Resumen:
El objetivo de este proyecto es proveer un modelo para el ajuste y tuneo de las alertas
de seguridad. Además, desarrollar una cultura de mejora continua para los equipos de
seguridad de la información encargados de correlacionar los eventos, también
conocidos como SIEM (Security Information and Event Management).
Para esto, se describieron las funciones, funcionamiento de los centros de operaciones
de seguridad y su importancia para proteger el negocio de las amenazas, tanto
externas como internas, en orden de salvaguardar los principios de confidencialidad,
integridad y disponibilidad de la información. De igual forma, se explicó la visibilidad
que provee un centro de operaciones de seguridad para comprender mejor el entorno
y los riesgos a los que se enfrentan los negocios.
De acuerdo con el giro de negocio, las amenazas de seguridad son diferentes y su
impacto varía según la industria. Por eso, se detallaron los diferentes incidentes de
seguridad que puede enfrentar una organización, además se explicó el daño que estos
pueden causar en las operaciones del negocio.
Se llevó a cabo una categorización y tipificación de los incidentes de seguridad más
comunes, con el fin de facilitar la detección, el análisis y su contención, de una manera
oportuna. Con esto, las organizaciones podrán prevenir varios incidentes con un
mismo control y disminuirá el impacto que pueda casar la materialización de un riesgo.
Los equipos SIEM son el núcleo de un centro de operaciones de seguridad (SOC), en
estos se monitorean las posibles amenazas, basados en el análisis de los datos
obtenidos de los diferentes logs sources. En este documento se desarrolló una
metodología de creación de casos de usos resilientes enfocados en una cultura de
mejora continua, mediante la reducción de falsos positivos y al configurar
correctamente los límites para evitar falsos negativos.
