Página |3

INTRODUCCION

Con el crecimiento exponencial que están teniendo las telecomunicaciones

a nivel mundial cada vez se implementan más centros de operaciones de
infraestructura de red, con el fin de estar monitoreando de forma constante las
redes de telecomunicaciones y minimizar el riesgo de una caída en los servicios.

El objetivo principal de este ensayo es conocer que es un centro de

operaciones de redes (network operations center), cuáles son sus funciones y su
estructura organizacional, de igual forma se tocarán puntos importantes como la
evaluación de riesgos y como mitigarlos. Además conoceremos cuales normas y
estándares internacionales nos pueden apoyar en la tarea de administrar y
gestionar la seguridad en el NOC.

La seguridad en el NOC es una parte primordial que debemos abordar para

identificar que ataques comunes puede sufrir el centro y sobre todo de que
aspectos debemos considerar para realizar políticas de seguridad, control y lo mas
importante podremos identificar qué áreas son las más vulnerables en el NOC, de
igual forma luego de evaluar, identificar, mitigar riesgos, crear políticas, también
aprenderemos sobre pruebas de cumplimiento para realizar auditorías internas de
forma periódica.

El desarrollo de este ensayo nos ayudar a justificar el esfuerzo y costo que

conlleva implementar ciberseguridad y ciberdefensa en un centro de operaciones
de red, estos temas son esenciales en un NOC porque apoyan a mantener una
alta disponibilidad en los servicios, ya que nos ayudan a proteger el activo mas
valioso en la actualidad que es la información.
 Página |4

I. NETWORK OPERATIONS CENTER

De acuerdo con Zentius. (2017). El NOC es el área designada para la

monitorización, mantenimiento y solucionar problemas de redes de
telecomunicaciones, esto abarca el monitoreo del comportamiento en
situaciones de normal uso, como también, en situaciones de altas
demandas de tráfico, con el fin de dar el mantenimiento adecuado,
previendo las saturaciones o perdidas de comunicación, en este ultimo caso
es necesario que se cuente con la capacidad de solucionar los problemas
que se puedan presentar.

Generalmente un NOC se encuentra en empresas de gran tamaño,

esto se debe a que el costo de implementación y operación es bastante
elevado, sin embargo este costo puede ser cubierto contra la necesidad
constante de monitorear la red para garantizar la accesibilidad a la
información, servicios, transporte y sus derivados de uso, en el caso de
requerir este tipo de servicio para una empresa de menor tamaño y sin el
capital suficiente para la implementación, es posible adquirirlo con un
tercero, esto es únicamente viable brindando acceso a la empresa
prestadora de servicio a la red completa y obviamente teniendo una
conexión hacia internet.

Dentro de la estructura organizacional de un NOC se establecen 3

niveles, como lo indica, Continuum. (2018). Las fallas mas comunes que el
sistema alerta son asignadas automáticamente a los técnicos de nivel 1,
después de resolver el problema que generalmente es de fallas de
hardware, se realiza un posterior análisis de la red y si el problema persiste,
este debe ser asignado al nivel 2 o nivel 3 dependiendo de la complejidad
de la falla.
 Página |5

Dentro de las capacidades con las que debe contar un técnico o

ingeniero de un NOC se pueden mencionar las siguientes: aseguramiento
del optimo funcionamiento de la red, soporte de rutina al cliente,
configuración de hardware (firewall, router, switch y relacionados a la red),
fallas de red, control de ataques DDoS y control de enrutamientos de black-
holes. Básicamente la función principal es mantener la estabilidad de la red
central a través del control del rendimiento en niveles óptimos, apoyándose
de software especializado que alerte de forma visual y sonora los diferentes
fallas, clasificándolas en bajas, medias y críticas.

Para garantizar el correcto desempeño de un equipo NOC es

necesario establecer hitos para el cumplimiento de estos, de esta manera
puede ser medido el desempeño y establecer nuevas estrategias o
fortalecer las establecidas.

Resaltando el aporte de U.S.NRC. (2017). Algunos hitos importantes

para tomar en cuenta en general para cualquier tamaño de NOC son:

 Identificar sistemas críticos/activos digitales críticos

 Instalación de dispositivos de protección entre niveles de
seguridad bajos y altos
 Establecer un equipo de evaluación de seguridad cibernética
 Creación y aplicación de controles de ciberseguridad
 Seguimiento y evaluación continua de los controles de
ciberseguridad aplicados
 Aseguramiento de la continuidad del servicio de red

Los mencionados anteriormente deben ser controlado por el equipo

de evaluación de seguridad cibernética, a través de fichas de desarrollo de
 Página |6

procesos en las cuales se refleje el trabajo realizado de acuerdo con los

hitos establecidos.

En definitiva, el tema de seguridad cibernética hoy en día es y debe

ser mas importante de lo que se cree, ya que la mayor parte de información
se encuentra depositada en servidores locales o en la nube, información
que de no contar con la seguridad necesaria y escalable puede verse
comprometida en una total perdida o secuestro. De acuerdo con FireEye.
(2019). La seguridad cibernética debe proteger los datos y la integridad de
los activos informáticos que pertenecen o se conecta a la red de una
organización y el propósito es defender los activos contra todos los ataques
existentes actualmente y prevenir los ataques que aún no se conocen.

Algunas de las amenazas de ataques cibernéticos a los que se

enfrenta día a día en el área de NOC pueden ser:

 Ransomware
 Ataque de día cero
 Macros autoejecutables
 Ataques DDoS
Para que los ataques cibernéticos puedan ser un hecho los atacantes
necesitan vías o medios por la cuales realizar las amenazas o conocidos de
otra forma como vectores de ataque. Algunos vectores de ataque que
identifica NetworkWorld. (2017). Son:

 Phishing a través de email.

 Sitios web maliciosos
 Aplicaciones móviles
 Aplicación para IoT
 Ingeniería social
 Página |7

 Botnet
 Aparición de dominios engañosos

Los anteriores son algunos de los vectores que son utilizados

actualmente para los ataques y algunas de las amenazas que se llevan a
cabo a través de estos vectores son: exploit kits, ransomware, malware
avanzado y suplantación.

Para poder enfrentar las diferentes amenazas y minimizar las

oportunidades de ataques es importante identificar claramente los riesgos
que están presentes dentro de las áreas correspondientes, para esto se
cuenta con el apoyo de normas internacionales estandarizadas como lo es
ISO 27001. De acuerdo con Kosutic. D. (2019). Los riesgos pueden
identificarse en 6 pasos básicos.

 Metodología de evaluación de riesgos ISO 27001

En este paso se debe definir las reglas para desarrollar la
gestión de riesgo, se debe decidir si la evaluación será
cualitativa o cuantitativa, cuáles serán las escalas de medición
y cuáles serán los niveles de aceptación de los riesgos.

 Implementación de evaluación del riesgo

Identificar todos los recursos disponibles y evaluarlos para
conocer el nivel de riesgo de cada uno.

 Implementación del tratamiento del riesgo

Existen 4 opciones para enfrentar o mitigar cada riesgo

1. Aplicación de controles (mitigar)

2. Transferir el riesgo
 Página |8

3. Evitar el riesgo deteniendo la actividad

4. Aceptar el riesgo

 Reporte de evaluación del riesgo del SGSI

Debe existir documentación de todo lo realizado, con el fin de
verificar los resultados.

 Declaración de aplicabilidad
Listar todos los controles implementados, explicando por que
implementaron y como se implementaron.

 Plan para el tratamiento de riesgos

Se debe definir exactamente quien implementará cada control,
cuando será implementado y cual será el presupuesto para
implementación.

Evaluación de Riesgos:

“Es necesario establecer un vínculo entre los escenarios de riesgos IT y el impacto

empresarial que estaos generarían, para así comprender el efecto de los eventos
adversos que se pueden desencadenar” ISO 27001:2013 (2017).

La evaluación de riesgos se realiza a menudo en más de una interación, la

primera es una evaluación de alto nivel para identificar los riesgos altos, mientras
que las interacciones posteriores detallan el análisis de los riesgos principales y
tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de
riesgo:

 Probabilidad

 Consecuencias

 Ocurrencia
 Página |9

 Urgencia

 Maleabilidad

 Dependencia

 Proximidad

Entonces podemos concluir que los riesgos podemos categorizarlos según su

nivel de importancia en: alto, medio, bajo, esta clasificación nos podrá ayudar para
priorizar entre los múltiples riesgos que identifiquemos en el centro de operaciones
cual va a ser el orden con el que los trataremos.

La clasificación nos ayuda a ver el impacto que el riesgo tendría en el NOC si

llegara a materializarse, teniendo conocimiento del impacto podremos crear planes
de mitigación o eliminación del riesgo.

Mitigación de riesgos:

La mitigación consiste en aplicar controles o políticas para reducir la

probabilidad de que un riesgo se materialice, algo que nos puede servir de apoyo
para el manejo de riesgos es:

Figura 1, Sistel, (2018)

 P á g i n a | 10

De acuerdo con Descalzo, F.(2018) podemos concluir que es natural el empleo de

estándares relacionados con el gobierno de TI y gobierno corporativo (como ISO
20000 y 27001, ITIL, COBIT5, Normas NIST, etc.) para normalizar nuestros
procesos y ayudar a ordenar todas las actividades asociadas a la continuidad
operativa, así como a la seguridad de la información, esto nos ayudará para
garantizar la continuidad del negocio.

Hay cuatro dominios en los cuales deben agruparse las principales actividades de
mitigación de estos riesgos de TI:

El gobierno de la tecnología, que debe ser compartido con nuestro proveedor

de servicios

La gestión de riesgos sobre los servicios, tanto internos como externos, y en

el caso de terceros, reclamando y auditando a nuestro proveedor en su gestión
implementada

La educación y actualización para la mejora del conocimiento y

capacidades, no solo relacionadas con la infraestructura técnica sino también en
los procesos de servicio de TI, tanto de los contratados como de los internos,
sobre los cuales el proveedor también debe capacitarse

El cumplimiento, sobre la base de ser conscientes de que puede delegarse la

operación a un tercero, pero no es recomendable delegar la responsabilidad en el
cumplimiento, por lo que deben establecerse los controles y auditorías necesarias
para verificar este cumplimiento por parte de nuestro proveedor.

Entonces de acuerdo lo anterior concluimos que para mitigar un riesgo, no

es solo configuraciones, crear reglas o actualizar el software de los dispositivos,
una parte importante es la capacitación al personal ya que puede ser un riesgo
alto que el recurso humano que labora en el NOC.
 P á g i n a | 11

Uno de las prácticas que pueden apoyarnos en mitigar riesgos y garantizar

la seguridad de la información es la implementación o implantación de políticas de
seguridad, estas políticas son reglas que todo el personal debe seguir.

En las políticas de seguridad también podemos establecer niveles de

acceso para así poder tener un mejor control en el ingreso a los activos y áreas
del Centro de Operaciones de Redes (NOC).

Para una forma adecuada de realizar una política de seguridad informática

podemos guiarnos con el siguiente diagrama:

Figura 2, Fuente: Manual de Seguridad en Redes. http://www.arcert.gov.ar

Pruebas de Cumplimiento:

Según Vásquez Rodríguez, S. (2015) son aquellas pruebas que diseña el

auditor con el objeto de conseguir evidencia que permita tener una seguridad
razonable de que los controles internos establecidos por la empresa auditada
están siendo aplicados correctamente y son efectivos.

Entonces las pruebas de cumplimiento forman parte de las auditorias

periódicas que debemos realizar para corroborar que se están aplicando de forma
correcta las políticas, formatos de control, bitácoras y los procesos que
establecimos en el centro de operaciones de red.
 P á g i n a | 12

II. CONCLUSIONES

Centro de operaciones de infraestructura de red principalmente es

implementado por empresas grandes, esto se debe a su alto costo de
implementación y operación. Las funciones de un NOC son gestionar,
administrar y monitorear la infraestructura de la red, al momento de
identificar una falla puede existir 3 niveles en el ámbito organizacional como
lo establece Continuum, el nivel 1 sería si la falla se encontrara en el
hardware, si después de descartar hardware el problema persiste, este
debe ser escalado al nivel 2 o nivel 3 dependiendo de su complejidad.
Punto importante a considerar asegurar dentro de una infraestructura
de red son las rutas o caminos que puede utilizar un atacante para tener
acceso a los dispositivos estas rutas son conocidas como vectores de
ataque, los vectores de ataque son una vulnerabilidad en los centros de
operaciones de infraestructura de red que pueden interrumpir la prestación
de servicios. Estos vectores de ataque también pueden ser identificados en
la evaluación de riesgos que se debe realizar, durante esta evaluación es
de suma importancia categorizar los riesgos según su impacto para luego
poder elegir el mejor trato según la ISO 27001, un riesgo puede ser
mitigado, transferido, aceptado o eliminado.
Entonces como garantizamos que los riesgos que identificamos en la
evaluación no puedan llegar a materializarse, sencillo, mediante la
implemntación de politicas de seguridad, controles de acceso, uso de
bitacoras, en este largo proceso debemos apoyarnos de estandares
internacionales como la ISO 27001:2013, ITIL, COBIT5, Normas NIST.
Estas normas nos marcaran el camino que debemos seguir para garantizar
la correcta operación del NOC y que la información sea integra,
confidencial y este siempre disponible.
 P á g i n a | 13

III. BIBLIOGRAFIA

Continuum. (2018). What are the Roles & Responsibilities of a NOC

Technician. Continuum.net. recuperado de:
https://www.continuum.net/resources/mspedia/network-operations-center-
noc-explained

Zentius. (2017). Cómo trabaja un Centro de Operaciones de Red (NOC).

blog.zentius.com. recuperado de: https://blog.zentius.com/como-trabaja-un-
centro-de-operaciones-de-red-noc

Comarch. (2015). Network operations center. Comarch.com. Recuperado

de: https://www.comarch.com/trade-and-services/ict/it-outsourcing-
integration/network-operations-center/x

U.S.NRC. (2017). Lessons Learned During Milestones 1 - 7 Cybersecurity

Inspections of Nuclear Power Plants. nrc.gov. Recuperado de:
https://adamswebsearch2.nrc.gov/webSearch2/main.jsp?AccessionNumber
=ML16341B257

FireEye. (2019). What is Cyber Security. Fireeye.com. Recuperado de:

https://www.fireeye.com/current-threats/what-is-cyber-security.html

BitLife. (2018). Ciberseguridad: 6 métodos de ataque y defensa que

veremos los próximos meses. bitlifemedia.com. Recuperado de:
https://bitlifemedia.com/2018/01/ciberseguridad-metodos-ataque-defensa-
proximos-meses/
 P á g i n a | 14

NetworkWorld. (2017). Aumentan las amenazas y los vectores de ataque,

según Fortinet. www.networkworld.es. Recuperado de:
https://www.networkworld.es/seguridad/aumentan-las-amenazas-y-los-
vectores-de-ataque-segun-fortinet

Kosutic. D. (2019). Evaluación y Tratamiento del Riesgo en ISO 27001 – 6

pasos básicos. https://advisera.com. Recuperado de:
https://advisera.com/27001academy/es/knowledgebase/evaluacion-y-
tratamiento-del-riesgo-en-iso-27001-6-pasos-basicos/

ASOSEC. (2018). Avances y desafíos regulatorios de la ciberseguridad.

Asosec.co. Recuperado de: http://asosec.co/2018/08/avances-y-desafios-
regulatorios-de-la-ciberseguridad-2/

ISO 27001:2013 (2017). Como identificar los riesgos. Recuperado de:

https://www.pmg-ssi.com/2017/01/iso-27005-como-identificar-los-riesgos/
SISTEL (2018). 5 Pasos para la gestión de Riesgos. Recuperado de:
https://www.sistel.es/5-pasos-gestion-riesgos-it
Descalzo, Fabián. Integración de riesgos de TI y riesgos operacionales.
Recuperado de: http://www.magazcitum.com.mx/?p=3656#.XF350LhMGUk

Vásquez Rodriguez Sergio (2015). Diseño de pruebas de auditoria:

Recuperado de: https://prezi.com/c2qz68_usg6y/diseno-de-pruebas-de-
auditoria-de-cumplimiento-y-sustantivas/