Artículo
06 septiembre 2024

Integración SecOPS: construyendo puentes entre ITSM y seguridad TI

ITSM es el pegamento que mantiene unido el trabajo realizado por los numerosos equipos del departamento de TI.

El TI sigue siendo el catalizador que renueva las empresas digitalmente y se mantiene al día con los rápidos cambios del mundo. El equipo de ITOps, armado con sólidas prácticas de prestación de servicios de TI, ha logrado la combinación adecuada de informática para lograr los resultados ideales para su organización. Sin embargo, al estar en la frontera de la experiencia de los empleados y las innovaciones en productividad, ITOps se enfrenta un obstáculo importante.

El 91% de las organizaciones afectadas por un ciberataque el año pasado tenían protección actualizada

Esto revela que, a pesar de prever problemas, los generadores de amenazas encuentran formas únicas y sorprendentes de atacar. Las innovaciones de las que dependen los empleados y las organizaciones han aumentado la superficie de ataque.

Los equipos de seguridad de TI trabajan por separado de los equipos de ITOps y, a veces, puede parecer que tienen objetivos divergentes. Los equipos de seguridad de TI buscan la confidencialidad, integridad y disponibilidad de la información y los servicios de TI. Mientras que los equipos de ITOps se centran en el rendimiento, la eficiencia y la disponibilidad de los mismos servicios. La disponibilidad de servicios, aunque es un objetivo común, se aborda de manera diferente. El equipo de seguridad quiere mitigar cualquier ataque que pueda provocar tiempo de inactividad, mientras que el equipo de operaciones quiere evitar cualquier accidente que pueda provocar tiempo de inactividad.

Qué es SecOps

SecOps es el concepto que prioriza la seguridad e incorporar las mejores prácticas de seguridad en las operaciones de TI. Sin un entendimiento mutuo entre los equipos, es probable que se produzcan ineficiencias y tiempos de inactividad. Por ejemplo, ITOps podría haber lanzado un servicio crítico y la herramienta de seguridad de la organización podría simplemente cerrarlo al percibir que es vulnerable a los ciberataques.

Establecer controles de seguridad dentro de las operaciones de servicios de TI

Podemos citar cuatro facetas principales de la gestión de la seguridad de la información para ver cómo la integración de las prácticas ITSM puede beneficiar a la organización en su conjunto, serían la gestión de vulnerabilidades, gestión de accesos, eventos de seguridad, así como auditoría y cumplimiento

  • Elimine las vulnerabilidades mediante la gestión de parches

Es recomendable parchear las vulnerabilidades en todo el entorno empresarial en un plazo breve (15 días) pero de forma controlada: probar el parche para detectar cualquier problema, obtener aprobaciones, elegir los grupos de distribución, elegir el período de implementación, priorizar los parches e informar a las partes interesadas, incluidos los usuarios finales, sobre la aceptación de los parches.

La interacción de la gestión de parches con las prácticas de ITSM se muestra en el diagrama siguiente.

Por tanto, la plataforma ITSM debería tener una integración con un módulo de Gestión de Endpoints que permita escanear los puestos de trabajo o los servidores, implementar parches y mantenga un inventario de activos actualizado sobre las últimas implementaciones de cada componente del servicio.

  • La Gestión de Accesos, clave para un servicio sólido

La gestión de accesos restringe los datos confidenciales solo a los usuarios que lo necesitan, garantizando que el acceso a cualquier información crítica se brinde justo a tiempo para el solicitante y se revoque una vez que la necesidad disminuya

La gestión de privilegios es la práctica de mantener quién o qué tiene acceso a un usuario, un sistema o un recurso protegido. En pocas palabras, un representante de ventas no necesita tener acceso para configurar el servidor o el firewall. Mientras que el administrador senior de TI no necesita tener acceso a los registros de cuentas de los clientes.

La gestión de Secure Shell (SSH) y Secure Sockets Layer (SSL) es una responsabilidad clave para los administradores de TI. Cualquier caso de mala gestión puede provocar un acceso no seguro a los sistemas, un mal uso de privilegios y un posible tiempo de inactividad del servicio. Por otro lado, los certificados SSL garantizan que todo el tráfico web entre los servidores de la empresa y los navegadores de los usuarios esté cifrado. Sin las renovaciones oportunas del certificado, incluso se puede dañar la reputación de la marca cuando el sitio web deja de funcionar frente a todos los internautas

La interacción de la gestión de accesos con las prácticas de ITSM se muestra en el diagrama siguiente.

Por tanto, la plataforma ITSM debería integrar una solución de Gestión de Accesos Privilegiados (PAM) para garantizar que la rotación de claves, la detección de certificados vulnerables y la renovación de certificados formen parte de los flujos de trabajo automatizados en las prácticas de cumplimiento de solicitudes.

Durante el diagnóstico de incidentes, las soluciones PAM deberían permitir que las plataformas ITSM inicien sesiones remotas seguras en las estaciones de trabajo obteniendo automáticamente las claves SSH de la base de datos PAM. Estas sesiones de diagnóstico remoto deben registrarse y agregarse al sistema PAM para auditorías de seguridad posteriores.

Como parte del diagnóstico de incidentes, los técnicos de TI deben tener el privilegio mínimo necesario al acceder a una aplicación en la sesión remota. Este sandboxing a nivel de aplicación debería ser posible con una integración entre los sistemas ITSM y PAM.

Las plataformas ITSM deben tener una CMDB integrada que albergue los últimos certificados asociados a los CI relevantes, obtenidos del sistema PAM.

El proceso de gestión de cambios también puede validarse mediante una integración con el sistema PAM. El acceso a los CI para cualquier cambio se otorgaría solo con un cambio asociado que haya sido aprobado por las partes interesadas.

  • Control preventivo de incidentes con gestión de seguridad de la información.

El objetivo principal de la gestión de la seguridad de la información es proteger los datos que necesita la empresa para todas sus operaciones. El proceso de gestión de la seguridad normalmente implica pruebas periódicas de mecanismos, filtrado de eventos y reglas de correlación, políticas de seguridad de la información, base de datos de asesoramiento de seguridad, gestión de alertas y respuestas de seguridad, y generación de informes para cada uno de estos aspectos. Todos los resultados de estas diversas actividades tienen como objetivo prevenir, detectar y corregir incidentes de seguridad en el menor tiempo posible.

En la actual década de ciberseguridad, las herramientas de gestión de eventos e información de seguridad (SIEM) se utilizan generalmente para detectar amenazas, así como análisis de comportamiento de entidades y usuarios (UEBA) para detectar, alertar y mitigar rápidamente amenazas posibles al negocio.

La interacción de la gestión de eventos de seguridad con las prácticas de ITSM se muestra en el diagrama siguiente.

Su plataforma ITSM debería contar con una integración con una herramienta SIEM, que permite la creación automatizada de tickets para gestionar incidentes. La herramienta SIEM con UEBA debe alertar al equipo de respuesta a incidentes cuando se detecta algún patrón anómalo.

La plataforma ITSM también debe tener un módulo de gestión de problemas integrado que pueda profundizar para encontrar la causa raíz de cualquier comportamiento aberrante del entorno de TI.

Como paso posterior a la gestión de problemas, las plataformas ITSM necesitan un módulo de gestión de cambios, donde se puede generar una solicitud de cambio para realizar un cambio de configuración programado, como una actualización de firmware, o borrar la base de datos en los servidores, etc., según las señales recibidas del sistema de seguimiento, y con las autorizaciones de seguridad necesarias antes de implementar el cambio.

  • Mantenerse preparado para la auditoría y el cumplimiento

Las auditorías de seguridad ponen a prueba las políticas y planes de seguridad de una empresa. Una auditoría también verifica si el sistema de información de la empresa cumple con las mejores prácticas de seguridad de la información. Estos podrían ser para marcos como ISO 27001.

Las prácticas de ITSM que se implementan adecuadamente también ayudan en una auditoría. Para diversas evaluaciones y auditorías, los auditores requieren el historial de acciones, como durante la respuesta a un incidente o durante un cambio de configuración en un CI. Las comprobaciones de seguimiento de auditoría verifican las acciones y los flujos de trabajo, conforme a los estándares de seguridad.

Repasemos uno de los estándares de seguridad de la información más populares, ISO 27001, y veamos cómo las prácticas ITSM ayudan a marcar las casillas necesarias para cumplir con los estándares.

La interacción de la auditoría en la norma ISO 27001 con las prácticas de ITSM se muestra en el diagrama siguiente.

Su plataforma ITSM debería tener múltiples formas de:

  • Registrar incidentes, de forma manual o automatizade integrando con herramientas de monitorización y diagnóstico.
  • Documentar el diagnóstico y la resolución del incidente.
  • Comunicar con las partes interesadas de forma rápida y fluida.
  • Generar informes sobre tendencias históricas de incidentes para facilitar el análisis de fallas y también recopilar comentarios sobre toda la experiencia de las partes interesadas.
  • Crear flujos de trabajo separados para cambios generales y cambios de emergencia
  • Programar cambios en un calendario común para evitar conflictos.
  • Gestionar consejos asesores de cambios y sus aprobaciones desde dentro del flujo de trabajo.
  • Gestionar integral de activos

En definitiva, ITSM es el pegamento que mantiene unido el trabajo realizado por los numerosos equipos del departamento de TI. Por lo tanto, es natural mantener un ITSM más seguro utilizando un enfoque SecOps dentro de las prácticas de servicios de TI.

¿Te ha parecido útil este contenido?

 
Más información en: https://www.also.com/ec/cms5/es_2610/2610/index.jsp
Luis Pedroche
Manage Engine
Business Development Manager
AIOps (AI for IT operations) Edge Intelligent Networks Network as a Service (NaaS) SD-WAN WiFi 6

Te puede interesar

Gran Madrid
19 Nov 2024
Universidad de Salamanca
19 Nov 2024
DruID
19 Nov 2024
eSail
19 Nov 2024
Codere
12 Nov 2024
AIOps: El viaje de un ITOM reactivo a proactivo para las infraestructuras de TI modernas
05 Mar 2024
Guerra a la complejidad de la gestión integral de la infraestructura TI
05 Jun 2023
El desafío del acceso remoto a la OT
14 Feb 2022
IREO se suma al Black Friday
27 Nov 2020
IREO firma con Goanywhere, líder del mercado en soluciones de managed file transfer (mft)
06 Nov 2020