La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

LI Carlos Chalico, CISA, CISSP, CISM Socio Ernst & Young México

Presentaciones similares


Presentación del tema: "LI Carlos Chalico, CISA, CISSP, CISM Socio Ernst & Young México"— Transcripción de la presentación:

1 Indicadores de gestión aplicados a los procesos de administración de riesgos y seguridad
LI Carlos Chalico, CISA, CISSP, CISM Socio Ernst & Young México Erika Saucedo, CISSP, CCNA, BS7799 LA Gerente Senior Ernst & Young México

2 Indicadores de gestión aplicados a los procesos de administración de riesgos y seguridad

3 Introducción Los procesos de administración de riesgos y seguridad son fundamentales hoy en día en las organizaciones, por lo tanto es indispensable la medición de los mismos, para así poder tomar decisiones informadas sobre las estrategias de tratamiento de riesgos y niveles de riesgo aceptables. El requerimiento para medir el desempeño de la administración de riesgos y seguridad está sustentado por razones regulatorias, estratégicas, financieras y organizacionales.

4 Definiciones Indicador de gestión:
“Son mediciones de los logros y el cumplimiento de la misión y objetivos de un determinado proceso (de administración de riesgos y seguridad de la información, en nuestro caso)”. Sirven como herramienta a los dueños de los procesos para la toma de decisiones y mejoramiento continuo, lo cual se traduce en un mejor producto o servicio resultado de este proceso. En seguridad de la información es más común el término “métrica” la cual se define como una medida o conjunto de medidas que permiten caracterizar, conocer, estimar o evaluar un atributo especificado; generalmente para realizar comparativa y conocer su desempeño y estado actual.

5 Definición (continuación…)
Las métricas de seguridad de la información permiten evaluar si los controles de seguridad, políticas y procedimientos son efectivos. Las métricas de seguridad de la información monitorean el cumplimiento de las metas y objetivos cuantificando el nivel de implementación de los controles de seguridad y efectividad de los mismos e identificando posibles actividades de mejora.

6 Caso Seguridad de la Información
Si un control no se puede medir, entonces no aporta absolutamente nada al Sistema de Gestión de Seguridad de la Información (SGSI). Las métricas de seguridad permiten: Dar respuesta a cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Comparar los logros obtenidos en seguridad de la información sobre periodos de tiempo en áreas de negocio similares de la organización y como parte de mejoras continuas.

7 Caso Seguridad de la Información (continuación…)
Mediante el uso de métricas de seguridad se pueden orientar mejor las inversiones a fin de obtener un mayor valor de los recursos invertidos. Las métricas asisten en la determinación de la efectividad de los procesos, procedimientos y controles de seguridad de la información.

8 Mediciones de un Sistema de Gestión de Seguridad de la Información
Modelo PDCA (Plan - Do - Check - Act) Las metricas están orientadas principalmente al “Do” (implementación y operación del SGSI). “Plan” de análisis y tratamiento de riesgos. Adoptar decisiones de mejora del SGSI a través del “Act” Las métricas una entrada para el “Check” (monitorear y revisar).

9 Mediciones de un SGSI (continuación…)
El programa de mediciones debe estar basado en un “Modelo” de mediciones de seguridad de la información. Este modelo es una estructura que enlaza los atributos medibles con una entidad (procesos, productos y recursos) relevante. Este modelo debe describir cómo los atributos son cuantificados y convertidos a indicadores/métricas que provean bases para la toma de decisiones, sustentados en necesidades de información específica.

10 Proceso para el desarrollo de métricas
NIST

11 Proceso para el desarrollo de métricas
Depende del alcance (un control, varios controles o un programa de seguridad). Cuando se trata de controles debe existir un mapeo directo de los mismos, describir los controles para generar métricas y caracterizar la métrica como baja, Moderada y alta. Priorización de métricas Deben priorizarse las métricas para asegurar que la selección de la métrica facilita la mejora de la implementación, utiliza datos que pueden ser obtenidos de manera realista y mide procesos que existen y están establecidos. Establecer objetivos de desempeño Establecen un “benchmark” por el cual se mide el éxito. El grado de éxito se basa en la proximidad de el resultado de la métrica a los objetivos de desempeño. Las métricas seleccionadas para implementarse serán útiles no solo para medir el desempeño, identificar causas de un desempeño no satisfactorio, e identificar áreas de mejora, también facilita la consistencia de la implementación de políticas, cambios en las mismas, redefinición de metas y objetivos y soportar la mejora contínua. Cualquier repositorio de medidas y datos que pueden ser utilizados para derivar métricas que deben revisarse. Las métricas pueden generarse de las siguientes fuentes: Planes de seguridad Reportes de planes de acción Resultados de monitoreos Planes de administración de configuración Resultados de evaluaciones de riesgos Resultados de pruebas de penetración Resultados de entrenamientos y estadísticas Documentación de las métricas de desempeño de una manera estándar para asegurar la repetibilidad de las actividades de desarrollo, recolección, y reporte de métricas Retroalimentación del Proceso de desarrollo de métricas Identificación del interés de los socios de negocio Identifica a los socios de negocio y sus intereses relacionados con la seguridad de la información: Directivos CIO CISO ISSO Propietarios de los sistemas de información Administradores de red y de sistemas Ingenieros de seguridad Personal de seguridad de la información CFO RH CPO Identifica y documenta las metas y objetivos del desempeño de las metas de seguridad de la Información que deben guiar el control de la Implantación del programa de seguridad para un sistema específico. Los documentos aplicables deben ser revisados para identificar y extraer las metas y objetivos de desempeño. Enfocarse en las prácticas de seguridad específicas para la organización. Los documentos aplicables deben revisarse para Identificar controles de seguridad de la información, procesos aplicables, y objetivos de desempeño. Definición de metas y objetivos Desarrollo de un Formato de métricas Revisión de políticas, Procedimientos y guías de Seguridad de la Información Selección y desarrollo de métricas: Desarrollo Priorización Objetivos de desempeño Revisión de la Implementación del programa de Seguridad de la Información

12 COBIT (ejemplo: DS5 Ensure Systems Security)
Entender requerimientos de seguridad, vulnerabilidades y amenazas. Administración de identidades y autorización de usuario de forma estandarizada. Definición de incidentes de seguridad. Pruebas periódicas de seguridad. Actividades Objetivos y métricas Permitir el acceso a información crítica y sensitiva únicamente a usuarios autorizados. Identificar, monitorear y reportar vulnerabilidades e incidentes de seguridad. Detectar y dar seguimiento a accesos no autorizados a la información, aplicaciones e infraestructura. Minimizar el impacto de vulnerabilidades e incidentes de seguridad. Objetivos del Proceso Asegurar que la información crítica y confidencial está protegida de accesos no autorizados. Asegurar que las transacciones de negocio automatizadas y el intercambio de información es confiable. Mantener la integridad de la información y de la Infraestructura que la soporta. Asegurar que la infraestructura y servicios de TI puedan recuperarse en caso de contignecias. Objetivos de TI # de incidentes de seguridad con impacto de negocio. # de sistemas en los que no se cumplen los esquemas de seguridad. Tiempo de gracia, cambios y bajas de privilegios de acceso. Indicadores clave de TI # y tipo de violaciones de acceso actuales y sospechosas. # de violaciones en segregación de funciones. % de usuarios que no cumplen con los estándares de contraseñas. # y tipo de código malicioso detectado. Indicadores clave del proceso Frecuencia y revisión del tipo de eventos de seguridad a ser monitoreados. # y tipo de cuentas no utilizadas. # de direcciones IP y puertos no autorizados, así como tipos de tráfico denegado. % de llaves de encripción comprometidas y revocadas. # de privilegios de acceso autorizados, revocados, reiniciados o modificados. Indicadores clave de desempeño Son medidos por:

13 BIP 0074:2006 (ISO 27004) Programa Modelo Enlaza Objetos con atributos
Describe CÓMO son cuantificados Indicador Atributo Atributo Objeto Atributo Indicador Atributo Atributo Atributo Atributo Indicador Estimación o evaluación Propiedad o característica

14 NIST 800-55 (Plantilla ejemplo)
Plantilla de control específico Aplicabilidad Detalles B M A Familia de control Mantenimiento. ID de la métrica MA-2 Mantenimiento periódico. X Objetivo estratégico Alcanzar la excelencia en prácticas de administración. Objetivo de Seguridad de la Información Las organizaciones deben: (i) realizar mantenimiento periódico y oportuno a los sistemas de información de la organización y (ii) proveer controles efectivos en las herramientas, técnicas, mecanismos y personal que participa en el mantenimiento de sistemas de información. Control La organización de horarios, ejecución y documentación de rutinas preventivas y mantenimientos periódicos en los componentes de sistemas de información, debe establecerse de acuerdo con las especificaciones del proveedor / vendedor y/o requerimientos organizacionales. Mejora(s) del control (1) La organización resguarda una bitácora de mantenimiento de los sistemas de información que incluye: fecha y hora del mantenimiento, nombre de la persona que lo realizó, nombre de la persona que estuvo cuando se realizó el mantenimiento (si fuera el caso), una descripción del mantenimiento realizado y una lista del equipo removido o reemplazado (con sus características). (2) La organización utiliza mecanismos automáticos para asegurar el mantenimiento periódico es realizado como fue definido, y que la bitácora se encuentra actualizada, completa y está disponible. Pregunta(s) de control ¿La organización realiza mantenimientos a los componentes de sistemas de información de acuerdo a como fue programado? ¿La organización utiliza herramientas automatizadas para asegurar que el mantenimiento periódico es realizado en los sistemas, tal como fue requerido? Métrica(s) Porcentaje (%) de componentes del sistema que reciben mantenimiento de acuerdo a lo programado. Porcentaje (%) de sistemas que utilizan herramientas automáticas para validar el desempeño del mantenimiento periódico.

15 NIST 800-55 (Plantilla ejemplo)
Plantilla de control específico (continuación…) Aplicabilidad Detalles B M A Tipos de métrica(s) Eficiencia. X Implementación. Frecuencia(s) Definida por la organización (por ejemplo: trimestralmente). Definida por la organización (por ejemplo: anualmente). Meta(s) Definida por la organización (por ejemplo: 90%).

16 Objetivo de control: Administración de actualizaciones.
Ejemplos de métricas Objetivo de control: Administración de actualizaciones. % de equipos que no cumplen con el nivel de actualizaciones acorde a la política. Servidores. Laptops. Estaciones de trabajo. Sistema operativo. Unidad de negocio. # de actualizaciones aplicadas por periodo. # de parches aplicados. Parches críticos. Por unidad de negocio.

17 Objetivo de control: Administración de actualizaciones.
Ejemplos de métricas Objetivo de control: Administración de actualizaciones. Latencia de aplicación de parches (tiempo entre que la actualización se libera y se incorpora al ambiente productivo). Tiempo para completar el ciclo de pruebas de las actualizaciones. # de parches aplicados fuera de ventanas de mantenimiento definidas.

18 Objetivo de control: Garantizar la seguridad de los sistemas.
Ejemplos de métricas Objetivo de control: Garantizar la seguridad de los sistemas. # de usuarios activos asignados a una persona/empleado. % de usuarios con accesos autorizados a los sistemas. % de usuarios de administración autorizados. % de sistemas que implementan una política de contraseñas. % de usuarios inactivos deshabilitados. % de usuarios deshabilitados de personal dado de baja.

19 Conclusiones Las métricas deben proporcionar información cuantificable. Los datos que soportan las métricas deben ser fácilmente obtenibles. Sólo procesos repetibles deben considerarse para la medición. Las métricas deben ser útiles para el seguimiento de la ejecución y dirección de recursos/inversiones. Es muy útil para el desarrollo e implementación de métricas de seguridad utilizar macros normativos como COBIT e ISO

20 Referencias “Security Metrics”, Andrew Jaquith (www.securitymetrics.org, Metricon 1.0, 2.0, 3.0). NIST “Security Metrics Guide for Information Technology Systems”. “Measuring Security Tutorial” – Dan Geer. BIP 0074:2006 (ISO – Finales de 2008)


Descargar ppt "LI Carlos Chalico, CISA, CISSP, CISM Socio Ernst & Young México"

Presentaciones similares


Anuncios Google