Mtricas de seguridad

Jueves 12 de junio del 2008

Ing. Cristina Ledesma, CISA, CISM

Agenda teora
Sesin 1: Introduccin
1. 2. 3. 4. 5. 6. 7. Objetivo de la sesin Problemtica sobre la falta de medicin. Marco de referencia ISO/IEC 27004 Importancia y objetivo de las mtricas Modelo de Madurez, Mejora Continua Tipos de Mtricas y Audiencias Marco de referencia UNIT ISO27001/2

El Problema de las Mtricas

La Seguridad es una de las pocas reas gerenciales que no posee un conjunto bien entendido de tcnicas para la medicin. .. En finanzas la tcnica value at risk calcula la cantidad de dinero que una firma puede perder un da determinado basado en la volatilidad histrica de los precios. Por contraste, en Seguridad no hay absolutamente nada. No existe consenso en indicadores clave. Andrew Jaquinth

No se puede mejorar lo que no se puede medir

Lord Kelvin

Los ejecutivos no estn felices con los reportes porque no ven el tipo
de informacin en el contexto que la hace relevante para las evaluaciones y toma de decisin. Mathew Schwartz

La complejidad del problema

Metricas Gestion del ISMS

Probabilidad de Ocurrencia Evaluacin de Riesgos

La Seguridad es una ciencia basada en las probabilidades Las probabilidades son muy complejas por depender de muchos factores interrelacionados

La causa del problema

Mito: Seguridad como un tema tecnolgico, desconexin con el Negocio Falta de compromiso de la Direccin y recursos limitados Falta concienciacin y metodologas en la evaluacin de riesgos Falta de un lenguaje comn y roles adecuados (CISM) Falta de un marco comn (ISO 27000 family) Falta de cultura en medicin y reporte Falta de predisposicin a brindar informacin en las encuestas, reporte de situaciones que permita generar un benchmarking especfico Falta de criterios comunes, naturaleza diversa inherente

El desafo de las Mtricas de Seguridad

La mayor diferencia entre las ciencias bien desarrolladas como la fsica y algunas de las menos desarrolladas como psicologa o sociologa es el grado en que las cosas pueden ser medidas. Source: Fred S. Roberts, ROBE79 Brindar a la Gestin de Riesgos el rigor cuantitativo de la Gestin Financiera. CRA/NSF, 10 Year Agenda for Information Security Research, cited by Dr. Dan Geer

OWASP AppSec Seattle 2006 Open Web Application Security Project

Medidas, Mtricas e Indicadores

Medida
Medicin es una operacin de asignar un valor a algo que es una medida.

Mtrica

Indicador
Indicador provee una visin en cuanto al logro de objetivos.

Mtrica es una interpretacin de la medida.

Ref. IEEE Standard Glossary of Software Terminology

Tres principales drivers para las mtricas de Seguridad

Justification for security spending Regulations Loss of reputation Better stewardship Better stewardship Report progress to to business Report progress business
Manage risk 11% 26% 23% 37% 51% 63%

Base: 40 CEOs CFOs

Source: Measuring Information Security Through Metrics And Reporting, Forrester Research, Inc., May 2006

Qu desean medir los CISOs?

As a CISO, if you have a choice of measuring and monitoring up to five areas in security, which ones would you measure?
Regulatory compliance Incident handling and response Corporate governance Risk management process adherence Security awareness
Base: 34 CISOs and senior security managers.

62% 59% 55% 52% 52% 52% 34%

Source: Measuring Information Security Through Metrics And Reporting, Forrester Research, Inc., May 2006

Vulnerability and patch management Application security

Otra Definicin sobre IT Mtricas son herramientas para facilitar la toma de decisiones, mejorar el desempeo y el accountability a travs de la coleccin, anlisis y reporte de datos de desempeo relevantes. El propsito de medir el desempeo es monitorear el estado de las actividades medidas y facilitar la mejora de estas aplicando acciones correctivas basadas en las medidas observadas.

ISO/IEC 3er. CD 27004

Trminos y definiciones Atributo: propiedad o caracterstica de una entidad, distinguible cuantitativa o cualitativamente por una persona o medios automticos Medida Bsica: mediada definida en trminos de un atributo y el mtodo para cuantificar la misma Medida Derivada: medida que es definida como una funcin de 2 o mas medidas bsicas. Modelo analtico para medicin: algoritmo o clculo que combina una o ms medidas con el criterio de decisin asociado.

ISO/IEC 3er. CD 27004 (cont.)

Indicador de IS: resultado de aplicar el modelo analtico a una o ms medidas en relacin a criterios de decisin o necesidades del negocio

Medida: uno o ms indicadores y su interpretacin asociada que satisface una necesidad de informacin

ISO/IEC 27004 Objetivos

Evaluar la efectividad del Information Security Management System (ISMS) y su mejora continua Evaluar la efectividad de los controles de Seguridad y los objetivos de control Facilitar la mejora de la efectividad de la Seguridad de la Informacin Proveer informacin objetiva y anlisis para asistir la revisin de la gerencia, la toma de decisiones y justificar mejoras en los controles

Programa de Mtricas

ISMS exitoso? Compromiso de la gerencia relativo al empowerment y los recursos Existencia del ISMS, polticas, procesos y procedimientos documentados Mtricas de Seguridad cuantificables basadas en los objetivos del ISMS Un proceso repetitivo capaz de identificar tendencias y mejoras Un proceso de tracking efectivo para la gestin adecuada de los recursos

Programa de Mtricas (cont.)

ISMS exitoso? Un proceso repetitivo de coleccin, anlisis y reporte de mtricas fciles, claras y concisas Un proceso de monitoreo efectivo que permita las mejoras del ISMS y del programa Un mecanismo de insumo en el proceso de Evaluacin de Riesgos para aportar a la priorizacin, seleccin e implementacin de controles

La Pirmide de Valor
Aportar a los Objetivos de Negocio Evaluar la efectividad del ISMS Aportar a la concrecin de los Objetivos del ISMS Evalar la efectividad de los Controles de Seguridad Mtricas tcticas u operativas

Efectividad del ISMS

Determinar si el IS Governance es exitoso: No ocurrencia de incidentes con exposicin pblica Nmero reducido de nuevas implementaciones demoradas por issues de seguridad Nmero de procesos de negocio crticos con Planes de Continuidad Nmero de infraestructura crtica con monitoreo automtico Medida de mejora del entrenamiento y concienciacin de empleados Cumplimiento total o desviaciones mnimas (Risk Acceptances) Porcentaje de planes relacionados, desarrollo de polticas y documentos sobre la misin, visin, objetivos, valores y cdigo de conducta. Porcentaje de Planes de Seguridad y Polticas comunicados a los stakeholders

Ref. Information Security Governance (ITGI)

Modelo de Medicin
Proceso de Medicin Objetivos de Control Controles Implementacin Procesos y Procedimientos Objetos a ser medidos Atributos Atributos Atributos Mtodo de Medida Funcin de Medida Efectividad Resultado de las Mediciones

Criterio de Decisin Indicador Modelo Analtico Medidas Derivadas

Medidas Bsicas

Ejemplo

Objeto a medir Base de empleados

Atributo Registro de empleados

Mtodo de Medida Extraccin (query) de # de empleados en la base de entrenamiento

Medida Bsica # de empleados que recibieron entrenamiento y firmaron acuerdos

Medida Bsica # de empleados que recibieron entrenamiento y firmaron acuerdos

Funcin de Medida Dividir el # de emp. Que recibieron entrenamiento y firmaron acuerdos entre la totalidad de empleados y multiplicar por 100.

Medida Derivada % de empleados que recibieron training y firmaron acuerdos

Ejemplo

Medida Derivada % de empleados que recibieron training y firmaron acuerdos Indicador Rojo, amarillo o verde o grfica de lneas que muestran las medidas en distintos perodos.

Modelo Analtico Definir umbral de cumplimiento aceptable X% Criterio de Decisin Verde cumple con la poltica. Amarillo y Rojo no cumple.

Indicador X % Verde Y % Amarillo Z % Rojo Resultado de la Medida Cumplimiento y controles efectivos no requieren cambios. Cumplimientos pero controles inefectivos deben revisarse. No cumplimientos y controles no efectivos deben mejorarse.

Cualidades del Modelo de Mtricas

Deben estar asociadas con los impactos financieros Tienen que ser predictivas Tienen que ser consistentes Tienen que ser relevantes o significativas para quien las obtiene Deben poder derivar acciones Tienen que ser fuertes para influenciar Tienen que ser confiables Deben ser fciles de definir, implementar e interpretar Tienen que estar ligados a la misin y objetivos de la organizacin Tienen que ser defendibles Deben contar con confiabilidad inherente

Mtricas Responsabilidades

Definir el programa, involucrar a los interesados y utilizar los resultados como una entrada para el monitoreo y la mejora del ISMS Gestin de recursos Entrenamiento, concienciacin y competencia

Programa de Mtricas

Objetivo: desarrollo de mtricas con el propsito de evaluar la efectividad del ISMS. Proceso Pasos Identificar necesidades de informacin Identificar el objeto de medida y sus atributos Medida bsica, derivada e indicadores Coleccin y anlisis de datos Mtodo y funcin de la medida Definir la frecuencia

Programa de Mtricas

Proceso Componentes Dueo, cliente, colector, comunicador, revisor. Modelo analtico Indicadores y formatos de reporte Criterios de decisin, validacin de la mtrica Documentacin

Operatividad de la mtrica Reporte y mejora del programa

Proceso de implementacin de mtricas

Operar el programa de mtricas que es por naturaleza iterativo y asegura que los aspectos relevantes de la seguridad son medidos para un periodo dado.

2 1
Preparar datos para su recoleccin

Recolectar y analizar los resultados

Identificar las acciones correctivas

Desarrollar el caso de negocio

Aplicar acciones correctivas

Obtener recursos

Proceso de desarrollo de mtricas (NIST SP-800-55)

Cmo podra compararse mi organizacin ?

Modelo de madurez de COBIT. 0: No existente 1: Inicial 2: Repetible 3: Definido 4: Gestionado 5: Optimizado

Procesos de certificacin (ISO 27000)

Metrics Capability Maturity

Nivel Descripcin Estado de las mtricas desarrolladas

5 4 3 2 1 0

Optimizados Administrables y medibles Procesos definidos Repetibles pero intuitivas Iniciales Ad hoc No existentes CSI NetSec Computer Security Institute

Mtricas de desempeo

Mtricas tcticas

Sin medidas definidas

Metricas y la madurez del programa de Seguridad de la Informacin

NIST Special Publication 800-80 Initial Public Draft

IS Governance

Lo que se puede medir se puede hacer. Las Mtricas refieren a la transformacin de las polticas en acciones y la efectividad de estas. Estn funcionando bien las polticas, procesos y controles? Se alcanzan los resultados esperados? Cual es el estado contra los modelos de madurez? Evidencian la completitud de la implementacin de los procesos?

Ref. Report of Best Practices and Metrics TeamsCorporate IS Working Group - CISWG

IS Governance

El CISWG define 3 audiencias destino de las distintas mtricas:

Directores o Accionistas

Tcnicos

Gerencia Ejecutiva

IS Governance

Es responsabilidad de la Direccin y Gerencia ejecutiva Una parte integral y transparente del enterprise governance Consiste en liderazgo, estructuras organizativas, procesos y tecnologa Debe contribuir a salvaguardar la reputacin, personas, procesos y activos

IS Governance

Su objetivo es proveer alineacin estratgica Un conjunto de responsabilidades y prcticas con un programa especfico Promovido y ejecutado por la Direccin y la Gerencia ejecutiva Asegurar que se alcanzan los objetivos Evidenciar que los riesgos son manejados adecuadamente Verificar que los recursos son usados responsablemente

IS Governance

Supervisar la Gestin de Riesgos y los programas de cumplimiento de IS, para proteger los intereses de los stakeholders Aprobar y adoptar los principios del Programa de IS y aprobar la asignacin de responsabilidades, adems de proveer el entrenamiento y concienciacin necesarios Recursos para asegurar la continuidad del negocio Gestionar recursos para la provisin de auditoras del programa de IS

Colaborar con la Gerencia para definir las Mtricas de IS que se reportarn a la Direccin
Asegurar el monitoreo y mejora continua del modelo y las Buenas Prcticas

Componentes clave a medir

El valor de las mtricas del programa de seguridad
Las mtricas transforman la poltica en accin y en la medicin del desempeo: Indican qu tan bien estn funcionando las polticas, procesos y controles Indican si se estn logrando las metas y reportan el nivel de cumplimiento Alnean el estado actual contra los modelos de madurez Miden qu tanto se han implementado los procesos Proporcionan un nivel ms detallado sobre el rendimiento de controles de seguridad dentro de la organizacin

Las mtricas deben utilizar datos fciles de obtener para asegurar que la carga de medir a la organizacin no sea mayor al objetivo de medir, absorbiendo los recursos que podran estar enfocados a otras actividades.

Componentes clave a medir

Un marco de gobierno de seguridad, recomienda enfocarse en la medicin de: 1. Alineacin estratgica 2. Administracin de riesgos 3. Aseguramiento de los procesos de negocio 4. Entrega de valor 5. Administracin de recursos 6. Medicin del desempeo (NIST SP-800-55)

Componentes clave a medir En el negocio

Financiero Para reducir los costos y mejorar la eficiencia para recuperar la informacin

Balance scorecard del Negocio Clientes Entregaremos resultados visibles

Llegaremos a las ventas proyectadas

Proceso interno Haremos que los controles del proceso de ventas y rdenes de trabajo cumplan con los estndares comprometidos

Aprendizaje y crecimiento Implementaremos un proceso de control que asegure informacin confiable, consistente y de calidad, con ayuda de la tecnologia, factores clave para nuestro xito

Componentes clave a medir En seguridad TI

Financiero # de clientes de TI Costo por cliente de TI Entrega y disponibilidad de los servicios Soporte a las aplicaciones Proceso interno Administracin de usuarios y contraseas Administracin de privilegios Monitoreo de uso y acceso Pistas de auditora Incidentes y Problemas

Balance scorecard de seguridad

Clientes Niveles de servicio Satisfaccin de los clientes # de clientes atendidos # de canales de soporte

Informacin

Aprendizaje y crecimiento

Conciencia del rendimiento de

cuentas. Usuarios capacitados Tendencias en los problemas e incidentes Valor y niveles de disponibilidad de acuerdo con el comportamiento

Estado del Arte

Incidentes de Seguridad (60%) Mtricas sobre la postura frente al riesgo (50%) Impacto en el negocio de los incidentes (40%) Cumplimiento de las prcticas de seguridad (33%) Aplicabilidad de las vulnerabilidades Top 10 Prdidas financieras durante un incidente de seguridad

Ref. Executives Unhappy with Current Security Metrics Mathew Schwartz

Posibles Mtricas?

# de unidades de negocio en las cuales se han identificado riesgos operacionales Total de proyectos del negocio, participacin en proyectos, proyectos a futuro Asignacin de recursos a las unidades de negocio proporcional a la ganancia o riesgo Encuestas de satisfaccin de usuarios y de exploracin

Proceso de implementacin de mtricas

Tipos de mtricas
De acuerdo con el NIST SP 800-55 existen 3 tipos de mtricas para la seguridad de la informacin: 1. Mtricas de impacto para medir los impactos en el negocio sobre las actividades y eventos de seguridad dentro de la organizacin. Mtricas de efectividad o eficiencia para medir los resultados en la entrega de servicios de seguridad. Implementacin de mtricas para medir la implementacin de la poltica de seguridad.

2.

3.

Cules necesitamos definir?

Proceso de implementacin de mtricas

Tipos de mtricas
De acuerdo con el Corporate Information Security Working Group existen 3 tipos de mtricas para la seguridad de la informacin: 1. 2. 3. Governance (Board of Directors) Management Technical

4.

Construccin jerrquica

Cules necesitamos definir?

Proceso de implementacin de mtricas

Consideraciones importantes
1. 2. 3. 4. 5. 6. El nivel de madurez del programa de seguridad de la organizacin determinar el tipo de mtricas que pueden definirse en el momento. Solamente aquellos procesos que son consistentes y repetibles deben ser considerados para ser medidos. Recoleccin de los datos - de dnde obtendremos los datos para medir? existe la fuente? Este proceso debe ser lo ms transparente posible (no intrusivo) Complejidad de la recoleccin - es manual o automtica? la tiene nuestro equipo? Mientras ms datos estn disponibles, la dificultad de medir disminuye, y la habilidad de automatizar la recoleccin de esos datos se incrementa. Los datos para las mtricas deben ser lo ms tiles posibles, estos se utilizarn para corregir problemas, no para coleccionar datos.

Validacin e Interpretacin
Validacin: Fuentes Confiables Mtricas Aplicables Informacin de Detalle Momento de la Mtrica

Interpretacin: Impacto Visual Conceptos Claros y Simples Prdidas y Ganancias

Correlacin de Mtricas

Caso Real
Transacciones del Negocio Vs Transacciones de Administracin de Usuarios

Prctica para el Diseo

Diseo de la mtrica Cul es el efecto buscado? Objetivo A quin se reporta? Audiencia, presentacin Cul es la entrada? Datos, coleccin, anlisis Durante cunto tiempo? Frecuencia, permanencia

Cules son las soluciones? Cules son los costos asociados? Cul es el retorno de la inversin? Cul es el peor caso, impactos? Se puede correlacionar con otra?

LA MTRICA

Grado en que la Seguridad contribuye al cumplimiento de los objetivos de negocio Perspectiva del Cliente Es la Seguridad un factor diferencial a la hora de comprar Servicios y Productos? Cual es el % de mercado receptivo a los canales virtuales? De que manera puedo mejorar la adopcin de estos canales y alcanzar otros segmentos?

LA MTRICA

Grado en que la Seguridad contribuye al cumplimiento de los objetivos de negocio Perspectiva de la Direccin Prdidas y Ganancias Gestin del Riesgo (ALE) Tendencias, Comparacin, Madurez, Certificacin Valor Intrnseco. La Seguridad genera Confianza? SROI Mito o Realidad?

Como medir lo que se esta midiendo?

Plan, Do, Check, Act

Diseo e Implementacin Revisin del Programa de Mtricas

Monitoreo Activo

Actualizacin del Programa

Evaluacin de Oportunidad, Efectividad

Qu es lo que mediremos?
Antecedentes: British Standard BS 7799:1 Recomendaciones o Buenas Prcticas BS 7799:2 Requerimientos para la Certificacin ISO IEC JTC 1 SC 27 ISO/IEC 17799:2000 (BS 7799:1) ISO/IEC 17799:2005 (part 1) ISO/IEC 27001:2006 Requerimientos (part 2) ISO/IEC 27002: Buenas Prcticas (2007) ISO/IEC 27004: Mtricas y Medidas Propuesta Abril 2004, 3rd CD 2007, 2008-02-12 voting

4 Evaluacin y Tratamiento de Riesgos

Amenaza, Vulnerabilidad, Riesgo, Impacto Alcance, unidades, herencia? Metodologa, Resposabilidades Nivel de Riesgo Aceptable. Riesgo Residual Comunicacin y reporte Control de Cambios Ejemplo: % de unidades evaluadas y con controles Acordes implementados

5 Poltica de Seguridad

Alineada a los Objetivos de Negocio Apoyo y compromiso de la Gerencia Paramtrica. Objetivos de Control Tipos de documentos Roles Aprobacin y comunicacin explcita Revisin y mejoramiento. Brecha Ejemplo: % Resolucin de brechas (Gap Analisis)

6 Organizacin de la seguridad

Roles Documentados Alta Gerencia, Oficial de Seguridad, dueos de la informacin, Tecnologa, Proveedores, Usuarios, Especialistas.

Responsabilidades y recursos Segregacin de Funciones Jerarqua (empowerment) Ejemplo: % roles definidos y aprobados

7 Gestin de Activos

Definicin de Activo Inventario de Activos Responsabilidad sobre Activos Metodologa de Clasificacin (CIA) Polticas de Uso de Activos Etiquetado Ejemplo: % de Activos crticos afectados por riesgos importantes que han sido gestionados a un nivel de riesgo residual aceptable

Matriz de Riesgo - GAP Anlisis

Clasificacin USD 8.000 USD 5.500 USD 3.000 USD 2.000 USD 10.000 USD 50.000 1-2 1er. Ao 2-3 2do. Ao 3-4 3er. Ao

USD 9.000 USD 10.000 USD 6.000 USD 7.500

USD 2.500 USD 5.500

Riesgo

8 Seguridad Ligada a los Recursos Humanos

Roles: contratos en Seguridad? Seleccin, responsabilidades, proceso disciplinario Entrenamiento y concienciacin Evaluacin y coaching permanente Desvinculacin Ejemplo: % de personal capacitado % de nuevos ingresos capacitados, proveedores, terceras partes

9 Seguridad Fsica y del Ambiente

Permetro de Seguridad Fsica, areas de carga/descarga Control de acceso del personal Seguridad de instalaciones, equipos, reas de trabajo, cableado, medios Retiro de bienes, reutilizacin Ejemplo: % de implementacin del Control de Acceso violaciones al control de acceso, control de acceso efectivo

10 Gestin de Comunicaciones y Operaciones

Procedimiento documentados y revisados de operaciones, performance, capacity. Gestin de cambios: SDLC, proveedores Segregacin de tareas Gestin de incidentes Gestin de terceras partes Gestin del cdigo malicioso y mvil Gestin de la red, respaldos, medios, dispositivos Procedimientos de manejo, intercambio y destruccin de informacin Mensajera electrnica Comercio Electrnico Monitoreo de actividades Gestin de registros de auditora Gestin de registros del administrador, operador y administrador de usuarios

10 Gestin de Comunicaciones y Operaciones

Gestin del registro de fallas y alertas Sincronizacin de relojes Ejemplo: % de infraestructura crtica con monitoreo automtico % de parches de vulnerabilidades instalados (riesgo) % de aplicaciones evaluadas, no cumplimientos % de operaciones de administracin de usuarios realizados en tiempo % de alarmas atendidas y resueltas

Mtricas de vulnerabilidades

Nmero y criticidad de vulnerabilidades identificadas Vulnerabilidades ms comunces Procentajes defectos basado en las pruebas de seguridad (por equipo o desarrollo o por aplicacin) Anlisis causa raz de las vulnerabilidades reincidentes Porcentaje de cdigo que es reutilizado de otros productos/proyectos* Porcentaje de cdigo que es de un tercero (por ejemplo: libreras)* Resultado del cdigo fuente del anlisis Severidad de las vulnerabilidades por proyecto, organizacin, categora, tiempo, ciclo de vida.

Fuente: * WebMethods, ** Fortify Software

11 Control de Acceso

Privilegio mnimo y principio need to know Administracin de usuarios y su control (responsables) Sistema Operativo Base de Datos Aplicaciones Revisin de Perfiles Seguridad del espacio de trabajo Acceso a la red, uso de servicios Conexiones externas, segmentacin, wireless Control de enrutamiento (gateway) Informtica mvil y trabajo remoto Encripcin, tipos, dispositivos

11 Control de Acceso (cont.)

Procedimientos de conexin Identificacin y autenticacin Gestin de contraseas Desconexin automtica (Time out) Limitacin del tiempo de conexin

Ejemplo: % bloqueos por accesos fallidos resueltos sin incidentes, relacin operaciones de usuario vs. Negocio

12 Desarrollo y Mantenimiento de Sistemas

Requerimientos del negocio incluyan requerimientos de Seguridad de acuerdo a la poltica. Seguridad en el desarrollo y soporte Metodologa (SDLC, app.) Control de cambios (labs y revisiones post) Integridad del cdigo, outsourcing (depsito) Procesamiento correcto en aplicaciones Controles criptogrficos Seguridad de los archivos del sistema Catalogacin, emergencia, reparados Segregacin de ambientes, datos de prueba Gestin del cdigo fuente Gestin de vulnerabilidades tcnicas Ejemplo: % aplicaciones en produccin con no cumplimientos o demoradas por estos

Mtricas de Seguridad de Aplicaciones

Mtricas de Proceso Se utiliza un proceso SDLC? Se dispone de standares de seguridad para el desarrollo y se testean? Estado de Seguridad de aplicaciones nuevas. Existencia de web sites de soporte a desarrolladores (FAQ's, Code Fixes, lessons learned, etc.)? % de desarrolladores entrenados

Mtricas de Gestin % de aplicaciones crticas testeadas. % de aplicaciones que requieren certificacin. Tiempo promedio para corregir vulnerabilidades. % de fallas en las etapas del sistema. % de aplicaciones que usan servicios centralizados de Seguridad. Impacto al negocio de incidentes crticos.

13 Gestin de Incidentes

Procedimiento de gestin de incidentes Reconocimiento Reporte y responsabilidades Registro, evidencia y resolucin Plan de accin y lecciones aprendidas Comunicacin y actualizacin Proveedores Ejemplo: % de incidentes del mes, cerrados en el mes % de incidentes con impacto pblico!!! % de incidentes exitosos con impacto crtico % de incidentes con informacin de terceros # de incidentes sin identificar responsables tiempo promedio de resolucin de incidentes y acorde al proceso

14 Planes de Continuidad del Negocio

Requisitos de seguridad para la continuidad del negocio Continuidad del negocio y riesgos Desarrollo de planes de continuidad RTO Recovery Time Objective, RPO Recovery Point Objective BIAs Business Impact Analysis Roles y responsabilidades, evacuacin BRP, call trees, testeos, comunicacin Ejemplo: % Procesos Crticos con planes aprobados y testeados % Gaps en RTO/RPO no satisfechos y en estudio % de planes probados % de Call Trees revisados y probados % comunicado y entrenado

12 Cumplimiento Legal

Identificacin de la legislacin aplicable !!!!!! Propiedad intelectual Registros de la organizacin Privacidad Uso inadecuado de recursos de informacin Controles criptogrficos y exportacin de software Revisiones de Auditora Ejemplos: % de leyes o normas aun no implementadas % de requerimientos de informacin demorados % de informacin faltante

Bibliografa

ISO/IEC 27001: 2006 ISO/IEC 27002: 2005 ISO/IEC 27004: 2007 Cobit 4 edition Alcance de la Evaluacin de Riesgos (ISO/IEC TR 13335-3) OWASP: www.owasp.org OWASP CLASP Project Monitor Security Metrics Dr. Dan Geers Measuring Security Tutorial Securitymetrics.com Security Metrics Reemplazando el miedo, incertidumbre y la duda, Andrew Jaquith, Pearson Education 2007 www.forrester.com Information Security Governance Guidance for Boards of Directors and Executive Management ITGI Security Metrics Standards: ISO 27004 - a new ISO standard on Information Security Management Measurements.

Recursos Mtricas de seguridad

Other metrics initiatives - Securitymetrics.org Metricon 1.0 presentations, http://www.securitymetrics.org/content/Wiki.jsp?page=Metricon1.0 Dan Geers measuringsecurity tutorial. Pdf, http://geer.tinho.net/usenix Developing metrics programs: Security Metrics Guide for Information Technology Systems, http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf Guide for Developing Performance Metrics for Information Security, http://csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf Establishing an Enterprise Application Security Program, Tony Canike, OWASP 2005 Metrics-related Tools: NIST Software Assurance Metrics and Tool Evaluation (SAMATE), http://samate.nist.gov/index.php/Main_Page Metrics-related Models, Frameworks: http://www.sse-cmm.org/model/model.asp Current Articles on Metrics www.csoonline.com/metrics/index.htm

Muchsimas gracias!

Ing. Cristina Ledesma, CISA, CISM Maria.cristina.ledesma@gmail.com Cristina.ledesma@citi.com