Generador de órdenes de trabajo automatizadas sobre el equipamiento informático ante eventos detectados para la protección de la red.

Abstract

Se posee un sistema capaz de relevar todo el hardware y software instalado en cada equipo conectado en la red y que además es capaz de informar sobre la existencia de nuevo equipamiento informático (equipos y dispositivos de red) agregado en la red que aún no ha sido auditado. Se dispone de un sistema que emite alertas en tiempo real en caso de ocurrir cualquier cambio en cuanto a hardware y software en los equipos presentes en la red. Dichos cambios los divide en alertas programadas (donde el usuario realiza un pedido de cambio y éste es autorizado) y no programadas (cuando el cambio no fue pedido ni autorizado con anterioridad). Los sistemas mencionados en los párrafos anteriores poseen cada uno una base de datos independiente que conserva los valores históricos. Se dispone de la serie de Circulares Informáticas utilizadas por la Institución, emitidas por la Fuerza Aérea Argentina entre los años 1997 y 2015, las cuales tratan sobre temas de seguridad de la información en los equipos informáticos de la red interna. Luego del relevamiento realizado a través de entrevistas con integrantes del departamento de sistemas se detectó que aunque el sistema utilizado cumplía con su cometido, dado que el sistema solo informa a los auditores sobre cualquier anomalía en la red y no toma decisiones respecto a esas anomalías, llega un momento en que los auditores tienen demasiadas alertas por atender y, en la cantidad, puede que ignoren una alerta crítica que queda perdida entre numerosas de alertas triviales. La problemática descrita se ve reflejada en las situaciones que se detallan a continuación: * Los auditores deben estar pendientes de una lista surtida de alertas triviales y críticas debido a la imposibilidad de poder pre-filtrar las alertas que van a ser generadas por el sistema. * Como se sobrecarga a los auditores de información, puede que en su necesidad de solucionar las numerosas alertas del sistema, mecanicen sus acciones. Esto es sumamente peligroso porque cuando una acción se vuelve repetitiva y la persona a cargo se acostumbra a tomar cierta acción "por defecto" al detectar ciertos patrones similares, puede descuidar algunas características propias de la alerta actual que la difieren sustancialmente de una anterior y que, de ser pasadas por alto, podría dejar a la red y los datos en una situación vulnerable. * Las alertas realmente críticas que no son atendidas a la brevedad (tomando algún tipo de acción correctiva) podrían traer consecuencias en la estabilidad e integridad de la red y sus datos.No existe una política de acciones a tomar en caso de que ocurra alguna de estas alertas por lo que cualquier solución que se proponga depende de la experiencia de los auditores. Finalmente se detectó que estos problemas se originan en dos puntos principales que se tratarán en este trabajo final de grado: * la falta de una política de seguridad que detalle las acciones que se deben tomar ante un evento riesgoso. * un sistema que implemente dicha política para aquellas situaciones cotidianas y triviales. * un sistema que pueda ser personalizado por el Área de Auditorias para ayudar a filtrar datos poco relevantes para el proceso de protección de la red y los datos.