Indicadores Gerenciales

De Seguridad de la Informacin
2011/12/01

Contenido

Contexto Justificacin Metodologa Alineacin Modelo O !etos " Atri utos #s$ecificacin A$roximaciones %ecomendaciones &inancieros %eferencias

Contexto

'If "ou can(t measure it) "ou can(t manage it*) Peter Drucker. 'In +od ,e trust) all t-e ot-ers ring data*) W. Edwards Deming. 'An"t-ing "ou need to .uantif" can e measured in some ,a" t-at is su$erior to not measuring it at all*) Glib's Law. '%e$eata le and consistent metrics can e extremel" /alua le 00 e/en if t-e"1re inaccurate2 , Wes Sonnenreich.

Justificacin
5lanear o !eti/amente " estimar Controlar el rendimiento res$ecto al $lan

Identificar " resol/er $ro lemas del $roceso

Ser la ase $ara la medicin en el futuro

CMMI for Ser/ices 134) Measurement and Anl"sis) 5agina 216) Soft,are #ngineer Institute3

Justificacin
#/aluar la #fecti/idad de los controles #/aluar la #fecti/idad del S+SI

<erificar el cum$limiento de los re.uisitos de Seguridad

&acilitar la me!ora del S+SI seg=n los riesgos del negocio

Dar insumo a la direccin $ara la toma de decisiones

ISO 270089200: Information Securit" Mangement Measurement) ;313 O !ecti/es of Measurement

Justificacin
Aumentar la res$onsa ilidad Me!orar la #fecti/idad de la Seguridad de la Informacin

Demuestra cum$limiento

Suministra #ntradas Cuantifica les $ara Asignar recursos

>IS? @000;;9 5erformance Measurement +uide for Information Securit"

Metodologa
Alinear mediciones " acti/idades de anAlisis Suministrar resultados de medicin

#sta lecer O !eti/os de Medicin #s$ecificar Medidas #s$ecificar 5rocedimi0 ento de %ecoleccin " Almacenamiento #s$ecificar 5rocedimientos De AnAlisis

O tener Datos de las Mediciones AnaliBar los Datos de las Mediciones Almacenar datos C resultados

Comunicar %esultados

CMMI for Ser/ices 134) Measurement and Anl"sis) 5agina 216) Soft,are #ngineer Institute3

Alineacin
>ecesidades de informacin $ro/ienen de9
5lanes de ?ra a!o 5lanes #stratDgicos 5lanes de >egocio

%e.uisitos &ormales

O ligaciones Contractuales

O !eti/os #sta lecidos

Com$arati/os de Industria

#ntre/istas a Directi/os

5ro lemas %ecurrentes

CMMI for Ser/ices 134) Measurement and Anl"sis) 5agina 216) Soft,are #ngineer Institute3

Modelo
O !eto
Fo .ue sera Medido GSustanti/oH 5arte .ue 5uede medirse <alor asignado Al atri uto Ser/icio ?ecnolgco

Atri uto

Dis$oni ilidad

Medicin Ease Medicin Deri/ada

Com inacin De Medidas Ease Com inacin de Medidas Deri/adas

? Dis$oni le ? 5lan3 >o Dis$3 ? ?ranscurrido D I G?D J ?5>DH

Indicador

000000000000000000 ?? Kndice I D / Meta

Objetos y Atributos

5roceso9 Ser/icio9 Acti/os9 5roducto9 %ecurso9 5lan9

?iem$o de ciclo) 5endientes GLI5H O$ortunidad) Seguridad) Dis$oni ilidad <alor3 Calidad GDefectosH) ?amaMo3 #sfuerBo) Costo3 A/ance) Co ertura3
&uentes adicionales son ISO :126 " ISO SNua%# ISO 2;01>3

5ersonas9 A$rendiBa!e) Satisfaccin3

Especificacin

13 De la Medicin 23 De los O !etos " Atri utos 43 De las Medidas Ease 83 De las Medidas Deri/adas ;3 Del Indicador 63 Del Criterio de Decisin 73 De los %esultados de Medicin @3 De los Interesados :3 De la &recuencia " el 5eriodo

Especificacin

13 De la Medicin

ISO 270089200: Information Securit" Mangement Measurement3

Especificacin

13 De la Medicin

Especificacin

23 De los O !etos " Atri utos

ISO 270089200: Information Securit" Mangement Measurement3

Especificacin

43 De las Medidas Ease

Especificacin

43 De las Medidas Ease

ISO 270089200: Information Securit" Mangement Measurement3

Especificacin

83 De las Medidas Deri/adas

ISO 270089200: Information Securit" Mangement Measurement3

Especificacin

;3 Del Indicador

ISO 270089200: Information Securit" Mangement Measurement3

Especificacin

63 Del Criterio de Decisin

ISO 270089200: Information Securit" Mangement Measurement3

Especificacin

73 De los %esultados de Medicin

ISO 270089200: Information Securit" Mangement Measurement3

Especificacin

73 De los %esultados de Medicin

Especificacin

@3 De los interesados

ISO 270089200: Information Securit" Mangement Measurement3

Especificacin

@3 De los interesados

ISO 270089200: Information Securit" Mangement Measurement3

Especificacin

:3 De la &recuencia " el 5eriodo

Aproximaciones
?o$ 0 Do,n Eotton 0 O$

#strategia definida O !eti/os definidos

Pesto se cum$leQ

Acti/idades refle!an una estrategia im$lcita

Plo .ue -o" -ago es mi estrategiaQ

Aproximaciones
Cascada Iterati/o

5laneo todas las mediciones3 Fuego comienBo a medirlas todas3

5laneo una medicin3 O tengo una medicin3 Fuego re$ito el ciclo3

Pme .uedarD $laneandoQ

Pcmo actualiB lo anteriorQ

Aproximaciones
?Dcnicas >egocio

Mediciones de datos tDcnicos G<ulnera ilidades) IncidentesH Son concretos " reales3

Mediciones en tDrminos de dinero G%OSI) AF#H3 %e.uieren su$uestos3

P.ue significan $ara el negocioQ

Pson ciertos esos datos financierosQ

ecomendaciones
5ara una uena medida9

Securit" Metrics9 %e$lacing &ear) Oncertaint") and Dou t) Andre, Ja.uit-3

ecomendaciones
5ara un uen sistema de medicin9

Ree$ing Score) Osing t-e %igt- Metrics to Dri/e Lorld0Class 5erformance) MarS +ra-am Ero,n

ecomendaciones
%egistro Asico de mediciones9

Incor$ora la nocin de lnea ase) $rogreso e iterati/a3

!inancieros
"ar#metro

!inancieros
"ar#metro

!inancieros
Modelo

!inancieros
"ar#metro

!inancieros
Modelo

!inancieros
"ar#metro

!inancieros
"ar#metro

!inancieros
Modelo

!inancieros
Modelo

eferencias

CMMI for Ser/ices) Measurement and Anal"sis 5rocess Area) Soft,are #ngineer Institute3 ISO 270089200:) Information Securit" Management Measurement3 >IS? @000;;) 5erformance Measurement +uide for Information Segurit"3 COEI? 8313) 5rocesos de Monitorear " #/aluar) Secciones Metas " Metricas3

Contctenos

Web: Correo: Telfono: Celular: Ubicacin:

http://www.fluidsignal.com/ mercadeo.ventas@fluidsignal.com +57 (1) 8124898, +57 (4) 4442637 +57 3108408002, +57 3136601911 Bogot, Avenida el Dorado 44A-29 !i"ina 403 #edell$n, %alle 7D 43A-99 !i"ina 509 &orre Al'agrn

Cl#usula $egal
Co$"rig-t 2011 &luidsignal +rou$ ?odos los derec-os reser/ados #ste documento contiene informacin de $ro$iedad de &luidsignal +rou$3 #l cliente $uede usar dic-a informacin slo con el $ro$sito de documentacin sin $oder di/ulgar su contenido a terceras $artes "a .ue contiene ideas) conce$tos) $recios " estructuras de $ro$iedad de &luidsignal +rou$ S3A3 Fa clasificacin 2$ro$ietaria2 significa .ue Dsta informacin es slo $ara uso de las $ersonas a .uienes esta dirigida3 #n caso de re.uerirse co$ias totales o $arciales se de e contar con la autoriBacin ex$resa " escrita de &luidsignal +rou$ S3A3 Fas normas .ue fundamentan la clasificacin de la informacin son los artculos 72 " siguientes de la decisin del acuerdo de Cartagena) 488 de 13::4) el artculo 24@ del cdigo $enal " los artculos 16 " siguientes de la le" 2;6 de 13::63