Professional Documents
Culture Documents
Agenda teora
Sesin 1: Introduccin
1. 2. 3. 4. 5. 6. 7. Objetivo de la sesin Problemtica sobre la falta de medicin. Marco de referencia ISO/IEC 27004 Importancia y objetivo de las mtricas Modelo de Madurez, Mejora Continua Tipos de Mtricas y Audiencias Marco de referencia UNIT ISO27001/2
Los ejecutivos no estn felices con los reportes porque no ven el tipo
de informacin en el contexto que la hace relevante para las evaluaciones y toma de decisin. Mathew Schwartz
La Seguridad es una ciencia basada en las probabilidades Las probabilidades son muy complejas por depender de muchos factores interrelacionados
La mayor diferencia entre las ciencias bien desarrolladas como la fsica y algunas de las menos desarrolladas como psicologa o sociologa es el grado en que las cosas pueden ser medidas. Source: Fred S. Roberts, ROBE79 Brindar a la Gestin de Riesgos el rigor cuantitativo de la Gestin Financiera. CRA/NSF, 10 Year Agenda for Information Security Research, cited by Dr. Dan Geer
Medida
Medicin es una operacin de asignar un valor a algo que es una medida.
Mtrica
Indicador
Indicador provee una visin en cuanto al logro de objetivos.
Source: Measuring Information Security Through Metrics And Reporting, Forrester Research, Inc., May 2006
Otra Definicin sobre IT Mtricas son herramientas para facilitar la toma de decisiones, mejorar el desempeo y el accountability a travs de la coleccin, anlisis y reporte de datos de desempeo relevantes. El propsito de medir el desempeo es monitorear el estado de las actividades medidas y facilitar la mejora de estas aplicando acciones correctivas basadas en las medidas observadas.
Trminos y definiciones Atributo: propiedad o caracterstica de una entidad, distinguible cuantitativa o cualitativamente por una persona o medios automticos Medida Bsica: mediada definida en trminos de un atributo y el mtodo para cuantificar la misma Medida Derivada: medida que es definida como una funcin de 2 o mas medidas bsicas. Modelo analtico para medicin: algoritmo o clculo que combina una o ms medidas con el criterio de decisin asociado.
Indicador de IS: resultado de aplicar el modelo analtico a una o ms medidas en relacin a criterios de decisin o necesidades del negocio
Medida: uno o ms indicadores y su interpretacin asociada que satisface una necesidad de informacin
Evaluar la efectividad del Information Security Management System (ISMS) y su mejora continua Evaluar la efectividad de los controles de Seguridad y los objetivos de control Facilitar la mejora de la efectividad de la Seguridad de la Informacin Proveer informacin objetiva y anlisis para asistir la revisin de la gerencia, la toma de decisiones y justificar mejoras en los controles
Programa de Mtricas
ISMS exitoso? Compromiso de la gerencia relativo al empowerment y los recursos Existencia del ISMS, polticas, procesos y procedimientos documentados Mtricas de Seguridad cuantificables basadas en los objetivos del ISMS Un proceso repetitivo capaz de identificar tendencias y mejoras Un proceso de tracking efectivo para la gestin adecuada de los recursos
ISMS exitoso? Un proceso repetitivo de coleccin, anlisis y reporte de mtricas fciles, claras y concisas Un proceso de monitoreo efectivo que permita las mejoras del ISMS y del programa Un mecanismo de insumo en el proceso de Evaluacin de Riesgos para aportar a la priorizacin, seleccin e implementacin de controles
La Pirmide de Valor
Aportar a los Objetivos de Negocio Evaluar la efectividad del ISMS Aportar a la concrecin de los Objetivos del ISMS Evalar la efectividad de los Controles de Seguridad Mtricas tcticas u operativas
Modelo de Medicin
Proceso de Medicin Objetivos de Control Controles Implementacin Procesos y Procedimientos Objetos a ser medidos Atributos Atributos Atributos Mtodo de Medida Funcin de Medida Efectividad Resultado de las Mediciones
Medidas Bsicas
Ejemplo
Funcin de Medida Dividir el # de emp. Que recibieron entrenamiento y firmaron acuerdos entre la totalidad de empleados y multiplicar por 100.
Ejemplo
Medida Derivada % de empleados que recibieron training y firmaron acuerdos Indicador Rojo, amarillo o verde o grfica de lneas que muestran las medidas en distintos perodos.
Modelo Analtico Definir umbral de cumplimiento aceptable X% Criterio de Decisin Verde cumple con la poltica. Amarillo y Rojo no cumple.
Indicador X % Verde Y % Amarillo Z % Rojo Resultado de la Medida Cumplimiento y controles efectivos no requieren cambios. Cumplimientos pero controles inefectivos deben revisarse. No cumplimientos y controles no efectivos deben mejorarse.
Deben estar asociadas con los impactos financieros Tienen que ser predictivas Tienen que ser consistentes Tienen que ser relevantes o significativas para quien las obtiene Deben poder derivar acciones Tienen que ser fuertes para influenciar Tienen que ser confiables Deben ser fciles de definir, implementar e interpretar Tienen que estar ligados a la misin y objetivos de la organizacin Tienen que ser defendibles Deben contar con confiabilidad inherente
Mtricas Responsabilidades
Definir el programa, involucrar a los interesados y utilizar los resultados como una entrada para el monitoreo y la mejora del ISMS Gestin de recursos Entrenamiento, concienciacin y competencia
Programa de Mtricas
Objetivo: desarrollo de mtricas con el propsito de evaluar la efectividad del ISMS. Proceso Pasos Identificar necesidades de informacin Identificar el objeto de medida y sus atributos Medida bsica, derivada e indicadores Coleccin y anlisis de datos Mtodo y funcin de la medida Definir la frecuencia
Programa de Mtricas
Proceso Componentes Dueo, cliente, colector, comunicador, revisor. Modelo analtico Indicadores y formatos de reporte Criterios de decisin, validacin de la mtrica Documentacin
Operar el programa de mtricas que es por naturaleza iterativo y asegura que los aspectos relevantes de la seguridad son medidos para un periodo dado.
2 1
Preparar datos para su recoleccin
Obtener recursos
5 4 3 2 1 0
Optimizados Administrables y medibles Procesos definidos Repetibles pero intuitivas Iniciales Ad hoc No existentes CSI NetSec Computer Security Institute
Mtricas de desempeo
Mtricas tcticas
IS Governance
Lo que se puede medir se puede hacer. Las Mtricas refieren a la transformacin de las polticas en acciones y la efectividad de estas. Estn funcionando bien las polticas, procesos y controles? Se alcanzan los resultados esperados? Cual es el estado contra los modelos de madurez? Evidencian la completitud de la implementacin de los procesos?
Ref. Report of Best Practices and Metrics TeamsCorporate IS Working Group - CISWG
IS Governance
Directores o Accionistas
Tcnicos
Gerencia Ejecutiva
IS Governance
Es responsabilidad de la Direccin y Gerencia ejecutiva Una parte integral y transparente del enterprise governance Consiste en liderazgo, estructuras organizativas, procesos y tecnologa Debe contribuir a salvaguardar la reputacin, personas, procesos y activos
IS Governance
Su objetivo es proveer alineacin estratgica Un conjunto de responsabilidades y prcticas con un programa especfico Promovido y ejecutado por la Direccin y la Gerencia ejecutiva Asegurar que se alcanzan los objetivos Evidenciar que los riesgos son manejados adecuadamente Verificar que los recursos son usados responsablemente
IS Governance
Supervisar la Gestin de Riesgos y los programas de cumplimiento de IS, para proteger los intereses de los stakeholders Aprobar y adoptar los principios del Programa de IS y aprobar la asignacin de responsabilidades, adems de proveer el entrenamiento y concienciacin necesarios Recursos para asegurar la continuidad del negocio Gestionar recursos para la provisin de auditoras del programa de IS
Colaborar con la Gerencia para definir las Mtricas de IS que se reportarn a la Direccin
Asegurar el monitoreo y mejora continua del modelo y las Buenas Prcticas
Las mtricas deben utilizar datos fciles de obtener para asegurar que la carga de medir a la organizacin no sea mayor al objetivo de medir, absorbiendo los recursos que podran estar enfocados a otras actividades.
Un marco de gobierno de seguridad, recomienda enfocarse en la medicin de: 1. Alineacin estratgica 2. Administracin de riesgos 3. Aseguramiento de los procesos de negocio 4. Entrega de valor 5. Administracin de recursos 6. Medicin del desempeo (NIST SP-800-55)
Proceso interno Haremos que los controles del proceso de ventas y rdenes de trabajo cumplan con los estndares comprometidos
Aprendizaje y crecimiento Implementaremos un proceso de control que asegure informacin confiable, consistente y de calidad, con ayuda de la tecnologia, factores clave para nuestro xito
Clientes Niveles de servicio Satisfaccin de los clientes # de clientes atendidos # de canales de soporte
Informacin
Aprendizaje y crecimiento
Incidentes de Seguridad (60%) Mtricas sobre la postura frente al riesgo (50%) Impacto en el negocio de los incidentes (40%) Cumplimiento de las prcticas de seguridad (33%) Aplicabilidad de las vulnerabilidades Top 10 Prdidas financieras durante un incidente de seguridad
Posibles Mtricas?
# de unidades de negocio en las cuales se han identificado riesgos operacionales Total de proyectos del negocio, participacin en proyectos, proyectos a futuro Asignacin de recursos a las unidades de negocio proporcional a la ganancia o riesgo Encuestas de satisfaccin de usuarios y de exploracin
2.
3.
4.
Construccin jerrquica
Validacin e Interpretacin
Validacin: Fuentes Confiables Mtricas Aplicables Informacin de Detalle Momento de la Mtrica
Correlacin de Mtricas
Caso Real
Transacciones del Negocio Vs Transacciones de Administracin de Usuarios
Diseo de la mtrica Cul es el efecto buscado? Objetivo A quin se reporta? Audiencia, presentacin Cul es la entrada? Datos, coleccin, anlisis Durante cunto tiempo? Frecuencia, permanencia
Cules son las soluciones? Cules son los costos asociados? Cul es el retorno de la inversin? Cul es el peor caso, impactos? Se puede correlacionar con otra?
LA MTRICA
Grado en que la Seguridad contribuye al cumplimiento de los objetivos de negocio Perspectiva del Cliente Es la Seguridad un factor diferencial a la hora de comprar Servicios y Productos? Cual es el % de mercado receptivo a los canales virtuales? De que manera puedo mejorar la adopcin de estos canales y alcanzar otros segmentos?
LA MTRICA
Grado en que la Seguridad contribuye al cumplimiento de los objetivos de negocio Perspectiva de la Direccin Prdidas y Ganancias Gestin del Riesgo (ALE) Tendencias, Comparacin, Madurez, Certificacin Valor Intrnseco. La Seguridad genera Confianza? SROI Mito o Realidad?
Monitoreo Activo
Qu es lo que mediremos?
Antecedentes: British Standard BS 7799:1 Recomendaciones o Buenas Prcticas BS 7799:2 Requerimientos para la Certificacin ISO IEC JTC 1 SC 27 ISO/IEC 17799:2000 (BS 7799:1) ISO/IEC 17799:2005 (part 1) ISO/IEC 27001:2006 Requerimientos (part 2) ISO/IEC 27002: Buenas Prcticas (2007) ISO/IEC 27004: Mtricas y Medidas Propuesta Abril 2004, 3rd CD 2007, 2008-02-12 voting
Amenaza, Vulnerabilidad, Riesgo, Impacto Alcance, unidades, herencia? Metodologa, Resposabilidades Nivel de Riesgo Aceptable. Riesgo Residual Comunicacin y reporte Control de Cambios Ejemplo: % de unidades evaluadas y con controles Acordes implementados
5 Poltica de Seguridad
Alineada a los Objetivos de Negocio Apoyo y compromiso de la Gerencia Paramtrica. Objetivos de Control Tipos de documentos Roles Aprobacin y comunicacin explcita Revisin y mejoramiento. Brecha Ejemplo: % Resolucin de brechas (Gap Analisis)
6 Organizacin de la seguridad
Roles Documentados Alta Gerencia, Oficial de Seguridad, dueos de la informacin, Tecnologa, Proveedores, Usuarios, Especialistas.
Responsabilidades y recursos Segregacin de Funciones Jerarqua (empowerment) Ejemplo: % roles definidos y aprobados
7 Gestin de Activos
Definicin de Activo Inventario de Activos Responsabilidad sobre Activos Metodologa de Clasificacin (CIA) Polticas de Uso de Activos Etiquetado Ejemplo: % de Activos crticos afectados por riesgos importantes que han sido gestionados a un nivel de riesgo residual aceptable
Clasificacin USD 8.000 USD 5.500 USD 3.000 USD 2.000 USD 10.000 USD 50.000 1-2 1er. Ao 2-3 2do. Ao 3-4 3er. Ao
Riesgo
Permetro de Seguridad Fsica, areas de carga/descarga Control de acceso del personal Seguridad de instalaciones, equipos, reas de trabajo, cableado, medios Retiro de bienes, reutilizacin Ejemplo: % de implementacin del Control de Acceso violaciones al control de acceso, control de acceso efectivo
Gestin del registro de fallas y alertas Sincronizacin de relojes Ejemplo: % de infraestructura crtica con monitoreo automtico % de parches de vulnerabilidades instalados (riesgo) % de aplicaciones evaluadas, no cumplimientos % de operaciones de administracin de usuarios realizados en tiempo % de alarmas atendidas y resueltas
Mtricas de vulnerabilidades
Nmero y criticidad de vulnerabilidades identificadas Vulnerabilidades ms comunces Procentajes defectos basado en las pruebas de seguridad (por equipo o desarrollo o por aplicacin) Anlisis causa raz de las vulnerabilidades reincidentes Porcentaje de cdigo que es reutilizado de otros productos/proyectos* Porcentaje de cdigo que es de un tercero (por ejemplo: libreras)* Resultado del cdigo fuente del anlisis Severidad de las vulnerabilidades por proyecto, organizacin, categora, tiempo, ciclo de vida.
11 Control de Acceso
Privilegio mnimo y principio need to know Administracin de usuarios y su control (responsables) Sistema Operativo Base de Datos Aplicaciones Revisin de Perfiles Seguridad del espacio de trabajo Acceso a la red, uso de servicios Conexiones externas, segmentacin, wireless Control de enrutamiento (gateway) Informtica mvil y trabajo remoto Encripcin, tipos, dispositivos
Procedimientos de conexin Identificacin y autenticacin Gestin de contraseas Desconexin automtica (Time out) Limitacin del tiempo de conexin
Ejemplo: % bloqueos por accesos fallidos resueltos sin incidentes, relacin operaciones de usuario vs. Negocio
Requerimientos del negocio incluyan requerimientos de Seguridad de acuerdo a la poltica. Seguridad en el desarrollo y soporte Metodologa (SDLC, app.) Control de cambios (labs y revisiones post) Integridad del cdigo, outsourcing (depsito) Procesamiento correcto en aplicaciones Controles criptogrficos Seguridad de los archivos del sistema Catalogacin, emergencia, reparados Segregacin de ambientes, datos de prueba Gestin del cdigo fuente Gestin de vulnerabilidades tcnicas Ejemplo: % aplicaciones en produccin con no cumplimientos o demoradas por estos
Mtricas de Proceso Se utiliza un proceso SDLC? Se dispone de standares de seguridad para el desarrollo y se testean? Estado de Seguridad de aplicaciones nuevas. Existencia de web sites de soporte a desarrolladores (FAQ's, Code Fixes, lessons learned, etc.)? % de desarrolladores entrenados
Mtricas de Gestin % de aplicaciones crticas testeadas. % de aplicaciones que requieren certificacin. Tiempo promedio para corregir vulnerabilidades. % de fallas en las etapas del sistema. % de aplicaciones que usan servicios centralizados de Seguridad. Impacto al negocio de incidentes crticos.
13 Gestin de Incidentes
Procedimiento de gestin de incidentes Reconocimiento Reporte y responsabilidades Registro, evidencia y resolucin Plan de accin y lecciones aprendidas Comunicacin y actualizacin Proveedores Ejemplo: % de incidentes del mes, cerrados en el mes % de incidentes con impacto pblico!!! % de incidentes exitosos con impacto crtico % de incidentes con informacin de terceros # de incidentes sin identificar responsables tiempo promedio de resolucin de incidentes y acorde al proceso
Requisitos de seguridad para la continuidad del negocio Continuidad del negocio y riesgos Desarrollo de planes de continuidad RTO Recovery Time Objective, RPO Recovery Point Objective BIAs Business Impact Analysis Roles y responsabilidades, evacuacin BRP, call trees, testeos, comunicacin Ejemplo: % Procesos Crticos con planes aprobados y testeados % Gaps en RTO/RPO no satisfechos y en estudio % de planes probados % de Call Trees revisados y probados % comunicado y entrenado
12 Cumplimiento Legal
Identificacin de la legislacin aplicable !!!!!! Propiedad intelectual Registros de la organizacin Privacidad Uso inadecuado de recursos de informacin Controles criptogrficos y exportacin de software Revisiones de Auditora Ejemplos: % de leyes o normas aun no implementadas % de requerimientos de informacin demorados % de informacin faltante
Bibliografa
ISO/IEC 27001: 2006 ISO/IEC 27002: 2005 ISO/IEC 27004: 2007 Cobit 4 edition Alcance de la Evaluacin de Riesgos (ISO/IEC TR 13335-3) OWASP: www.owasp.org OWASP CLASP Project Monitor Security Metrics Dr. Dan Geers Measuring Security Tutorial Securitymetrics.com Security Metrics Reemplazando el miedo, incertidumbre y la duda, Andrew Jaquith, Pearson Education 2007 www.forrester.com Information Security Governance Guidance for Boards of Directors and Executive Management ITGI Security Metrics Standards: ISO 27004 - a new ISO standard on Information Security Management Measurements.
Other metrics initiatives - Securitymetrics.org Metricon 1.0 presentations, http://www.securitymetrics.org/content/Wiki.jsp?page=Metricon1.0 Dan Geers measuringsecurity tutorial. Pdf, http://geer.tinho.net/usenix Developing metrics programs: Security Metrics Guide for Information Technology Systems, http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf Guide for Developing Performance Metrics for Information Security, http://csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf Establishing an Enterprise Application Security Program, Tony Canike, OWASP 2005 Metrics-related Tools: NIST Software Assurance Metrics and Tool Evaluation (SAMATE), http://samate.nist.gov/index.php/Main_Page Metrics-related Models, Frameworks: http://www.sse-cmm.org/model/model.asp Current Articles on Metrics www.csoonline.com/metrics/index.htm
Muchsimas gracias!