En una organización que presta servicios de seguridad de la información, se tienen implementados un número significativo de activos en la nube, y debido a su rápido crecimiento algunos de estos activos, han presentado riesgos de seguridad. A pesar del crecimiento en cargas de trabajo, las alertas no se han gestionado a la velocidad deseada, manteniéndose sin cerrar e incluso aumentando en los últimos meses.

Se registraron diversos activos que generaron un número significativo de alertas de seguridad que representan problemas recurrentes, tales como exposiciones a Internet, actividades maliciosas e intentos excesivos de inicio de sesión sin la gestión adecuada por parte del equipo de seguridad.

La repetición de alertas se atribuye a configuraciones inseguras por defecto en la nube, asignación automática de IP pública a instancias, falta de restricciones en Security Groups, falta de auditoría de red y existencia de usuarios no utilizados por más de 90 días.

Considerando la certificación ISO 27001:2013, se observa que varios activos no cumplen con los controles aplicables, con una tendencia creciente de incumplimiento de los controles asociados.

Se propone una solución SOCLess que permita mejorar la eficiencia operativa al facilitar la detección, investigación y mitigación de amenazas minimizando la intervención manual, disminuyendo los tiempos de respuesta a las alertas. Esta propuesta se centra en la automatización integral de la respuesta a incidentes, permitiendo una gestión ágil y precisa. La arquitectura SOCLess garantizará una operación continua y eficaz, con la capacidad de adaptarse a las crecientes demandas de seguridad en un entorno dinámico de nube.

Además, se propone una modalidad de pago Pay As You Go para garantizar una inversión alineada con el uso real de la solución implementada. Este modelo financiero proporciona flexibilidad y control, asegurando que la organización solo pague por los recursos y servicios utilizados, lo que se traduce en una gestión financiera más eficiente.

La implementación de esta propuesta no solo mejorará la capacidad de respuesta ante incidentes de seguridad, sino que también agregará valor a la gestión de incidentes de la organización, promoviendo la mejora continua y la adaptabilidad a las cambiantes amenazas cibernéticas.

Se crearon diez funciones de respuesta (runbooks) basadas en políticas definidas junto con el equipo del proyecto de esta organización. Estas funciones se aplican a eventos tomados del servicio AWS Config y se presenta un caso de prueba específico, utilizando eventos que indican un grupo de seguridad con puertos no restringidos (0.0.0.0/0).

Los logs se ejecutan a partir de los runbooks, la función de RDS envía datos a través del SQL statement los cuales se integran con los runbooks con SES para correos, y finalmente se efectúa el registro en CloudWatch a partir de los cambios en los recursos de AWS.

Con esta implementación, se busca cumplir con los controles de la norma ISO/IEC 27001:2013, priorizando la implementación de tecnologías para abordar 83.33% de los controles relacionados con activos de tecnología. Se considera que el 37.5% de los controles en el Anexo A son tecnológicos, la implementación proyectada contribuirá a un cumplimiento adicional del 31.25% del Anexo A.

En cuanto a los activos en el entorno AWS, se proyecta que en 24 meses solo el 1% no cumplirá con los controles tecnológicos. Este margen se reserva para la integración de nuevos activos a lo largo del tiempo. Se espera una reducción significativa de activos no conformes en los próximos meses, permitiendo que esta organización cumpla con la norma ISO/IEC 27001:2013, crucial para operar con información sensible como la financiera y de salud.