jueves, 29 de marzo de 2007

Gestión de eventos de seguridad

Hoy quiero referenciar un documento que aparece publicado en Infosecwriters, que como de costumbre, no suele tener desperdicio.
El tema desarrollado es la gestión de eventos de seguridad. En el desarrollo de mi labor profesional como consultor de seguridad de la información, y ultimamente en los proyectos de construcción de SGSI, vengo observando la poca concienciación que existe respecto a la potencia de la monitorización y sus efectos preventivos.

En general, en la fase de análisis de riesgos que es cuando toca hacer estimaciones de las amenazas y su frecuencia, no suelen existir registros históricos de incidencias o si los hay, solo se anotan las que afectan a la disponibilidad.

La monitorización y su correspondiente gestión de incidentes es un arma poderosa a corto y largo plazo por dos motivos:
- A corto plazo, la detección inmediata puede remediar o evitar daños mayores que con el tiempo pudieran ser dramáticos. Por ejemplo, vigilar que las copias de seguridad se realizan bien todos los días puede prevenir que cuando se tengan que utilizar por un problema gordo sea cuando comprobemos que llevabamos días o meses copiando información corrupta. La detección inmediata de tráfico saliente anómalo puede limitar la difusión de malware si esta es la causa que lo genera.

- A largo plazo, proporciona información real, tangible sobre cuales son las dolencias en materia de seguridad de nuestro sistema de información o nuestra organización. Saber cuantos usuarios piden renovar o resetear su contraseña, cuantos borran accidentalmente documentos o cuantos bloquean el acceso por superar el número de reintentos sin éxito puede ser un buen indicador de que nuestra política de control de acceso no funciona o nuestro personal no está bien entrenado. Por tanto, es información de campo que sirve de materia prima para que nuestro diagnóstico interno de las problemáticas más importantes a resolver sea algo menos intuitivo y más próximo al día a día.

El documento que habla de los criterios básicos para disponer de una gestión de eventos de seguridad (Security Event Monitor, SEM) y las diferentes estratégias a utilizar para disponer de la información justa pero necesaria, relevante y significativa. Tener log's por tenerlos no tiene sentido si no somos capaces de explotar la información que nos proporcionan.

Este documento proporciona pistas sobre cómo abordar una correcta vigilancia de la seguridad y podéis descargarlo en Methods and tactics for avoiding failure in large SEM implementations.
 
;