Altran360

El blog de innovación y tecnología de Altran España

Servicios de gestión de la seguridad de la información, un caso de éxito

| 0 Comentarios

Antecedentes y contexto

Altran España, dentro de su área de Servicios de Consultoría, gestiona el outsourcing tecnológico de la Universitat Autònoma de Barcelona (UAB). El servicio se desglosa en dos grandes áreas, el centro de atención a usuarios (CAS) y la administración de toda la infraestructura de sistemas y comunicaciones corporativos del Servei d’Informàtica (SI) de la UAB. En este último se incluye la gestión de la seguridad de la información de toda la universidad.

El servicio da soporte aproximadamente a 40.000 alumnos  y unos 5.000 trabajadores que incluyen personal académico y personal de administración y servicios. La infraestructura consta de más de 230 servidores centrales en entornos heterogéneos (Solaris, Microsoft y Linux) y unos 700 dispositivos de red.

La gestión del SI ha pasado por diferentes fases. En un inicio se basó en una gestión de recursos totalmente interna que fue evolucionando hacia un modelo de outsourcing, en forma de prestación de personal en un principio, y finalmente en una gestión basada en acuerdo de nivel de servicio (ANS).

Problemática y Objetivos

La gestión de la seguridad de la información en la UAB se ha ido realizando desde un enfoque totalmente reactivo, basando ésta en la resolución de incidentes y en la gestión técnica de dispositivos de seguridad (firewalls, antivirus, IDPs, etc). El crecimiento exponencial del número de incidencias, debido en parte al aumento de las amenazas actuales, como virus, malware, phising, spam, robo de información, copyright, etc., hizo replantear la estrategia del área, con el objetivo claro de reducir el número de incidentes de seguridad y disminuir el impacto de estos. Para ello, se necesitaba ampliar el alcance del área, estableciendo nuevos objetivos y servicios de seguridad de la información que permitieran:

  • Mejorar la eficiencia y eficacia de la gestión de incidentes.
  • Desarrollar servicios orientados al usuario, que dieran visibilidad del área de seguridad al colectivo universitario, permitiendo así cubrir las necesidades propias del usuario en aspectos de seguridad.
  • Desarrollar servicios útiles y medibles que permitan reducir el número de incidentes y cuantificar la efectividad de estos.
  • Crear servicios que permitan la obtención de un ROI inmediato (mediante quick wins).
  • Establecer un punto único de contacto (SPOC) para el usuario en temas de seguridad (un referente para el usuario).
  • Afrontar aspectos proactivos, reactivos y de gestión o calidad de la seguridad.
  • Obtener la visibilidad total del campus (¿qué está pasando?¿quién lo está haciendo?¿desde dónde?).
  • Establecer un cuadro de mando de seguridad que permitiera la toma acertada de decisiones.
  • Hacer llegar la responsabilidad de la gestión de la seguridad a otras áreas.

Después de analizar los objetivos y necesidades, UAB decidió la creación de un centro de gestión de incidentes de seguridad de la información integrado y bajo la dirección del Servei d’informàtica de la UAB. Nace CSIRT UAB.

Fases del proyecto

El proyecto se ha desarrollado en cuatro grandes fases:

  1. Fase de planificación y definición de la estrategia, en la que se establecieron los objetivos a tratar, priorizando aquellos donde el retorno de inversión y los beneficios de cara al usuario fueran mayores. En esta fase se definieron los alcances, se analizaron los impactos y las necesidades de inversión. El resultado de esta fase fue el “futuro” catálogo de servicios de CSIRT UAB.
  2. Fase de diseño de servicios, una vez aceptado el catalogo, se establecieron grupos de trabajo y se realizó una valoración de la situación actual. Fue vital para el desarrollo de los servicios establecer sesiones de trabajo conjuntas, entre los responsables del cada uno de los servicios a desarrollar, para conseguir alinear cada uno de ellos con el objetivo global del proyecto (los servicios debían complementarse). En esta fase diseñaron SLAs, UCs y ANS además de indicadores globales para cada una de las actividades a desarrollar.
  3. Fase de puesta en producción y formación. Una vez presentado el portal de servicios del CSIRT UAB y aprobado por parte de dirección, se pusieron en producción, los cuales solo fueron accesibles por un restringido grupo de usuarios, que ayudaron a corregir errores en los circuitos y procedimientos establecidos, además de redefinir SLAs. En esta fase se realizaron formaciones específicas a aquellas personas involucradas en la ejecución de los nuevos servicios establecidos.
  4. Fase de lanzamiento y comunicación, una vez verificada la efectividad de cada uno de los servicios se estableció un comunicado a toda la comunidad universitaria estableciendo el CSIRT UAB como el punto único de contacto en temas de seguridad de la información.
portal csirt UAB de seguridad de la información

Portal CSIRT UAB

Servicios de Seguridad de la Información del CSIRT UAB

Se  han desarrollado un total de 23 servicios de seguridad (figura 2), alguno de ellos aún en desarrollo, separados en tres grandes áreas Proactivos, Reactivos y gestión de la seguridad. Todos estos servicios están orientados a dar soporte, principalmente, a todo el colectivo UAB (alumnos, PDI y PAS) aunque algunos de ellos tendrán un alcance totalmente público.

Servicios CSIRT de seguridad de la información

Servicios CSIRT

Servicios Proactivos

Compuesto por un total de 8 servicios: MultiScan de vulnerabilidades, BBDD de Vulnerabilidades, Protección Perimetral, Multiscan de Virus, Seguridad actualizada, SDLC, entre otros. Estos servicios tienen como objetivo principal detectar los riesgos de seguridad y establecer medidas que traten los incidentes antes de que estos ocurran, así como reducir el tiempo de exposición a nuevas vulnerabilidades.

Gracias a estos servicios los usuarios tendrán a su disposición una BBDD de vulnerabilidades, actualizada diariamente  desde diversas fuentes (como NIST o OSVDB) con más de 65.000 registros donde dispondrán toda la información necesaria para subsanarlas. Además, podrá pedir un análisis de seguridad remota sobre sus servidores o sistemas,  inventariar sus activos e identificar aquellas vulnerabilidades que puedan afectarles, mantener su histórico de gestión o incluso pedir medidas especiales de protección perimetral sobre sus sistemas.

Servicios Reactivos

El objetivo de estos servicios es el de gestionar los incidentes de seguridad (recepción /detección, análisis, resolución y respuesta del incidente), siendo esta la actividad principal del CSIRT UAB. Los servicios que componen este apartado  son 7: análisis forense, respuesta a la vulnerabilidad, comunicación de incidentes, alertas y notificaciones o estado de la seguridad de la información, entre otros.

Como resultado de estos servicios cabe destacar la creación de un cuadro de mando del riesgo, el cual es alimentado por diferentes herramientas, como plataformas SIEM, IDPs sistema de gestión de incidencias o AV, que permiten al usuario conocer el estado global de la seguridad en el campus, el número de vulnerabilidades o las amenazas víricas detectadas, todo en tiempo real.

Servicios reactivos de seguridad de la información

Servicios reactivos

Servicios de Gestión de la Seguridad de la información

Engloban los servicios más orientados a usuario final, aquellos que afectan a la concienciación y a la información. Su objetivo principal es del orientar a los usuarios hacia un uso correcto de los servicios informáticos, desde el punto de vista de la seguridad, aportar herramientas de soporte para temas de cumplimiento legal, como la LOPD y  potenciar el uso de estándares internacionales  de seguridad como la ISO 27000 o la BS 25999.

El usuario tendrá a su disposición herramientas online que le permitirán evaluar sus conocimientos en temas de seguridad y conocer el nivel de cumplimiento, así como obtener recomendaciones de mejora.

Este apartado se quiere potenciar mediante la programación de concursos online, donde se premiaran aquellas personas que más conocimientos demuestren.

Dentro de este ámbito y teniendo en cuenta que una de las funciones principales del CSIRT UAB, será el de concienciar  a los usuarios sobre la importancia de la seguridad de la información. El CSIRT ha establecido diferentes  sesiones informativas o seminarios temáticos donde los usuarios podrán asistir sin coste alguno.

Integración de herramientas de soporte

El Servei d’Informàtica de la UAB, dispone de multitud de aplicaciones y hardware de protección activa y proactiva de la seguridad, los cuales se han complementado con nuevos sistemas, para poder así, dar soporte a todos los nuevos servicios aportados por el CSIRT UAB. Todas las herramientas implantadas están basadas en  software libre, las cuales se han ido adaptando a las necesidades de la UAB. Cabe destacar el uso de los sistemas OSSIM, como plataforma SIEM, y de SIGVI R2 como BBDD de vulnerabilidades, las cuales forman parte del “núcleo” de todos los servicios.

Resultados

Aún es pronto para poder realizar un balance de la efectividad de los nuevos servicios, teniendo en cuenta el objetivo primario, reducir el número de incidentes de seguridad en la UAB. Lo que sí podemos afirmar, es que la creación de CSIRT ha permitido tener mayor visibilidad de la seguridad global del campus además, la percepción del usuario, en cuanto a la seguridad, ha cambiado y muestran un nivel de interés desconocido  anteriormente.

Las claves del éxito

La correcta gestión de la seguridad de la información no pasa únicamente por la gestión de infraestructuras de seguridad, sino que se han de tratar aspectos claves como los procesos y las personas. Para este tipo de proyectos, y especialmente para el que se ha llevado a cabo conjuntamente entre el Servei d’Informàtica de la UAB y el proveedor  tecnológico (ALTRAN), es muy importante la involucración directa de la dirección de TI y que esta sea la responsable de enlazar la estrategia de  Seguridad TI, con los objetivos y necesidades del negocio.

Es importante destacar la importancia de que todos los servicios implantados deben de estar sujetos a un constante ciclo de mejora y adaptarse dinámicamente a los cambios en los objetivos de negocio. Esto no será posible, si no se dispone de mecanismos de medición e  indicadores de cada uno de los servicios, que permitan cuantificar la efectividad de los mismos.

Manel Cantos

Autor: Manel Cantos

Solution Manager en infraestructuras TI y consultor experto en el ámbito de la seguridad de la información. Ingeniero de Telecomunicaciones Certificado en CISA, CISM, CISSP, CGEIT e ITIL Expert entre otras

Deja un comentario

Campos requeridos marcados con *.