Reportes de Gestión necesarios para Firewalls y VPN
Parte importante de todos los proyectos asociados a las Tecnologías de la Información son los Reportes o Informes de Gestión, estos nos permiten medir el nivel de servicio entregado y obtener visibilidad e información relevante en relación a los dispositivos configurados, ya sean servicios implementados in house o a través de proveedores.
Sin duda he visto muchas implementaciones e integraciones de sistemas, donde finalmente los objetivos funcionan pero los reportes de gestión son malos e ineficientes sin que podamos dar visibilidad al negocio y poder mostrar parte del ROI justificando a posterior el porqué se pagó por una determinada solución.
Lo siguiente son consideraciones que he tomado para solicitar informes de gestión de un equipo Firewall el cual más bien es un UTM (Unified Threat Management):
Luego de pensar en que informes se deben generar de este dispositvo he concluido lo siguiente:
VPN:
Cabe señalar que deben existir otros informes para el área de tecnología como son los relacionados a la perfomance de los dispositivos: Uso de CPU, Memoria, Disco de este apliance, por supuesto que debe exisitr un repositorio y correlación de logs como buenas prácticas.
Lo anterior debería ser revisado contra un proceso de control de cambios, es decir, que los cambios que figuren en los informes que por ciento deben tener la periodicidad que cada entidad decida deben verificarse que efectivamente hayan sido aprobados y tengan una justificación clara de negocio.
Nelson Castro de la Redacción de Segu-Info
Sin duda he visto muchas implementaciones e integraciones de sistemas, donde finalmente los objetivos funcionan pero los reportes de gestión son malos e ineficientes sin que podamos dar visibilidad al negocio y poder mostrar parte del ROI justificando a posterior el porqué se pagó por una determinada solución.
Lo siguiente son consideraciones que he tomado para solicitar informes de gestión de un equipo Firewall el cual más bien es un UTM (Unified Threat Management):
Luego de pensar en que informes se deben generar de este dispositvo he concluido lo siguiente:
VPN:
- Conexiónes realizadas por usuario
- Cuenta de Dominio Utilizada, Nombre de VPN que fue accedida, IP Origen, Fecha y Hora Acceso, Fecha y Hora Desconección
- Detalle de conexiones establecidas dentro de la VPN
- Inicios de sesión por usuario a la interfaz de administración o CLI / consulta
- Cuenta utilizada, IP Origen, Fecha y Hora de acceso, Fecha y Hora desconección
- Detalle de cambios realizados en caso de existir
- Regla, Valor Existente --> Nuevo Valor
- Cambios realizados en Firewall (otra visión del reporte anterior pero desde la optica de cambios y no del quién)
- Modificación de Reglas: Valor Existente --> Valor Nuevo
- Creación de Reglas: Valor Nuevo
- Eliminación de Reglas: Valor Eliminado
- Número de direccione IP no autorizadas, puertos y tipos de tráfico denegados (DS5 Cobit 4.1).
- Número y tipo de código malicioso prevenido (DS5 Cobit 4.1)
- Internet
- Archivos descargados por protocolo
- Archivos descargados por peso y tipo
- Archivos subidos
- Top 100 páginas visitadas y detalle de usuarios que acceden a ella
- Top 100 usuarios con mayor nivel de tráfico de páginas visitadas
- Top 100 páginas denegadas y usuarios que intentaron acceder a ellas
Cabe señalar que deben existir otros informes para el área de tecnología como son los relacionados a la perfomance de los dispositivos: Uso de CPU, Memoria, Disco de este apliance, por supuesto que debe exisitr un repositorio y correlación de logs como buenas prácticas.
Lo anterior debería ser revisado contra un proceso de control de cambios, es decir, que los cambios que figuren en los informes que por ciento deben tener la periodicidad que cada entidad decida deben verificarse que efectivamente hayan sido aprobados y tengan una justificación clara de negocio.
Nelson Castro de la Redacción de Segu-Info
Podria recomendar el tiempo de indisponibilidad del servicio prevenido, quizas incluidos en terminos financieros de los ataques detectados.
ResponderBorrar