Servicios administrados de seguridad de la información

SERVICIOS ADMINISTRADOS DE SEGURIDAD DE LA INFORMACIÓN

Capítulo 4 – Servicios Generales de Operación de SASI

PROPUESTA TECNICA

Fecha

Índice

4 SERVICIOS GENERALES DE OPERACIÓN DE SASI 2

4.2 Gestión del Servicio 3

4.2.1 Administración y Monitoreo de la Seguridad 3

4.2.1.1 Monitoreo de la Infraestructura 3

Proceso de Administración de Disponibilidad 7

4.2.1.2 Monitoreo de los Servicios 9

4.2.1.3 Correlación de eventos de seguridad del SOC 10

Proceso de Monitoreo de la Seguridad 10

4.2.1.4 Administración de la Infraestructura 14

4.2.1.5 Actualización de Software de la Solución 14

4.2.1.6 Respaldo de Configuraciones 14

4.2.1.7 Soporte a fallas 14

Proceso de Administración de Cambios y Configuraciones 15

4.2.2 Portal de Gestión del Servicio 18

4.2.3 Mesa de Servicio 19

4.2.3.1 Integración de mesas de ayuda 20

4.2.3.2 Flujo de Operación 21

4.2.3.3 Procedimiento de solución de fallas 23

4.2.3.4 Administración de Incidentes 24

4.2.3.5 Administración de Problemas 25

4.2.3.6 Administración de Configuración 25

4.2.3.7 Administración de Cambios 25

Proceso de Administración de Incidentes de Seguridad 28

Proceso de Administración de Cambios y Configuraciones 31

4.2.3.8 Líder de Gestión del Servicio 34

4.2.4 Centro de Operación de Seguridad (SOC) 34

4.2.4.1 Funciones del SOC 35

4.2.4.2 Mejores Prácticas del SOC 35

Proceso de Administración de Riesgos 39

4.2.4.3 Portal de Información Preventiva de Vulnerabilidades Detectadas en Internet 47

4 SERVICIOS GENERALES DE OPERACIÓN DE SASI

4.2 Gestión del Servicio

La gestión de los servicios del SASI será soportada por:

 Un portal de gestión del servicio.

 Servicios de Mesa de Servicio.

 Servicios de NOC.

 Servicios de SOC.

 Monitoreo de Niveles de Servicio Requerido.

Ilustración #14: Gestión de Servicios SASI.

4.2.1 Administración y Monitoreo de la Seguridad

A continuación se describen las actividades que Indra llevará a cabo como parte de la operación de todos los servicios que conforman SASI, para las diferentes tecnologías que forman parte del proyecto y las cuales estarán disponibles en un esquema 7x24 durante toda la vigencia del contrato.

4.2.1.1 Monitoreo de la Infraestructura

Indra integrará, como parte de su propuesta, una solución de monitoreo basada en software para los Componentes Habilitadores del sistema. Deberá capaz de identificar y ejecutar acciones hacia los elementos de la red administrados. Este software tendrá la capacidad de monitorear dichos componentes, hacer análisis de forma automática, y en particular análisis de causa raíz y correlación de eventos provenientes de los distintos dominios de infraestructura que soportan los servicios que provee el SAT. Se considerán las siguientes funcionalidades como mínimo en dicho servicio de monitoreo:

 La solución que Indra empleará está alineada a lo establecido en las mejores prácticas para operación basándoles en orientación de gestión de servicios. La solución propuesta por Indra se encuentra bajo el estándar ISO 27001.

 Por cuestiones interoperabilidad e independencia de la plataforma monitoreada la solución propuesta contempla el monitoreo sin agentes y que no sea intrusiva (la solución actual ya cuenta con agentes nativos, mismos que se deben activar, configurar e integrar con la solución de monitoreo solicitada).

 Tiene la capacidad de definir ventanas de tiempo para mantenimiento, con el fin de no generar notificaciones, ni afectar los niveles de servicio durante intervenciones planeadas, con esquemas de días y horarios.

 La solución de monitoreo propuesta, integra la gestión de todos los elementos relacionados e involucrados en los servicios de SASI tocando las siguientes capas:

 Capa de RED.

 Capa de presentación.

 Capa de procesamiento.

 Capa de almacenamiento.

 La solución es capaz de correlacionar eventos o fallas en el funcionamiento de los diversos elementos que componen todos los servicios de SASI, para que en el mínimo de tiempo, sea capaz de identificar y aislar la causa raíz del problema y ejecutar o sugerir acciones automáticas para su resolución. La solución propuesta tiene la capacidad de monitorear, filtrar, correlacionar (al correlacionador de eventos de fuentes múltiples de información) y responder a eventos generados a partir de dispositivos de red, servidores, aplicaciones y equipos de almacenamiento. Con base a este requerimiento se planearán todos esos elementos en las mesas de planeación.

 Maneja niveles de servicio, no solo de los Componentes Habilitadores, sino también de los servicios de negocio, siendo necesario poder medir y reportar de forma automática dichos niveles de servicio.

 Considera los servicios de instalación, configuración y puesta a punto de la solución de monitoreo, así como toda la infraestructura habilitadora y licenciamiento que pudiera requerirse para su completa instalación y operación durante la duración del contrato.

 La detección y notificación de fallas es en tiempo real.

 El acceso para administración es mediante interfaz WEB a una consola centralizada desde cualquier punto de la red, solicitando clave de usuario y contraseña para el acceso. El protocolo que de deberá utilizar es HTTPS y tener autenticación de 2 factores.

 La solución Maneja roles/perfiles de usuarios para definir permisos y tipo de notificación a cada uno.

 El sistema de monitoreo Permite la autenticación de clave de usuario y contraseña por medio de LDAP, TACACS, RADIUS o archivo encriptado.

 Permite contabilizar el número de veces que llega la misma alarma o evento, con el fin de evitar duplicar alarmas o eventos.

 La solución tiene la capacidad de funcionar en un esquema de arquitectura distribuida.

 Tiene la capacidad de definir ventanas de tiempo para mantenimiento, con el fin de no generar notificaciones ni afectar los niveles de servicio durante intervenciones planeadas.

 Proporciona mapas jerárquicos de la topología tomando como base el elemento observado y permitir expandirlos para mostrar su interrelación con el resto de los elementos.

 La solución permite hacer un análisis en detalle o “drill-down” desde los mapas para llegar a un elemento final determinado, haciendo clicks sucesivos dentro del mapa jerárquico. Todos los mapas proveen de un mecanismo de “regreso” a la capa superior de la que se proviene en dicho drill-down.

 La solución cuenta con la capacidad de realizar acciones automáticas con base en la alarma/evento y el tiempo activo de la misma (con levantamiento de tickets de servicio de manera automática al dispararse umbrales de servicios establecidos).

 La solución propuesta Tiene la capacidad de monitorear, filtrar, correlacionar y responder a eventos generados a partir de dispositivos de red, servidores, aplicaciones y equipos de almacenamiento.

 La solución puede exportar la información de las alarmas a archivos de bitácora con la finalidad de que puedan ser explotados por el personal o bien por otras aplicaciones.

 La solución puede comunicarse en forma bidireccional con sistemas convencionales de mesa de ayuda para abrir, cerrar y actualizar tickets en caso de ser requerido. . La integración de las mesas de servicio es automatizada con las herramientas de gestión del NOC, por lo que si se genera un ticket de manera automática se reflejará en ambas mesas de servicio.

 La solución Tiene la capacidad de generar y enviar alarmas o eventos vía trampas SNMP a otros sistemas.

 La solución es capaz de recibir alertas por algunos de los siguientes medios o protocolos de administración:

 Traps de SNMP (de acuerdo a la características físicas del equipo de monitoreo, predominando las interfaces en 10GB).

 Mensajes de Syslog.

 Lectura de archivos de texto o logs.

 Correo electrónico.

 La solución Tiene la capacidad de programar políticas de escalación para eventos que así lo requieran.

 La solución provee un API (Application Program Interface), para llevar a cabo la integración de los componentes tecnológicos monitoreados hacia la base de datos de configuraciones vigente propietaria del SAT.

 La solución provee un inventario de los componentes tecnológicos monitoreados y efectuar la transferencia de la información de las configuraciones e inventario de hardware y software hacia la base de datos de configuraciones vigente propietaria del SAT. El costo de los servicios de integración del inventario y configuraciones de los elementos habilitadores es absorbido por Indra (el monitoreo no requiere estar atado a un solo proveedor, lo que deben prevalecer son los servicios con las características solicitadas. El detalle de la información se dará a conocer en las mesas de planeación con el licitante ganador).

...