo son precursores de otros ataques.
Figura 3: Indagación o Exploración
R2L (Remote to Local): Este tipo de ataque se produce cuando un atacante que no
dispone de una cuenta alguna en una máquina. En la mayoría de los ataques R2L, el
atacante entra en el sistema informático a través del internet.
9
Figura 4: Remote to Local
U2R (User to Root): Este tipo de ataque se da cuando un atacante que dispone de
una cuenta en un sistema informático es capaz de obtener mayores privilegios
explotando vulnerabilidades en los mismos, un agujero en el sistema operativo o en un
programa instalado en el sistema.
Ante estas amenazas se dio la necesidad de definir diferentes estrategias para
garantizar la confidencialidad, integridad y disponibilidad y el no repudio de la
información.
Figura 5: User to Root
10
2.2 SISTEMAS DE DETECCIÓN DE INTRUSOS
2.2.1 ¿Qué es un Sistema de Detección de Intrusos?
Un sistema de detección de intrusiones (IDS de sus siglas en inglés Intrusion Detection
System) es un programa de detección de accesos no autorizados a un computador o a
una red.
Un Sistema de Detección de Intrusos es una herramienta de seguridad encargada de
monitorizar los eventos que ocurren en un sistema informático en busca de intentos de
intrusión.
Figura 6: Sistema de Detección de Intrusos
Se define intento de intrusión a los ataques que puedan comprometer la
confidencialidad, disponibilidad, integridad de los mecanismos de seguridad que se
tenga en una computadora o red.
Los ataques o intentos de intrusiones se pueden dar de varias maneras como
por ejemplo:
Atacantes no autorizados que intenta acceder al sistema.
Usuarios autorizados que intentan obtener privilegios adicionales para los
cuales no están autorizados.
11
Usuarios que si están autorizados pero no dan buen uso de los privilegios que
se le han otorgado para el uso del sistema.
Atacantes que quieren acceder al sistema desde internet, mediante
herramientas específicas para lograr la intrusión.
2.2.2 Objetivos de los Sistemas de Detección de Intrusos
Para el buen funcionamiento de los Sistemas de Detección de Intrusiones, es
necesario que cumplan con los objetivos que tienen asignados, estos consisten en el
cumplimiento de los siguientes puntos:
Vigilar y analizar la actividad de los usuarios y del sistema.
Revisar las configuraciones del sistema y de las vulnerabilidades.
Evaluar la integridad de los archivos críticos del sistema y de los datos.
Reconocimiento de los modelos de la actividad que reflejan ataques conocidos.
Análisis estadístico para los modelos anormales de la actividad.
Gerencia del rastro de intervención del sistema operativo, con el reconocimiento de
las violaciones de la actividad del usuario respecto a la política establecida.
Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de la
organización.
La combinación de estas características hace que sea más fácil para los encargados
del sistema, vigilar la intervención y la evaluación de sus sistemas y redes. Esta
actividad en curso de la intervención y de la evaluación, es una práctica necesaria de
una sana gerencia de seguridad.
2.3 FUNCIONAMIENTO DE LOS IDS
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del
tráfico de red, el cual al no entrar al analizador es comparado con firmas de ataques
conocidos, o comportamientos sospechosos, como no puede ser el escaneo de
puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino
que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es
incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en
un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una
herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo
12
del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser
bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso
fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de
un ataque o intento del mismo.
Figura 7: Funcionamiento de los IDS
2.4 ¿POR QUÉ UTILIZAR UN IDS?
Los Sistemas de Detección de Intrusiones ayudan y permiten a las organizaciones
proteger el software que tengan en una computadora o una red de intrusos o
atacantes que pretendan acceder a la información confidencial de la empresa y así
poder vulnerar la integridad y disponibilidad de la misma.
Los IDS con el tiempo han ido ganando mucha aceptación en la infraestructura de
seguridad como una parte fundamental que brinda protección a una organización.
Existen varias razones para obtener e implementar un IDS:
13
2.4.1 Prevenir problemas al disuadir a individuos hostiles.
Al incrementar la posibilidad de descubrir y eliminar a los atacantes, estos mismos se
darán cuenta de cuán difícil es realizar una intrusión de forma que la mayoría de
ataques no llegarán a producirse o lograrse. Al mismo tiempo al tener un sistema de
seguridad sofisticado o muy bien implementado en la organización, puede aumentar la
curiosidad del atacante y en este caso esto puede estar en nuestra contra ya que el
atacante no se rendirá hasta no concretar su ataque.
2.4.2 Detectar ataque y otras violaciones de seguridad
Los atacantes, usando técnicas ampliamente conocidas, pueden conseguir accesos no
autorizados a muchos sistemas, especialmente a aquellos conectados a redes
públicas. Esto a menudo ocurre cuando vulnerabilidades conocidas no son corregidas.
En algunos sistemas heredados, los sistemas operativos no pueden ser
parchados o actualizados.
Incluso en los sistemas que podemos aplicar parches, los administradores a
veces no tienen el suficiente tiempo y recursos para seguir e instalar las últimas
actualizaciones necesarias. Esto es un problema común, sobre todo en
entornos que incluyen un gran número de hosts con sistemas operativos y
hardware variado.
Los usuarios y administradores pueden equivocarse al configurar sus sistemas.
Un sistema de detección de intrusos puede ser una excelente herramienta de
protección de sistemas, también se puede detectar cuando un atacante ha intentado
penetrar en un sistema explotando un fallo no corregido. De esta forma, podríamos
avisar al administrador para que llevara a cabo un respaldo del sistema
inmediatamente, evitando así que se pierda información valiosa.
2.4.3 Detectar preámbulos de ataques
Cuando se ataque un sistema se lo realiza por las partes más predecibles realizando
varias pruebas. En la primera fase el atacante examina y hace pruebas para buscar el
punto de entrada más frágil y óptimo para el ataque, cuando no tenemos un IDS en
nuestra red o sistema el atacante es libre de examinar el sistema o red con un riesgo
mínimo de ser detectado.
14
Al tener un IDS monitorizando las operaciones que realiza una red o sistema de una
organización se va a presentar mucha dificultad de que el atacante encuentre un punto
débil para poder entrar.
Y aunque el atacante pueda examinar la red, el IDS podrá saber que pruebas se
realizaron y las identificará como sospechosas, podrá bloquear el acceso del atacante
al sistema objetivo y dará aviso al personal de seguridad de lo que ha sucedido para
que este tome medidas y acciones pertinentes.
2.4.4 Documentar el riesgo de la organización
Al realizar un política de seguridad para la organización o un plan para la gestión de la
seguridad de la misma primero debemos conocer cuan alto es el riesgo de la
organización a posibles amenazas o la probabilidad de ser atacada o si incluso ya está
siendo atacada.
El Sistema de Detección de Intrusos nos ayuda a reconocer amenazas fuera y dentro
de la organización para ayudarnos a tomar decisiones acerca de que recursos de
seguridad debemos implementar en nuestra red y que grado de seguridad debemos
adoptar al crear un plan de política de seguridad.
2.4.5 Proveer información útil sobre las intrusiones que se están produciendo.
Los IDS son capaces de recolectar información importante acerca de los ataques que
se han intentado realizar o se han realizado, esto nos puede ayudar bajo ciertas
circunstancias como pruebas en actuaciones legales.
2.5 ARQUITECTURA DE LOS SISTEMAS DE DETECCIÓN DE INTRUSOS.
Tenemos diferentes tipos de arquitecturas, pero la mayoría de ellas no se las pone en
práctica. Esto da paso a que los fabricantes de los IDS no se acoplen a una sola
arquitectura y se pueda interoperar entre varios productos de IDSs, entonces si es que
no existe un solo producto con el cual podamos realizar todo lo que se necesita es
mejor utilizar distintos productos que trabajen juntos para poder aumentar nuestra
capacidad de detección de intrusos.
Es así que para que estos productos funcionen juntos debemos aplicar estándares,
tenemos varios estándares los cuales se los indica a continuación:
15
CIDF (Common Intrusion Detection Framework)
Este estándar fue unos de los primeros en querer realizarse para la arquitectura de los
IDS, pero no logró su aceptación como estándar, pero logró establecer un modelo y un
vocabulario para discutir sobre las intrusiones.
CISL (Common Intrusion Specification Language)
El Lenguaje de especificaciones de Intrusiones Común viene de la necesidad de unir
los cuatro tipos de equipos de CIDF., al diseñar este tipo de arquitectura debía ser
capaz de transmitir los siguientes tipos de información eventos en bruto, resultado de
análisis y respuestas de los análisis.
Autopost de AusCERT
El CERT australiano desarrolló un sistema de trabajo sencillo que permitía que se
analizara y se agregara un informe en una base de datos con tan solo un par de líneas
de Perl.
Este Sistema es muy sencillo de construir y analizar tiene muy buena interoperabilidad,
pero también tiene un problema y es que los sistemas de detección de intrusos
necesitan una gran especificación al momento en que ocurren los ataques (una
fidelidad alta) acerca del evento sucedido y donde se localiza.
Arquitectura de IDWG (Intrusion Detection Working)
Está arquitectura tiene como objetivo el de definir formatos y procedimientos de
intercambio de información entre los diversos subsistemas del IDS.
Los resultados de este grupo de trabajo serán:
1. Documentos que describan los requerimientos funcionales de alto nivel
para la comunicación entre sistemas de detección de intrusos y entre los
sistemas de detección de intrusos y sus sistemas de gestión.
2. Un lenguaje común de especificación que describa el formato de los datos.
16
3. Un marco de trabajo que identifique los mejores protocolos que se puedan
usar para la comunicación entre los IDSs y que se defina como se mapean
en éstos los formatos de datos.
2.6 CLASIFICACIÒN DE LOS SISTEMAS DE DETECCIÒN DE
INTRUSOS
Hay algunas formas de clasificar a los Sistemas de Detección de Intrusos:
Fuentes de Información
Hay distintas maneras de las que un IDS pueden recoger información o eventos que
han sucedido, la una es mediante IDSs que analizan paquetes de Red, capturados
directamente desde la red o segmentos LAN y la otra es mediante IDSs que analizan el
sistema operativo, software de aplicaciones en busca de eventos que se han generado
al momento de que un intruso a querido ingresar al sistema.
2.6.1 Sistema de Detección de Intrusos basados en Red (NIDS)
Los IDSs basados en red son los más conocidos y utilizados, estos IDSs trabajan
detectando ataques, analizando y escuchando los paquetes de red para tener capturas
de las partes en las que se intentó realizar la intrusión, un NIDS puede realzar un
monitoreo del tráfico que afecta a múltiples hosts que se encuentran conectados a ese
segmento de red y así lograr proteger a estos hosts tomando prevenciones.
Estos IDSs que se basan en el análisis de la red a menudo tiene un conjunto de
sensores por todo los puntos de la red para así poder localizar e informar que se está
realizando un ataque, también esto funciona para monitorear el tráfico realizando
análisis local y al mismo tiempo informando los ataque que se producen a la consola
de gestión.
La mayoría de los sensores son configurados y diseñados para correr en modo oculto,
esto hace que sea más difícil para el atacante poder detectar y localizar la presencia de
una de estos sensores. Al estar los sensores limitados a ejecutar el software de
detección de intrusos pueden ser más fácilmente asegurados contra los atacantes y
los ataques que realicen.
17
Figura 8: IDS basados en red
Ventajas:
Los NIDS son normalmente dispositivos pasivos por esta razón no tiene
un gran impacto en la red y por lo tanto al momento en que la red realice
sus operaciones habituales este no interfiere con la misma.
Un Sistema de Detección de Intrusos bien ubicado puede monitorear un
red grande, siempre que el IDS cuente con la capacidad suficiente para
poder analizar todo el tráfico.
Los Sistemas de Detección de Intrusos se los puede configurar para
que sean muy seguros ante los ataques ya que se los pueden hacer
invisibles al resto de la red en la que se encuentra.
Desventajas:
Los IDSs tienen un problema con la información cifrada ya que no la
analizan esto es un problema cuando la organización utiliza cifrado en
18
el propio nivel de red entre host, pero esto se puede resolver con una
política de red más relajada como por ejemplo IPSec en modo túnel.
Los IDS al estar en una red muy grande o con mucho tráfico pueden
fallar en reconocer ataques o intrusos durante el tiempo en que haya
tráfico muy alto en la red, por eso algunos fabricantes están
implementando IDSs completamente en hardware ya que esto es mucho
más rápido para este tipo de tráfico.
Los IDS que operan en nivel de red no saben si el ataque tuvo éxito o no
lo único que saben es que hubo un ataque, esto significa que después
de que se ha detectado un ataque los administradores deben analizar
manualmente cada host que se ha atacado para detectar si hubo
penetración en la red y si tuvo éxito o no.
Algunos IDS tienen problemas ala analizar paquetes que vienen
fragmentados ya que esto hace que sea inestable el análisis de
intrusión.
2.6.2 Sistemas de Detección de Intrusos basados en hosts (HIDS)
Este tipo de IDS fueron los primeros en desarrollarse y en ser implementados, estos
IDS operan desde dentro de una computadora en base a la información recogida
como son los ficheros de auditoría del sistema operativo, al realizar este tipo de
análisis el IDS determina con una mayor exactitud que usuarios y que procesos han
sido involucrados para realizar un ataque en particular dentro de su sistema sin que se
dieran cuenta.
Lo HIDS pueden monitorizar directamente los ficheros de datos, procesos y al
mismo tiempo ver el resultado de una ataque interno, por otra parte esto no lo
realice un NIDS.
Ventajas:
Al tener la capacidad de monitorear directamente sobre el host atacado
pueden detectar los ataques mucho mejor, un IDS no puede observar
estos ataques.
También los HIDS puede operar en entornos donde el tráfico se
presenta en forma cifrada, esto se da por que la información es
analizada en el host de origen antes de que se cifre los datos y también
19
la pueden analizar después de que los datos sean descifrados en el
host de destino.
Desventajas:
Si el host al que se está realizando un ataque puede ser deshabilitado si
es que el ataque realizado tuvo éxito, aunque este host se encuentre
monitorizado.
Se puede deshabilitar por algunos ataques DoS.
Influyen en el sistema monitorizado ya que utilizan recursos del host
que se encuentra monitorizando a los demás.
El costo de un IDS basado en host es más costoso en cuanto a la
administración por el hecho en que la configuración y gestión se la
realiza uno por uno, se tiene un IDS por cada sistema que se
monitoriza. Mientras que en los NIDS se tiene un IDS por múltiples
sistemas monitorizados.
Figura 9: IDS basados en host
20
2.7 TPOS DE IDS EN FUNCIÓN DE SU ESTRUCTURA.
La clasificación que se presenta está basada en las estrategias de control que utiliza el
IDS. Y es por eso que tenemos dos tipos de estructuras: distribuidos y centralizados.
2.7.1 Distribuidos
Los Sistemas de Detección de Intrusos Distribuidos aparecieron con el fin de paliar las
deficiencias de los sistemas centralizados, ya que en algunas estructuras de red no se
puede analizar todo el tráfico en un solo punto sin producir una degradación en el
rendimiento.
Para estos casos instalamos sistemas distribuidos, estos sistemas disponen de varios
sensores que están repartidos en varios puntos de red y diversas máquinas, todo esto
se comunica con un nodo central a este nodo se envía toda la información relevante y
donde los datos se analizan para tener una visión más amplia acerca del sistema
como conjunto y así poder detectar con mayor fiabilidad los ataques de los intrusos.
Como se tiene varios sensores esto permite ampliar la información para la detección de
un incidente en el sistema. Este tipo de IDS nos ayuda más a monitorizar la actividad
entre varias redes ya sí podemos tener una visión global.
Los componentes habituales de un IDS son:
Transceptores que se encargan de la comunicación.
Agentes que monitorizan la actividad.
Maestros que centralizan los datos.
La consola de eventos, que es el interfaz con el operador.
Otros componentes como: generadores, proxies, actores, clusters.
21
Figura 10: Estructura Distribuida
En el esquema anterior podemos observar los elementos de un sistema distribuido.
En primer lugar está la consola de eventos (E), y posteriormente aparece un maestro
(M) y cinco transceptores que constituyen cinco subsistemas (T). Cada subsistema
está compuesto por un número determinado de agentes (A).
2.7.2 Centralizados
Estos IDS emplean sensores que transmiten información a un sistema central desde
donde se controla todo. Así se ahorra equipamiento pero manteniendo un amplio
conjunto de sensores desde donde se recoge la información.
Figura 11: Estructura Centralizada
22
2.8 TIPOS DE IDS EN FUNCIÓN DE SU COMPORTAMIENTO
Los IDS se clasifican en función de las tareas que realizan. Estas tareas son
principalmente la prevención y la reacción.
IDS Pasivos: realizan la prevención escuchando el tráfico.
IDS Activos: elaboran respuestas defensivas antes del ataque.
2.8.1 Pasivos (IDS)
Estos IDS realizan la función de notificar a la autoridad competente o al administrador
de la red que hubo un intento de ataque mediante el sistema que sea: alerta, log, etc.
Pero no actúan sobre el ataque o el atacante.
Estos IDS solamente se dedican a a procesar la información en busca de intrusos, una
vez que se encuentra con una intruso o un intento de intrusión el IDS emite una alerta y
deja que el operador o administrador de la red tome una decisión para realizar una
acción en consecuencia a la intrusión, este sistema carece de las unidades de
respuesta.
2.8.2 Activos (IPS)
IPS, Sistema de Prevención de Intrusos se está publicando para la solución a las
empresas, lo que realiza un IPS es responder a las alertas de intrusos a medida en que
se van generando, para realizar esto lo realizamos en conjunto común cortafuegos o
un router para escribir las reglas personalizadas en el momento en que se genera un
problema podemos bloquear las direcciones ip sospechosas o se puede contratacar al
sistemas que quiere realizar la intrusión.
Estos sistemas proporcionan respuestas que son automatizadas, se toman al momento
en que se generan cierto tipo de intrusiones, tenemos tres categorías de respuestas
activas:
Incrementar la sensitividad de las fuentes de información: ya que se tiene
información sobre los ataques se podría incrementar el nivel de sensitividad de
las fuentes de información, debemos incrementar el número de paquetes que
debe capturar un NIDS no restringirlo solamente a un puerto o una
computadora, esto va a permitir a nuestra organización tener una mayor
cantidad de información para poder capturar a un atacante.
23
Cambiar el ambiente: Esto consiste en detener un ataque en progreso, a
través de la reconfiguración de dispositivos como routers o sistemas de
protección perimetral para bloquear el acceso del atacante.
Tomar acciones contra el atacante: Esta parte es en la que podemos lanzar
ataque directamente al intruso para obtener información de la computadora que
nos está atacando, o el sitio en donde se encuentra el atacante. Sin embargo
este tipo de respuesta no se recomienda ya que la mayoría de los atacantes
realizan ataques desde redes falsas
2.9 DETECCIÒN DE ANOMALÍAS
La detección de anomalías se centra en identificar comportamientos inusuales en un
host o una red, basan su funcionamiento asumiendo que los ataques que se producen
son diferentes a la actividad normal en base a la construcción de perfiles que
representan el comportamiento normal de usuarios, conexiones de red o hosts, para
realizar estos perfiles se lo hace mediante la recolección de datos a lo largo del uso
normal de las operaciones que se realizan, estos detectores de anomalías recogen
eventos y usan medidas para saber cuándo la actividad que se está monitorizando se
desvía de una actividad normal .
Figura 12: Detección de Anomalías
Las medidas y técnicas usadas en la detección de anomalías incluyen:
Detección de un umbral sobre los comportamientos de un usuario como son el
número de intentos en el que intento acceder a un fichero en un tiempo
establecido, la cantidad de uso de CPU que se utiliza para un proceso, el
número de intentos fallidos para entrar al sistema, etc. Estos niveles pueden ser
estáticos o heurísticos.
Medidas estadísticas, donde pueden ser paramétricas donde un atributo
perfilado se va a asumir que encaja con un cierto patrón, o no paramétricas,
24
donde los atributos perfilados para su distribución son aprendidos de valores
históricos que han sido almacenados y observados a lo largo del tiempo.
Otras técnicas incluyen redes neuronales, algoritmos genéticos y modelos de
sistema inmune.
Solo las dos primeras se utilizan en los IDS actuales, el resto son parte de proyectos
de investigación.
Ventajas:
Los IDSs que se basan en detección de anomalías tienen la capacidad de
detectar ataques para los cuales no tiene un conocimiento específico ya que
detectan comportamientos inusuales.
Estos IDSs pueden obtener información para producir firmas que a su vez se
las puede utilizar en la detección de abusos.
2.10 COMPARACIÒN CON CORTAFUEGOS
Los sistemas de detección de intrusos y los cortafuegos se encuentran relacionados
con seguridad en redes de información, pero un Cortafuegos examina exteriormente
las intrusiones que se puedan realizar para evitar que estas ocurran, un cortafuegos
limita el acceso entre redes, para prevenir una intrusión, pero no puede determinar un
ataque que pueda estar ocurriendo internamente en la red.
Mientras que un IDS evalúa una intrusión al momento en que se genera un alarma y
que se originan dentro del sistema, estos ataques normalmente se pueden conseguir
examinando comunicaciones y examinando mediante patrones que ya antes hayan
ocurrido o ataques comunes ya clasificados en las firmas de ataques y a su vez los IDS
toman una acción para alertar a un operador.
2.11 DONDE COLOCAR UN IDS
La primera decisión que debemos tomar una vez que se requiere instalar un IDS es
saber dónde se va a localizar ya que de esta decisión dependerá tanto el equipo que
usemos como el software IDS o la base de datos, se explica de la siguiente manera:
25
2.11.1 En una Organización
Tenemos tres zonas donde se puede colocar un IDS, como se muestra en la figura:
Figura 13: Colocación de IDS en una Organización
Características que representa cada una de estas zonas:
Zona Roja: Esta es una zona d alto riesgo. En esta zona debemos configurar al
IDS para que trabaje con poca sensibilidad ya que está ubicado donde entra y
sale todo el tráfico de nuestra red y por está razón tendríamos más
posibilidades de que ocurran falsas alarmas.
Zona Verde: En esta zona el IDS se deberá configurar con un poco más de
sensibilidad que en la zona roja ya que tenemos a un firewall incluido que nos
ayudará con algunos accesos no permitidos que se han definido en las políticas
de nuestra organización, en esta zona tenemos menor número de falsas
alarmas puesto que solo deben estar permitidos accesos a nuestros servidores.
Zona Azul: Esta es la zona de confianza cualquier tráfico anómalo que llegue
hasta esta zona debe ser considerado como hostil, también en este punto de la
red se producirán la menor cantidad de falsas alarmas, por lo que al momento
26
de que se presente cualquier alarma del IDS deberá ser estudiada
inmediatamente.
2.11.2 En un ISP
Es posible que el tráfico a la entrada de este ISP sea demasiado grande como para ser
técnicamente imposible instalar un único IDS que lo analice todo. Para estos casos es
necesario un sistema de detección de intrusos que pueda separar los sensores de la
estación de análisis. Una posible solución podría serla de instalar un sensor en cada
uno de los nodos que conectan físicamente con las organizaciones a las que da
servicio el ISP, y que estos sensores envíen las alertas generadas a la estación de
análisis.
Figura 14: Colocación de un IDS en ISP
Esta transmisión debe realizarse de forma segura (y esto quiere decir “cifrada”) y a
intervalos de puestos que si el sensor avisa de la alerta nada más ésta se ha
producido, un atacante podría monitorizar todo el tráfico que genera el sensor hacia la
estación de análisis y deducir si un ataque ha sido detectado por el sensor o no.
27
2.12 ACTUALIDAD EN LOS SISTEMAS DE DETECCIÒN DE INTRUSOS
En la actualidad hay muchos sistemas de detección de intrusos que ofrecen una gran
variedad de soluciones tanto para la red como para las aplicaciones y hay muchas
empresas que hoy en día se dedican a la creación de estos IDS.
Entre los principales Sistemas de Detección de Intrusos destacan en la actualidad los
siguientes:
Cisco
Symantec
Internet Security Systems
Enterasys
Snort
A continuación se describirán brevemente cada uno de ellos:
2.12.1 Sistemas Cisco
Figura 15: IDS Cisco
El sistema de detección de intrusos de Cisco, introdujo su primer IDS en el mercado en
1997. Proporciona soluciones basadas tanto en sistemas basados en host como en
red, y permiten detectar, prevenir y reaccionar contra actividades no autorizadas a
través de la red.
La versión del sensor de Cisco v3.0, incluye un mecanismo de actualización
automática de firmas, un lenguaje robusto que permite a los clientes escribir sus
28
propias firmas y extensiones al módulo de respuestas que añaden soporte para la
familia de firewalls Cisco PIX y para los conmutadores Cisco Catalyst R.
Cisco Secure IDS incluye dos componentes: Sensor y Director. Las herramientas de
red de alta velocidad Cisco Secure IDS Sensors analizan el contenido y el contexto de
los paquetes individuales para determinar si se autoriza su tráfico. Si se detecta una
intrusión, los sensores de Cisco Secure IDS pueden detectar el uso incorrecto en
tiempo real, enviar alarmas a una consola de gestión de Cisco Secure IDS Director
para su localización y sacar al atacante de la red.
2.12.2 Internet Security Systems (ISS)
Este IDS proporciona una solución de detección de intrusión híbrida y un
sistema NIDS que funciona independientemente del sistema híbrido. IIS
apareció en el mercado de los NIDS con el lanzamiento de RealSecure.
RealSecure proporciona detección, prevención y respuestas a ataques y
abusos originados en cualquier punto de la red. Entre las respuestas
automáticas a actividades no autorizadas se incluyen el almacenamiento de
los eventos en una base de datos, el bloqueo de una conexión, enviar
emails, suspender o deshabilitar una cuenta en un host o crear una alerta
definida por el usuario.
El sensor de red rápidamente se ajusta a diferentes necesidades de red,
incluyendo alertas específicas por el usuario, sintonización de firmas de
ataques y creación de firmas
definidas por el usuario. Las firmas son actualizables automáticamente
mediante la aplicación X-Press Update. Todos los sensores son
centralmente gestionados por la consola RealSecure SiteProtector.
2.12.3 Symantec
Symantec adquirió Axent y así obtuvo las tecnologías NetProwler y su Intruder
Alert. Entre la gama de productos de Symantec, están los modelos de Seguridad de
Gateway 320, 360 y 360R que no son vulnerables a los ataques de Denegación de
Servicios, aunque sí lo son a ataques como servicios activos de identificación en la
interfaz WAN, la exploración de los servicios y a la alteración del firewall.
29
Figura 16: SYMANTEC Gateway Security 320 – Firewall
2.12.4 Enterasys
Enterasys: es un tipo de compañía que construye diferentes medidas de
seguridad para los usuarios y para las aplicaciones a través de hardware de red
orientado a los servicios y software de seguridad.
Un ejemplo de producto desarrollado por Enterasys es Secure Gigabit Ethernet
Workgroup L2 Switch con Soporte de Políticas Opcional, llamado Enterasys D2.
Enterasys D2 proporciona 12 puertos Gigabit Ethernet (GbE) con conectividad
de 10/100/1000 Mbps RJ45 con opciones integradas Power sobre Ethernet (PoE)
y soporte para potencia redundante.
Figura 17: Enterasys
Por otro lado además de las soluciones comerciales se encuentran
soluciones de libre distribución de gran utilidad como son:
Snort (http://www.snort.org/)
Prelude (www.prelude-ids.org)
Secure Point (http://www.securepoint.cc/products-download.html)
Aide (http://sourceforge.net/projects/aide)
Snare (http://www.intersectalliance.com/projects/Snare/oldindex.html)
30
2.13 ITIL
Infraestructura de Tecnologías de la Información
Figura 18: Logo de ITIL
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la
Información (ITIL) se ha convertido en el estándar mundial de para la Gestión de
Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura
base ha demostrado ser útil para las organizaciones en todos los sectores a través de
su adopción por innumerables compañías como base para consulta, educación y
soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente y
de libre utilización.
2.13.1 Que es ITIL?
ITIL puede ser definido como un conjunto de buenas prácticas destinadas a mejorar la
gestión y provisión de servicios TI. Su objetivo último es mejorar la calidad de los
servicios TI ofrecidos, evitar los problemas asociados a los mismos y en caso de que
estos ocurran ofrecer un marco de actuación para que estos sean solucionados con el
menor impacto y a la mayor brevedad posible.
Sus orígenes se remontan a la década de los 80 cuando el gobierno británico,
preocupado por la calidad de los servicios TI de los que dependía la administración,
solicito a una de sus agencias, la CCTA acrónimo de Central Computer and
Telecommunications Agency, para que desarrollara un estándar para la provisión
eficiente de servicios TI.
En la actualidad es AXELOS el organismo encargado de velar por este estándar:
31
AXELOS cuenta con la colaboración de varias organizaciones para el mantenimiento
de ITIL:
itSMF: el Information Technology Management Forum es una organización
independiente y reconocida internacionalmente que tiene como principal
objetivo impulsar la adopción de las mejores prácticas ITIL para la gestión de
servicios TI.
APM Group: es una organización comercial encargada por AXELOS de definir,
publicar y gestionar las certificaciones ITIL así como de acreditar a los
organismos examinadores.
Organismos examinadores: en la actualidad existen varios organismos
examinadores acreditados por AXELOS entre los que se encuentran EXIN,
BCS/ISEB y LCS.
2.13.2 Gestión de Servicios TI
Aunque todos tengamos una idea intuitivamente clara del concepto de servicio es difícil
proponer una única y sucinta definición del mismo.
ITIL nos ofrece la siguiente definición:
Un servicio es un medio para entregar valor a los clientes facilitándoles un
resultado deseado sin la necesidad de que estos asuman los costes y riesgos
específicos asociados.
En otras palabras, el objetivo de un servicio es satisfacer una necesidad sin asumir
directamente las capacidades y recursos necesarios para ello.
Si deseamos, por ejemplo, mantener limpias las instalaciones de nuestra empresa
disponemos de dos opciones:
Contratar a todo el personal y recursos necesarios (limpiadores, productos de
limpieza, etcétera) asumiendo todos los costes y riesgos directos de su gestión.
Contratar los servicios de una empresa especializada.
Si optamos por esta segunda opción cuál es el valor aportado por la prestadora de ese
servicio:
32
Utilidad: las instalaciones de la empresa se mantendrán limpias.
Garantía: la empresa contratada será responsable de que se realice la limpieza
de forma periódica y según unos estándares de calidad predeterminados.
Es obvio que optar por otra opción dependerá de las circunstancias de cada empresa:
su tamaño, estructura, etcétera. Sin embargo, la tendencia actual es a subcontratar
todos aquellos servicios que se alejen de la actividad principal de la empresa.
Un aspecto importante a destacar es que aún en el caso de que se adoptara la
decisión de realizar las tareas de limpieza por personal de la empresa estas podrían
ser ofrecidas por un “proveedor interno” siempre que las funciones y procesos
involucrados se estructurarán consecuentemente.
En cualquier caso una correcta gestión de este servicio requerirá:
Conocer las necesidades del cliente
Estimar la capacidad y recursos necesarios para la prestación del servicio
Establecer los niveles de calidad del servicio
Supervisar la prestación del servicio
Establecer mecanismos de mejora y evolución del servicio
El objetivo de ITIL es precisamente ofrecer tanto a los proveedores como receptores de
servicios TI de un marco que facilite todas estas tareas y procesos.
ITIL define la Gestión de Servicios como un conjunto de capacidades organizativas
especializadas para la provisión de valor a los clientes en forma de servicios.
Los principios básicos para la gestión de servicios se resumen en:
Especialización y coordinación: los clientes deben especializarse en la gestión
de su negocio y los proveedores en la gestión del servicio. El proveedor debe
garantizar la coordinación entre los recursos y capacidades de ambos.
El principio de Agencia: los agentes actúan como intermediarios entre el cliente
o usuario y el proveedor de servicios y son los responsables de la correcta
prestación de dichos servicios. Estos deben de actuar siguiendo las
33
indicaciones del cliente y protegiendo los intereses del cliente, los usuarios y los
suyos propios. Los agentes pueden ser empleados del proveedor de servicios o
incluso interfaces de interacción con el usuario en sistema gestionados
automáticamente.
Encapsulación: los clientes y usuarios solo están interesados en la utilidad y
garantía del servicio y no en los detalles precisos para su correcta prestación.
La encapsulación se consigue a través de la:
o Separación de conceptos complejos se en diferentes partes
independientes que pueden ser tratadas independientemente.
o Modularidad que permite agrupar funcionalidades similares en forma de
módulos auto contenidos.
o Acoplamiento flexible entre recursos y usuarios, mediante, por ejemplo,
sistemas redundantes, que evita que cambios o alteraciones en los
recursos afecten negativamente a la experiencia de usuario.
Sistemas: según ITIL los sistemas son grupos de componentes
interrelacionados o interdependientes que forman una unidad y colaboran entre
sí para conseguir un objetivo común. Los aspectos clave para el correcto
rendimiento de un sistema son:
o Procesos de control
o Feedback y aprendizaje
2.13.3 Gobierno TI
Aunque no existe una única y universalmente adoptada definición de Gobierno TI sí
existe un consenso general sobre la importancia de disponer de un marco general de
referencia para la dirección, administración y control de las infraestructuras y servicios
TI.
Aunque ITIL es a veces considerado como un marco para el Gobierno TI sus objetivos
son más modestos pues se limitan exclusivamente a aspectos de gestión.
34
Para aclarar las diferencias quizá sea conveniente remitirnos a un ejemplo que se
aparta del entorno de las TI y del que todos somos buenos conocedores: gobierno
versus administración pública.
El gobierno es el responsable de establecer políticas y directrices de actuación que
recojan las inquietudes y cubran las necesidades de los ciudadanos. Las
administraciones públicas son las encargadas de asegurar que esas políticas se
implementen, ofreciendo los servicios correspondientes, asegurando el cumplimiento
de las normas establecidas, prestando apoyo, recogiendo reclamaciones y propuestas,
etcétera.
ITIL sería en este caso el equivalente TI de un conjunto de buenas prácticas para la
administración del estado pero no para su gobierno (aunque algunas veces las
fronteras entre ambos no estén claramente delimitadas).
Es evidente la dificultad de establecer un conjunto de buenas prácticas para el buen
gobierno, sin embargo, estas existen de hecho y ejemplo de ello son la Declaración
Universal de Derechos Humanos y todo el corpus del derecho internacional.
El Gobierno TI es parte integrante del Gobierno Corporativo y como tal debe centrarse
en las implicaciones que los servicios e infraestructura TI tienen en el futuro y
sostenibilidad de la empresa asegurando su alineación con los objetivos estratégicos.
La creciente importancia de los servicios TI para las empresas nos hace creer que
todos los aspectos relacionados con el Gobierno TI serán un hot topic en los próximos
años y que se realizarán importantes desarrollos en este terreno.
2.13.4 El ciclo de vida de los servicios TI
ITIL es una estructura la gestión de los servicios TI sobre el concepto de Ciclo de Vida
de los Servicios.
Este enfoque tiene como objetivo ofrecer una visión global de la vida de un servicio
desde su diseño hasta su eventual abandono sin por ello ignorar los detalles de todos
los procesos y funciones involucrados en la eficiente prestación del mismo.
El Ciclo de Vida del Servicio consta de cinco fases que se corresponden con los
nuevos libros de ITIL:
35
1. Estrategia del Servicio: propone tratar la gestión de servicios no sólo como
una capacidad sino como un activo estratégico.
2. Diseño del Servicio: cubre los principios y métodos necesarios para
transformar los objetivos estratégicos en portafolios de servicios y activos.
3. Transición del Servicio: cubre el proceso de transición para la implementación
de nuevos servicios o su mejora.
4. Operación del Servicio: cubre las mejores prácticas para la gestión del día a
día en la operación del servicio.
5. Mejora Continua del Servicio: proporciona una guía para la creación y
mantenimiento del valor ofrecido a los clientes a traces de un diseño, transición
y operación del servicio optimizado.
Figura 19: Ciclo de vida de ITIL
Estos libros no son departamentos estancos e ITIL tiene en cuenta las múltiples
interrelaciones entre ellos y como estas afectan a los aspectos globales de todo el ciclo
de vida del servicio. Estos cinco libros ofrecen una guía práctica sobre como
36
estructurar la Gestión de Servicios TI de forma que estos estén correctamente
alineados con los procesos de negocio.
2.13.5 Funciones, procesos y roles
ITIL marca una clara distinción entre funciones y procesos. Una función es una unidad
especializada en la realización de una cierta actividad y es la responsable de su
resultado. Las funciones incorporan todos los recursos y capacidades necesarias para
el correcto desarrollo de dicha actividad.
Las funciones tienen como principal objetivo dotar a las organizaciones de una
estructura acorde con el principio de especialización. Sin embargo la falta de
coordinación entre funciones puede resultar en la creación de nichos
contraproducentes para el rendimiento de la organización como un todo. En este último
caso un modelo organizativo basado en procesos puede ayudar a mejorar la
productividad de la organización en su conjunto.
Un proceso es un conjunto de actividades interrelacionadas orientadas a cumplir un
objetivo específico.
Los procesos comparten las siguientes características:
Los procesos son cuantificables y se basan en el rendimiento.
Tienen resultados específicos.
Los procesos tienen un cliente final que es el receptor de dicho resultado.
Se inician como respuesta a un evento.
El Centro de Servicios y la Gestión del Cambio son dos claros ejemplos de función y
proceso respectivamente.
Sin embargo, en la vida real la dicotomía entre funciones y procesos no siempre es tan
evidente pues puede depender de la estructura organizativa de la empresa u
organismo en cuestión.
Un rol es un conjunto de actividades y responsabilidades asignada a una persona o un
grupo. Una persona o grupo puede desempeñar simultáneamente más de un rol.
37
Hay cuatro roles genéricos que juegan un papel especialmente importante en la
gestión de servicios TI:
Gestor del Servicio: es el responsable de la gestión de un servicio durante
todo su ciclo de vida: desarrollo, implementación, mantenimiento,
monitorización y evaluación.
Propietario del Servicio: es el último responsable cara al cliente y a la
organización TI de la prestación de un servicio específico.
Gestor del Proceso: es el responsable de la gestión de toda la operativa
asociada a un proceso en particular: planificación, organización, monitorización
y generación de informes.
Propietario del Proceso: es el último responsable frente a la organización TI
de que el proceso cumple sus objetivos. Debe estar involucrado en su fase de
diseño, implementación y cambio asegurando en todo momento que se dispone
de las métricas necesarias para su correcta monitorización, evaluación y
eventual mejora.
Sin embargo, ITIL no sólo supone un cambio de perspectiva sino que propone una
visión mucho más integral y conceptualmente detallada de todos los aspectos
involucrados en la Gestión de los Servicios y sus procesos asociados.
ITIL también introduce como elemento básico el concepto de función, que puede ser
brevemente definida como una unidad especializada en la realización de una cierta
actividad y que es la responsable de su resultado.
Cabe destacar las siguientes principales diferencias en los procesos definidos para
ITIL:
Estrategia del Servicio
o Gestión del Portfolio de Servicios: este proceso encargado de la
definición de la cartera o Portfolio de Servicios, incluyendo el Catálogo
de Servicios prestados, los servicios retirados y los servicios en
preparación, es propio de ITIL.
38
Diseño del Servicio
o Gestión del Catálogo de Servicios: anteriormente un subproceso de la
Gestión de Niveles de Servicio, es un nuevo proceso en ITIL el
responsable del diseño de un Catálogo de Servicios enfocado a las
necesidades de los clientes.
o Gestión de los Proveedores: su principal objetivo es obtener de los
proveedores un alto nivel de calidad en su servicio a un precio asequible
y adecuado al mercado. En ITIL v2 formaba parte de la Gestión de
Niveles de Servicio de los proveedores.
o Gestión de la Seguridad TI: en ITIL v2 se trataba por separado en un
libro específico al respecto
Transición del Servicio
o Gestión del Conocimiento: este proceso se hallaba subdividido en
varios procesos en ITIL v2, como, por ejemplo, mediante la base de
datos de errores conocidos en la Gestión de Problemas. En ITIL se ha
convertido en un proceso por derecho propio.
o Validación y Pruebas del Servicio: Este proceso se desgaja en ITIL de
la Gestión de Versiones o Gestión del despliegue del Servicio para
asegurar que se realizan todas las pruebas para validar el servicio como
un adecuado en uso y propósito.
o Gestión de la Configuración y Activos del Servicio: Amplía la
Gestión de la Configuración de ITIL v2 para incorporar activos no TI.
o Evaluación: este proceso genérico se ocupa de verificar la relación
calidad/precio, el rendimiento y otros parámetros de interés asociados al
servicio.
Operación del Servicio
o Gestión de Peticiones: se desgaja en ITIL de la Gestión de
Incidencias, encargándose de gestionar las peticiones de cambio
solicitadas por los clientes.
39
o Gestión de Eventos: nueva, como tal, en ITIL es la encargada de
monitorizar el rendimiento de la infraestructura TI para la prevención de
errores o interrupciones en el servicio.
o Gestión de Accesos: es un nuevo proceso en ITIL. En ITIL v2 formaba
parte de la Gestión de la Seguridad y se encarga de gestionar los
permisos de acceso a los diferentes usuarios de un servicio.
o Además del Centro de Servicios ITIL introduce nuevas funciones:
Gestión de Operaciones TI: responsable del mantenimiento de
la infraestructura TI.
Gestión Técnica: responsable del soporte técnico a todos los
agentes implicados en la Gestión del Servicio.
Gestión de Aplicaciones: responsable de la gestión de las
aplicaciones de software durante todo su ciclo de vida.
Mejora Continua del Servicio
o Sus actividades estaban subsumidas por la Gestión de Niveles de
Servicio en ITIL.
o Proceso de Mejora CSI: establece los protocolos de monitorización,
seguimiento y generación de informes y es, en particular, la responsable
de generar los Planes de Mejora del Servicio (SIP).
o Informes de servicio: genera los informes sobre rendimiento, resultado
y calidad de los servicios ofrecidos.
40
2.14 COBIT
(Objetivos de Control para Información y Tecnologías Relacionadas)
Figura 20: Logo de COBIT
2.14.1 Visión General de COBIT
COBIT 5 proporciona la guía de nueva generación de ISACA para el gobierno y la
gestión de las TI en la empresa. Se construye sobre más de 15 años de uso práctico y
aplicación de COBIT por parte de muchas empresas y usuarios de las comunidades de
negocio, TI, riesgo, seguridad y aseguramiento. Los principales impulsos para el
desarrollo de COBIT 5 incluyen la necesidad de:
• Dar voz a más partes interesadas para determinar qué es lo que esperan de la
información y tecnologías relacionadas (qué beneficios a qué nivel aceptable de riesgo
y a qué coste) y cuáles son sus prioridades para asegurarse que el valor esperado es
realmente proporcionado. Algunos querrán retornos a corto plazo y otros sostenibilidad
a largo plazo. Algunos estarán preparados para asumir riesgos que otros no asumirían.
Estas expectativas divergentes y algunas veces en conflicto necesitan ser tratadas con
efectividad. Más allá, no solo estas partes interesadas quieren estar más involucradas,
sino que demandan más transparencia en relación a cómo se va a llevar esto a cabo y
los resultados reales alcanzados.
• Considerar la dependencia creciente del éxito de la empresa e n compañías externas
y grupos de TI tales como contratistas externos, proveedores, consultores, clientes,
proveedores de servicios en la nube y otros servicios y en un conjunto variado de
medios y mecanismos internos para entregar el valor esperado.
41
• Tratar con la cantidad de información, que ha crecido significantemente en el tiempo.
¿Cómo seleccionan las empresas la información relevante y fidedigna que conduzca a
decisiones empresariales eficaces y eficientes? La información también necesita ser
gestionada eficazmente y un modelo eficaz de la información puede asistir en este
empeño.
• Tratar con unas TI mucho más generalizadas que son más y más una parte integral
de la empresa. A menudo, ya no es satisfactorio tener las TI separadas incluso si están
alineadas con el negocio. Tienen que ser una parte integral de los proyectos
empresariales, estructuras de organización, gestión de riesgos, políticas, técnicas,
procesos, etc. Las funciones del director de información (CIO) y la función de TI están
evolucionando. Cada vez más personas dentro de las funciones de la empresa tienen
habilidades de TI y están, o estarán, implicadas en las decisiones y operaciones de TI.
El negocio y las TI necesitarán estar mejor integradas.
• Proporcionar orientación adicional en el ámbito de la innovación y las tecnologías
emergentes. Esto es, sobre la creatividad, la inventiva, el desarrollo de nuevos
productos haciendo que los productos existentes sean más convincentes para los
clientes, y llegar a nuevos tipos de clientes. La innovación también implica la
racionalización del desarrollo de productos, procesos de fabricación y cadena de
suministro para entregar los productos al mercado con niveles crecientes de eficiencia,
rapidez y calidad.
• Cubrir completamente las responsabilidades funcionales de TI y del negocio, y todos
los aspectos que llevan a la gestión y el gobierno eficaz de las TI de la empresa, tales
como estructuras organizativas, políticas y cultura, además de los procesos.
• Adquirir mejor control sobre soluciones de TI adquiridas y controladas por los
usuarios
• Alcanzar por parte de la empresa:
Creación de valor a través del uso efectivo e innovador de la TI de la empresa
Satisfacción del usuario de negocio con el nivel de compromiso y los servicios
de las TI.
Cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas
internas relevantes.
42
Relaciones mejoradas entre las necesidades de negocio y metas de TI
• Enlazar y, cuando sea relevante, alinearse con otros marcos y estándares principales
existentes en el mercado, tales como Information Technology Infrastructure Library
(ITIL), The Open Group Architecture Framework (TOGAF), Project Management Body
of Knowledge (PMBOK), PRojects IN Controlled Environments 2 (PRINCE2),
Committee of Sponsoring Organizations of the Treadway Commission (COSO) y la
Organización Internacional de Estándares de normalización (ISO). Esto ayudará a los
interesados a entender cómo varios marcos, buenas prácticas y normas están
posicionadas respecto al resto y cómo pueden utilizarse juntos.
• Integrar los principales marcos y guías de ISACA, con un enfoque principal en
COBIT, ValIT y RiskIT, pero considerando también el Modelo de Negocio para la
Seguridad de la Información (BMIS), el Marco de Aseguramiento de TI (ITAF), la
publicación titulada Board Briefing on IT Governance y el documento Taking
Governance Forward (TGF), de modo que COBIT 5 cubra la actividad de la empresa al
completo y proporcione una base para integrar otros marcos, normas y prácticas como
un marco único.
2.14.2 Un Marco de Negocio para el gobierno y la gestión de la TI de la Empresa
La publicación de Cobit 5 contiene el marco Cobit 5 para el gobierno y la gestión de las
TI de la empresa. La publicación es parte de la familia como se muestra en la figura.
43
El marco COBIT 5 se construye sobre cinco principios básicos, que quedan cubiertos
en detalle e incluyen una guía exhaustiva sobre los catalizadores para el gobierno y la
gestión de las TI de la empresa.
La familia de productos de COBIT 5 incluye los siguientes productos:
• COBIT 5 (el marco de trabajo)
• Guías de catalizadores de COBIT 5, en las que se discuten en detalle los
catalizadores para el gobierno y gestión, estas incluyen:
COBIT 5: Información Catalizadora
Información posibilitadora (en desarrollo)
Otras guías de catalizadores (visitar www.isaca.org/cobit)
• Guías profesionales de COBIT 5, incluyendo:
Implementación de COBIT 5
COBIT 5 para Seguridad de la Información (en desarrollo)
COBIT 5 para Aseguramiento (en desarrollo)
COBIT 5 para Riesgos (en desarrollo)
Otras guías profesionales (visitar www.isaca.org/cobit)
• Un entorno colaborativo online, que estará disponible para dar soporte a COBIT 5,
La información es un recurso clave para todas las empresas y desde el momento en
que la información se crea hasta que es destruida, la tecnología juega un papel
importante. La tecnología de la información está avanzando cada vez más y se ha
generalizado en las empresas y en entornos sociales, públicos y de negocios.
Como resultado, hoy más que nunca, las empresas y sus ejecutivos se esfuerzan en:
• Mantener información de alta calidad para soportar las decisiones del negocio.
44
• Generar valor al negocio con las inversiones en TI, por ejemplo, alcanzando metas
estratégicas y generando beneficios al negocio a través de un uso de las TI eficaz e
innovador.
• Alcanzar la excelencia operativa a través de una aplicación de la tecnología fiable y
eficiente.
• Mantener los riesgos relacionados con TI en un nivel aceptable
• Optimizar el coste de los servicios y tecnologías de TI
• Cumplir con las constantemente crecientes leyes, regulaciones, acuerdos
contractuales y políticas aplicables.
Durante la pasada década, el término “gobierno” ha pasado a la vanguardia del
pensamiento empresarial como respuesta a algunos ejemplos que han demostrado la
importancia del buen gobierno y, en el otro extremo de la balanza, a incidentes
corporativos a nivel global.
Empresas de éxito han reconocido que el comité y los ejecutivos deben aceptar las TI
como cualquier otra parte importante de hacer negocios. Los comités y la dirección
tanto en funciones de negocio como de TI deben colaborar y trabajar juntos, de modo
que se incluya la TI en el enfoque del gobierno y la gestión. Además, cada vez se
aprueba más legislación y se implementan regulaciones para cubrir esta necesidad.
COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar
sus objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una manera
sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el
equilibrio entre la generación de beneficios y la optimización de los niveles de riesgo y
el uso de recursos.
COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda
la empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de
responsabilidad de TI, considerando los intereses relacionados con
TI de las partes interesadas internas y externas. COBIT 5 es genérico y útil para
empresas de todos los tamaños, tanto comerciales, como sin ánimo de lucro o del
sector público.
45
2.14.3 Principios de COBIT
Figura 21: Principios de COBIT
COBIT 5 se basa en cinco principios claves para el gobierno y la gestión de las TI
empresariales:
Principio 1: Satisfacer las Necesidades de las Partes Interesadas
Las empresas existen para crear valor para sus partes interesadas manteniendo el
equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de
recursos.
COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la
creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene
objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su
propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto
nivel en otras metas más manejables, específicas, relacionadas con TI y mapeándolas
con procesos y prácticas específicos.
Principio 2: Cubrir la Empresa Extremo-a-Extremo
COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo:
46
Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca
sólo en la “función de TI”, sino que trata la información y las tecnologías relacionadas
como activos que deben ser tratados como cualquier otro activo por todos en la
empresa.
Considera que los catalizadores relacionados con TI para el gobierno y la gestión
deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y
todos – internos y externos – los que sean relevantes para el gobierno y la gestión de
la información de la empresa y TI relacionadas.
Principio 3: Aplicar un Marco de Referencia Único Integrado
Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno ayuda
para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con otros
estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de
marco de trabajo principal para el gobierno y la gestión de las Ti de la empresa.
Principio 4: Hacer Posible un Enfoque Holístico
Un gobierno y gestión de las TI de la empresa efectivo y eficiente requiere de un
enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT 5
define un conjunto de catalizadores para apoyar la implementación de un sistema de
gobierno y gestión global para las TI de la empresa. Los catalizadores se definen en
líneas generales como cualquier cosa que puede ayudar a conseguir las metas de la
empresa. El marco de trabajo COBIT 5 define siete categorías de catalizadores:
Principios, Políticas y Marcos de Trabajo
Procesos
Estructuras Organizativas
Cultura, Ética y Comportamiento
Información
Servicios, Infraestructuras y Aplicaciones
Personas, Habilidades y Competencias
47
Principio 5: Separar el Gobierno de la Gestión
El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión.
Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes
estructuras organizativas y sirven a diferentes propósitos. La visión de COBIT 5 en esta
distinción clave entre gobierno y gestión es:
Gobierno
El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las
partes interesadas para determinar que se alcanzan las metas corporativas
equilibradas y acordadas; estableciendo la dirección a través de la priorización y la
toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección
y metas acordadas.
En muchas corporaciones, el gobierno global es responsabilidad del comité de
dirección bajo el liderazgo del presidente. Algunas responsabilidades de gobierno
específicas se pueden delegar en estructuras organizativas especiales al nivel
apropiado, particularmente en las corporaciones más grandes y complejas.
Gestión
La gestión planifica, construye, ejecuta y controla actividades alineadas con la
dirección establecida por el cuerpo de gobierno para alcanzar las metas
empresariales.
En muchas empresas, la gestión es responsabilidad de la dirección ejecutiva bajo el
liderazgo del Director General Ejecutivo (CEO).
Juntos, estos cinco principios habilitan a la empresa a construir un marco de gestión de
gobierno y gestión efectivo que optimiza la inversión y el uso de información y
tecnología para el beneficio de las partes interesada
48
CAPÍTULO 3
3. MARCO METODOLÓGICO
3.1 Diseño de la Investigación
La elaboración del Modelo de gestión de seguridad se lo hace mediante una
investigación aplicada, la cual consta en dar solución a un grupo de problemas
mediante el estudio de casos prácticos.
Investigación Aplicada: Es aquella que parte de una situación problemática que
requiere ser intervenida y mejorada. Comienza con la descripción sistemática de la
situación deficitaria, luego se enmarca en una teoría suficientemente aceptada de la
cual se exponen los conceptos más importantes y pertinentes; posteriormente, la
situación descrita se evalúa a la luz de esta Teoría y se proponen secuencias de
acción o un prototipo de solución.
El presente modelo de gestión de seguridad será experimental, puesto que se va a
utilizar una guía de buenas prácticas para la gestión de servicios TI como ITIL y COBIT
que nos ayuda en el gobierno y la gestión de TI aplicadas a los Sistemas de Detección
de Intrusos, en la Cooperativa de ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui.
Investigación Experimental: se puede definir como aquella situación en la que el
investigador produce las condiciones en las que se va a observar la conducta, con un
absoluto control de las variables, además de su conducta.
En base a lo explicado anteriormente podemos investigar en donde se puede ubicar los
Sistemas de Detección de Intrusos.
La localización de los Sistemas de Detección de Intrusos es una cuestión que depende
en gran medida de la infraestructura de la red en la que estemos trabajando. En el
caso de la red de la Cooperativa de ahorro y crédito Chibuleo.Ltda podemos distinguir
dos partes la red interna y el acceso a Internet. Dependiendo del tráfico que queramos
analizarnos centraremos más en una parte o en otra.
49
Figura 22: Ubicaciones de IDS
3.2 Requerimientos y aplicaciones
Sistema Windows 2000 Professional, Windows XP Professional, Windows 7. Aunque la
configuración sencilla de Snort corre en prácticamente en cualquier versión de 32 y 64
bits de Windows, Windows 2000 Pro y XP Pro son más seguros y estables que las
"ediciones caseras", esto ocurre principalmente por la falta de características como el
sistema de archivos NTFS, el servidor Web IIS para ACID y soporte de más de un
procesador.
Por otro lado, Windows 2000, XP, Windows 7, tienen soporte de Microsoft y son
alternativas de mejor precio que Windows Server o Windows Server 2003. Las
versiones de servidor de Windows sólo se recomiendan si se desea tener un mejor
control del equipo, mayor capacidad de almacenamiento y lectura de paquetes.
Una o más interfaces de red (NICs) y conexión de red.
Driver de captura de paquetes para Windows WinPcap 2.3 o superior.
Sitio de Descarga: http://windump.polito.it/misc/bin/
Snort 2.1.3 o superior.
Sitio de Descarga: http://www.snort.org/dl/binaries/win32/old/
50
Mysql 4.0.20d o superior
Sitio de Descarga: http://dev.mysql.com/downloads/mysql/4.0.html
Acid 0.9.6b23 superior
Sitio de Descarga:
http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html
Internet Information Server IIS : ya viene preinstalado en Sistema Operativo de
Windows.
MyODBC 3.51.06
Sitio de Descarga: http://mirror.etf.bg.ac.yu/mysql/Downloads/MyODBC3/
Es recomendable utilizar como mínimo dos particiones, una con el sistema operativo y
la otra para almacenar los resultados de la captura; su tamaño dependerá de la
cantidad de datos que se recopilen, así como del tamaño de la red a analizar.
3.3 Elección de herramientas a utilizar en el sistema
Snort: es un Sistema de Detección de Intrusiones (IDS), capaz de ejecutar análisis de
tráfico y autentificación de paquetes en tiempo real en redes TCP/IP. Snort realiza
exploración al contenido de paquetes y puede usarse para detectar una variedad de
ataques y pruebas de intrusión como escaneo de puertos, ataques mediante consola,
etc. Los eventos detectados por Snort pueden ser registrados en syslog o en alguna
base de datos como Mysql o Postgres, para el análisis del administrador de red.
Figura 23: Logo Snort
51
MySQL: es un sistema de administración de bases de datos muy potente. La principal
virtud es que es totalmente gratuito, por lo que es una fuerte alternativa ante sistemas
como SQL Server u Oracle. El servidor de bases de datos MySQL es muy rápido,
seguro, y fácil de usar por lo que es la solución adecuada para la implementación de
Snort con un modelo de base de datos que permita tener un registro y control del
análisis del tráfico.
Figura 24: Logo MySQL
ACID: es una consola de análisis Web que permite al administrador del sistema
analizar los datos que fueron generados por Snort y almacenarlos en una base de
datos , permitiendo ver la dirección IP del atacante, la fecha, el tipo de ataque, etc.
ACID genera gráficos y estadísticas, basados en tiempo, sensores, vulnerabilidad,
protocolo, dirección IP, puertos TCP/UDP.
El objetivo de este documento es servir como guía para la instalación e implementación
del IDS Snort, con la base de datos MySQL y la consola de análisis ACID para tener
una herramienta de seguridad adicional que permita tener un control adecuado del
tráfico de red.
52
Figura 25: Pantalla de Análisis ACID
3.4 Protección del equipo
Limitar acceso físico. Colocar Snort en un área segura, accesible sólo por el
personal autorizado o el administrador de red.
Configurar el sistema para que inicie sólo desde disco duro.
Control de acceso. Limitar el número de usuarios que pueden ingresar al
sistema utilizando una directiva de contraseñas adecuada.
Instalar únicamente componentes necesarios para el funcionamiento del
sistema operativo y no instalar componentes adicionales.
Terminar todos los servicios que no se desean utilizar.
Deshabilitar protocolos de red no necesarios.
Establecer comunicaciones remotas si son necesarias con protocolos y
aplicaciones seguras como IPSec o SSH.
Aplicar actualizaciones de seguridad, parches, Services Packs.
53
3.5 ITIL utilizado en el desarrollo
Para la realización del proyecto se tomó como base de la fase del ciclo de vida de los
servicios el capítulo número dos que se enfoca en el Diseño, que tiene como subtema
la Gestión de la Seguridad que será detalla a continuación:
3.5.1 Gestión de la Seguridad de la Información
La Gestión de la Seguridad de la Información se remonta al albor de los tiempos. La
criptología o la ciencia de la confidencialidad de la información existen desde el inicio
de nuestra civilización y ha ocupado algunas de las mentes matemáticas más brillantes
de la historia, especialmente (y desafortunadamente) en tiempos de guerra.
Sin embargo, desde el advenimiento de las ubicuas redes de comunicación y, en
especial, de Internet los problemas asociados a la seguridad de la información se han
agravado considerablemente y nos afectan a todos. Que levante la mano el que no
haya sido víctima de algún virus informático en su ordenador, del spam (ya sea por
correo electrónico o teléfono) por una deficiente protección de sus datos personales o,
aún peor, del robo del número de su tarjeta de crédito.
La información es consustancial al negocio y su correcta gestión debe apoyarse en tres
pilares fundamentales:
Confidencialidad: la información debe ser sólo accesible a sus destinatarios
predeterminados.
Integridad: la información debe ser correcta y completa.
Disponibilidad: debemos de tener acceso a la información cuando la
necesitamos.
La Gestión de la Seguridad debe, por tanto, velar por que la información sea correcta y
completa, esté siempre a disposición del negocio y sea utilizada sólo por aquellos que
tienen autorización para hacerlo.
54
Figura 26: Fases de la Gestión de la Seguridad
Los principales objetivos de la Gestión de la Seguridad se resumen en:
Diseñar una política de seguridad, en colaboración con clientes y proveedores,
correctamente alineada con las necesidades del negocio.
Asegurar el cumplimiento de los estándares de seguridad acordados en los
SLAs.
Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.
La correcta Gestión de la Seguridad no es responsabilidad (exclusiva) de "expertos en
seguridad" que desconocen los otros procesos de negocio. Si caemos en la tentación
de establecer la seguridad como una prioridad en sí misma, limitaremos las
oportunidades de negocio que nos ofrece el flujo de información entre los diferentes
agentes implicados y la apertura de nuevas redes y canales de comunicación.
La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que
presta la organización TI para establecer protocolos de seguridad que aseguren que la
información esté accesible cuando es necesaria para aquellos que tengan autorización
para utilizarla.
55
Una vez comprendidos cuáles son los requisitos de seguridad del negocio, la Gestión
de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en
los SLAs correspondientes para, a renglón seguido, garantizar su cumplimiento.
La Gestión de la Seguridad debe asimismo tener en cuenta los riesgos generales a los
que está expuesta la infraestructura TI, y que no necesariamente tienen por qué figurar
en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro
para la continuidad del servicio.
Es importante que la Gestión de la Seguridad sea proactiva y evalúe a priori los riesgos
de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas
líneas de negocio, etcétera.
Figura 27: Gestión de la Seguridad
56
Los principales beneficios de una correcta Gestión de la Seguridad:
Se evitan interrupciones del servicio causadas por virus, ataques informáticos,
etcétera.
Se minimiza el número de incidentes.
Se tiene acceso a la información cuando se necesita y se preserva la integridad
de los datos.
Se preserva la confidencialidad de los datos y la privacidad de clientes y
usuarios.
Se cumplen los reglamentos sobre protección de datos.
Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la
calidad del servicio.
Las principales dificultades a la hora de implementar la Gestión de la Seguridad se
resumen en:
No existe el suficiente compromiso de todos los miembros de la organización TI
con el proceso.
Se establecen políticas de seguridad excesivamente restrictivas que afectan
negativamente al negocio.
No se dispone de las herramientas necesarias para monitorizar y garantizar la
seguridad del servicio (firewalls, antivirus, etc.).
El personal no recibe una formación adecuada para la aplicación de los
protocolos de seguridad.
Falta de coordinación entre los diferentes procesos, lo que impide una correcta
evaluación de los riesgos.
3.5.2 Proceso
La Gestión de la Seguridad está estrechamente relacionada con prácticamente todos
los otros procesos TI y necesita para su éxito la colaboración de toda la organización.
Para que esa colaboración sea eficaz, es necesario que la Gestión de la Seguridad:
Establezca una clara y definida política de seguridad que sirva de guía a todos
los otros procesos.
57
Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados
tanto en los servicios prestados a los clientes como en los acuerdos de servicio
firmados con proveedores internos y externos.
Implemente el Plan de Seguridad.
Monitorice y evalúe el cumplimiento de dicho plan.
Supervise proactivamente los niveles de seguridad analizando tendencias,
nuevos riesgos y vulnerabilidades.
Realice periódicamente auditorías de seguridad.
Figura 28: Proceso de la Gestión de Seguridad
3.5.3 Política y Plan de Seguridad
Es imprescindible disponer de un marco general en el que encuadrar todos los
subprocesos asociados a la Gestión de la Seguridad. Su complejidad e intricadas
interrelaciones necesitan de una política global clara en donde se fijen aspectos tales
como los objetivos, responsabilidades y recursos.
En particular la Política de Seguridad debe determinar:
58
La relación con la política general del negocio.
La coordinación con los otros procesos TI.
Los protocolos de acceso a la información.
Los procedimientos de análisis de riesgos.
Los programas de formación.
El nivel de monitorización de la seguridad.
Qué informes deben ser emitidos periódicamente.
El alcance del Plan de Seguridad.
La estructura y responsables del proceso de Gestión de la Seguridad.
Los procesos y procedimientos empleados.
Los responsables de cada subproceso.
Los auditores externos e internos de seguridad.
Los recursos necesarios: software, hardware y personal.
3.5.4 Plan de Seguridad
El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser
incluidos como parte de los SLAs, OLAs y UCs.
Este plan ha de ser desarrollado en colaboración con la Gestión del Nivel de Servicio,
que es la responsable en última instancia tanto de la calidad del servicio prestado a los
clientes como la del servicio recibido por la propia organización TI y los proveedores
externos.
El Plan de Seguridad debe ser diseñado con el fin de ofrecer un mejor y más seguro
servicio al cliente y nunca como un obstáculo para el desarrollo de sus actividades de
negocio.
Siempre que sea posible, deben definirse métricas e indicadores clave que permitan
evaluar los niveles de seguridad acordados.
Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos de
seguridad coherentes en todas las fases del servicio y para todos los estamentos
implicados. "Una cadena es tan resistente como el más débil de sus eslabones", por lo
que carece de sentido, por ejemplo, establecer una estrictas normas de acceso si una
aplicación tiene vulnerabilidades frente a inyecciones de SQL. Quizá con ello podamos
59
engañar a algún cliente durante algún tiempo ofreciendo la imagen de "fortaleza", pero
esto valdrá de poco si alguien descubre que la "puerta de atrás está abierta".
3.5.5 Aplicación de las Medidas de Seguridad
Por muy buena que sea la planificación de la seguridad resultará inútil si las medidas
previstas no se ponen en práctica.
Es responsabilidad de la Gestión de Seguridad coordinar la implementación de los
protocolos y medidas de seguridad establecidas en la Política y el Plan de Seguridad.
En primer lugar la Gestión de la Seguridad debe verificar que:
El personal conoce y acepta las medidas de seguridad establecidas así como
sus responsabilidades al respecto.
Los empleados firmen los acuerdos de confidencialidad correspondientes a su
cargo y responsabilidad.
Se imparte la formación pertinente.
Es también responsabilidad directa de la Gestión de la Seguridad:
Asignar los recursos necesarios.
Generar la documentación de referencia necesaria.
Colaborar con el Centro de Servicios y la Gestión de Incidentes en el
tratamiento y resolución de incidentes relacionados con la seguridad.
Instalar y mantener las herramientas de hardware y software necesarias para
garantizar la seguridad.
Colaborar con la Gestión de Cambios y la de Entregas y Despliegues para
asegurar que no se introducen nuevas vulnerabilidades en los sistemas en
producción o entornos de pruebas.
Proponer RFCs a la Gestión de Cambios que aumenten los niveles de
seguridad.
Colaborar con la Gestión de la Continuidad del Servicio para asegurar que no
peligra la integridad y confidencialidad de los datos en caso de desastre.
Establecer las políticas y protocolos de acceso a la información.
Monitorizar las redes y servicios en red para detectar intrusiones y ataques.
60
Es necesario que la gestión de la empresa reconozca la autoridad de la Gestión de la
Seguridad respecto a todas estas cuestiones y que incluso permita que ésta proponga
medidas disciplinarias vinculantes cuando los empleados u otro personal relacionado
con la seguridad de los servicios incumplan con sus responsabilidades.
3.5.6 Evaluación y mantenimiento
Evaluación
No es posible mejorar aquello que no se conoce, por lo que resulta indispensable
evaluar el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento
de los SLAs.
Aunque no es imprescindible, es recomendable que estas evaluaciones se
complementen con auditorías de seguridad externas y/o internas realizadas por
personal independiente de la Gestión de la Seguridad.
Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer
mejoras que se plasmarán en documentos que habrán de ser evaluados por la Gestión
de Cambios.
Independientemente de estas evaluaciones de carácter periódico, se deberán generar
informes específicos cada vez que ocurra algún incidente grave relacionado con la
seguridad. De nuevo, si la Gestión de la Seguridad lo considera oportuno, estos
informes se acompañaran de las soluciones correspondientes.
Mantenimiento
La Gestión de la Seguridad es un proceso continuo y se han de mantener al día el Plan
de Seguridad y las secciones de seguridad de los SLAs.
Los cambios en el Plan de Seguridad y los SLAs pueden ser resultados de la
evaluación arriba citada o de cambios implementados en la infraestructura o servicios
TI.
No hay nada más peligroso que la falsa sensación de seguridad que ofrecen medidas
de seguridad obsoletas.
61
Es asimismo importante que la Gestión de la Seguridad esté al día en lo que respecta
a nuevos riesgos y vulnerabilidades frente a virus, spyware, ataques de denegación de
servicio, etcétera, y que adopte las medidas necesarias de actualización de equipos de
hardware y software, sin olvidar el apartado de formación: el factor humano es
normalmente el eslabón más débil de la cadena.
3.5.7 Control del proceso
Al igual que en el resto de procesos TI, es necesario realizar un riguroso control del
proceso para asegurar que la Gestión de la Seguridad cumple sus objetivos.
Una buena Gestión de la Seguridad debe traducirse en:
Disminución del número de incidentes relacionados con la seguridad.
Un acceso eficiente a la información por el personal autorizado.
Gestión proactiva, que permita identificar vulnerabilidades potenciales antes de
que estas se manifiesten y provoquen una seria degradación de la calidad del
servicio.
La correcta elaboración de informes permite evaluar el rendimiento de la Gestión de
Seguridad y aporta información de vital importancia a otras áreas de la infraestructura
TI.
Entre la documentación generada cabría destacar:
Informes sobre el cumplimiento, en lo todo lo referente al apartado de
seguridad, de los SLAs, OLAs y UCs en vigor.
Relación de incidentes relacionados con la seguridad, calificados por su
impacto sobre la calidad del servicio.
Evaluación de los programas de formación impartidos y sus resultados.
Identificación de nuevos peligros y vulnerabilidades a las que se enfrenta la
infraestructura TI.
Auditorías de seguridad.
Informes sobre el grado de implementación y cumplimiento de los planes de
seguridad establecidos.
62
3.6 COBIT
Para la realización del proyecto se tomaron los siguientes temas como base los cuales
se detallarán a continuación:
3.6.1 Satisfacer las Necesidades de las partes Interesadas
Las empresas existen para crear valor para sus accionistas. En consecuencia,
cualquier empresa, comercial o no, tendrá la creación de valor como un objetivo de
Gobierno. Creación de valor significa conseguir beneficios a un coste óptimo de los
recursos mientras se optimiza el riesgo. Los beneficios pueden tomar muchas formas,
por ejemplo, financieros para las empresas comerciales o de servicio público para
entidades gubernamentales.
Figura 29: Objetivo de Gobierno
Las empresas tienen muchas partes interesadas, y ‘crear valor’ significa cosas
diferentes y a veces contradictorias para cada uno de ellos. Las actividades de
gobierno tratan sobre negociar y decidir entre los diferentes intereses en el valor de las
partes interesadas. En consecuencia, el sistema de gobierno debe considerar a todas
las partes interesadas al tomar decisiones sobre beneficios, evaluación de riesgos y
recursos. Para cada decisión, las siguientes preguntas pueden y deben hacerse: ¿Para
quién son los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se requieren?
63
Cascada de Metas de COBIT 5
Cada empresa opera en un contexto diferente; este contexto está determinado por
factores externos (el mercado, la industria, geopolítica, etc.) y factores internos (la
cultura, organización, umbral de riesgo, etc.) y requiere un sistema de gobierno y
gestión personalizado.
Las necesidades de las partes interesadas deben transformarse en una estrategia
corporativa factible. La cascada de metas de COBIT 5 es el mecanismo para traducir
las necesidades de las partes interesadas en metas corporativas, metas relacionadas
con las TI y metas catalizadoras específicas, útiles y a medida. Esta traducción permite
establecer metas específicas en todos los niveles y en todas las áreas de la empresa
en apoyo de los objetivos generales y requisitos de las partes interesadas y así ,
efectivamente, soportar la alineación entre las necesidades de la empresa y las
soluciones y servicios de TI. La cascada de metas de COBIT 5 se detalla a
continuación:
Paso 1. Los Motivos de las Partes Interesadas Influyen en las Necesidades de las
Partes Interesadas.
Las necesidades de las partes interesadas están influenciadas por diferentes motivos,
por ejemplo, cambios de estrategia, un negocio y entorno regulatorio cambiantes y las
nuevas tecnologías.
Paso 2. Las Necesidades de las Partes Interesadas Desencadenan Metas
Empresariales
Las necesidades de las partes interesadas pueden estar relacionadas con un conjunto
de metas empresariales genéricas. Estas metas corporativas han sido desarrolladas
utilizando las dimensiones del cuadro de mando integral (CMI. En inglés: Balanced
Scorecard, BSC) y representan una lista de objetivos comúnmente usados que una
empresa puede definir por sí misma. Aunque esta lista no es exhaustiva, la mayoría
metas corporativas específicas de la empresa pueden relacionarse fácilmente con uno
o más de los objetivos genéricos de la empresa. En el Apéndice D se representa una
tabla de las partes interesadas y metas corporativas.
64
Figura 30: Cascada de metas COBIT
COBIT 5 define 17 objetivos genéricos, donde incluye la siguiente información:
• La dimensión del CMI en la que encaja la meta corporativa
• Las metas corporativas
• La relación con los tres objetivos principales de gobierno -- realización de beneficios,
optimización de riesgos y optimización de recursos (‘P’ indica una relación primaria y
‘S’ una relación secundaria, es decir una relación menos fuerte).
Paso 3. Cascada de Metas de Empresa a Metas Relacionadas con las TI.
El logro de metas empresariales requiere un número de resultados relacionados con
las TI que están representados por las metas relacionadas con la TI. Se entiende como
65
relacionados con las TI a la información y tecnologías relacionadas, y las metas
relacionadas con las TI se estructuran en dimensiones del CMI. COBIT 5 define 17
metas relacionadas con las TI,
La tabla que mapea entre las metas relacionadas con TI y los empresariales está
incluida en el apéndice B y muestra cómo cada meta corporativa es soportada por
varias metas relacionadas con TI.
Paso 4. Cascada de Metas Relacionadas con las TI Hacia Metas Catalizadoras
Alcanzar metas relacionadas con las TI requiere la aplicación satisfactoria y el uso de
varios catalizadores. El concepto de catalizador se explica detalladamente en el
capítulo 5. Los catalizadores incluyen procesos, estructuras organizativas e
información, y para cada catalizador puede definirse un conjunto de metas relevantes
en apoyo de las metas relacionadas con la TI.
Los procesos son uno de los catalizadores y el apéndice C contiene una relación entre
metas relacionadas con las TI y los procesos relevantes de COBIT 5, los cuales
contienen metas de los procesos relacionados.
Figura 31: Metas Corporativas
66
Figura 32: Metas Relacionadas con las TI
Utilizando la Cascada de Metas de COBIT 5
Beneficios de la Cascada de Metas de COBIT 5
La cascada de metas es importante porque permite la definición de prioridades de
implementación, mejora y aseguramiento del gobierno de las TI de la empresa, que se
basa en metas corporativas (estratégicas) de la empresa y el riesgo relacionado. En la
práctica, la cascada de metas:
• Define objetivos y metas relevantes y tangibles a varios niveles de responsabilidad
• Filtra la base de conocimiento de COBIT 5, sobre la base de las metas corporativas,
para extraer las guías relevantes a incluir en proyectos específicos de implementación,
mejora o aseguramiento.
67
• Identifica claramente y comunica cómo (algunas veces de forma m uy operativa) los
catalizadores son importantes para alcanzar metas de la empresa.
Utilizando Cuidadosamente la Cascada de Metas de COBIT 5
Las metas en cascada con sus tablas de relación entre metas empresariales y las
metas relacionadas con la TI y entre las metas relacionadas con la TI y catalizadores
de COBIT 5 (incluyendo procesos) no contienen la verdad universal y los usuarios no
deben intentar usarlo de una manera puramente mecánica, sino como una guía. Hay
varias razones para esto, incluyendo:
• Cada empresa establece sus objetivos con distintas prioridades, y estas prioridades
pueden cambiar con el tiempo.
• Las tablas de relación no distinguen entre el tamaño y/o la industria en la que se
enmarca la empresa. Representan una especie de común denominador sobre cómo,
en general, los diferentes niveles de objetivos se interrelacionan.
• Los indicadores usados en la relación utilizan dos niveles de importancia o relevancia,
lo que sugiere que hay niveles distintos de relevancia, cuando, en realidad, la
asignación se acercará a un continuo de diversos grados de correspondencia.
Utilizando la Cascada de Metas de COBIT 5 en la Práctica
En línea con la advertencia anterior, es obvio que el primer paso que una empresa
debe realizar siempre que utiliza la cascada de metas es personalizar la asignación,
teniendo en cuenta su situación específica. En otras palabras, cada empresa debe
construir su propia cascada de metas, compararla con COBIT y luego refinarla.
Por ejemplo, la empresa podría desear:
• Traducir las prioridades estratégicas a ‘ponderaciones’ o importancia para cada
objetivo de la empresa.
• Validar las relaciones de la cascada de metas corporativas, teniendo en cuenta su
entorno específico, industria, etc.
68
3.6.2 Cubrir la Empresa de Extremo a Extremo
COBIT 5 contempla el gobierno y la gestión de la información y la tecnología
relacionada desde una perspectiva extremo-a-extremo y para toda la empresa. Esto
significa que COBIT 5:
• Integra el gobierno de la empresa TI en el gobierno corporativo. Es decir, el sistema
de gobierno para la empresa TI propuesto por COBIT 5 se integra sin problemas en
cualquier sistema de gobierno. COBIT 5 se alinea con las últimas visiones sobre
gobierno.
• Cubre todas las funciones y procesos necesarios para gobernar y gestionar la
información corporativa y las tecnologías relacionadas donde quiera que esa
información pueda ser procesada. Dado este alcance corporativo amplio, COBIT 5
contempla todos los servicios TI internos y externos relevantes, así como los procesos
de negocio internos y externos.
COBIT 5 proporciona una visión integral y sistémica del gobierno y la gestión de la
empresa TI, basada en varios catalizadores. Los catalizadores son para toda la
empresa y extremo-a-extremo, es decir, incluyendo todo y a todos, internos y externos,
que sean relevantes para el gobierno y la gestión de la información de la empresa y TI
relacionada, incluyendo las actividades y responsabilidades tanto de las funciones TI
como de las funciones de negocio. La información es una de las categorías de
catalizadores de COBIT. El modelo mediante el que COBIT 5 define los catalizadores
permite a cada grupo de interés definir requisitos exhaustivos y completos para la
información y el ciclo de vida de procesamiento de la información, conectando de este
modo el negocio y su necesidad de una información adecuada y la función TI, y
soportando el negocio y el enfoque de contexto.
Enfoque de Gobierno
El enfoque de gobierno extremo-a-extremo que es la base de COBIT 5 está
representado en la figura, mostrando los componentes clave de un sistema de
gobierno.
69
Figura 33: Gobierno y Gestión
Además del objetivo de gobierno, los otros elementos principales del enfoque de
gobierno incluye catalizadores, alcance y roles, actividades y relaciones.
Catalizadores de Gobierno
Los catalizadores de gobierno son los recursos organizativos para el gobierno, tales
como marcos de referencia, principios, estructuras, procesos y prácticas, a través de
los que o hacia los que las acciones son dirigidas y los objetivos pueden ser
alcanzados. Los catalizadores también incluyen los recursos corporativos por ejemplo,
capacidades de servicios (infraestructura TI, aplicaciones, etc.), personas e
información. Una falta de recursos o catalizadores puede afectar a la capacidad de la
empresa de crear valor.
Dada la importancia de los catalizadores de gobierno, COBIT 5 incluye una sola forma
de mirar a y de tratar los catalizadores.
Alcance de Gobierno
El gobierno puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o
intangible, etc. Es decir, es posible definir diferentes vistas de la empresa a la que se
aplica el gobierno, y es esencial definir bien este alcance del sistema de gobierno. El
70
alcance de COBIT 5 es la empresa – pero en esencia, COBIT 5 puede tratar con
cualquiera de las diferentes vistas.
Roles, Actividades y Relaciones
Un último elemento son los roles, actividades y relaciones de gobierno. Definen quién
está involucrado en el gobierno, como se involucran, lo que hacen y cómo interactúan,
dentro del alcance de cualquier sistema de gobierno. En COBIT se hace una clara
diferenciación entre las actividades de gobierno y de gestión en los dominios de
gobierno y gestión, así como en la interconexión entre ellos y los actores implicados.
Enumerando las interacciones entre los diferentes roles, tenemos:
3.6.3 Aplicar un Marco de Referencia Único Integrado
COBIT 5 es un marco de referencia único e integrado porque:
• Se alinea con otros estándares y marcos de referencia relevantes y, por
tanto, permite a la empresa usar COBIT 5 como el marco integrador
general de gestión y gobierno.
• Es completo en cuanto a la cobertura de la empresa, proporcionando
una base para integrar de manera efectiva otros marcos, estándares y
prácticas utilizadas. Un marco general único sirve como una fuente
consistente e integrada de guía en un lenguaje común, no-técnico y
tecnológicamente agnóstico.
• Proporciona una arquitectura simple para estructurar los materiales de
guía y producir un conjunto consistente.
71
• Integra todo el conocimiento disperso previamente en los difere ntes
marcos de ISACA.
Marco Integrador de COBIT 5
La figura proporciona una descripción gráfica de cómo COBIT 5 logra su papel de
marco integrado y alineado.
El marco de referencia COBIT 5 proporciona a sus grupos de interés la guía más
completa y actualizada sobre el gobierno y la gestión de la empresa TI mediante:
• La investigación y utilización de un conjunto de fuentes que han impulsado el nuevo
contenido desarrollado, incluyendo:
72
La unión de todas las guías existentes de ISACA (COBIT4.1, Val IT 2.0, Risk IT, BMIS)
en este único marco.
Completar este contenido con áreas que necesitaban más elaboración y actualización.
El alineamiento a otros estándares y marcos relevantes, tales como ITIL, TOGAF y
estándares ISO. Se puede encontrar una lista completa de referencias.
• Definiendo un conjunto de catalizadores de gobierno y gestión que proporcionan una
estructura para todos los materiales de guía.
• Poblando una base de conocimiento COBIT 5 que contiene todas las guías y
contenido producido hasta ahora y que proporcionará una estructura para contenidos
futuros adicionales.
• Proporcionando una referencia base de buenas prácticas exhaustiva y sólida.
Figura 34: Productos COBIT
73
CAPÍTULO 4
4. Aplicación de un Modelo de Gestión de Seguridad ITIL y COBIT en la
Cooperativa de Ahorro y Crédito Chibuleo Ltda. Agencia Sangolqui.
4.1 Breve Reseña de la Cooperativa de Ahorro y Crédito
Chibuleo.Ltda Agencia Sangolqui.
Historia
“La Cooperativa de Ahorro y Crédito Chibuleo Ltda. nace el 17 de Enero de 2003, fruto
de un inspirador y 27 jóvenes no mayores de 20 años, aquellos que, no teniendo nada,
juntaron sus ideas y pensamientos en la búsqueda de un firme rumbo que aliviara sus
penumbras y tormentos en difíciles momentos en que se veían rodeados las clases
menos privilegiadas de nuestro país. Con el paso de los años la Cooperativa de Ahorro
y Crédito Chibuleo está escribiendo una historia de éxito… ha logrado posicionarse en
el sistema financiero como una cooperativa de demostrada capacidad de crecimiento e
innovadora, que trabaja por un futuro mejor para nuestra gente, con más de 70 mil
socios, 7 oficinas: Quito, Riobamba, Salcedo, Machachi, Latacunga, Sangolqui y su
principal en Ambato con un edificio propio de última generación.
Este sitial de honor se ha obtenido gracias al respaldo que hemos recibido de todos
nuestros socios que con gran orgullo, lealtad y confianza continúan apoyando esta
empresa cooperativa.”
74
Es importante recalcar que la Cooperativa Chibuleo ha logrado llegar a un tamaño que
le permite sobresalir entre las iniciativas de creación de Cooperativas de Ahorro y
Crédito impulsadas por sectores indígenas.
Actualmente la cooperativa está atendiendo en la sierra central, siendo sus principales
mercados las provincias de Tungurahua, Cotopaxi, Chimborazo y Pichincha, en esta
última principalmente en la capital, Sangolqui y Machachi.
Desde su creación en el año 2003 la Cooperativa ha logrado llegar a un total de
Activos de US$ 64.700.007,48; un total de Pasivos de US$ 56.827.977,36 y un
patrimonio de US$ 7.872.030,12, posicionándola como la Cooperativa de Ahorro y
Crédito del Segmento 3 de mayor tamaño con matriz en Tungurahua, frente a sus
pares como son la Coop. Ambato ($54.138.531 de Activo a mar/14), Coop. Kullky
Wasy ($40.147.438 de Activo a mar/14), Coop SAC, sin considerar la Coop Mushuc
Runa que está en el segmento 4, según la distribución del a SEPS.
El mercado natural de la Cooperativa son microempresarios ubicados en la zona de
influencia de la cooperativa, con un claro enfoque de atención a sectores rurales y
urbanos marginales.
Los principales objetivos de la Cooperativa son:
o Brindar servicios financieros a los sectores no atendidos por la banca tradicional y
principalmente del sector indígena de Tungurahua.
o Contribuir al mejoramiento socio económico de los socios de la Cooperativa.
o Fortalecer y mantener los servicios financieros acorde a las necesidades de los
sectores atendidos.
o Generar satisfacción y compromiso de los socios.
Misión
Somos una Cooperativa de Ahorro y Crédito que genera, administra y comercializa
servicios financieros, con enfoque de calidad, competitividad y rentabilidad mutua,
satisfaciendo las necesidades de la población, comprometidos con el desarrollo
socioeconómico del país.
75
Visión
Al 2014 la Cooperativa de Ahorro y Crédito Chibuleo consolidará su liderazgo en la
sierra central ampliando su cobertura, con indicadores financieros de calidad,
comprometidos con el desarrollo de la sociedad, con personal calificado y de alto
desempeño, reconocido por la sociedad, obteniendo una calificación de riesgo de B+.
Los principales valores y principios que rigen el accionar institucional son:
Agilidad
Honestidad
Respeto
Confianza
Integración
Creatividad
Productos Financieros
Cuenta de Ahorros
Cuenta Ahorro Fácil
Póliza a Plazo Fijo
Línea de Créditos
Ahorro Programado
76
4.2 Instalación de las Herramientas a utilizar
4.2.1 Instalación WinPcap
WinPcap es un driver de captura de paquetes, esto significa que WinPcap puede tomar
paquetes de una red y colocarlo en Snort, para su utilización.
Sus funciones son:
Obtener una lista de adaptadores de red y salvar esa información.
Sniffer de paquetes usando más de un adaptador seleccionado.
Almacenar paquetes capturados en disco duro.
La versión de WinPcap que se utilizó en este tutorial es la 2.3, debido a que las
versiones 3.0 y superiores presentan algunas deficiencias al trabajar con Snort
mientras que versiones inferiores como la 2.3 trabajan de forma adecuada.
Para su instalación únicamente ejecute el programa de instalación WinPcap_2_3.exe.
Dé clic en el botón Next y nos mostrará la siguiente pantalla.
Figura 35: Pantalla de Instalación Wincap
Luego aparece una pantalla en donde debemos aceptar la licencia.
77
Luego de dar click en I Agree nos muestra una pantalla de Install y el software se
empezara a instalar automáticamente.
Snort llama a WinPcap de forma automática, por lo tanto si al momento de ejecutar
Snort, éste no funciona adecuadamente, puede ser que WinPcap no haya sido
debidamente instalado.
78
Instalación de Snort
Como ya se mencionó, Snort es un IDS (Sistema de Detección de Intrusos), capaz de
ejecutar análisis de tráfico y autentificación de paquetes en tiempo real en redes
TCP/IP. Para su instalación, Snort.org tiene una distribución de instalación automática
para Windows, la cual puede ser utilizada de forma sencilla.
Ejecute el programa de instalación de snort y aparece la ventana de la Licencia Pública
GNU. De click en el botón de I agree.
Luego nos muestra la siguiente pantalla en donde se escogen las opciones de
componentes y se marca con un check los componentes que deseamos instalar.
Luego presionamos el botón de Siguiente.
Luego debemos escoger la ruta en donde se instalará el software.
79
Luego damos click en el botón de Siguiente para que empiece la instalación y al
momento de finalizar debemos dar click en el Close.
Al final nos da un aviso de que el software se ha instalado correctamente.
80
Configuración de Snort
Para que Snort comience a trabajar es necesario modificar algunos archivos especiales
ubicados en SnortPath.
Localice el archivo SnortPath\etc\snort.conf y ábralo con algún editor de texto que no
corrompa el formato original como Notepad o Wordpad.
Configuración de red.
De forma predeterminada Snort.conf contiene la siguiente línea, la cual indica el
rango de monitoreo.
var HOME_NET any
Para monitorear una IP o un segmento específico, inserte el rango de
direcciones IP y la subred de la red del host en snort.conf. Para hacer esto
reemplace la configuración de esta forma:
var HOME_NET IPAddressRange/Subnet
Ejemplos:
81
Para una red completa de clase C.
var HOME_NET 192.168.10.0/24
Para monitorear un host específico de la red de clase C.
var HOME_NET 192.168.10.2/32
Tres hosts específicos de la red de clase C.
var HOME_NET 192.168.10.2/32,192.168.10.3/32,192.168.10.6/32
Nota: Recuerde no colocar espacios entre cada coma.
Configuración de reglas
Para que Snort detecte y avise sobre posibles intentos de ataques es necesario
que se le diga un conjunto de reglas a seguir. De forma predeterminada la base de
estas reglas esta en SnortPath\rules.
Para indicar esto, en el archivo snort.conf, reemplace la línea varRULE_PATH por:
var RULE_PATH SnortPath\rules
Configuración de salida
La configuración de la salida de Snort es muy importante ya que define cómo se
presenta la información al usuario. Existen muchas características sobre la salida
de Snort, pero para esta implementación se utilizará la salida de una alerta en una
base de datos.
Para configurarlo se debe localizar la siguiente línea:
# output log_tcpdump; tcpdump.log
Modificarla de la siguiente forma:
output alert_fast: alert.ids
No olvide eliminar el comentario (#) al inicio de la línea para evitar que Snort la
ignore.
82
Configuración para la integración con la base de datos
Para poder utilizar las características de almacenamiento en MySQL es necesario
contar con la siguiente información antes de poder continuar.
User. Usuario MySQL de la base de datos donde Snort almacenará información.
Password. Contraseña del usuario.
Dbname. Nombre de la base de datos en MySQL donde Snort almacenará las
alertas.
YourHostName. Nombre del host del servidor de base de datos
Port. Puerto en el cual se establecerá la comunicación Snort - MySQL
Sensor_name: Nombre del sensor de Snort.
Es posible obtener el nombre del host (hostname) con el comando hostname en el
command prompt (símbolo del sistema).
Recuerda no usar nombres de usuarios, bases de datos y passwords predeterminados
para evitar se comprometido.
Una vez obtenida esta información, localizar en el archivo snort.conf la siguiente línea:
# output database: log, mysql, user=root password=test dbname=db host=localhost
Utilizando su propia información, modifique la línea para que quede de la siguiente
forma:
output database: log, mysql, user=User password=Password dbname=Dbname
host=YourHostName
port=Port sensor_name=Sensor_name
output database: log, mysql, user=snortusr password=P@zzm0Rd dbname=snortdb
host=localhost port=3006
sensor_name=snort_sensor
Incluir archivos especiales
83
Dos archivos de configuración deben ser referenciados para que Snort pueda
clasificar y generar alertas adecuadas. Estos son classification.config y
reference.config.
Para incluirlos se debe localizar la siguiente línea en snort.conf:
Include classification.config
Modificar de la siguiente forma:
Include SnortPath\etc\classification.config
De igual forma localizar en snort.conf:
Include reference.config
Modificar de la siguiente forma:
Include SnortPath\etc\reference.config
Probar configuración
Para verificar que se configuró de forma adecuada, puede desplazarse a
SnorthPath\bin dentro de una ventana de línea de comandos y ejecutar
snort –v :Este comando ejecuta Snort como sniffer de paquetes con la opción
verbose para desplegar todos los resultados en la pantalla.
84
Con el comando snort -W se determina el número de adaptadores utilizados y si se
desea especificar, se puede utilizar el comando snort -v -i#, donde # es el número
del adaptador de red (tal cual lo muestra la salida con la opción -W).
Para probar la habilidad de registrar en los discos duros, se puede utilizar la opción
-l indicando la ruta adecuada de la siguiente forma:
Snort-l SnortPath\log
Se puede añadir y quitar snort como un servicio de esta manera desde SnortPath:
snort /SERVICE /INSTALL -de-c SnortPath\etc\snort.conf -l SnortPath\log
snort /SERVICE /UNINSTALL
Instalación de MySql
MySQL es la base de datos relacional que utilizaremos para controlar y almacenar los
registros de las alertas o capturas que Snort realice.
Por cuestiones de compatibilidad con diferentes equipos, se sugiere la instalación por
separado del driver ODBC para MySQL. Para este tutorial se utilizó la versión
MyODBC 3.51.06.
Para instalarlo únicamente se debe de ejecutar el programa de instalación, en este
caso MyODBC-3.51.06.exe y dar clic en instalar. La instalación será de forma
automática.
Usualmente dentro del archivo comprimido de MySQL se encuentra el archivo de
instalación llamado setup.exe. Al momento de ejecutarlo aparece la ventana de
bienvenida, dar clic en Next.
Posteriormente aparece la ventana de información. Si deseas instalar MySQL en otro
directorio diferente de C:\MySQL, se debe de crear un archivo de inicialización, la
ventana de información describe el proceso.
Se debe de aclarar que en algunas versiones como la utilizada, el archivo de
configuración my.ini se genera de forma automática al iniciar el programa por primera
85
vez, pero no está de más aclarar que se puede modificar siguiendo el proceso descrito.
Para continuar presiona el botón Next.
Una vez indicada la ruta en donde se instaló MySQL, la tomaremos como referencia de
MySQLPath.
Configuración
Para empezar a utilizar MySQL es necesario realizar algunas configuraciones iniciales
y para hacerlo debes desplazarte a la carpeta MySQLPath\bin y ejecutar el siguiente
comando.
winmysqladmin
Al hacer esto se abre la consola gráfica de administración de la base de datos y solicita
configuración para la autenticación. Puede utilizar cualquier nombre de usuario y
contraseña que desee y presione el botón OK.
Debe aparecer un icono de semáforo en la parte inferior derecha con la luz verde
encendida, esto indica que el servidor MySQL puede ser utilizado y que arrancó de
forma adecuada, en caso de que no sea así y la luz sea de color rojo, es necesario
revisar la configuración del archivo my.ini en %systemroot% (C:\Windows para
86
XP y C:\WinNT para 2000) o desde la consola gráfica de administración en la pestaña
my.ini Setup.
El formato del archivo debe ser similar a este:
#This File was made using the WinMySQLAdmin 1.4 Tool
#24/08/2004 01:27:16 p.m.
#Uncomment or Add only the keys that you know how works.
#Read the MySQL Manual for instructions
[mysqld]
basedir=C:/mysql
bind-address=localhost
datadir=C:/mysql/data
#language=C:/mysql/share/your language directory
#slow query log#=
#tmpdir#=
port=3306
set-variable=key_buffer=16M
[WinMySQLadmin]
Server=C:/mysql/bin/mysqld-nt.exe
user=root
password=Password
Una vez que MySQL funciona adecuadamente, es necesario configurarlo para que
pueda trabajar con los datos de Snort. Antes es recomendable verificar que en la
pestaña Start Check de la consola de administración, la línea de my.ini tenga un yes
87
como valor y las líneas siguientes indiquen OK. Esto indica de forma más clara que
MySQL funciona apropiadamente.
El primer paso para configurar MySQL para trabajar con Snort es agregar un poco de
seguridad, con lo cual cambiaremos la contraseña de administrador.
En el directorio MySQLPath\bin debemos ejecutar el siguiente comando:
Mysql -u root -p
E introducimos el password del usuario root, en caso de que no tenga el password se
omite la opción -p. De esta forma accedemos con el cliente al servicio de MySQL.
Para realizar el cambio de contraseña, ya una vez ingresado ejecutamos el siguiente
comando:
mysql>update user set password=PASSWORD('clave') where user='root';
mysql> FLUSH PRIVILEGES;
Nota: Es importante recordar que en MySQL cada comando que ejecutemos debe de
terminar con el símbolo de punto y coma (;).
Ahora es necesario eliminar cuentas y bases de datos predeterminadas para evitar
posibles problemas de seguridad.
Primero indicamos el uso de la base de datos de administración:
use mysql;
Para eliminar usuarios y equipos:
delete from user where host = "%";
delete from user where host = "%";
Al ejecutar select * from user; únicamente debe existir el usuario root.
Para eliminar bases de datos, el comando show databases; debe mostrar las bases de
datos actuales.
88
Únicamente debe de quedar mysql como base de datos, así que para eliminar las
demás ejecutamos:
Drop database BaseDeDatos;
Por último, creamos la base de datos para Snort, así como un usuario que pueda
acceder a ella.
mysql>create database snort;
Desde MySQLPath\bin le indicamos que utilice el formato de creación de la base de
datos de Snort.
C:\mysql -D snort < SnortPath\contrib\create_mysql
Para crear el usuario :
mysql> grant insert,select,update,create,delete on Dbname.* to User@YourHostName
identified by 'clave';
Nota: Los datos del usuario debieron ser definidos en el punto 3.2 Instalación de Snort
en el apartado
Configuración para la integración con la base de datos.
Para verificar estos permisos:
Show grants for User@YourHostName;
Por último se verifica su funcionamiento junto con Snort, y para esto levantamos el
servicio de Snort ya ingresado en el registro desde el command prompt.
net start snort
Para detenerlo:
net stop snort
Posteriormente nos desplazamos a MySQLPath\bin y tratamos de ingresar con el
usuario User e ingresamos la contraseña.
mysql -D snort -h YpurHostName -u User -p
89
Password:
mysql> select * event;
En la tabla event se guardan los índices de los eventos. Si no hay ninguno, se debe
esperar algunos minutos a que Snort identifique un posible ataque. Si finalmente no se
ha registrado nada, habría que repasar los pasos anteriores, verificando que ambos
servicios permanecen activos.
Instalación IIS
En este momento ya es posible trabajar con Snort y con MySQL pero de una manera
un poco difícil, por lo cual existen herramientas como ACID que permiten analizar los
resultados de una manera más sencilla y rápida.
ACID es un sistema basado en Web, el cual utiliza PHP como lenguaje de
programación, por lo cual es necesario tener instalado un servidor Web en el equipo
que permita la ejecución de código PHP.
En este tutorial utilizamos IIS 5.1 de Windows, pero puede utilizarse cualquier servidor
Web como Apache.
Para instalarlo debemos ir a Panel de Control / Agregar o Quitar Programas / Agregar o
Quitar Componentes de Windows y seleccionar la pestaña Servicios de Internet
Information Server (IIS).Presiona Siguiente para Instalar.
90
Una vez instalado podemos comprobar su adecuada instalación al escribir en algún
navegador de Internet el URL http://localhost. Deberá aparecer una página de
bienvenida de Windows.
Asegurar IIS
IIS ha presentado algunos problemas de seguridad, por lo cual es necesario endurecer
las aplicaciones que corren en él, así como el propio servicio.
En la siguiente liga se dan algunas recomendaciones sobre cómo mantener IIS de
forma segura.
http://www.microsoft.com/windows2000/en/server/iis/default.asp?url=/windows2000/en/
server/iis/htm/core/iisckl.htm
ACID
Para la instalación de ACID es necesario únicamente copiar todo el contenido del
archivo comprimido de ACID en un directorio llamado ACID, dentro de la raíz del
91
servidor Web (para que sea accesible vía Web) y modificar acid_conf.php con los
siguientes datos:
$DBlib_path = "SnortPath\adodb";
$alert_dbname = "Dbname";
$alert_host = "YourHostName";
$alert_port = "3306";
$alert_user = "User";
$alert_password = "Password";
$ChartLib_path = "SnortPath\phplot"
ACID crea tablas adicionales para que el usuario pueda archivar alertas importantes.
Se puede indicar otro usuario para acceder a ellas.
/* Archive DB connection parameters */
$archive_dbname = "snort";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "snort";
Se reinician los servicios para prevenir posibles errores y se accede al servidor Web
con la siguiente ruta (localhost si esta en equipo local o dirección IP del servidor):
http://localhost/acid/index.html
La primera vez que se accede indica un error pues todavía no crea las nuevas tablas.
Para hacerlo selecciona: Select Setup Page y luego Create ACID AG, esto debe de
crear las tablas adicionales y desplegar correctamente la página inicial.
92
4.3 Modelo de Gestión de Seguridad
4.3.1 Consideraciones Generales
Para el Modelo de Gestión de Seguridad de la Cooperativa de Ahorro y Crédito
Chibuleo Agencia Sangolqui, se tendrán en cuenta las siguientes consideraciones:
El Modelo de Gestión de Seguridad es un documento de trabajo y como tal será
accesible a todo el personal que requiera su utilización por lo que la información
que en él se incluya debe ser ordinaria.
El Modelo de Gestión de Seguridad se ajustará en todo momento a los
sistemas de detección de intrusos y será utilizado como una herramienta de
trabajo para la gestión de la seguridad.
Su redacción será simple, clara y libre de ambigüedades para que sea
comprensible por todos los involucrados en su cumplimiento.
Contendrá las tablas, gráficos y otros complementos que contribuyan a su
mejor interpretación.
Se mantendrá permanentemente actualizado sobre la base de los cambios que
se produzcan en las condiciones consideradas durante su elaboración.
4.3.2 Presentación del Modelo de Gestión de Seguridad
La página inicial o portada contendrá el título siguiente: “Modelo de Gestión de
Seguridad” seguido del nombre de la Cooperativa.
En la segunda página se consignarán los datos referidos a la elaboración, revisión y
aprobación del Modelo de Gestión de Seguridad, de acuerdo al formato siguiente:
Elaborado Revisado Aprobado
Nombre
Cargo
Firma
Fecha
En la columna “elaborado” se consignan los datos de la persona que dirigió el equipo
que confeccionó el Modelo de Gestión de Seguridad, en la columna “revisado” los
datos de la persona designada para su revisión antes de presentarlo a aprobación y en
93
la columna “aprobado” se reflejan los datos del jefe de la entidad en la que el Plan
tendrá vigencia.
4.3.3 Estructura del Plan de Seguridad Informática
Alcance del Modelo de Gestión de Seguridad
El presente Modelo de Gestión de Seguridad es aplicable en su totalidad en las
oficinas tanto del personal administrativo como de los administradores encargados de
la seguridad de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia Sangolqui.
Las políticas expresadas en este plan son de obligatorio cumplimiento para todo el
personal y áreas de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia
Sangolqui.
El Modelo de Gestión estará basado en los Sistemas de Detección de intrusos en lo
que se refiere a las alertas de intrusiones para el control de seguridad.
Caracterización del Sistema Informático
El sistema Informático de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia
Sangolqui, se basa medios informáticos que incluyen servidores, computadoras de
escritorio y portátiles y computadores que se utilizan en las cajas de la Cooperativa y
para la atención de servicio al cliente, gran parte de ellas conectadas en red.
En la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia Sangolqui, existe una red
interna local que barca las áreas administrativas, servicio al cliente, gerencia, recursos
humanos, contabilidad y departamento de sistemas.
Para la Gestión de la red se cuenta con 2 servidores que utilizan sistema operativo
Windows 2003 Enterprise y en las estaciones de trabajo se emplea Windows XP y
Windows 7.
Los servidores tienen la función de: controlador de dominio, aplicaciones, base de
datos, correo electrónico, proxy, sistema de detección de intrusos.
Los servicios implementados en la red son navegación en Internet usuarios limitados,
correo electrónico, aplicaciones informáticas, transferencia de ficheros. La navegación
94
y el correo tienen alcance o están activados para navegar en páginas autorizadas por
el administrador y solo a usuarios autorizados dependiendo de las necesidades que
presente.
Las aplicaciones y bases de datos en explotación son:
Sistema de aplicaciones para el servicio al cliente y cajas.
Sistema Contable.
Sistema de control de Información clasificada.
Sistema de Control de Actualización de Software.
Además se utilizan los paquetes de Microsoft Office para la elaboración de informes y
otros documentos, en las máquinas previstas para el trabajo interno.
El cableado de la red está soportado por cable UTP categoría 5, 100 Mbits con
Topología de Red en Bus, protegida por canaletas. Las estaciones de trabajo se
agrupan por áreas y están en diferentes pisos y se comunican mediante conmutadores
o switchs.
Además se cuenta con un punto de acceso inalámbrico o Access Point a la red de
internet que se utiliza en el salón de reuniones.
La conexión al exterior se realiza disponiendo de una línea arrendada conectada
directamente al proveedor de internet o ISP.
El intercambio de información tanto interna como externa se realiza básicamente a
través del correo electrónico.
La información ordinaria de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia
Sangolqui se procesa en las estaciones de trabajo de la red y la información clasificada
en máquinas independientes, ubicadas en la Gerencia de la empresa y en el
departamento de seguridad de la información.
El edificio de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia Sangolqui se
encuentra en buenas condiciones constructivas, adecuadas tanto para la protección
como la preservación de los equipos y la posibilidad de visibilidad de las pantallas
desde el exterior es prácticamente nula.
Resultados del Análisis de Riesgos
95
Los bienes informáticos más importantes a proteger son:
El servidor de aplicaciones.
El sistema contable de la Cooperativa de Ahorro y Crédito.
La red de trabajo interno de la Cooperativa de Ahorro y Crédito.
Las bases de datos de la intranet.
El servicio de correo electrónico de la cooperativa de Ahorro y Crédito.
Las bases de datos del sistema de cajas.
Las amenazas más importantes a considerar de acuerdo al impacto que pudieran tener
sobre la empresa:
El acceso no autorizado a la red, tanto producto de un ataque interno como
externo.
Pérdida de disponibilidad.
La sustracción, alteración o perdida de datos.
Fuga de información clasificada de clientes de la Cooperativa de Ahorro y
Crédito.
La introducción de programas malignos.
El empleo inadecuado de las tecnologías y sus servicios.
Ataque de intrusiones por parte de hackers.
Las áreas sometidas a un mayor peso de riesgo y las amenazas que lo motivan son:
Por parte de los servidores de la red, accesos no autorizados y perdida de
disponibilidad.
Por parte de los sistemas contables, alteración o perdida de los datos, perdida
de disponibilidad y la introducción de programas malignos.
Al departamento de seguridad y desarrollo, alteración o perdida de datos,
perdida de disponibilidad y la intrusión de programas malignos.
Las Oficinas de Administración contable, Recursos Humanos, Departamento de
seguridad, se puede dar fuga de información clasificada.
96
4.4 Políticas de Seguridad Informática
4.4.1 Creación de una política de seguridad
Para definir el Sistema de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda se ha
creado tres políticas, las cuales deberán ser elegidas por los administradores. Además,
se tiene la posibilidad de desechar algunos casos o puntos para incorporar otras
nuevas, siendo flexibles a cambios y a las necesidades de la cooperativa.
Riesgo Bajo
Implementación
Las funciones de alarma y alerta de firewalls y otros dispositivos de control de
acceso al perímetro deben estar activados.
Los procesos de logging de las aplicaciones y los sistemas operativos deben
estar activados en todos los hosts y servidores.
Administración
Se debe revisar diariamente los logs en los sistemas de control de acceso al
perímetro.
Se deben revisar los logs de los host y servidores que se encuentran en la red
interna.
Se deben entrenar a los usuarios para que avisen de cualquier anomalía que se
presente a los administradores.
Todos los problemas que se detallen a los administradores deben ser revisados
en busca de ataque de intrusos.
Todos los ataques de intrusos deberán ser comunicados a personal de
seguridad.
Riesgo Medio
Implementación
Los procesos de logging de las aplicaciones y de los sistemas operativos deben
estar activados en todos los hosts y servidores.
97
Las funciones de alarmas y alertas de los firewalls y otros dispositivos de
control de acceso al perímetro deben estar activados.
Todos los servicios críticos deben ser monitorizados.
Administración
Se deben revisar diariamente los logs en los sistemas de control de acceso al
perímetro.
Se debe instalar software para el chequeo de la integridad de los sistemas de
ficheros en los firewalls y otros sistemas de control de acceso al perímetro.
Se deben revisar semanalmente los logs delos hosts y servidores que se
encuentran en la red interna.
Se debe entrenar a los usuarios para que avisen de cualquier anomalía en el
rendimiento del sistema a los administradores.
Todos los problemas que reciban los administradores serán revisados en busca
de síntomas que indiquen actividad intrusiva. Los síntomas sospechosos
deberán ser comunicados al personal de seguridad.
El personal de seguridad de red establecerá relaciones con otras
organizaciones dedicadas a la respuesta de incidentes, para compartir
información relevante de incidentes y vulnerabilidades.
Cuando se produzca una intrusión, a menos que los sistemas críticos hayan
sido comprometidos, la organización intentará primero recabar pruebas sobre
los intrusos antes de reparar los sistemas, buscando más información de quién
y cómo se produjo la intrusión. Esta persona debe ser entrenada en las vías
legales para reportar una intrusión. Se permitirá que determinados agujeros de
seguridad queden sin corregir controladamente para el estudio de los atacantes
y sus técnicas (’honeypots’).
Riesgo Alto
Implementación
98
Los procesos de logging de las aplicaciones y los sistemas operativos deben
estar activados en todos los hosts y servidores.
Las funciones de alarma y alerta de los firewalls y otros dispositivos de control
de acceso al perímetro deben estar activados.
Todos los servicios críticos deben tener además herramientas redundantes de
detección de intrusos instaladas, la cuales operen con principios diferentes a los
de las herramientas primarias ya instaladas.
En los puntos de concentración de la red se instalaran NIDSs que monitoricen
el tráfico en busca de patrones conocidos de ataques.
Administración
Se debe instalar software para el chequeo de la integridad de los sistemas de
ficheros y otros sistemas de control de acceso al perímetro.
Se deben revisar diariamente los logs en los sistemas de control de acceso al
perímetro.
Se deben revisar semanalmente los logs de los hosts y servidores que se
encuentran en la red interna.
Se debe entrenar a los usuarios para que avisen de cualquier anomalía en el
rendimiento del sistema a los administradores.
Todos los problemas que reciban los administradores serán revisados en busca
de síntomas que indiquen actividad intrusiva. Los síntomas sospechosos
deberán ser comunicados al personal de seguridad.
Cuando se produzca una intrusión, a menos que los sistemas críticos hayan
sido comprometidos, la organización intentará primero recabar pruebas sobre
los intrusos antes de reparar los sistemas, buscando más información de quién
y cómo se produjo la intrusión. Esta persona debe ser entrenada en las vías
legales para reportar una intrusión.
El NIDS será revisado periódicamente para su correcto funcionamiento.
La organización intentará perseguir a los intrusos pero no permitirá que no se
corrijan agujeros de seguridad para el estudio de los atacantes.
99
Podemos definir algunas políticas de seguridad en la Cooperativa de Ahorro y Crédito
Chibuleo.Ltda Agencia Sangolqui y definirlas en cualquiera de los riesgos que se han
definido antes:
Las propuestas de iniciativas encaminadas a mejorar el sistema de seguridad
informática serán aprobadas por el gerente de la empresa y el departamento
de seguridad informática.
Los usuarios de las tecnologías de información y comunicaciones responden
por su protección y están en la obligación de informar cualquier incidente,
intrusión, ataque o violación que se produzca a su Jefe inmediato superior.
El acceso a las tecnologías de la Cooperativa será expresamente aprobado en
cada caso y el personal tiene que estar previamente preparado en los aspectos
relativos de la seguridad informática.
El IDS estará encargado de monitorear toda la red en busca de amenazas,
intrusiones o ataque para alertar al administrados de la seguridad que está
sucediendo una intrusión a alguna amenaza se realizó.
Se establecerán procedimientos que especifiquen quién y cómo se asignan y
suspenden los derechos y privilegios de acceso a los sistemas de información.
Se prohíbe vincular cuentas de correo electrónico de la entidad a un servidor
en el exterior del país con el fin de re direccionar y acceder a los mensajes a
través del mismo.
En caso de violación de la seguridad informática, se comunicará al jefe
inmediato superior y al departamento de seguridad informática, para analizar lo
ocurrido y proponer la medida correspondiente, también se creará una
comisión para que realice está tarea.
Responsabilidades
100
Estructura de gestión de la seguridad informática de la Cooperativa de Ahorro y
Crédito Chibuleo.Ltda.
Está estructura la podemos clasificar de la siguiente manera como se muestra en la
figura a continuación.
Figura 36: Estructura de la Empresa
Funciones y Obligaciones de los Administradores de Sistemas, Aplicaciones y
Base de Datos de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda Agencia
Sangolqui.
Informar a los usuarios de los controles de seguridad que hayan sido
establecidos y verificar su utilización apropiada.
Controlar el acceso a los sistemas, aplicaciones y base de datos en
correspondencia con la política establecida para los mismos.
Detectar posibles vulnerabilidades en los sistemas y aplicaciones bajo su
responsabilidad y proponer acciones para su solución.
101
Garantizar el mantenimiento, actualización, el registro de los sistemas y
aplicaciones que lo requieran.
Mediante el Sistema de Detección de Intrusos monitorear la red en busca de
intrusos o ataques e informar al administrador para que tome las medidas
correspondientes.
4.5 Medidas y Procedimientos de Seguridad Informática
Medida
El administrador del sistema contable responde por la integridad de los medios
destinados para la explotación de esta aplicación.
Procedimiento: Control de medios informáticos.
Acceder la última semana de cada mes al Sistema de Detección de Intrusos a
través del servidor de la red aplicándolo a los medios informáticos que forman
parte de la red.
Comprobar cambios existentes desde el último control realizado.
Informar al departamento de seguridad informática sobre los resultados de la
comprobación.
Generar un resumen de los resultados de cada control. Responsable el
administrador de la red.
Establecer en caso de existir diferencias las causas y responsabilidades.
Procedimiento: Aprobación de acceso a las tecnologías y servicios por parte de
personal externo.
Elaborar y presentar la solicitud de autorización de acceso a las TI al
departamento de seguridad, donde se incluya el nombre y los apellidos de la
persona que necesita el acceso y su número de identidad, las razones que
justifican este acceso, el acceso que se requiere y el tiempo que se requerirá
mantenerlo. Responsable: Jefe de cada área.
Aprobar o denegar la solicitud en caso que corresponda, y darlo a conocer por
escrito al administrador de la red, al jefe del área que realizó la solicitud y al jefe
del departamento de seguridad informática, especificando el alcance del acceso
y el tiempo de vigencia del mismo. Responsable: Gerente de la Empresa
102
Asignar (en caso de autorización de acceso), un identificador personal y único
para el acceso a los sistemas y servicios determinados en la aprobación y
definir en el servidor de la red los atributos en correspondencia con la
autorización otorgada. Responsable: Administrador de la red.
Imponer a la persona que se otorga el acceso de sus obligaciones y
atribuciones con relación al empleo de las tecnologías y sus servicios.
Responsable: Jefe de área que solicita el acceso.
Solicitar al director la cancelación del acceso concedido e informar las razones
de la solicitud. Responsable: Jefe del área que solicita el acceso.
Cancelar la cuenta y los permisos de acceso una vez concluido el plazo
previsto. Responsable: Administrador de Red.
4.6 Seguridad Física y Ambiental
Las medidas y procedimientos de seguridad física y ambiental tiene como objetivo
evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones,
las tecnologías y la información de la organización.
Se las debe aplicar directamente en donde tenemos las tecnologías de la información y
directamente a estas mismas tecnologías y a los soportes de información que incluyen:
medios físicos, medios técnicos de detección, alarmas y el personal que forma parte
del análisis de la información y de las intrusiones.
Las medidas y procedimientos de seguridad física y ambiental van dirigidas a:
La protección de las tecnologías contra la sustracción o alteración, incluyendo
sus componentes y la información que contiene.
Impedir su empleo para cometer acciones malintencionadas o delictivas.
Disminuir el impacto producido por fuego, inundación, explosión, perturbación
del orden y otras formas de desastre natural o artificial.
La protección de los cables que transporten datos o apóyenlos servicios contra
la intercepción o el daño.
El control del movimiento de tecnologías.
103
Clasificación y medidas específicas en las áreas controladas:
Área controlada Categoría Medidas Específicas
Seguridad y Defensa Limitada
Acceso físico limitado, alarmas contra
intrusos
Servidores de Red Restringida
Acceso solo administradores, IDS, datos
protegidos
Investigación y
desarrollo Limitada
Redundancia de datos, cierres seguros,
alarmas.
Medida
La entrada, salida y traslado de las tecnologías de información en la Cooperativa de
Ahorro y Crédito Chibuleo.Ltda se realizará con autorización del Gerente en
correspondencia con el Procedimiento No. 3 dejándose constancia del movimiento de
tecnología.
Procedimiento: Movimientos de Tecnologías de la Información.
Solicitar autorización por escrito al Gerente de la empresa para el movimiento
de las tecnologías que lo requieran, fundamentando en que consiste el
movimiento, los motivos y si es temporal el tiempo requerido.
Autorizar si es procedente el movimiento de las tecnologías y darlo a conocer
por escrito al jefe del área que realizo la solicitud.
Registrar en el sistema contable el movimiento del medio básico autorizado a
trasladar.
Revisar antes de su salida de la entidad las tecnologías autorizadas a
trasladar.
4.7 Seguridad de Operaciones
Procedimiento: Corrección de errores y brechas de seguridad.
Instalar y configurar las aplicaciones destinadas para distribuir parches de
seguridad para la eliminación de vulnerabilidades conocidas cuando su solución
104
sea publicada por el fabricante y software para detectar brechas de seguridad,
puertos abiertos y otras vulnerabilidades similares.
Informar los resultados de la corrección de errores y brechas de seguridad al
departamento de seguridad informática, cada vez que se realicen y preservar
los registros en los soportes habilitados.
Actualizar los cambios en el Modelo de Gestión de Seguridad.
4.8 Identificación, Autenticación y Control de Acceso
Procedimiento: Aprobación y cancelación de acceso a las TI
Elaborar y presentar la solicitud de acceso a la TI al Gerente de la empresa,
donde se incluya el nombre y apellidos del trabajador que necesita el acceso,
las razones que justifican este acceso y los activos a los que solicita acceder.
Preparar al trabajador en el uso adecuado de las tecnologías de la información
y en sus obligaciones como usuario de las mismas.
Asignar un identificador personal y único para el acceso a los sistemas y
servicios que correspondan a la autorización otorgada.
Otorgar al usuario una contraseña temporal para ser utilizada en la primera
conexión.
Realizar controles parciales de este procedimiento e informar de los resultados.
4. 9 Seguridad ante programas malignos
Procedimiento: Descontaminación de programas malignos.
Al detectar en una estación de trabajo indicios de contaminación detener la
actividad que se esté realizando, desconectarla de la red e informar all jefe
inmediato y al administrador de la red.
Identificar de qué tipo de programa maligno se trata o de qué tipo de intrusión.
Verificar que en el medio contaminado se esté ejecutando una versión
actualizada del programa antivirus instalado y de no cumplirse, proceder a la
actualización del programa y llevar a cabo la descontaminación. De ser exitosa
la descontaminación poner en operación el medio afectado.
Revisar los soportes y el resto de las tecnologías que pudieran haber sido
afectadas.
105
Investigar las causas de aparición de código malicioso.
Realizar las anotaciones pertinentes en el registro de Incidencias.
Reportar el incidente al administrador de la red.
Si es un programa o ataque desconocido, proceder al aislamiento del fichero
contaminado.
4.10 Respaldo de Información
Procedimiento: Respaldo de Aplicaciones.
Realizar diariamente la salva de los sistemas antes especificados, al finalizar de
la jornada de trabajo en discos compactos en dos versiones.
Verificar la integridad de la salva,
Consignar en el registro los respaldos que se han realizado.
Realizar un control trimestral del cumplimiento de este procedimiento.
4.11 Seguridad en Redes
Procedimiento: Control de eventos en el sistema operativo.
Realizar diariamente la revisión y análisis de los registros de los eventos
generados por el sistema operativo de la red.
Investigar las causas de cualquier anomalía detectada y determinar si se está
en presencia de un incidente de seguridad.
Mantener la disponibilidad y actualización de las herramientas que garantizan el
correcto funcionamiento del sistema operativo.
4.12 Gestión de Incidentes de Seguridad
Procedimiento: Interrupción en las comunicaciones.
Informar al departamento de seguridad informática de las situaciones de
intrusos que se han presentado.
Identificar si la interrupción es causada por factores externo o interno.
Reportar la interrupción al proveedor del servicio si el problema radica en la
línea de comunicación.
Restablecer la operación y establecer las causas de la interrupción y determinar
posibles acciones para evitar su reiteración una vez solucionado el problema.
107
CAPÍTULO 5
5. CONCLUSIONES Y RECOMENDACIONES
5.1 Conclusiones
Al culminar el Modelo de Gestión de Seguridad a través del uso de buenas
prácticas de ITIL y COBIT enfocado a los sistemas de detección de intrusos
(IDS) en las aplicaciones informáticas de la Cooperativa de Ahorro y Crédito
Chibuleo Ltda. Agencia Sangolqui, se han cumplido con los objetivos propuestos
en el presente trabajo, por lo tanto se exponen a continuación las siguientes
conclusiones y recomendaciones en torno a la realización del proyecto.
Como resultado del proyecto hemos obtenido las siguientes conclusiones:
1. Se ha implantado exitosamente un sistema de detección de intrusos en la
Cooperativa de Ahorro y Crédito Chibuleo.Ltda, lo cual permite a los
administradores conocer cuando está siendo atacada la red y aporta
información valiosa para determinar la naturaleza de los ataques.
2. La utilización de ITIL como guía de buenas prácticas para la gestión de las TI
ayudo a que los usuarios puedan comprender de manera más fácil como se
realizó el modelo de gestión de seguridad para implementarlo en la cooperativa
de ahorro y crédito
3. Se han redactado varias políticas de seguridad, de las cuales los
administradores de la Cooperativa de Ahorro y Crédito Chibuleo.Ltda podrán
elegirla que crean más apropiada dependiendo del riesgo que exista.
5.2 Recomendaciones
1. Definir Políticas de Seguridad de una Empresa para desarrollar y/o implantar
software de búsqueda de intrusiones de seguridad.
2. Desarrollar el Sistema de Detección de Intrusos en función del Sistema de
Seguridad.
108
3. Evaluar el soporte de hardware con el fin de que la búsqueda de intrusiones
sea ágil y eficiente.
4. Disponer de toda la información pertinente de la empresa para la eficacia del
Sistema de Detección de Intrusiones.
109
REFERENCIAS BIBLIOGRÁFICAS
1. Manual ITIL
Biable- Excelencia e Innovación. (18 de Julio 2012). Manual ITIL V3.
SlideShare: http://es.slideshare.net/Biable/manual-itil-integro
2. ITIL Osiatis
OSIATIS S.A (2011) ITIL V3, Gestión de Servicios TI
itilv3.osiatis.es: http://itilv3.osiatis.es/estrategia_servicios_TI.php
3. COBIT Isaca
Isaca. (2010). Cobit 5
http://www.isaca.org/Knowledge-Center/cobit/
4. COBIT
GOVERNANCE INSTITUE. (2007). Cobit
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
5. IDS
Diego González Gómez. (julio 2010). Sistemas de Detección de
Intrusiones:www.dgonzalez.net:
http://www.dgonzalez.net/papers/ids/html/cap06.htm
6. ITIL y COBIT
IT GOVERNANCE INSTITUTE. (2008). Alineando COBIT, ITIL en
beneficio de la empresa
7. WINDOWS Y SNORT
UNAM-CERT. (2010). Instalación de Snort, MySQL y ACID para Windows
110
ANEXOS
ANEXO A (Presupuesto)
Facultad de Ingeniería, Ciencias Físicas y Matemáticas Escuela de Ciencias Recursos y Presupuesto para Tesis de Grado
Ítem Rubros de Gastos Cantidad Valor Total
N° N° $ $
RECURSO HUMANO 1 Tutor de Tesis de Grado 1 0,00 0,00
2 Tribunal de Tesis de Grado 3 0,00 0,00
3 Investigador (Autor de Tesis de Grado) 1 0,00 0,00
SUBTOTAL RECURSOS HUMANOS 0,00
RECURSOS MATERIALES 4 Resma de papel 2 3,00 6,00
5 Cartucho de tinta B/N 1 15,00 30,00
6 Cartucho a color 2 17,00 34,00
7 Copias 700 0,02 14,00
SUBTOTAL RECURSOS MATERIALES 84,00
MATERIAL BIBLIOGRAFICO 8 Internet 1 00,00 00,00
9 Fotocopias de libros 100 0,03 3,00
10 Transcripción borrador trabajo de grado 1 0,00 0,00
11 Empastado del trabajo de grado 6 10,00 60,00
SUBTOTAL RECURSOS MATERIALES 63,00
RECURSOS INFORMATICOS 12 Computador de escritorio 1 00,00 00,00
13 Laptop 1 00,00 00,00
14 Impresora Multifunción 1 00,00 00,00
15 Cd 10 0,50 5,00
16 Flash memory 1 00,00 00,00
SUBTOTAL DE RECURSOS INFORMATICOS 5,00
ALIMENTACION 17 Comidas
50,00
18 Transporte
50,00
OTROS 19 Gastos varios 1 100,00 100,00
SUBTOTAL DE OTROS 100,00
TOTAL GASTOS 152,00
IMPREVISTOS (5%) 12,6
TOTAL 264,6
FINANCIAMINETO: Autofinanciado Autor: Marcos Javier Oviedo De Mora
______________________
113
ANEXO C
Muestra de Información obtenida sobre ataques o intentos de intrusiones
Observamos como Snort es capaz de detectar estos intentos de recogida de
información o ataques que se intentan realizar en la red o aplicaciones de la empresa.
Definiciones de las columnas:
COUNT: el número total de veces que aparece en la BD.
SIG_ID: el identificador con el que aparece.
NUM_SRC: el número de direcciones IP origen distintas de esa alarma.
NUM_DST: el número de direcciones IP destino distintas de esa alarma.
SIG_NAME: breve mensaje explicando la causa que provocó la alarma
REF: URL o referencia en una base de datos donde se encuentra una explicación más
detallada sobre el ataque.
COUNT SIG_ID NUM_SRC NUM_DST SIG_NAME (REF)
1141929 26 58464 36069 SCAN Proxy attempt (url help.undernet.org/proxyscan/)
702180 6 35126 65535 SCAN Proxy attempt
481451 126 288 63 spp_stream4: STEALTH ACTIVITY (NULL scan) detection
416496 32 1645 842 WEB-IIS cmd.exe access
410590 15 3106 13071 ICMP Destination Unreachable
(CommunicationAdministratively Prohibited)
278514 60 68 104 BAD TRAFFIC bad frag bits
213950 24 35046 32 INFO - Possible Squid Scan
157820 50 33 65024 ICMP superscanecho
121700 45 23 18 FTP wu-ftp file completion attempt (bugtraq 3581)
114
120938 10 36816 131 WEB-MISC count.cgi access (bugtraq 128)
72562 33 77 12 ICMP PING speedera
71871 28 12746 732 WEB-IIS scripts access
56318 19 7148 799 MISC Large ICMP Packet (arachnids 246)
28911 59 147 19 WEB-MISC whisker HEAD with large datagram (url
www.wiretrip.net/rfp/pages/whitepapers/whiskerids.html)
27508 21 109 3046 WEB-MISC 403 Forbidden
26264 77 160 15662 ICMP PING NMAP (arachnids 162)
20275 5 454 14 WEB-CGI php access (bugtraq 2250)
18958 37 610 355 ICMP Source Quench
15887 30 1325 65 WEB-IIS iissamples access
15351 56 11298 936 WEB-IIS ISAPI .ida attempt (arachnids 552)
12479 47 1570 56 NETBIOS SMB C access (arachnids 339)
10431 31 885 71 WEB-IIS view source via translateheader (arachnids 305)
9584 107 26 709 WEB-IIS msdac access
8545 12 3789 45 WEB-FRONTPAGE _vti_rpc access (bugtraq 2144)
8059 29 1824 95 WEB-MISC http directory traversal(arachnids 297)
7863 7 3785 44 WEB-IIS _vti_inf access
7213 39 1491 756 WEB-IIS CodeRed v2 root.exe access
(url www.cert.org/advisories/CA-2001-19.html)
6163 124 10 10 MISC Tiny Fragments
5935 54 3344 66 WEB-CGI calendar Access
5535 238 285 19 spp_stream4: STEALTH ACTIVITY (Vecna scan) detection
115
4938 22 86 420 SCAN nmap TCP (arachnids 28)
4813 149 31 28 DOS MSDTC attempt (bugtraq 4006)
4627 46 19 15 FTP wu-ftp file completion attempt { (bugtraq 3581)
3926 65 372 173 WEB-CGI scriptalias access (cve CVE-1999-0236)
3813 127 14 8 WEB-MISC whisker space splice attack (arachnids 296)
3545 42 260 20 WEB-MISC long basic authorization string (bugtraq 3230)
3060 8 1082 230 WEB-CGI formmail access (bugtraq 1187)
3010 120 29 18 ICMP Destination Unreachable (Communicationwith
Destination Network is Administratively Prohibited)
2642 90 272 857 spp_stream4: STEALTH ACTIVITY (SYN FIN scan) detection
2323 17 955 64 WEB-FRONTPAGE /_vti_bin/ access
1933 41 189 18 WEB-FRONTPAGE author.exe access
1906 362 254 6 DDOS shaft synflood (arachnids 253)
1398 298 3 3 MISC Large UDP Packet (arachnids 247)
1375 44 353 5 WEB-IIS ASP contents view (bugtraq 1864)
1314 132 5 4 ICMP PING CyberKit 2.2 Windows (arachnids 154)
1275 293 256 8 spp_stream4: STEALTH ACTIVITY (Full XMAS scan) detection
1268 66 22 26 ICMP Destination Unreachable (Communicationwith
Destination Host is Administratively Prohibited)
1112 43 106 48 WEB-IIS multiple decode attempt (cve CAN-2001-0333)
1009 192 17 35 WEB-MISC /etc/passwd
970 76 10 12 ICMP redirect host (arachnids 135)
116
TERMINOLOGÍA
Sniffer: es un software que permite capturar tramas de la red. Generalmente utilizado con
fines maliciosos para capturar textos de emails, chats, datos personales, contraseñas, etc.
SLAs: Nivel de Acuerdo de Servicio
Spam: práctica de enviar indiscriminadamente mensajes de correo electrónico no solicitados.
Generalmente, se trata de publicidad de productos, servicios o de páginas web.
Criptología: La criptografía es la técnica que protege documentos y datos. Funciona a través
de la utilización de cifras o códigos para escribir algo secreto en documentos y datos
confidenciales que circulan en redes locales o en internet
MySql: Base de datos de código abierto.