Indicadores de gestión aplicados a los procesos de

administración de riesgos y seguridad

LI Carlos Chalico, CISA, CISSP, CISMSocio Ernst & Young México

Erika Saucedo, CISSP, CCNA, BS7799 LA Gerente Senior

Ernst & Young México

Indicadores de gestión aplicados a los procesos de administración de riesgos y seguridad

Introducción

Los procesos de administración de riesgos y seguridad son fundamentales hoy en día en las organizaciones, por lo tanto es indispensable la medición de los mismos, para así poder tomar decisiones informadas sobre las estrategias de tratamiento de riesgos y niveles de riesgo aceptables.

El requerimiento para medir el desempeño de la administración de riesgos y seguridad está sustentado por razones regulatorias, estratégicas, financieras y organizacionales.

Definiciones

Indicador de gestión:“Son mediciones de los logros y el cumplimiento de la misión y objetivos de un determinado proceso (de administración de riesgos y seguridad de la información, en nuestro caso)”.

Sirven como herramienta a los dueños de los procesos para la toma de decisiones y mejoramiento continuo, lo cual se traduce en un mejor producto o servicio resultado de este proceso.

En seguridad de la información es más común el término “métrica” la cual se define como una medida o conjunto de medidas que permiten caracterizar, conocer, estimar o evaluar un atributo especificado; generalmente para realizar comparativa y conocer su desempeño y estado actual.

Definición (continuación…)

Las métricas de seguridad de la información permiten evaluar si los controles de seguridad, políticas y procedimientos son efectivos.

Las métricas de seguridad de la información monitorean el cumplimiento de las metas y objetivos cuantificando el nivel de implementación de los controles de seguridad y efectividad de los mismos e identificando posibles actividades de mejora.

Caso Seguridad de la Información

Si un control no se puede medir, entonces no aporta absolutamente nada al Sistema de Gestión de Seguridad de la Información (SGSI).

Las métricas de seguridad permiten:Dar respuesta a cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados.

Comparar los logros obtenidos en seguridad de la información sobre periodos de tiempo en áreas de negocio similares de la organización y como parte de mejoras continuas.

Caso Seguridad de la Información (continuación…)

Mediante el uso de métricas de seguridad se pueden orientar mejor las inversiones a fin de obtener un mayor valor de los recursos invertidos.

Las métricas asisten en la determinación de la efectividad de los procesos, procedimientos y controles de seguridad de la información.

Mediciones de un Sistema de Gestión de Seguridad de la Información

Modelo PDCA (Plan - Do - Check - Act)

“Plan” de análisis y tratamiento de riesgos.

Las metricas están orientadas principalmente al “Do” (implementación

y operación del SGSI).

Las métricas una entrada para el

“Check” (monitorear y revisar).

Adoptar decisiones de mejora del SGSI a través del “Act”

Mediciones de un SGSI (continuación…)

El programa de mediciones debe estar basado en un “Modelo” de mediciones de seguridad de la información.Este modelo es una estructura que enlaza los atributos medibles con una entidad (procesos, productos y recursos) relevante.Este modelo debe describir cómo los atributos son cuantificados y convertidos a indicadores/métricas que provean bases para la toma de decisiones, sustentados en necesidades de información específica.

Proceso para el desarrollo de métricas

NIST 800-55

Proceso para el desarrollo de métricas

Identificación del interés de los socios de negocio

Identificación del interés de los socios de negocio

Definición de metas y objetivos

Definición de metas y objetivos

Revisión de políticas,Procedimientos y guías de Seguridad de la Información

Revisión de políticas,Procedimientos y guías de Seguridad de la Información

Retroalimentación delProceso de desarrollo de métricas

Retroalimentación delProceso de desarrollo de métricas

Desarrollo de un Formato de métricas

Desarrollo de un Formato de métricas

Selección y desarrollode métricas:

-Desarrollo-Priorización-Objetivos de desempeño

Selección y desarrollode métricas:

-Desarrollo-Priorización-Objetivos de desempeño

Revisión de laImplementación delprograma deSeguridad de la Información

Revisión de laImplementación delprograma deSeguridad de la Información

Identifica a los socios de negocio y sus intereses relacionados con la seguridad de la información:

-Directivos-CIO-CISO-ISSO-Propietarios de los sistemas de información-Administradores de red y de sistemas-Ingenieros de seguridad-Personal de seguridad de la información-CFO-RH-CPO

Identifica y documenta las metas y objetivos deldesempeño de las metas de seguridad de laInformación que deben guiar el control de la Implantación del programa de seguridad para unsistema específico.

Los documentos aplicables deben ser revisadospara identificar y extraer las metas y objetivos de desempeño.

Enfocarse en las prácticas de seguridad específicaspara la organización.

Los documentos aplicables deben revisarse paraIdentificar controles de seguridad de la información,procesos aplicables, y objetivos de desempeño.

Cualquier repositorio de medidas y datos quepueden ser utilizados para derivar métricas quedeben revisarse.

Las métricas pueden generarse de las siguientesfuentes:

-Planes de seguridad-Reportes de planes de acción-Resultados de monitoreos-Planes de administración de configuración-Resultados de evaluaciones de riesgos-Resultados de pruebas de penetración-Resultados de entrenamientos y estadísticas

Desarrollo de métricasDepende del alcance (un control, varios controles o un programa de seguridad). Cuando se trata decontroles debe existir un mapeo directo de los mismos, describir los controles para generar métricas y caracterizar la métrica como baja, Moderada y alta.

Priorización de métricasDeben priorizarse las métricas para asegurar que la selección de la métrica facilita la mejora de la implementación, utiliza datos que pueden ser obtenidos de manera realista y mide procesos que existen y están establecidos.

Establecer objetivos de desempeñoEstablecen un “benchmark” por el cual se mideel éxito. El grado de éxito se basa en la proximidadde el resultado de la métrica a los objetivos dedesempeño.

Documentación de las métricas de desempeño deuna manera estándar para asegurar la repetibilidadde las actividades de desarrollo, recolección, yreporte de métricas

Las métricas seleccionadas para implementarse serán útiles no solo para medir el desempeño, identificar causas de un desempeño no satisfactorio,e identificar áreas de mejora, también facilita la consistencia de la implementación de políticas, cambios en las mismas, redefinición de metas yobjetivos y soportar la mejora contínua.

COBIT (ejemplo: DS5 Ensure Systems Security)

• Entender requerimientos de seguridad, vulnerabilidades y amenazas.• Administración de identidades y autorización de usuario de forma estandarizada.• Definición de incidentes de seguridad.• Pruebas periódicas de seguridad.

Actividades

Objetivos y métricas

• Permitir el acceso a información crítica ysensitiva únicamente a usuarios autorizados.• Identificar, monitorear y reportarvulnerabilidades e incidentes de seguridad.• Detectar y dar seguimiento a accesos no autorizados a la información, aplicaciones einfraestructura.• Minimizar el impacto de vulnerabilidades eincidentes de seguridad.

Objetivos del Proceso•Asegurar que la información crítica yconfidencial está protegida de accesos no autorizados.• Asegurar que las transacciones de negocio automatizadas y el intercambio de informaciónes confiable.• Mantener la integridad de la información y de laInfraestructura que la soporta.• Asegurar que la infraestructura y servicios deTI puedan recuperarse en caso de contignecias.

Objetivos de TI

• # de incidentes de seguridad con impacto denegocio.• # de sistemas en los que no se cumplen los esquemas de seguridad.• Tiempo de gracia, cambios y bajas deprivilegios de acceso.

Indicadores clave de TI

• # y tipo de violaciones de acceso actuales ysospechosas.• # de violaciones en segregación de funciones.• % de usuarios que no cumplen con losestándares de contraseñas.• # y tipo de código malicioso detectado.

Indicadores clave del proceso

• Frecuencia y revisión del tipo de eventos deseguridad a ser monitoreados.• # y tipo de cuentas no utilizadas.• # de direcciones IP y puertos no autorizados,así como tipos de tráfico denegado.• % de llaves de encripción comprometidas yrevocadas.• # de privilegios de acceso autorizados, revocados, reiniciados o modificados.

Indicadores clave de desempeño

Son medidos por: Son medidos por: Son medidos por:

BIP 0074:2006 (ISO 27004)

Objeto

AtributoAtributoAtributoAtributoAtributoAtributoAtributo

Propiedad o característica

Indicador

Indicador

Indicador

Estimación o evaluación

Programa Modelo EnlazaObjetos

con atributos

Describe CÓMO son cuantificados

NIST 800-55 (Plantilla ejemplo)

Plantilla de control específico

Aplicabilidad

Detalles B M A

Familia de control Mantenimiento.

ID de la métrica MA-2 Mantenimiento periódico. X X X

Objetivo estratégico

Alcanzar la excelencia en prácticas de administración.

Objetivo de Seguridad de la

Información

Las organizaciones deben: (i) realizar mantenimiento periódico y oportuno a los sistemas de información de la organización y (ii) proveer controles efectivos en las herramientas, técnicas, mecanismos y personal que participa en el mantenimiento de sistemas de información.

Control La organización de horarios, ejecución y documentación de rutinas preventivas y mantenimientos periódicos en los componentes de sistemas de información, debe establecerse de acuerdo con las especificaciones del proveedor / vendedor y/o requerimientos organizacionales.

X X X

Mejora(s) del control

(1) La organización resguarda una bitácora de mantenimiento de los sistemas de información que incluye: fecha y hora del mantenimiento, nombre de la persona que lo realizó, nombre de la persona que estuvo cuando se realizó el mantenimiento (si fuera el caso), una descripción del mantenimiento realizado y una lista del equipo removido o reemplazado (con sus características).

X X

(2) La organización utiliza mecanismos automáticos para asegurar el mantenimiento periódico es realizado como fue definido, y que la bitácora se encuentra actualizada, completa y está disponible.

X

Pregunta(s) de control

¿La organización realiza mantenimientos a los componentes de sistemas de información de acuerdo a como fue programado?

X X X

¿La organización utiliza herramientas automatizadas para asegurar que el mantenimiento periódico es realizado en los sistemas, tal como fue requerido?

X

Métrica(s) Porcentaje (%) de componentes del sistema que reciben mantenimiento de acuerdo a lo programado. X X X

Porcentaje (%) de sistemas que utilizan herramientas automáticas para validar el desempeño del mantenimiento periódico.

X

NIST 800-55 (Plantilla ejemplo)

Plantilla de control específico (continuación…)

Aplicabilidad

Detalles B M A

Tipos de métrica(s) Eficiencia. X X X

Implementación. X

Frecuencia(s) Definida por la organización (por ejemplo: trimestralmente). X X X

Definida por la organización (por ejemplo: anualmente). X

Meta(s) Definida por la organización (por ejemplo: 90%). X X X

Definida por la organización (por ejemplo: 90%). X

Ejemplos de métricas

Objetivo de control: Administración de actualizaciones.

% de equipos que no cumplen con el nivel de actualizaciones acorde a la política.

Servidores.Laptops.Estaciones de trabajo.Sistema operativo.Unidad de negocio.

# de actualizaciones aplicadas por periodo.# de parches aplicados.

Parches críticos.Por unidad de negocio.

Ejemplos de métricas

Objetivo de control: Administración de actualizaciones.

Latencia de aplicación de parches (tiempo entre que la actualización se libera y se incorpora al ambiente productivo).Tiempo para completar el ciclo de pruebas de las actualizaciones.# de parches aplicados fuera de ventanas de mantenimiento definidas.

Ejemplos de métricas

Objetivo de control: Garantizar la seguridad de los sistemas.

# de usuarios activos asignados a una persona/empleado.% de usuarios con accesos autorizados a los sistemas.% de usuarios de administración autorizados.% de sistemas que implementan una política de contraseñas.% de usuarios inactivos deshabilitados.% de usuarios deshabilitados de personal dado de baja.

Conclusiones

Las métricas deben proporcionar información cuantificable.Los datos que soportan las métricas deben ser fácilmente obtenibles.Sólo procesos repetibles deben considerarse para la medición.Las métricas deben ser útiles para el seguimiento de la ejecución y dirección de recursos/inversiones.Es muy útil para el desarrollo e implementación de métricas de seguridad utilizar macros normativos como COBIT e ISO 27002.

Referencias

“Security Metrics”, Andrew Jaquith (www.securitymetrics.org, Metricon 1.0, 2.0, 3.0).NIST 800-55. “Security Metrics Guide for Information Technology Systems”.“Measuring Security Tutorial” – Dan Geer.BIP 0074:2006 (ISO 27004 – Finales de 2008)