Monitorización Continua y Seguridad de la Información

Un componente esencial de cualquier sistema de control es el de monitorización. Se trata de un elemento común en modelos de control generales como COSO o en otros estándares de gestión de riesgos más específicos como puede ser el 800-37 del NIST en el caso de seguridad de la información.

coso_frameworkEn estos modelos, el componente de monitorización se materializa en un proceso de verificación recurrente de los elementos esenciales del sistema, para asegurar que los controles que lo componen siguen siendo apropiados y efectivos con independencia de los cambios que puedan ocurrir en el contexto. La constatación de deficiencias o desviaciones en la efectividad de los controles es el punto de partida de un ejercicio de re-ajuste del modelo para asegurar que se siguen cumpliendo los objetivos, dentro de los límites establecidos del apetito de riesgo de la organización. La secuencia de monitorización-evaluación-ajuste marca el impulso del ciclo general de gestión del riesgo.

Esta verificación recurrente de la efectividad es además muy importante de cara a poder verificar el grado de cumplimiento con normativas (requisitos de seguridad de la información, leyes de protección de datos, normativas sectoriales como PCI/DS…), siendo un elemento esencial para la transparencia y permitiendo transmitir confianza a todos las partes interesadas en el proceso (ej: reguladores, clientes, el consejo de administración,  etc…).

imgD

La propia efectividad del proceso de monitorización se ve influenciada obviamente tanto por la frecuencia con que se extraen y analizan las muestras de datos relacionados con los controles como por el grado de manualidad (o automatización) del proceso.  En un entorno complejo y con baja automatización, el proceso de monitorización puede ser extremadamente costoso en tiempo y recursos. En estos casos además, debido a estas restricciones, las muestras de datos suelen ser poco frecuentes (ej: con carácter anual o semestral), lo que hace que la efectividad del proceso sea baja.

Para superar estas limitaciones se plantea el concepto de monitorización continua, basado en el principio de una alta frecuencia de muestreo de los controles (siendo en algunos casos posible/deseable incluso la monitorización en tiempo real) y en un alto grado de automatización en la medición allí donde sea factible, para reducir costes y aumentar la eficiencia, fiabilidad y calidad del proceso.

En el campo de la seguridad de la información, la monitorización continua favorece la toma de decisiones de gestión del riesgo al mantener un foco continuo sobre las amenazas y vulnerabilidades que afectan a los activos de información. La implementación de monitorización en tiempo real de los controles técnicos propiciada por el uso de herramientas automáticas, permite una visión dinámica y efectiva de los aspectos más tácticos y operaciones del plan de seguridad. Sin embargo, es necesario tener en cuenta que el modelo de control debe cubrir la monitorización, no sólo de los controles técnicos de seguridad, sino también aquellos controles administrativos y operacionales, aunque la automatización en estos últimos casos no es fácil de acometer. Se trata de que el modelo permita tomar decisiones a distintos niveles en la organización: estratégico, táctico y operacional, incluyendo la mitigación, la aceptación, la evitación o transferencia del riesgo.

Tomando como referencia al propio NIST, dentro de las áreas o dominios de seguridad de la información en donde se puede alcanzar un alto grado de automatización en la monitorización, podemos citar:

  • Gestión de Activos
  • Gestión de Vulnerabilidades
  • Gestión de Parches de Seguridad de Sistemas
  • Gestión de Eventos de Seguridad
  • Gestión de Incidentes
  • Detección de Malware
  • Gestión de la Configuración
  • Gestión de Red
  • Gestión de Licencias
  • Seguridad del Software

2013-IT-B-019figure2La implementación de un sistema básico de monitorización continua de controles técnicos de seguridad de la información, pasa por la integración y centralización, en un único servidor, de los datos “en crudo” proporcionados por las distintas herramientas usadas para la gestión de cada uno de estos procesos; para después, a partir de esta información consolidada, correlacionar, agregar, analizar y representar estos datos de modo que facilite una perspectiva significativa de la efectividad de los controles de seguridad. Para implementar esta capacidad de integración y análisis suelen emplearse herramientas de gestión de logs, sistemas SIEM de gestión de eventos de seguridad o soluciones más genéricas para análisis y generación de cuadros de mando ejecutivos (dashboards).

Por poner algunos ejemplos del tipo de información manejada en un sistema de monitorización de este tipo podríamos citar: la tendencia creciente o decreciente de las detecciones de malware y el porcentaje de infecciones registradas que han requerido activar el procedimiento de gestión de incidentes; Evolución del porcentaje de servidores que están configurados de acuerdos a los estándares de configuración segura; Porcentaje de activos que han sido parcheados en los plazos establecidos por el procedimiento; Porcentaje de aplicaciones críticas que tienen pendientes de resolver vulnerabilidades de seguridad más allá del plazo máximo especificado…

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s