58

Nº 1 Enero / Febrero 2006

Hoy Hablamos de...

un entorno complejo y cambiante, pla-

gado de amenazas, que ponen en peli-

gro la Seguridad de la Información

que estos sistemas procesan, almacenan

o transmiten.

Para garantizar que nuestros sistemas

se mantienen a un nivel de seguridad

aceptable, es necesario conocer lo que

esta ocurriendo, dentro, fuera y en la

frontera de los mismos:

Conocer la existencia amenazas

Determinar la probabilidad de mate-

rialización de las amenazas

Conocer la materialización de la

amenaza, un ataque, si este se produ-

ce

Determinar el impacto real produci-

do por el ataque, la materialización

de la amenaza.

Actualmente, los componentes de los

Sistemas de Información y Comunica-

ciones, generan un gran número regis-

tros de eventos, que son almacenados

en los ficheros de log, y únicamente,

determinados tipos de eventos generan

una alarma, en muchos casos, solamen-

te cuando el ataque, la materialización

de la amenaza, ha tenido éxito. .

El gran volumen de datos recopila-

dos por los firewall, routers, sondas,

IDS, sistemas antivirus, los propios servi-

dores de la red y toda la panoplia de

elementos tanto hardware como soft-

ware instalados en nuestros sistemas,

impide su análisis y proceso, en un

tiempo razonable breve para que la

información obtenida sea útil. La única

forma de obtener dicha información

procesada en un tiempo útil, es dispo-

ner un Sistema de Análisis y Correla-

ción de Eventos.

Un adecuado Sistema de Análisis y

Correlación de Eventos, nos permite:

N uestros Sistemas de Informa-

ción y Comunicaciones se

encuentran desplegados en

Ricardo Cañizares SalesDIRECTOR REVISTA a+++++

...«inteligencia»en tiempo realde lo que estaocurriendo ennuestros sistemas

al como se expone en el «Caso de éxito», los Sistemas de Análisis y Co-

rrelación de Eventos de Seguridad, se han convertido en herramientasTimprescindibles para una adecuada gestión de la seguridad de los Sistemas de

Información, que contribuyen a la mejora de la calidad, al aumento de la efi-

ciencia y eficacia de los sistemas, así como a incrementar el nivel de seguridad

de la Información, uno de los activos más importantes de las Organizaciones.

Análisis de eventosAnálisis de eventos

59

Nº 1 Enero / Febrero 2006

Hoy Hablamos de...

Determinar, en tiempo real, la pro-

babilidad de materialización de una

amenaza en un instante dado

Conocer, en tiempo real, cuando

comienza un ataque al Sistema, per-

mitiendo una alerta temprana.

Conocer si un ataque ha tenido éxito

o no, y determinar el impacto real

del mismo sobre el sistema.

Determinar los patrones de materia-

lización de la amenazas, que serán

utilizados posteriormente, para im-

plantar nuevas salvaguardas o mejo-

rar las existentes.

Si somos capaces de gestionar y anali-

zar de forma adecuada, el ingente volu-

men de datos de eventos de seguridad,

que nos proporcionan nuestros siste-

mas, entonces seremos capaces de reali-

zar «inteligencia», conoceremos el nivel

de seguridad de nuestros sistemas y

tendremos la capacidad de prever los

ataques y por tanto disminuir el núme-

ro de impactos y la profundidad de los

mismos.

El tener conocimiento, «inteligen-

cia», en tiempo real, de lo que esta

ocurriendo en nuestros sistemas, nos va

a permitir cumplir con las cuatro

premisas de la seguridad:

Evitar, disminuir la probabilidad de

materialización de la amenaza, que

el ataque tenga éxito.

EN PRÓXIMOS NÚMEROS «HABLAMOS DE...»

Seguridad Física de los Sistemas de Información y Comunicaciones

La LOPD y su Reglamento

Protección contra virus y otros tipos de software malicioso

Dispositivos de Protección de Perímetro

Aplicación de Normas y Estándares en las TIC

Un sistema de Software Abierto

OSSIM

Un caso de éxito

Iberdrola

Para «Hablar de» Análisis deEventos, en este númerohemos seleccionado:

93

80

Retrasar, obligar a aumentar el um-

bral de duración del ataque (tiempo

necesario para que este ataque tenga

éxito).

Detectar, el comienzo del ataque y

tomar las medidas oportunas para

minimizar su impacto.

Defender, responder activamente,

recopilar información forense, nece-

saria para la investigación del inci-

dente y posterior persecución legal

del responsable.

Por ello, consideramos que todas las

Organizaciones deben contar con un

Sistema de Análisis y Correlación de

Eventos, que unido a un cuadro de man-

dos, le permita disponer de un conoci-

miento en tiempo real, del nivel de segu-

ridad de sus Sistemas de Información y

Comunicaciones, y adoptar las medidas

necesarias para mantener dicho nivel por

encima del mínimo requerido.