You are on page 1of 5

FACULTAD DE INGENIERIA DE SISTEMAS

Gestión de Seguridad
Nombre: Fecha: Tema: Christian Araujo 01-octubre-2010 “Métricas de Seguridad de Información”

“Una Métrica de Seguridad de la información puede definirse como el conjunto de preceptos y reglas, necesarios para poder medir de forma real el nivel de seguridad con respecto a la información y sus tecnologías relacionadas en una organización.1” A continuación se listan varias métricas clasificadas de acuerdo al área de negocio de la empresa

Área de Negocio: Administración de Incidentes
1. Tiempo medio de descubrimiento de incidentes (MTTID): caracteriza la eficiencia de detección de incidentes, midiendo el tiempo promedio transcurrido entre la aparición inicial de un incidente y su posterior descubrimiento. ¿Cuál es el promedio (media) número de horas entre la ocurrencia de un incidente de seguridad y su descubrimiento? La respuesta que se esperaría tener es un valor decimal positivo mayor o igual a cero. Un valor de "0" indica que la detección fue instantánea (hipotético). Para cada registro, la métrica de tiempo de descubrimiento se calcula restando la fecha de ocurrencia de la fecha del descubrimiento. Estas mediciones se promedian a través de un alcance de los incidentes, por ejemplo, por unidad de tiempo, categoría o empresa: ∑

2. Tiempo promedio entre Incidentes de Seguridad (MTBSI): identifica los niveles relativos de actividad de los incidentes de seguridad. Para todos los incidentes de seguridad ocurridos en un período de tiempo determinado, ¿Cuál es el promedio (media) de días entre los incidentes?

1

Métricas de Seguridad, Indicadores y Cuadro de Mando, CORLETTI Alejandro y MUÑOZ Alba, 2008 REFERENCIA: THE CENTER FOR INTERNET SECURITY - THE CIS SECURITY METRICS, 1 DE NOVIEMBRE 2010

0" indica que no se habrían medido los costos de la organización. ¿Cuál es el promedio (media) el número de horas a partir de cuando ocurre un incidente a la recuperación? La respuesta que se esperaría tener es un valor entero positivo mayor o igual a cero. Un valor de "0" indica la recuperación instantánea.THE CIS SECURITY METRICS.La respuesta que se esperaría tener es un valor de coma flotante mayor o igual a cero. Los costos monetarios proporcionan un conjunto de unidades que se pueden comparar directamente a través del impacto de los incidentes y las organizaciones. ¿Cuál es el promedio (media) costo para la organización de los incidentes de seguridad durante el periodo indicado? Se esperaría tener un valor entero positivo mayor o igual a cero. Coste promedio de los incidentes: Las organizaciones necesitan entender el impacto de los incidentes de seguridad. Un valor de "0" indica ocurrencia instantánea de incidentes de seguridad. Tiempo medio de recuperación de Incidentes (MTIR): caracteriza la capacidad de la organización para volver a un estado normal de las operaciones. La media de tiempo de recuperación de incidentes (MTIR) se calcula dividiendo la diferencia entre la fecha de ocurrencia y la fecha de recuperación para cada incidente recuperado en el período de tiempo de la métrica. 1 DE NOVIEMBRE 2010 . REFERENCIA: THE CENTER FOR INTERNET SECURITY . ∑ 4. Un valor de "0. por el número total de incidentes recuperados en el período de tiempo de la métrica. Para cada registro. el tiempo medio entre incidentes se calcula dividiendo el número de horas entre el momento en la fecha de ocurrencia del incidente desde el momento en la fecha de ocurrencia del incidente anterior dividido para el número total de incidentes antes del incidente actual: ∑ 3.

Un valor de "0.El Coste promedio de los incidentes (MCOI) se calcula sumando todos los costos asociados con los incidentes de seguridad por el número de incidentes de seguridad ocurridos durante el período de tiempo: ∑ Área de Negocio: Administración de Vulnerabilidades 5. Un valor de "100%" indica que ninguno de los sistemas de la organización tiene algunas vulnerabilidades conocidas de alta gravedad. ¿Cuál es el costo promedio (medio) para mitigar una vulnerabilidad determinada durante el periodo indicado? Se esperaría tener un valor entero positivo mayor o igual a cero. ¿Cuál es el porcentaje no tiene ninguna vulnerabilidad grave conocida? Se esperaría tener un valor entero positivo mayor o igual a cero. 1 DE NOVIEMBRE 2010 . Costo promedio para mitigar las vulnerabilidades: define una métrica para medir el esfuerzo medio necesario para mitigar una vulnerabilidad determinada que puede ser remediada. Este resultado luego se divide por el número total de sistemas en el ámbito de exploración: ∑ 6. Se calcula al contar los sistemas que no tienen abiertas vulnerabilidades de alto nivel de gravedad. Porcentaje de sistemas sin vulnerabilidades graves conocidas (PSWKSV): evalúa el porcentaje de los sistemas escaneados que no tienen vulnerabilidades conocidas de alta intensidad De los sistemas analizados.THE CIS SECURITY METRICS. Se calcula sumando el costo total para mitigar la vulnerabilidad de cada y dividiéndolo por el número total de vulnerabilidades mitigado: REFERENCIA: THE CENTER FOR INTERNET SECURITY .0" indica que no habrían medido los costos de la organización.

Este indicador puede calcularse para subgrupos de tecnologías como por el valor de la tecnología o unidad de negocio: Área de Negocio: Administración de Seguridad de Aplicaciones 8. ¿Qué porcentaje de las aplicaciones de la organización es un valor fundamental? Se espera tener un valor entero positivo igual o mayor que cero y menor o igual a cien. Un valor de "100%" indica que todas las tecnologías están en conformidad con la política de parches. Se calcula dividiendo la suma de las tecnologías que actualmente cumplen por la suma de todas las tecnologías en la administración de parches (en el estado actual de parches que se conoce).∑ Área de Negocio: Administración de Actualizaciones 7. 1 DE NOVIEMBRE 2010 . Porcentaje de aplicaciones críticas (PCA): mide el porcentaje de aplicativos que son críticos para el negocio. Mientras que las políticas específicas de parches pueden variar dentro de y entre las organizaciones. Se calcula dividiendo el número de aplicaciones que tienen un alto valor a la organización por el número total de solicitudes en la organización: REFERENCIA: THE CENTER FOR INTERNET SECURITY .THE CIS SECURITY METRICS. expresada como un porcentaje. Un valor de 100% indica que todas las aplicaciones que son críticas. el rendimiento en comparación con los objetivos declarados del estado de los parche puede ser comparado como un porcentaje de los sistemas compatibles. Cumplimiento Política de Parches: se indica el alcance de nivel de parches de la organización para las tecnologías de apoyo en comparación con su política documentada de parches. ¿Qué porcentaje de las tecnologías de la organización no está de acuerdo con la política del parche actual? Se espera tener un valor entero positivo entre cero y 100 incluidos.

Si la categoría de los gastos del presupuesto se desconoce que debe asignarse a una categoría "desconocida". Asignación presupuestaria para la Seguridad de la Información: Las formas en que los presupuestos de seguridad se asignan pueden ayudar a optimizar el gasto. expresado como un porcentaje para cada categoría de gasto. 1 DE NOVIEMBRE 2010 . ¿Qué porcentaje de solicitudes ha sido sometido a pruebas de seguridad? Se espera tener un valor positivo entre cero y cien. Esta métrica se calcula dividiendo el número de aplicaciones que han sido probadas antes a su implementación por el número total de aplicaciones implementadas de la organización: Área de Negocio: Administración Financiera 10. se divide la cantidad asignada a la categoría por el presupuesto de seguridad de la información total.THE CIS SECURITY METRICS. expresada como un porcentaje. Esto además puede ayudar a identificar que la mayoría de los recursos se dirijan a las áreas de mayor riesgo. REFERENCIA: THE CENTER FOR INTERNET SECURITY . y si el gasto está alineada con la estrategia de la organización. Un valor de "100%" podría indicar que todas las aplicaciones que han tenido la seguridad pruebas. Un valor de "100%" indica que el presupuesto de Seguridad de la Información está dedicado a esa categoría de gastos. Estos valores deben ser para el período elemento relevante solamente. Cobertura de pruebas de seguridad ( : indica el porcentaje de aplicaciones de la organización que han sido probadas con respecto a los riesgos de seguridad. ¿Qué porcentaje del presupuesto de seguridad de la información se asigna a cada categoría de gasto? Se espera tener un valor positivo igual o entre 0 y 1.9. Para cada categoría de presupuesto.

@@ ©f° .D0 f     @.

-@-@-@.

D@ @.

.

@.D@.

  . -I.

@%  nffn f f nf½fn f   f–f°fn°½ff f° ¾f °¯f f¾½ fn° ¾   ".f ¾½ ¾f ¾  ¾½ ff °  ¾°f n¯f€f° ¯f–ff n  D°f   ° nfn °nf°¾f°h° f °n ° ¾ ¾ – f   9ff nf f  –¾    ¯½ ¯  °  °n ° ¾ ¾  nfnf   °   °¯  f¾ °  ¯¯ ° °f€ nf n °nf °n °  ¾   ¯¯ ° ° f € nf  n °nf  °n °  f°     ½ff  °¯ f °n ° ¾f° ¾ °n ° fnf   { I I I JJ JI IHJI J I I I JJ JI IHJI J {  H H JJ J I  HJI J J    @ ¯½ ¯    n½ fn°  °n ° ¾ %.

h ¾ ½¯ %¯ f% °¯  f¾f½f nf° n ° °n ° ff n½ fn°"  f  ¾½ ¾f   ¾  ¾½ ff  °  ¾ ° f °  ½¾ ¯f  –f f n  D°f   ° nff n½ fn°°¾f°h° f   f¯ f  ¯½  n½ fn° °n ° ¾%.@%¾ nfnf   ° f €  °nf °  f € nf  n °nf  f € nf   n½ fn° ½ff nf f °n °  n½ f  ° ½    ¯½ f¯xnf ½ °¯ f °n ° ¾ n½ f ¾ ° ½    ¯½ f¯xnf   { I I I J JII JJ I I I JJ JI I{  H H JJ J I  HJI J J    .

¾  ½¯   ¾ °n ° ¾  f¾ –f°fn° ¾ ° n ¾f° ° °   ¯½fn  ¾ °n ° ¾  ¾ – f  ¾ n¾¾ ¯° f¾ ½½n°f° ° n°©° ° f ¾ ¾ ½ °n¯½ff  nf¯ ° ffx¾ ¯½fn ¾°n ° ¾f¾–f°fn° ¾   ".

h ¾ ½¯ %¯ f%n¾½fff–f°fn° ¾°n ° ¾  ¾ – f  f°  ½  ° nf "    ¾½ ff ° °f ° ½¾¯f–ffn  D°f     ° nf °¾ f f°¯  ¾n¾¾ f–f°fn°      @.

-@-@-@.

D@ @.

.

@.D@.

 -I.   .

 .

¾  ½¯   ¾°n ° ¾ %.

% ¾  nfnf ¾¯f°   ¾ ¾ n¾¾ f¾nf ¾ n° ¾ °n ° ¾  ¾ – f  ½  °¯   °n ° ¾  ¾ – f n ¾ f°  ½    ¯½   { JJ JJ J I JJ JJ J J J JI J  JJ J JJ JI J JJ J I J JII J JJ J  J I J{  H H JJ J I  HJI J J  ^WSVW WY[U[VZ_`^SU ZVWaZW^STVSVW_   9n °f©  ¾¾ ¯f¾¾°° f  f ¾–f ¾n°n f¾%9JI%  ff  ½n °f©   ¾ ¾¾ ¯f¾ ¾nf° f ¾   °  ° ° ° f  f ¾ n°n f¾ ff° °¾ f    ¾¾¾ ¯f¾f°ff ¾ ".

h ¾ ½n °f© ° ° °°–°f° f  f  –f n°n f"    ¾½ ff  °  ° f °  ½¾ ¯f  –f f n   D° f    ° nf   °°–°  ¾ ¾¾ ¯f¾  f –f°fn°  °  f–°f¾ ° f  f ¾n°n f¾ ff–f f     nfnf f n°f ¾ ¾¾ ¯f¾   °  ° ° f  f¾ ° f  f ¾  f °  –f f ¾  ¾f  –¾   ½ °¯ f ¾¾ ¯f¾ ° h¯   ½fn°   { J IJ J J JII I J JI J JJJI IJ{   H JJ J I   J IJ I I JJ    .

¾½¯ ½ff¯–ff¾° f  f ¾  €° °f¯xnf½ff¯   ¾€  ¯  ° n ¾f ½ff ¯–f °f ° f  f   ¯°f f   ½ ¾  ¯ f f   ".

h ¾ n¾½¯ %¯ %½ff¯–f°f° f  f   ¯°f f f°  ½  ° nf "    ¾½ ff ° °f ° ½¾¯f–ffn  D°f     ° nf °f f°¯  ¾n¾¾ f–f°fn°     nfnf ¾¯f°   n¾ f ½ff ¯–f f ° f  f   nf f   x° ½ °¯ f ° f  f ¾¯–f       @.

-@-@-@.

D@ @.

.

@.D@.

 -I.   .

 H H  {{ JJ JJJJIJ JJHJJI IJIH JJJ JJ JJ H JJ J I   I JII IJ  JJ JHJJIJ{ II J{  I JH I IJ ^WSVW WY[U[VZ_`^SU ZVWU`aS SU[ZW_   .

 °f¾   f¾ ½nf¾ ¾½ n€nf¾  ½fn ¾ ½ ° ff °   °  f¾ –f°fn° ¾    ° ¯ ° ° n¯½ffn° n° ¾  © ¾ nff ¾  ¾f   ¾ ½fn  ½  ¾  n¯½ff n¯°½n °f©  ¾¾¾ ¯f¾n¯½f  ¾   ".x½n °f©  f¾ n°–f¾ f–f°fn°° ¾h fn  n°f ½nf ½fn fnf"    ¾½ f  °  ° f °  ½¾ °  n    °n ¾  D° f    ° nf    f¾ f¾  n°–f¾ ¾h° ° n°€¯ f  n° f ½nf  ½fn ¾    nfnf   ° f¾¯f f¾ n°–f¾ fnf¯ ° n¯½ °½f ¾¯f  f¾f¾ n°–f¾ °ff ¯°¾fn° ½fn ¾% °  ¾f fnf  ½fn ¾   ¾  n°n %  ¾  ° nf  ½  nfnf¾  ½ff ¾ –½¾   n°–f¾n¯½ f f n°–f° f  ° –n   JJ J I   J J JJ   JJ J I   IJJ J IJ  ^WSVW WY[U[VZ_`^SU ZVWWYa^VSVVW\USU[ZW_   9n °f©   f½nfn° ¾ nnf¾ %9.¯½¯ ° 9nf  9fn ¾  ¾  ° nf  fnf°n   °   ½fn ¾  f –f°fn° ½ff f¾  n°–f¾  f½ ° n¯½ffn° n° ¾ ½nf n¯ °f f  ½fn ¾  .

%  ¯   ½n °f©   f½nf¾   ¾°nn¾½ff ° –n  ".x½n °f©  f¾f½nfn° ¾ f–f°fn° ¾°f€° f¯ °f"    ¾½ f ° °f ° ½¾–f¯f n ¯ °–ff n °  ½ ¾f f n¯ ° ½n °f©  D° f    ° nf    f¾ f¾ f½nfn° ¾ ¾°nnf¾     nfnf   °   °¯   f½nfn° ¾    ° ° ° f f f f –f°fn°½ °¯ f ¾n ¾ °f–f°fn°      @.

-@-@-@.

D@ @.

.

@.D@.

  . -I.

  JJ J I   J III JJ J J IIJ  JJ J I   J III JJ J    .

x½n °f©  ½ ¾½ ¾ ¾ – f  f°€¯fn°¾ f¾–°ffnf f nf –f –f¾"    ¾½ f  °  ° f ½¾ –f  °      ½ ¾f  n¯ ° ½n °f©  ½ff nf f nf –f  –f¾  D° f    ° nf    ½ ¾½ ¾   – f   f °€¯fn° ¾h nf  f ¾f nf –f  –f¾¾   9ffnf fnf –f ½ ¾½ ¾ ¾   fnf° f f¾–°f fffnf –f ½ ½ ¾½ ¾ ¾ – f  f°€¯fn°f ¾¾f ¾ °¾  ½ff  ½    ¯ °   f°  ¾f¯ °   f nf –f  ¾ –f¾¾  ½ ¾½ ¾¾  ¾n°n   f¾–°f¾ f°fnf –f ¾n°n f     @.x½n °f©  ¾n ¾f¾ ¾¯  f½ f¾ ¾ – f "    ¾½ f ° °f½¾ ° n n °  ½ ¾f fn¯°½n °f©  D° f    ½ f ° nf    f¾ f¾ f½nfn° ¾   f°  °  f ¾ – f ½ f¾   ¾f ¯xnf ¾  nfnf   °   °¯   f½nfn° ¾   f° ¾  ½ f f¾ f° ¾ f ¾ ¯½ ¯ °fn° ½  °¯  f  f½nfn° ¾ ¯½ ¯ °f f¾ f–f°fn°   JJ J I   J III JJ J JJII IJ    JJ J I   J III JJ JH J J I IJ  ^WSVW WY[U[VZ_`^SU Z ZSZUW^S  ¾–°fn°½ ¾½ ¾ff½fff – f  f°€¯fn° f¾€¯f¾ °  ¾½ ¾½ ¾¾ ¾ – f ¾ f¾–°f°½ °f ff½¯f –f¾ ¾ f ¯h¾½ f ff °€nf f¯ff ¾ n¾¾¾  ©f°ff¾ h f¾  ¯f  ¾–   ¾  –f¾ ¾h f° f f n° f ¾f –f  f –f°fn°   ". f ½ f¾ ¾ – f %{ ° nf ½n °f©  f½nfn° ¾  f–f°fn° f°¾ ½ f f¾n° ¾½ nf¾ ¾–¾ ¾ – f   ".

-@-@-@.

D@ @.

.

D@.@.

  . -I.