VIDEO
HIGHLIGHT
Log InSign up
Webinar ISACA - La Parte SOFT del SOC
SummaryTranscriptChat

Webinar ISACA - La Parte SOFT del SOC

Introducción

Resumen de la sección: En esta sección, se presenta al profesional Daniel Elías Robles y su experiencia en tecnologías de información y seguridad. También se menciona que el tema a tratar es la parte soft del shock.

Presentación de Daniel Elías Robles

  • Daniel Elías Robles es un profesional con más de 30 años de experiencia en tecnologías de información y seguridad.
  • Es asesor en diferentes organizaciones gubernamentales y privadas.
  • Actualmente es miembro de la directiva de ISACA Santo Domingo capítulo responsable de los temas educativos del capítulo.
  • Tiene certificaciones internacionales como ISSA Kasse, SMX e CISA.

La parte soft del shock

Resumen de la sección: En esta sección, Daniel Elías Robles habla sobre la importancia del tema "la parte soft del shock" en relación a la gestión de seguridad. Se explica que muchas veces nos concentramos solo en aspectos técnicos olvidando otros aspectos importantes.

Importancia del tema

  • La idea es captar la atención sobre esta necesidad que pareciera que le ha llegado su momento debido al impulso tan importante del reglamento de seguridad cibernética y de información del Banco Central.
  • Muchas organizaciones han visto la necesidad de implementar procesos formales de gestión de incidentes.
  • La parte soft del shock parece ser un tema importante ya que muchas veces nos concentramos solo en aspectos técnicos olvidando otros aspectos importantes.

Gestión de seguridad

  • Cuando estamos hablando de gestión de seguridad nos referimos a una colección de actividades sistemáticas de seguridad que a la vez somos un conjunto de acciones repetitivas.
  • La idea es ayudar a las organizaciones a mantener su postura de seguridad en un nivel adecuado.
  • La gestión de seguridad está compuesta por diferentes actividades como infraestructuras de seguridad, prevención y gestión de vulnerabilidades y problemas, cumplimiento y variación.

Postura de seguridad

  • La postura de seguridad se refiere a todos los reglamentos e implementaciones que una organización toma para definir cuál es su punto y que ayuda a definir su seguridad.
  • Es importante tener una postura adecuada para mantener la seguridad en un nivel adecuado.

Controles de ciberseguridad y gestión de incidentes

Resumen de la sección: En esta sección se habla sobre los controles de ciberseguridad, las normativas y requerimientos que deben ser observados para cumplir con la validación. También se menciona la importancia de los contratos en las operaciones de seguridad, el monitoreo, detección y respuesta a incidentes. Se introduce el concepto del Sol (Security Operations Center) como un apoyo al proceso de operaciones de seguridad.

El propósito del Sol

  • El Sol sirve como apoyo al proceso de operaciones de seguridad.
  • Su propósito es prevenir, priorizar y responder a los incidentes de seguridad.
  • La gestión y respuesta a incidentes es básicamente la tarea del SOE.

Prevención e identificación

  • El proceso proactivo del Sol permite identificar situaciones antes que se conviertan en problemas para la organización.
  • Diferencia entre eventos y incidentes: Los eventos son cambios en estados que pueden representar una posible violación a una política mientras que los incidentes tienen la capacidad de dañar objetivos organizacionales.

Gestión integral

  • La gestión integral incluye monitorización, gestión de vulnerabilidades y dispositivos.
  • Concentrarse en aquellos componentes que pueden ser víctimas potenciales.
  • Identificar, detectar, contener y volver a la normalidad los servicios antes que éstos se conviertan en un problema alguno para la organización.

Gestión de vulnerabilidades

  • Actividad proactiva para identificar y trabajar las vulnerabilidades antes que se conviertan en objeto de una explotación.
  • La gestión de vulnerabilidades evalúa la capacidad de resistencia que tiene una infraestructura en cuanto a soportar un ataque.

Centro de operaciones de seguridad (SOC)

Resumen de la sección: En esta sección se habla sobre el centro de operaciones de seguridad (SOC), su función como unidad especializada en monitoreo y análisis continuo, y su importancia en la gestión integral. Se mencionan los detalles importantes a considerar al implementar un SOC.

Funciones del SOC

  • Unidad especializada en monitoreo y análisis continuo.
  • Identificar, detectar, contener y volver a la normalidad los servicios antes que éstos se conviertan en un problema alguno para la organización.

Detalles importantes

  • No siempre es necesario tener un SOC interno, puede ser externalizado.
  • El tamaño del SOC debe estar acorde con el tamaño de la organización.
  • Es importante contar con personal capacitado y herramientas adecuadas para el monitoreo y análisis continuo.

Monitoreo y Valoración de la Postura de Seguridad

Resumen de la Sección: En esta sección se habla sobre la importancia del monitoreo y valoración de los sistemas de información para defenderlos de amenazas. El SHOCK provee una visión global y un entendimiento situacional que permite identificar anomalías en los activos o sistemas de información.

Monitoreo y Valoración

  • El monitoreo debe ser constante en todos los sistemas de información, incluyendo redes, servidores, bases de datos, firewall y cualquier otro dispositivo vinculado a la seguridad.
  • El SHOCK provee una visión global y un entendimiento situacional que permite identificar anomalías en los activos o sistemas de información.
  • La valoración permite calificar los equipos en función del nivel de amenaza al que están expuestos.
  • La visión global del SHOCK facilita la correlación entre situaciones que ocurren en diferentes puntos de la infraestructura.

Necesidad del Uso

Resumen de la Sección: En esta sección se habla sobre la necesidad del uso para investigar e identificar potenciales amenazas. También se menciona cómo el SHOCK puede identificar las amenazas presentadas por dispositivos fuera del soporte o con condiciones legacy.

Identificación Potenciales Amenazas

  • Es necesario el uso para investigar e identificar potenciales amenazas.
  • El proceso va más allá del monitoreo para encontrar aspectos que ni siquiera representan un punto de monitoreo.
  • El SHOCK identifica las amenazas presentadas por dispositivos fuera del soporte o con condiciones legacy.

Actualización vs Disponibilidad

Resumen de la Sección: En esta sección se habla sobre la importancia de la disponibilidad en comparación con la actualización. Se menciona que muchas organizaciones no pueden estar tan actualizadas como quisieran debido a diferentes factores, y que es importante priorizar la disponibilidad en algunos casos.

Importancia de la Disponibilidad

  • Es más importante que los equipos estén arriba que estén actualizados.
  • En algunos casos, como en sistemas médicos, es necesario priorizar la disponibilidad debido a su asociación con sistemas de mantenimiento de vida.

Conclusión

Resumen de la Sección: La transmisión finaliza sin ninguna conclusión adicional.

Presentación de la importancia del monitoreo y gestión de incidentes

Resumen de la sección: En esta sección, el presentador habla sobre la importancia del monitoreo y gestión de incidentes en áreas sensibles como la medicina. También menciona que es importante tener un control completo sobre el personal en caso de una situación con la organización que requiera un manejo centralizado de los recursos.

Importancia del monitoreo y gestión de incidentes

  • Es importante mantener disponibilidad a una inclusiva mediante la implantación del sol o el verde.
  • La detección temprana y efectiva de incidentes es crucial para reducir las vulnerabilidades de seguridad y minimizar las pérdidas del negocio.
  • Monitorear una detención de incidentes de manera efectiva es fundamental para evitar ser atacados por medios externos.
  • Muchas veces nos concentramos en tener lo último programa sin considerar su implementación adecuada.
  • Es necesario personalizar las herramientas de seguridad para obtener su mejor nivel de desempeño.
  • Tener acceso y un control total sobre la data es fundamental para fines analíticos.

Terminología básica

  • Existe terminología básica que no necesariamente está clara en nuestra mente, como la diferencia entre un SOP (Standard Operating Procedure) y un Hombre (Human).
  • No existe una definición ni estándar que deba ser seguido 100% en cuanto al uso de la terminología.

Centro de operaciones

  • El centro de operaciones de la red se enfoca en los aspectos operativos del monitoreo de la red, mientras que el centro de operaciones de seguridad se enfoca en los aspectos relacionados con la seguridad.
  • El centro de operaciones de seguridad es responsable tanto del monitoreo como de la extensión y respuesta, así como también de la debida reportería a los niveles adecuados dentro organización.

Responsabilidades dispersas

  • Muchas veces las responsabilidades están dispersas dentro organización y no se están contemplando formalmente, lo que impide satisfacer los objetivos.

El monitoreo parcial no es efectivo

Resumen de la sección: En esta sección, el orador discute cómo el monitoreo parcial puede ser ineficaz para detectar amenazas y situaciones que pueden ocurrir fuera del horario de trabajo. También menciona que reducir la capacidad de monitoreo aumenta las posibilidades de pasar por alto indicadores importantes.

Monitoreo parcial

  • El monitoreo parcial puede ser ineficaz para detectar amenazas y situaciones que ocurren fuera del horario laboral.
  • Reducir la capacidad de monitoreo aumenta las posibilidades de pasar por alto indicadores importantes.

Realidad económica y personal

  • La realidad económica y personal ha llevado a ciertas organizaciones a adaptarse a un horario limitado de lunes a viernes, lo que significa que no hay una labor de monitoreo los fines de semana o días festivos.
  • Realizar reconocimientos y pruebas sobre las infraestructuras ajustándose a las realidades de estas organizaciones es importante para garantizar una detección efectiva.

Horarios efectivos para el monitoreo

  • Atacar cuando una organización tiene la mayor cantidad de personas dedicadas al monitoreo oficial es más efectivo en términos del mercado. Esto significa atacar cuando están durmiendo o cuando no están usando sus defensas en su máximo nivel.

Automatización versus Orquestación

Resumen de la sección: En esta sección, el orador discute la diferencia entre automatización y orquestación en términos de herramientas que pueden ayudar a planificar niveles de respuesta para ciertas condiciones.

Automatización

  • Las herramientas de automatización pueden ayudar a planificar niveles de respuesta para ciertas condiciones.
  • Sin embargo, ninguna regla puede satisfacer todas las posibilidades y necesidades por sí misma.

Orquestación

  • La orquestación implica hacer uso de la automatización, las personas y los procesos para crear una respuesta que satisfaga efectivamente la necesidad.

Servicio a la organización dentro de los objetivos

Resumen de la sección: En esta sección, se discute la importancia de tener un equipo especializado en las funciones críticas de una organización. Se menciona que aunque es posible tercerizar estas funciones, la responsabilidad siempre recae en la organización.

Especialización del personal

  • El personal especializado es necesario para llevar a cabo funciones críticas.
  • La especialización puede ser satisfecha con personal propio o externo.
  • Un modelo híbrido puede ser beneficioso para lograr lo mejor de ambos mundos.

Responsabilidad de la organización

  • La responsabilidad siempre recae en la organización, independientemente del modelo utilizado.
  • Las demandas y violaciones contractuales son responsabilidad de la organización.

Tercerización y madurez empresarial

  • Hay que tener cuidado con iniciativas empresariales que no tienen el nivel adecuado de madurez.
  • Se recomienda contratar entidades con experiencia y certificaciones adecuadas.

Riesgos asociados a tercerización

  • La tercerización no elimina el riesgo asociado a debilidades en el monitoreo.
  • Los atacantes pueden utilizar proveedores comunes como pivotes para atacar varias organizaciones al mismo tiempo.
  • Nadie conoce nuestra infraestructura como nosotros mismos, por lo que nunca se puede conocer la amplitud de nuestra infraestructura.

Tercerización como recurso a mediano plazo

  • La tercerización completa debería ser un recurso a mediano plazo.

La importancia de la especialización del personal en la gestión de seguridad

Resumen de la sección: En esta sección, el orador habla sobre la importancia de tener un personal especializado y capacitado en la gestión de seguridad. También destaca que es importante transferir conocimientos y habilidades a través del intercambio diario para lograr una madurez en el personal.

La necesidad de mantener un balance entre eficiencia y objetivos

  • Es importante mantener un balance entre la eficiencia del costo y los objetivos misionales y estéticos de un centro de operaciones de seguridad.
  • No es recomendable tercerizar con una empresa lejana si no se va a transferir conocimientos al personal propio.
  • La especialización del personal debe ser una tarea continua para lograr una madurez en el mismo.

El énfasis que merece el personal

  • El orador destaca que aunque existen vehículos automatizados, estos requieren discernimiento e interacción humana.
  • El grupo primario en cualquier organización son las personas especializadas y dedicadas que hacen uso eficiente tanto de la tecnología como sea posible.
  • La especialización del personal es una meta continua ya que mientras más tiempo dure, más tiempo pasará antes de que adquieran un nivel óptimo.

Inversión en el personal

  • Es necesario hacer inversiones también en el personal ya que son ellos quienes van a adquirir habilidades y experiencia para llevar a cabo los objetivos.
  • La gestión de la seguridad siempre va a requerir algún tipo de especialización o capacidad por volumen de trabajo que exista fuera de la organización.

Conclusión

Resumen de la sección: En esta sección, el orador concluye su charla destacando que no se debe dejar a un lado al personal en la gestión de seguridad y que es importante encontrar una alta dirección responsable del resultado final.

Importancia del personal en la gestión de seguridad

  • El orador destaca que no se debe dejar a un lado al personal en la gestión de seguridad.
  • Es importante encontrar una alta dirección responsable del resultado final.

Introducción

Resumen de la sección: En esta sección, el presentador saluda a los participantes y anuncia que responderá preguntas sobre tercerización.

Factores clave para elegir un proveedor de tercerización

Resumen de la sección: El presentador responde a una pregunta sobre cómo elegir un proveedor de tercerización. Los factores clave incluyen la comunidad atendida por el proveedor, las referencias de otros clientes, la especialización del personal y las certificaciones en seguridad.

  • Otros factores importantes son el conocimiento del segmento en el que se trabaja y el método utilizado.

Métricas recomendadas para evaluar un shock

Resumen de la sección: El presentador responde a una pregunta sobre qué métricas deben considerarse al evaluar un shock. Las métricas pueden incluir tiempo de respuesta, disponibilidad del personal, cantidad de eventos no detectados y desviaciones dentro de lo normal.

  • Es importante identificar métricas específicas para cada caso y considerar aspectos como la desviación dentro de lo normal.

Dependencia del shock

Resumen de la sección: El presentador responde a una pregunta sobre si el shock debe estar bajo su dependencia o bajo otra área. No hay una estructura jerárquica activa en cuanto a las jerarquías, pero lo ideal es que el shock esté bajo seguridad debido a su importancia en la gestión de riesgos.

Implementación del shock en empresas pequeñas y medianas

Resumen de la sección: El presentador responde a una pregunta sobre cómo implementar el shock en empresas pequeñas y medianas con recursos limitados. La implementación del shock puede ser costosa, pero es importante para la gestión de riesgos.

  • Se recomienda comenzar por evaluar los riesgos y priorizar las acciones necesarias para reducirlos.

Establecimiento de hitos para el alcance de la autonomía

Resumen de la sección: En esta sección, se discute la importancia de establecer hitos para medir los logros puntuales que ayudan en el alcance de la autonomía y la provincia. También se menciona que el establecimiento del shock inicia como un mandato organizacional y no algo que los empleados o el departamento de seguridad estén más interesados.

  • Es importante establecer hitos para medir los logros puntuales que ayudan en el alcance de la autonomía y la provincia.
  • El establecimiento del shock inicia como un mandato organizacional y no algo que los empleados o el departamento de seguridad estén más interesados.

Identificación de aspectos relevantes en otras organizaciones

Resumen de la sección: En esta sección, se discute cómo identificar aspectos relevantes en otras organizaciones con unidades similares a las propias. Se menciona que cada organización debe tomar medidas específicas según su realidad.

  • Es posible identificar aspectos relevantes en otras organizaciones con unidades similares a las propias.
  • Cada organización debe tomar medidas específicas según su realidad.

Nivel adecuado del personal encargado del área operativa

Resumen de la sección: En esta sección, se discute cuál es el nivel adecuado del personal encargado del área operativa. Se menciona que este nivel debe ser una persona que tenga el oído séptimo de los tomadores de decisiones, ya que será quien haga recomendaciones y estas deben ser implementadas, aceptadas o evaluadas.

  • El nivel adecuado del personal encargado del área operativa debe ser una persona que tenga el oído séptimo de los tomadores de decisiones.
  • Esta persona hará recomendaciones y estas deben ser implementadas, aceptadas o evaluadas.

Normas y mejores prácticas para la auditoría y cumplimiento

Resumen de la sección: En esta sección, se discute si hay alguna norma o mejores prácticas para considerar en un shock sacar un shock. Se menciona que no hay una sola norma a seguir, sino que es recomendable ver las mejores prácticas en diferentes modelos o normas para tener una referencia a nivel de auditoría y control.

  • No hay una sola norma a seguir en un shock sacar un shock.
  • Es recomendable ver las mejores prácticas en diferentes modelos o normas para tener una referencia a nivel de auditoría y control.

Áreas de enfoque y herramientas mínimas para la implementación de ciberseguridad

Resumen de la sección: En esta sección, se discute sobre las áreas de enfoque y las herramientas mínimas necesarias para establecer un centro de operaciones de seguridad.

Enfoque y herramientas necesarias

  • Se pregunta cuáles son las áreas de la ciberseguridad que se deben enfocar para ser competitivo y cuáles son las herramientas mínimas que se deben tener.
  • Se menciona que es complicado establecer una lista ya que se necesitan muchas herramientas como monitoreo, ponencias, soluciones de gestión de incidentes, formación, espacio físico adecuado y autoridad.
  • Se sugiere empezar con el mandato de la dirección para crear el centro de operaciones de seguridad y luego agregar más capacidad poco a poco.
  • Se menciona que aún teniendo todos los fondos y formación no se podrán implementar todos los controles necesarios sin las herramientas adecuadas.

Implementación en la planificación

Resumen de la sección: En esta sección, se habla sobre cómo pasar del deseo a la implementación en términos de políticas, procedimientos y aspectos cruciales.

Procedimientos establecidos

  • Se comenta sobre la importancia de tener procesos establecidos desde el principio en lugar de crearlos retroactivamente.
  • Se menciona que es necesario pasar desde la necesidad al diseño y luego a la implementación.

Información adicional

Resumen de la sección: En esta sección, se proporciona información adicional sobre cómo hacer preguntas adicionales y se recuerda a los asistentes que parte de lo discutido en la conferencia es tener un enfoque práctico.

Contacto para preguntas adicionales

  • Se proporciona una dirección de correo electrónico para enviar preguntas adicionales.
  • Se menciona que cualquier duda o información adicional necesaria será canalizada directamente con el presentador.

Enfoque práctico

  • Se recuerda a los asistentes que parte de lo discutido en la conferencia es tener un enfoque práctico.
Video description

Webinars ISACA Santo Domingo Chapter La Parte SOFT del SOC. Conferencista invitado: Daniel Elias Robles, CISM CISA. Fecha: 13 de Septiembre 2019, Santo Domingo, R.D. Descripción: Conozca como obtener mayor provecho en los Centros de Seguridad y Monitoreo. Objetivo: Establecer las prioridades y fundamentos de los servicios ofrecidos por un SOC. Consideraciones para la tercerización y como esta se puede convertir en un punto de ataque. Para mas info escríbenos: info@isacard.org