J i J C Ph D CFE J eimy J . Cano, Ph.D, CFE GECTI Facultad de Derecho Universidad de los Andes jcano@uniandes.edu.co Agenda Introduccin Introduccin Parte 1. La industria de la seguridad de la informacin, las vulnerabilidades y el factor humano Parte 2. La evolucin de las organizaciones, la cultura g , organizacional y la seguridad de la informacin Parte 3. Iniciativas internacionales en el tema de Mtricas en Seguridad de la Informacin Parte 4. Fundamentacin conceptual de las mtricas en seguridad de la Informacin Parte 5. Modelo Estratgico de Mtricas en Seguridad de la I f i MEMSI Informacin - MEMSI Consideraciones del Modelo Reflexiones finales Referencias Referencias Introduccin Declaraciones sobre las mtricas de seguridad de la informacin Declaraciones sobre las mtricas de seguridad de la informacin Las mtricas debe ser objetivas y tangibles (F o V) L t i d b t l di t (F V) Las mtricas deben tener valores discretos (F o V) Se requieren medidas absolutas y concretas (F o V) L t i t (F V) Las mtricas son costosas (F o V) Ud no puede administrar lo que no puede medir; por tanto no puede mejorar lo que no puede administrar (F o V) Es esencial medir los resultados (F o V) Necesitamos los nmeros para expresarnos (F o V) Tomado y traducido de: Hinson, G. 2006 Parte 1. La industria de la seguridad g de la informacin, las vulnerabilidades y el factor humano y La industria de la seguridad informtica Cmo nos vende? Uso del miedo e incertidumbre para crear la sensacin de que estamos en el filo del abismo. Productos de seguridad de la informacin que son expuestos a los intrusos para que intenten quebrarlo y cuando no lo hacen se proclaman imposibles de que intenten quebrarlo y cuando no lo hacen, se proclaman imposibles de hackear. Productos y servicios que son utilizados por una compaa especfica o una entidad del gobierno, lo cual le ofrece al proveedor una visibilidaden el mercado. Los servicios y productos son sometidos a evaluacin en revistas populares de la industria, las cuales emiten conceptos sobre los mismos. Se establecen y recomiendan por parte de los proveedores y organizaciones internacionales listas de chequeo certificaciones de negocio y modelos de internacionales listas de chequeo, certificaciones de negocio y modelos de control que procuran salvaguardar a las organizaciones de los ms importantes peligros en temas de seguridad de la informacin. Los productos y servicios se encuentran alineados con las buenas prcticas , las cuales representan lo que la industria y la prctica sugieren que es lo ms adecuado cuales representan lo que la industria y la prctica sugieren que es lo ms adecuado Tomado de: Shostack, A. y Stewart, A. 2008. Cap. 2 Las vulnerabilidades Porqu aumentan los ataques? q q Incremento en la velocidaddel desarrollo tecnolgico: Mayor curva de aprendizaje. El tiempo requerido para obtener el salario de un mes, ahora requiere un poco de paciencia una porcin de informacin y algunas horas de trabajo: Ms motivacin paciencia, una porcin de informacin y algunas horas de trabajo: Ms motivacin para los atacantes. El software sin errores no existe. Somos humanos y como tal debemos aceptarlo: Aprender y desaprender. Las configuraciones actuales de la infraestructura de seguridad se hacen cada vez ms complejas, por lo tanto se incrementa la probabilidad de configuraciones inadecuadas y se debilita el seguimiento al control de cambios: Se compromete la visin holstica. La falta de coordinacin transnacional de los agentes gubernamentales para tratar el tema del delito informtico: Limitacin para adelantar investigaciones. Adaptado de: Rice. 2008. 2008. Cap. 3 El factor humano La psicologa de la seguridad en el individuo p g g La seguridad es una sensacin, una manera de percibir un cierto nivel de riesgo. Existenpersonas con perfiles de mayor o menor apetito al riesgo Existenpersonas con perfiles de mayor o menor apetito al riesgo. Las personas confrontan la inseguridad para sacar el mejor provecho de ella, bien sea para obtener mayores dividendos en un negocio o salvar incluso su vida. A medida que las personas se sienten ms seguras con las medidas de proteccin, ms propensas a los riesgos se vuelven. La psicologa de la seguridad informtica debe estar animada por la constante evolucin de la percepcin del individuo sobre la proteccin de los activos. Parte 2. La evolucin de las organizaciones la cultura organizaciones, la cultura organizacional y la seguridad de la informacin informacin Cambios en los diseos organizacionales organizacionales Viejo Modelo Nuevo Modelo Con lmites definidos J errquico En red Aplanada Fijo (Reglas y procedimientos) Flexible Homogneo Esquema local Diverso Esquema Global Tomado y traducido de: Van Maanen, J . (2008) The changing organization: New models of the corporation. MIT Sloan School of Management. Executive Program. J une Perspectivas de anlisis sobre la nuevaorganizacin nueva organizacin Diseo Estratgico Poltico Cultural Comprensin de intereses Agrupamiento, Enlaces Identidad, valores y supuestos intereses, coaliciones, escalamiento de compromisos Enlaces, Alineacin interna y ajuste con el ambiente y supuestos bsicos Tomado y traducido de: Westney, E. (2008) Three perspectives on organizational change. Leading Change in Complex Organization. MIT Sloan School of Management. Executive Program. J une Modelo de Cultura Organizacional E Schein E. Schein Lo que se observa (lo que se ve, Artefactos q ( q , lo que se siente y escucha), smbolos y comportamientos Valores Lo que le dicen Lo que los participantes dan por Valores Expuestos Supuestos bsicos Lo que los participantes dan por hecho. bsicos Tomado y traducido de: Westnet, E. (2008) Three perspectives on organizational change. Leading Change in Complex Organization. MIT Sloan School of Management. Executive Program. J une La Dualidad de la Seguridad de la Informacin Informacin Tomado de: CANO, J . (2004) Inseguridad Informtica. Un concepto dual en seguridad informtica. http://www.virusprot.com/art47.html Cultura organizacional y la seguridad informtica Elementos a Diagnosticar Elementos a Verificar CONFIANZA Cultura Estratgica Expectativas EFECTIVIDAD DEL DISEO g Cultura T ti Acuerdos Trade off Tctico Cultura Requerimientos y FALLAS Y ERRORES Cultura Operacional Requerimientos y acciones Conflicto Natural Vi i d l Visin del rea de S id d Visin de la Gerencia Seguridad ? Porqu tenemos ms restricciones para el manejo de la informacin? Esto no ayuda nuestras estrategias de negocio ! Con estos requisitos cada vez ms complejos de los gerentes, tendremos que hacer cosas ms elaboradas. Parte 3. Iniciativas internacionales en el tema de Mtricas en Seguridad de la Informacin Iniciativas internacionales Tomado de: Information Security Forum (2006) Information security metrics. Pg. 5 Enfoque numrico ! Iniciativas internacionales Caractersticas de las mtricas Tomado de: InformationSecurity Forum(2006) Informationsecuritymetrics. Pg. 6 Iniciativas internacionales Modelo de entendimiento de mtricas Estratgico Estratgico y Tctico Cultural y organizacional Adaptado de: Information Security Forum (2006) Information security metrics. Pg. 15 Iniciativas internacionales Data-centric approach (1) (2) (4) (1) Estratgico (2) Operacional (3) Tctico Adaptado de: Grandison, T., Bilger, M., OConnor, L., Graf, M., Swimmer, M. y Schunter, M. 2007 (3) ct co Iniciativas internacionales Data-centric approach Adaptado de: Grandison, T., Bilger, M., OConnor, L., Graf, M., Swimmer, M. y Schunter, M. 2007 Iniciativas internacionales Forrester (1) (2) (4) Medida: Sugiere tamao o magnitud. Mtrica: Coleccinde medidas que debenser analizadas para establecer tendencias Tomado de: Kark, K. y Stamp, P. 2007 Mtrica: Coleccin de medidas que deben ser analizadas para establecer tendencias, direccin futura y prioridades Parte 4. Fundamentacin conceptual p de las mtricas en seguridad de la Informacin Qu significa medir? Definicin RAE Comparar una cantidad con su respectiva unidad, con el fin de averiguar cuntas veces la segunda est contenida en la primera. Tener determinada dimensin, ser de determinada altura, longitud, superficie, volumen, etc. Es una accin que requiere un objeto, un sujeto y un contexto En este escenario, medir no es un problema numrico, sino cultural. Es decir, responde a un inters particular Qu son buenas mtricas de seguridad? seguridad? Aquellas que proveen mediciones o valores concretos, como respuesta a preguntas concretas. como respuesta a preguntas concretas. Las caractersticas ms sobresalientes: Sin criterios subjetivos Fciles de recolectar Expresadas en nmeros cardinales o porcentajes Detalladas con unidades de medida (defectos, horas, pesos) pesos) Relevante para la toma de decisiones Tomado de: J aquith, A. 2007 Beneficios de las mtricas de seguridad seguridad Si las organizaciones establecen las preguntas requeridas, las respuestas a stas preguntas le ayudarn a: Comprender mejor sus riesgos Identificar problemas emergentes Comprender las debilidades de la infraestructura Comprender las debilidades de la infraestructura Medir el desempeo de los controles Actualizar las tecnologas y mejorar los procesos actuales Evidenciar la evolucin de la cultura de seguridad de la i f i informacin Tomado de: J aquith, A. 2007 Errores frecuentes en la definicin de mtricas mtricas Querer ajustarse a los dominios o variables definidas en los estndares de la industria los estndares de la industria. Ignorar la dinmica propia de la seguridad en la organizacin. No comprender los riesgos de la organizacin y la percepcin de los mismos percepcin de los mismos. Querer abarcar toda la gestin de seguridad en el primer ejercicio. Ignorar las expectativas de alta gerencia sobre el tema. Desconocer las caractersticas de la cultura Desconocer las caractersticas de la cultura organizacional Ignorar que es un ejercicio de evaluacin y diagnstico Cultura organizacional y las mtricas de seguridad Elementos a Diagnosticar Elementos a Evaluar NIVEL DE CONFIANZA DE LA ORGANIZACIN Admon de riesgos, cumplimiento y Elementos a Diagnosticar Elementos a Evaluar ORGANIZACIN Gobierno de S.I cumplimiento y objetivos de negocio EFECTIVIDAD DE LA ARQUITECTURA DE SEGURIDAD Administracin de la S.I Permetro, Aplicaciones y servicios GESTIN DE INCIDENTES DE SEGURIDAD Operacin de la S.I Confidencialidad, Integridad y SEGURIDAD Integridad y Disponibilidad Parte 5. Modelo Estratgico de g Mtricas en Seguridad de la Informacin - MEMSI Fundamentos del Modelo Reconoce las diferentes culturas de la organizacin en diferentes niveles. Exige anlisis (top down) y un diagnstico (bottomup) Exige anlisis (top-down) y un diagnstico (bottom-up) Establece las preguntas que integran las expectativas, los acuerdos y acciones de los diferentes actores de la organizacin Reconoce que la seguridad es un fenmeno dual (circular) y no dualista (causa-efecto). Sugiere una manera de integrar los principios de seguridad informtica las tecnologas de seguridad y los incidentes informtica, las tecnologas de seguridad y los incidentes. Vincula los objetivos del negocio como parte fundamental para el desarrollo de las mtricas. Modelo Estratgico de Mtricas en Seguridad de la Informacin Admon de Riesgos Cumplimiento Obj ti d Cul es el nivel de confianza de la organizacin en temas de seguridad i f ti ? ESTRATGICO ? Objetivos de negocio Permetro Aplicaciones informtica? p Servicios Qu tan efectivas son las tecnologas de seguridad informtica disponibles en la organizacin? TCTICO ? Confidencialidad Integridad Di ibilid d Qu tipo de incidentes se presentan en la organizacin? OPERATIVO ? Disponibilidad Modelo Estratgico de Mtricas en Seguridad de la Informacin Admon de Riesgos Cumplimiento Cul es el nivel de confianza de la ? g Objetivos de negocio Cul es el nivel de confianza de la organizacin en temas de seguridad informtica? ESTRATGICO ? Admon de Riesgos Objetivos de negocio Cumplimiento -Identificacin de activos a proteger - Ejercicios de anlisis de - Relaciones con los clientes - Expectativas de la gerencia sobre la confianza de los - Ajuste con buenas prcticas internacionales en el tema - Ejercicios de anlisis de riesgos y controles - Planes de actualizacin y seguimiento - Pruebas de sobre la confianza de los sistemas - Significado de la seguridad enlos procesos de negocio - Generacin de valor el tema - Revisin y anlisis de regulaciones nacionales e internacionales - Estndares de debido vulnerabilidades - Mapas de riesgos y controles agregado a los clientes - Responsabilidad y agilidad ante incidentes cuidado en seguridad informtica - Auditoras y pruebas de cumplimiento Modelo Estratgico de Mtricas en Seguridad de la Informacin Permetro Aplicaciones Qu tan efectivas son las TCTICO ? Servicios Tecnologas de seguridad informtica Disponibles en la organizacin? TCTICO ? Permetro Aplicaciones Servicios - Efectividaddel antivirus - Efectividaddel AntiSpam - Efectividaddel Firewall - Defectos identificados en el software - Vulnerabilidades - Administracinde parches - Aseguramiento de equipos - Copias de respaldo - Efectividaddel Firewall - Efectividaddel IDS/IPS - Efectividad del Monitoreo 7x24 - Vulnerabilidades identificadas - Revisinde cdigo fuente - Utilizacin de funciones no documentadas - Copias de respaldo - Recuperacinante fallas - Control de cambios - Pruebas de vulnerabilidades al software Modelo Estratgico de Mtricas en Seguridad de la Informacin g Confidencialidad Integridad Qu tipo de incidentes se presentan en la organizacin? OPERATIVO ? Disponibilidad g Confidencialidad Integridad Disponibilidad - Accesos no autorizados - Configuracinpor defecto - Suplantacinde IP o datos - Monitoreo no autorizado - Eliminar, borrar u manipular datos - Virus informticos - Negacindel servicio - Inundacinde paquetes - Eliminar, borrar u manipular datos - Monitoreo no autorizado - Contraseas dbiles datos - Suplantacinde IP o datos Modelo Estratgico de Mtricas en Seguridad de la Informacin Admon de Riesgos Cumplimiento Obj ti d Cul es el nivel de confianza de la organizacin en temas de seguridad i f ti ? ? Objetivos de negocio Permetro Aplicaciones informtica? Efectividad de la Arquitectura de Seguridad p Servicios Qu tan efectivas son las Tecnologas de seguridad informtica Disponibles en la organizacin? ? Efectividad de la Confidencialidad Integridad Di ibilid d Qu tipo de incidentes se presentan en la organizacin? ? Administracin de Incidentes Disponibilidad Modelo Estratgico de Mtricas en Seguridad de la Informacin Admon de Riesgos Cumplimiento Objetivos de Cul es el nivel de confianza de la organizacin en temas de seguridad informtica? ? -% de nuevos empleados que completaron su entrenamiento de seguridad/Total de nuevos ingresos - % de cuentas inactivas de usuario deshabilitadas / Total de cuentas inactivas - Valor total de los incidentes de seguridad Objetivos de negocio Permetro Aplicaciones Q tanefecti as sonlas -No. Mensajes de spam detectados / No. Total de mensajes ignorados g Informtica / Total del presupuesto de Seg. Inf Servicios Qu tan efectivas son las Tecnologas de seguridad informtica Disponibles en la organizacin? ? j g - No. de mensajes salientes con virus o spyware - No de spyware detectados en servidores o estaciones de trabajo - No. de Estaciones de trabajo parchadas / Total de las estaciones de trabajo Confidencialidad Integridad Disponibilidad Qu tipo de incidentes se presentan en la organizacin? ? - No. de incidentes asociados con la confidencialidad/ Total de incidentes - No. de incidentes asociados con la disponibilidad/ Total de incidentes No de incidentes asociados con la Disponibilidad - No. de incidentes asociados con la confidencialidad/ Total de incidentes Modelo Estratgico de Mtricas en Seguridad de la Informacin PREGUNTA EJEMPLO DE MTRICA PROPSITO Cul es el nivel de confianza de la organizacin en temas de seguridad informtica? -% de nuevos empleados que completaron su entrenamiento de seguridad/Total de nuevos ingresos - % de cuentas inactivas de usuario deshabilitadas / Total de cuentas inactivas - Valor total de los incidentes de seguridad Informtica / Total del presupuesto de Seg ESTRATGICO Desempeo de personas y procesos -No. Mensajes de spam detectados / No. Total de mensajes ignorados - No de mensajes salientes con virus o Informtica / Total del presupuesto de Seg. Inf Desempeo de las Qu tan efectivas son las Tecnologas de seguridad informtica Disponibles en la organizacin? No. de mensajes salientes con virus o spyware - No de spyware detectados en servidores o estaciones de trabajo - No. de Estaciones de trabajo parchadas / Total de las estaciones de trabajo TCTICO Desempeo de las tecnologas de seguridad informtica Qu tipo de incidentes se presentan en la organizacin? - No. de incidentes asociados con la confidencialidad/ Total de incidentes - No. de incidentes asociados con la disponibilidad/ Total de incidentes - No. de incidentes asociados con la OPERATIVO Desempeo de la administracin de incidentes confidencialidad/ Total de incidentes Algunas consideraciones del modelo propuesto propuesto El modelo se puede utilizar bottom-up o Top Down. Esto significa que las preguntas son complementarias entre si: responder una es soportar la respuesta de la otra responder una, es soportar la respuesta de la otra. Es viable tomar decisiones ms concretas sobre aspectos de seguridad informtica segn el nivel. Sugiere una estrategia para justificar los presupuestos de seguridad Sugiere una estrategia para justificar los presupuestos de seguridad Establece un ndice de confianza (nivel de inseguridadpermitido) No es una propuesta disyunta de las prcticas internacionales. Es una iniciativa complementaria y operacional. p y p Se ajusta a la dinmica de negocios y cultural de la organizacin. Integra las buenas prcticas de la industria: Cobit, ISM3, ITIL, entre otras. Reflexiones finales Medir en seguridad informtica es meditar y plantear en las preguntas adecuadas Medir en seguridad informtica es contextualizar las expectativas Medir en seguridad informtica es contextualizar las expectativas de la alta gerencia Medir en seguridad informtica no es ajustarse a lo expresado por las buenas prcticas, es ajustarse a su propia dinmica de riesgos. p , j p p g Medir en seguridad informtica es evidenciar el nivel de riesgo permitido para desarrollar y potenciar los objetivos de negocio Medir en seguridad informtica no es pensar en los datos sino en Medir en seguridad informtica no es pensar en los datos , sino en lo que dicen y lo que significan los mismos para la gerencia. Han cambiado las respuestas? Declaraciones sobre las mtricas de seguridad de la informacin Las mtricas debe ser objetivas y tangibles (F o V) Las mtricas deben tener valores discretos (F o V) Se requieren medidas absolutas y concretas (F o V) Las mtricas son costosas (F o V) Ud no puede administrar lo que no puede medir; por tanto no puede mejorar lo que no puede administrar (F o V) j q p ( ) Es esencial medir los resultados (F o V) Necesitamos los nmeros para expresarnos (F o V) p p ( ) Tomado y traducido de: Hinson, G. 2006 Para concluir Recuerde que un buen sistema de mtricas en id d i f ti b d l j seguridad informtica, no busca dar las mejores respuestas o indicadores, sino la capacidad organizacional para avanzar en la conquista de organizacional para avanzar en la conquista de la falsa sensacin de seguridad . Referencias Information Security Forum (2006) Information security metrics. Disponible: https://wwwsecurityforumorg/index htm https://www.securityforum.org/index.htm Chew, E., Clay, A., Hash, J ., Bartol, N. y Brown. (2006) Guide for developing performance metrics for information secuity. NIST. Disponible en: http://csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf Grandison, T., Bilger, M., OConnor, L., Graf, M., Swimmer, M. y Schunter, M. (2007) Elevating the discussion on security management. Proceedings IEEE Business-Driven IT Management Management. Vaughn, R., Henning, R. y Siraj, A. (2003) Information assurance measures and metrics. State of practice and proposed taxonomy. Proceedings of the 36th Hawaii International Conference on System Sciences (HICSS03) Longstaff, T. y Haimes, Y. (2002) A holistic roadmap for survivable infrastructure systems. IEEE Transactions on systems, Man and cybernetics- Part A: Systems and Humans. Vol 32, N 2 M h No.2. March. Bellovin, S. (2008) On the brittleness of software and the infeasibility of security metrics. IEEE Security & Privacy. J anary/February. Savola, R. (2007) Towards a security metrics taxonomy for the information and communicationtechnology industry. IEEE International Conference on Software Engineering Advances(ICSEA 2007) d a ces( CS 00 ) Gottlieb, R. y Iyer, B. (2004) The four-domain architecture: An approach to support enterprise architecture design. IBM System Journal. Vol.43 No.3 ISACA (2007) Cobit 4.1. Rice, D. (2008) Geekonomics. The real cost of insecure software. Addison Wesley. Cano, J . (2008) Entendiendo la inseguridad de la informacin. Editorial. Revista SISTEMAS. No 105 ACIS No.105. ACIS. Referencias Hinson, G. (2006) Seven myths about information security metrics. IsecT Ltd. Disponible en: http://wwwisect com http://www.isect.com Koetzle, L., Yates, S., Kark, K. y Bernhardt. (2006) Howto measure what matters in security. Forrester Research. Kark, K. y Stamp, P. (2007) Defining an effective security metrics program. Forrester Research. Kark, K. y Nagel, B. (2007) The evolvingsecurity organization. Forrester Research. S P (2008) M ki d i i l F R h , y g , ( ) g y g Stamp, P. (2008) Making data-centric security real. Forrester Research. Kark, K. (2008) Seven habits of effective CISOs. Forrester Research. Stakhanova, N., Basu, S. y Wong, J . (2007) A taxonomy of intrusion response systems. International Journal Information and Computer Security. Vol.1 No.1/2. Lee, J . y Lee, Y. (2002) A holistic model of computer abuse within organizations. Information Management & Computer Security. Vol.10. No.2/3. Management & Computer Security. Vol.10. No.2/3. Foltz, C. B. (2004) Cyberterrorism, computer crime and reality. Information Management & Computer Security. Vol.12. No.2/3. Kovacich, G. y Halibozek, E. (2006) Security metrics management. How to manage the cost of an assets protection program. Butterworth-Heinemann. J aquith, A. (2007) Security metrics: Replacing fear, uncertainty, and doubt. AdissonWesley. Herrmann D (2007) Complete guide to security and privacy metrics Auerbach Herrmann, D. (2007) Complete guide to security and privacy metrics. Auerbach. Shostack, A. y Stewart, A. (2008) The New School of Information Security. Addison Wesley. Mtricas en Seguridad Informtica: Una revisin acadmica J i J C Ph D CFE J eimy J . Cano, Ph.D, CFE GECTI Facultad de Derecho Universidad de los Andes jcano@uniandes.edu.co