La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Indicadores de gestión aplicados a los procesos de administración de riesgos y seguridad LI Carlos Chalico, CISA, CISSP, CISM Socio Ernst & Young México.

Presentaciones similares


Presentación del tema: "Indicadores de gestión aplicados a los procesos de administración de riesgos y seguridad LI Carlos Chalico, CISA, CISSP, CISM Socio Ernst & Young México."— Transcripción de la presentación:

1 Indicadores de gestión aplicados a los procesos de administración de riesgos y seguridad LI Carlos Chalico, CISA, CISSP, CISM Socio Ernst & Young México Erika Saucedo, CISSP, CCNA, BS7799 LA Gerente Senior Ernst & Young México

2 Indicadores de gestión aplicados a los procesos de administración de riesgos y seguridad

3 Introducción Los procesos de administración de riesgos y seguridad son fundamentales hoy en día en las organizaciones, por lo tanto es indispensable la medición de los mismos, para así poder tomar decisiones informadas sobre las estrategias de tratamiento de riesgos y niveles de riesgo aceptables. El requerimiento para medir el desempeño de la administración de riesgos y seguridad está sustentado por razones regulatorias, estratégicas, financieras y organizacionales.

4 Definiciones Indicador de gestión: Son mediciones de los logros y el cumplimiento de la misión y objetivos de un determinado proceso (de administración de riesgos y seguridad de la información, en nuestro caso). Sirven como herramienta a los dueños de los procesos para la toma de decisiones y mejoramiento continuo, lo cual se traduce en un mejor producto o servicio resultado de este proceso. En seguridad de la información es más común el término métrica la cual se define como una medida o conjunto de medidas que permiten caracterizar, conocer, estimar o evaluar un atributo especificado; generalmente para realizar comparativa y conocer su desempeño y estado actual.

5 Definición (continuación…) Las métricas de seguridad de la información permiten evaluar si los controles de seguridad, políticas y procedimientos son efectivos. Las métricas de seguridad de la información monitorean el cumplimiento de las metas y objetivos cuantificando el nivel de implementación de los controles de seguridad y efectividad de los mismos e identificando posibles actividades de mejora.

6 Caso Seguridad de la Información Si un control no se puede medir, entonces no aporta absolutamente nada al Sistema de Gestión de Seguridad de la Información (SGSI). Las métricas de seguridad permiten: Dar respuesta a cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Comparar los logros obtenidos en seguridad de la información sobre periodos de tiempo en áreas de negocio similares de la organización y como parte de mejoras continuas.

7 Caso Seguridad de la Información (continuación…) Mediante el uso de métricas de seguridad se pueden orientar mejor las inversiones a fin de obtener un mayor valor de los recursos invertidos. Las métricas asisten en la determinación de la efectividad de los procesos, procedimientos y controles de seguridad de la información.

8 Mediciones de un Sistema de Gestión de Seguridad de la Información Modelo PDCA (Plan - Do - Check - Act) Plan de análisis y tratamiento de riesgos. Las metricas están orientadas principalmente al Do (implementación y operación del SGSI). Las métricas una entrada para el Check (monitorear y revisar). Adoptar decisiones de mejora del SGSI a través del Act

9 Mediciones de un SGSI (continuación…) El programa de mediciones debe estar basado en un Modelo de mediciones de seguridad de la información. Este modelo es una estructura que enlaza los atributos medibles con una entidad (procesos, productos y recursos) relevante. Este modelo debe describir cómo los atributos son cuantificados y convertidos a indicadores/métricas que provean bases para la toma de decisiones, sustentados en necesidades de información específica.

10 Proceso para el desarrollo de métricas NIST

11 Proceso para el desarrollo de métricas Identificación del interés de los socios de negocio Identificación del interés de los socios de negocio Definición de metas y objetivos Definición de metas y objetivos Revisión de políticas, Procedimientos y guías de Seguridad de la Información Revisión de políticas, Procedimientos y guías de Seguridad de la Información Retroalimentación del Proceso de desarrollo de métricas Retroalimentación del Proceso de desarrollo de métricas Desarrollo de un Formato de métricas Desarrollo de un Formato de métricas Selección y desarrollo de métricas: -Desarrollo -Priorización -Objetivos de desempeño Selección y desarrollo de métricas: -D-Desarrollo -P-Priorización -O-Objetivos de desempeño Revisión de la Implementación del programa de Seguridad de la Información Revisión de la Implementación del programa de Seguridad de la Información Identifica a los socios de negocio y sus intereses relacionados con la seguridad de la información: -Directivos -CIO -CISO -ISSO -Propietarios de los sistemas de información -Administradores de red y de sistemas -Ingenieros de seguridad -Personal de seguridad de la información -CFO -RH -CPO Identifica y documenta las metas y objetivos del desempeño de las metas de seguridad de la Información que deben guiar el control de la Implantación del programa de seguridad para un sistema específico. Los documentos aplicables deben ser revisados para identificar y extraer las metas y objetivos de desempeño. Enfocarse en las prácticas de seguridad específicas para la organización. Los documentos aplicables deben revisarse para Identificar controles de seguridad de la información, procesos aplicables, y objetivos de desempeño. Cualquier repositorio de medidas y datos que pueden ser utilizados para derivar métricas que deben revisarse. Las métricas pueden generarse de las siguientes fuentes: -Planes de seguridad -Reportes de planes de acción -Resultados de monitoreos -Planes de administración de configuración -Resultados de evaluaciones de riesgos -Resultados de pruebas de penetración -Resultados de entrenamientos y estadísticas Desarrollo de métricas Depende del alcance (un control, varios controles o un programa de seguridad). Cuando se trata de controles debe existir un mapeo directo de los mismos, describir los controles para generar métricas y caracterizar la métrica como baja, Moderada y alta. Priorización de métricas Deben priorizarse las métricas para asegurar que la selección de la métrica facilita la mejora de la implementación, utiliza datos que pueden ser obtenidos de manera realista y mide procesos que existen y están establecidos. Establecer objetivos de desempeño Establecen un benchmark por el cual se mide el éxito. El grado de éxito se basa en la proximidad de el resultado de la métrica a los objetivos de desempeño. Documentación de las métricas de desempeño de una manera estándar para asegurar la repetibilidad de las actividades de desarrollo, recolección, y reporte de métricas Las métricas seleccionadas para implementarse serán útiles no solo para medir el desempeño, identificar causas de un desempeño no satisfactorio, e identificar áreas de mejora, también facilita la consistencia de la implementación de políticas, cambios en las mismas, redefinición de metas y objetivos y soportar la mejora contínua.

12 COBIT (ejemplo: DS5 Ensure Systems Security) Entender requerimientos de seguridad, vulnerabilidades y amenazas. Administración de identidades y autorización de usuario de forma estandarizada. Definición de incidentes de seguridad. Pruebas periódicas de seguridad. Actividades Objetivos y métricas Permitir el acceso a información crítica y sensitiva únicamente a usuarios autorizados. Identificar, monitorear y reportar vulnerabilidades e incidentes de seguridad. Detectar y dar seguimiento a accesos no autorizados a la información, aplicaciones e infraestructura. Minimizar el impacto de vulnerabilidades e incidentes de seguridad. Objetivos del Proceso Asegurar que la información crítica y confidencial está protegida de accesos no autorizados. Asegurar que las transacciones de negocio automatizadas y el intercambio de información es confiable. Mantener la integridad de la información y de la Infraestructura que la soporta. Asegurar que la infraestructura y servicios de TI puedan recuperarse en caso de contignecias. Objetivos de TI # de incidentes de seguridad con impacto de negocio. # de sistemas en los que no se cumplen los esquemas de seguridad. Tiempo de gracia, cambios y bajas de privilegios de acceso. Indicadores clave de TI # y tipo de violaciones de acceso actuales y sospechosas. # de violaciones en segregación de funciones. % de usuarios que no cumplen con los estándares de contraseñas. # y tipo de código malicioso detectado. Indicadores clave del proceso Frecuencia y revisión del tipo de eventos de seguridad a ser monitoreados. # y tipo de cuentas no utilizadas. # de direcciones IP y puertos no autorizados, así como tipos de tráfico denegado. % de llaves de encripción comprometidas y revocadas. # de privilegios de acceso autorizados, revocados, reiniciados o modificados. Indicadores clave de desempeño Son medidos por:

13 BIP 0074:2006 (ISO 27004) Objeto Atributo Propiedad o característica Indicador Estimación o evaluación Programa ModeloEnlaza Objetos con atributos Describe CÓMO son cuantificados

14 NIST (Plantilla ejemplo) Plantilla de control específico Aplicabilidad Detalles BMA Familia de controlMantenimiento. ID de la métricaMA-2 Mantenimiento periódico.XXX Objetivo estratégico Alcanzar la excelencia en prácticas de administración. Objetivo de Seguridad de la Información Las organizaciones deben: (i) realizar mantenimiento periódico y oportuno a los sistemas de información de la organización y (ii) proveer controles efectivos en las herramientas, técnicas, mecanismos y personal que participa en el mantenimiento de sistemas de información. ControlLa organización de horarios, ejecución y documentación de rutinas preventivas y mantenimientos periódicos en los componentes de sistemas de información, debe establecerse de acuerdo con las especificaciones del proveedor / vendedor y/o requerimientos organizacionales. XXX Mejora(s) del control (1) La organización resguarda una bitácora de mantenimiento de los sistemas de información que incluye: fecha y hora del mantenimiento, nombre de la persona que lo realizó, nombre de la persona que estuvo cuando se realizó el mantenimiento (si fuera el caso), una descripción del mantenimiento realizado y una lista del equipo removido o reemplazado (con sus características). XX (2) La organización utiliza mecanismos automáticos para asegurar el mantenimiento periódico es realizado como fue definido, y que la bitácora se encuentra actualizada, completa y está disponible. X Pregunta(s) de control ¿La organización realiza mantenimientos a los componentes de sistemas de información de acuerdo a como fue programado? XXX ¿La organización utiliza herramientas automatizadas para asegurar que el mantenimiento periódico es realizado en los sistemas, tal como fue requerido? X Métrica(s)Porcentaje (%) de componentes del sistema que reciben mantenimiento de acuerdo a lo programado.XXX Porcentaje (%) de sistemas que utilizan herramientas automáticas para validar el desempeño del mantenimiento periódico. X

15 NIST (Plantilla ejemplo) Plantilla de control específico (continuación…) Aplicabilidad Detalles BMA Tipos de métrica(s)Eficiencia.XXX Implementación.X Frecuencia(s)Definida por la organización (por ejemplo: trimestralmente).XXX Definida por la organización (por ejemplo: anualmente).X Meta(s)Definida por la organización (por ejemplo: 90%).XXX X

16 Ejemplos de métricas Objetivo de control: Administración de actualizaciones. % de equipos que no cumplen con el nivel de actualizaciones acorde a la política. Servidores. Laptops. Estaciones de trabajo. Sistema operativo. Unidad de negocio. # de actualizaciones aplicadas por periodo. # de parches aplicados. Parches críticos. Por unidad de negocio.

17 Ejemplos de métricas Objetivo de control: Administración de actualizaciones. Latencia de aplicación de parches (tiempo entre que la actualización se libera y se incorpora al ambiente productivo). Tiempo para completar el ciclo de pruebas de las actualizaciones. # de parches aplicados fuera de ventanas de mantenimiento definidas.

18 Ejemplos de métricas Objetivo de control: Garantizar la seguridad de los sistemas. # de usuarios activos asignados a una persona/empleado. % de usuarios con accesos autorizados a los sistemas. % de usuarios de administración autorizados. % de sistemas que implementan una política de contraseñas. % de usuarios inactivos deshabilitados. % de usuarios deshabilitados de personal dado de baja.

19 Conclusiones Las métricas deben proporcionar información cuantificable. Los datos que soportan las métricas deben ser fácilmente obtenibles. Sólo procesos repetibles deben considerarse para la medición. Las métricas deben ser útiles para el seguimiento de la ejecución y dirección de recursos/inversiones. Es muy útil para el desarrollo e implementación de métricas de seguridad utilizar macros normativos como COBIT e ISO

20 Referencias Security Metrics, Andrew Jaquith (www.securitymetrics.org, Metricon 1.0, 2.0, 3.0).www.securitymetrics.org NIST Security Metrics Guide for Information Technology Systems. Measuring Security Tutorial – Dan Geer. BIP 0074:2006 (ISO – Finales de 2008)


Descargar ppt "Indicadores de gestión aplicados a los procesos de administración de riesgos y seguridad LI Carlos Chalico, CISA, CISSP, CISM Socio Ernst & Young México."

Presentaciones similares


Anuncios Google