Mtricas en Seguridad Informtica:

Una revisin acadmica

J i J C Ph D CFE J eimy J . Cano, Ph.D, CFE
GECTI
Facultad de Derecho
Universidad de los Andes
jcano@uniandes.edu.co
Agenda
Introduccin Introduccin
Parte 1. La industria de la seguridad de la informacin, las
vulnerabilidades y el factor humano
Parte 2. La evolucin de las organizaciones, la cultura g ,
organizacional y la seguridad de la informacin
Parte 3. Iniciativas internacionales en el tema de Mtricas en
Seguridad de la Informacin
Parte 4. Fundamentacin conceptual de las mtricas en seguridad
de la Informacin
Parte 5. Modelo Estratgico de Mtricas en Seguridad de la
I f i MEMSI Informacin - MEMSI
Consideraciones del Modelo
Reflexiones finales
Referencias Referencias
Introduccin
Declaraciones sobre las mtricas de seguridad de la informacin Declaraciones sobre las mtricas de seguridad de la informacin
Las mtricas debe ser objetivas y tangibles (F o V)
L t i d b t l di t (F V) Las mtricas deben tener valores discretos (F o V)
Se requieren medidas absolutas y concretas (F o V)
L t i t (F V) Las mtricas son costosas (F o V)
Ud no puede administrar lo que no puede medir; por tanto no puede
mejorar lo que no puede administrar (F o V)
Es esencial medir los resultados (F o V)
Necesitamos los nmeros para expresarnos (F o V)
Tomado y traducido de: Hinson, G. 2006
Parte 1. La industria de la seguridad g
de la informacin, las
vulnerabilidades y el factor humano y
La industria de la seguridad informtica
Cmo nos vende?
Uso del miedo e incertidumbre para crear la sensacin de que estamos en el filo
del abismo.
Productos de seguridad de la informacin que son expuestos a los intrusos para
que intenten quebrarlo y cuando no lo hacen se proclaman imposibles de que intenten quebrarlo y cuando no lo hacen, se proclaman imposibles de
hackear.
Productos y servicios que son utilizados por una compaa especfica o una
entidad del gobierno, lo cual le ofrece al proveedor una visibilidaden el mercado.
Los servicios y productos son sometidos a evaluacin en revistas populares de la
industria, las cuales emiten conceptos sobre los mismos.
Se establecen y recomiendan por parte de los proveedores y organizaciones
internacionales listas de chequeo certificaciones de negocio y modelos de internacionales listas de chequeo, certificaciones de negocio y modelos de
control que procuran salvaguardar a las organizaciones de los ms importantes
peligros en temas de seguridad de la informacin.
Los productos y servicios se encuentran alineados con las buenas prcticas , las
cuales representan lo que la industria y la prctica sugieren que es lo ms adecuado cuales representan lo que la industria y la prctica sugieren que es lo ms adecuado
Tomado de: Shostack, A. y Stewart, A. 2008. Cap. 2
Las vulnerabilidades
Porqu aumentan los ataques? q q
Incremento en la velocidaddel desarrollo tecnolgico: Mayor curva de aprendizaje.
El tiempo requerido para obtener el salario de un mes, ahora requiere un poco de
paciencia una porcin de informacin y algunas horas de trabajo: Ms motivacin paciencia, una porcin de informacin y algunas horas de trabajo: Ms motivacin
para los atacantes.
El software sin errores no existe. Somos humanos y como tal debemos aceptarlo:
Aprender y desaprender.
Las configuraciones actuales de la infraestructura de seguridad se hacen cada vez
ms complejas, por lo tanto se incrementa la probabilidad de configuraciones
inadecuadas y se debilita el seguimiento al control de cambios: Se compromete la
visin holstica.
La falta de coordinacin transnacional de los agentes gubernamentales para tratar el
tema del delito informtico: Limitacin para adelantar investigaciones.
Adaptado de: Rice. 2008. 2008. Cap. 3
El factor humano
La psicologa de la seguridad en el individuo p g g
La seguridad es una sensacin, una manera de percibir un cierto nivel de riesgo.
Existenpersonas con perfiles de mayor o menor apetito al riesgo Existenpersonas con perfiles de mayor o menor apetito al riesgo.
Las personas confrontan la inseguridad para sacar el mejor provecho de ella, bien
sea para obtener mayores dividendos en un negocio o salvar incluso su vida.
A medida que las personas se sienten ms seguras con las medidas de proteccin,
ms propensas a los riesgos se vuelven.
La psicologa de la seguridad informtica debe estar animada por la constante
evolucin de la percepcin del individuo sobre la proteccin de los activos.
Parte 2. La evolucin de las
organizaciones la cultura organizaciones, la cultura
organizacional y la seguridad de la
informacin informacin
Cambios en los diseos
organizacionales organizacionales
Viejo Modelo
Nuevo Modelo
Con lmites definidos
J errquico
En red
Aplanada
Fijo (Reglas y procedimientos)
Flexible
Homogneo
Esquema local
Diverso
Esquema Global
Tomado y traducido de: Van Maanen, J . (2008) The changing organization: New models of the corporation.
MIT Sloan School of Management. Executive Program. J une
Perspectivas de anlisis sobre la
nuevaorganizacin nueva organizacin
Diseo Estratgico Poltico Cultural
Comprensin de
intereses
Agrupamiento,
Enlaces
Identidad, valores
y supuestos intereses,
coaliciones,
escalamiento de
compromisos
Enlaces,
Alineacin interna
y ajuste con el
ambiente
y supuestos
bsicos
Tomado y traducido de: Westney, E. (2008) Three perspectives on organizational change. Leading Change in
Complex Organization. MIT Sloan School of Management. Executive Program. J une
Modelo de Cultura Organizacional
E Schein E. Schein
Lo que se observa (lo que se ve,
Artefactos
q ( q ,
lo que se siente y escucha),
smbolos y comportamientos
Valores
Lo que le dicen
Lo que los participantes dan por
Valores
Expuestos
Supuestos
bsicos
Lo que los participantes dan por
hecho.
bsicos
Tomado y traducido de: Westnet, E. (2008) Three perspectives on organizational change. Leading Change in
Complex Organization. MIT Sloan School of Management. Executive Program. J une
La Dualidad de la Seguridad de la
Informacin Informacin
Tomado de: CANO, J . (2004) Inseguridad Informtica. Un concepto dual en seguridad informtica.
http://www.virusprot.com/art47.html
Cultura organizacional y la seguridad informtica
Elementos a Diagnosticar Elementos a Verificar
CONFIANZA
Cultura
Estratgica
Expectativas
EFECTIVIDAD DEL DISEO
g
Cultura
T ti
Acuerdos Trade off
Tctico
Cultura
Requerimientos y
FALLAS Y ERRORES
Cultura
Operacional
Requerimientos y
acciones
Conflicto Natural
Vi i d l
Visin del rea de
S id d Visin de la
Gerencia
Seguridad
?
Porqu tenemos ms restricciones para el
manejo de la informacin?
Esto no ayuda nuestras estrategias de negocio !
Con estos requisitos cada vez ms complejos de
los gerentes, tendremos que hacer cosas ms
elaboradas.
Parte 3. Iniciativas internacionales en
el tema de Mtricas en Seguridad de
la Informacin
Iniciativas internacionales
Tomado de: Information Security Forum (2006) Information security metrics. Pg. 5
Enfoque numrico !
Iniciativas internacionales
Caractersticas de las mtricas
Tomado de: InformationSecurity Forum(2006) Informationsecuritymetrics. Pg. 6
Iniciativas internacionales
Modelo de entendimiento de mtricas
Estratgico
Estratgico
y Tctico
Cultural
y organizacional
Adaptado de: Information Security Forum (2006) Information security metrics. Pg. 15
Iniciativas internacionales
Data-centric approach
(1)
(2)
(4)
(1) Estratgico
(2) Operacional
(3) Tctico
Adaptado de: Grandison, T., Bilger, M., OConnor, L., Graf, M., Swimmer, M. y Schunter, M. 2007
(3) ct co
Iniciativas internacionales
Data-centric approach
Adaptado de: Grandison, T., Bilger, M., OConnor, L., Graf, M., Swimmer, M. y Schunter, M. 2007
Iniciativas internacionales
Forrester
(1)
(2)
(4)
Medida: Sugiere tamao o magnitud.
Mtrica: Coleccinde medidas que debenser analizadas para establecer tendencias
Tomado de: Kark, K. y Stamp, P. 2007
Mtrica: Coleccin de medidas que deben ser analizadas para establecer tendencias,
direccin futura y prioridades
Parte 4. Fundamentacin conceptual p
de las mtricas en seguridad de la
Informacin
Qu significa medir?
Definicin RAE
Comparar una cantidad con su respectiva unidad,
con el fin de averiguar cuntas veces la segunda est
contenida en la primera.
Tener determinada dimensin, ser de determinada
altura, longitud, superficie, volumen, etc.
Es una accin que requiere un objeto, un
sujeto y un contexto
En este escenario, medir no es un problema
numrico, sino cultural.
Es decir, responde a un inters particular
Qu son buenas mtricas de
seguridad? seguridad?
Aquellas que proveen mediciones o valores concretos,
como respuesta a preguntas concretas. como respuesta a preguntas concretas.
Las caractersticas ms sobresalientes:
Sin criterios subjetivos
Fciles de recolectar
Expresadas en nmeros cardinales o porcentajes
Detalladas con unidades de medida (defectos, horas,
pesos) pesos)
Relevante para la toma de decisiones
Tomado de: J aquith, A. 2007
Beneficios de las mtricas de
seguridad seguridad
Si las organizaciones establecen las preguntas requeridas, las
respuestas a stas preguntas le ayudarn a:
Comprender mejor sus riesgos
Identificar problemas emergentes
Comprender las debilidades de la infraestructura Comprender las debilidades de la infraestructura
Medir el desempeo de los controles
Actualizar las tecnologas y mejorar los procesos actuales
Evidenciar la evolucin de la cultura de seguridad de la
i f i informacin
Tomado de: J aquith, A. 2007
Errores frecuentes en la definicin de
mtricas mtricas
Querer ajustarse a los dominios o variables definidas en
los estndares de la industria los estndares de la industria.
Ignorar la dinmica propia de la seguridad en la
organizacin.
No comprender los riesgos de la organizacin y la
percepcin de los mismos percepcin de los mismos.
Querer abarcar toda la gestin de seguridad en el primer
ejercicio.
Ignorar las expectativas de alta gerencia sobre el tema.
Desconocer las caractersticas de la cultura Desconocer las caractersticas de la cultura
organizacional
Ignorar que es un ejercicio de evaluacin y diagnstico
Cultura organizacional y las mtricas de seguridad
Elementos a Diagnosticar Elementos a Evaluar
NIVEL DE CONFIANZA DE LA
ORGANIZACIN
Admon de riesgos,
cumplimiento y
Elementos a Diagnosticar Elementos a Evaluar
ORGANIZACIN
Gobierno
de S.I
cumplimiento y
objetivos de negocio
EFECTIVIDAD DE LA ARQUITECTURA DE
SEGURIDAD
Administracin de
la S.I
Permetro, Aplicaciones
y servicios
GESTIN DE INCIDENTES DE
SEGURIDAD
Operacin de la
S.I
Confidencialidad,
Integridad y
SEGURIDAD
Integridad y
Disponibilidad
Parte 5. Modelo Estratgico de g
Mtricas en Seguridad de la
Informacin - MEMSI
Fundamentos del Modelo
Reconoce las diferentes culturas de la organizacin en diferentes
niveles.
Exige anlisis (top down) y un diagnstico (bottomup) Exige anlisis (top-down) y un diagnstico (bottom-up)
Establece las preguntas que integran las expectativas, los acuerdos
y acciones de los diferentes actores de la organizacin
Reconoce que la seguridad es un fenmeno dual (circular) y no
dualista (causa-efecto).
Sugiere una manera de integrar los principios de seguridad
informtica las tecnologas de seguridad y los incidentes informtica, las tecnologas de seguridad y los incidentes.
Vincula los objetivos del negocio como parte fundamental para el
desarrollo de las mtricas.
Modelo Estratgico de Mtricas en Seguridad de
la Informacin
Admon de
Riesgos
Cumplimiento
Obj ti d
Cul es el nivel de confianza de la
organizacin en temas de seguridad
i f ti ?
ESTRATGICO
?
Objetivos de
negocio
Permetro Aplicaciones
informtica?
p
Servicios
Qu tan efectivas son las
tecnologas de seguridad informtica
disponibles en la organizacin?
TCTICO
?
Confidencialidad
Integridad
Di ibilid d
Qu tipo de incidentes se presentan
en la organizacin?
OPERATIVO
?
Disponibilidad
Modelo Estratgico de Mtricas en
Seguridad de la Informacin
Admon de
Riesgos
Cumplimiento
Cul es el nivel de confianza de la
?
g
Objetivos de
negocio
Cul es el nivel de confianza de la
organizacin en temas de seguridad
informtica?
ESTRATGICO
?
Admon de
Riesgos
Objetivos de
negocio
Cumplimiento
-Identificacin de activos a
proteger
- Ejercicios de anlisis de
- Relaciones con los clientes
- Expectativas de la gerencia
sobre la confianza de los
- Ajuste con buenas
prcticas internacionales en
el tema - Ejercicios de anlisis de
riesgos y controles
- Planes de actualizacin y
seguimiento
- Pruebas de
sobre la confianza de los
sistemas
- Significado de la seguridad
enlos procesos de negocio
- Generacin de valor
el tema
- Revisin y anlisis de
regulaciones nacionales e
internacionales
- Estndares de debido
vulnerabilidades
- Mapas de riesgos y
controles
agregado a los clientes
- Responsabilidad y agilidad
ante incidentes
cuidado en seguridad
informtica
- Auditoras y pruebas de
cumplimiento
Modelo Estratgico de Mtricas en
Seguridad de la Informacin
Permetro Aplicaciones
Qu tan efectivas son las
TCTICO
?
Servicios
Tecnologas de seguridad informtica
Disponibles en la organizacin?
TCTICO
?
Permetro Aplicaciones Servicios
- Efectividaddel antivirus
- Efectividaddel AntiSpam
- Efectividaddel Firewall
- Defectos identificados en el
software
- Vulnerabilidades
- Administracinde parches
- Aseguramiento de equipos
- Copias de respaldo - Efectividaddel Firewall
- Efectividaddel IDS/IPS
- Efectividad del Monitoreo
7x24
- Vulnerabilidades
identificadas
- Revisinde cdigo fuente
- Utilizacin de funciones no
documentadas
- Copias de respaldo
- Recuperacinante fallas
- Control de cambios
- Pruebas de
vulnerabilidades al software
Modelo Estratgico de Mtricas en
Seguridad de la Informacin g
Confidencialidad
Integridad
Qu tipo de incidentes se presentan
en la organizacin?
OPERATIVO
?
Disponibilidad
g
Confidencialidad Integridad Disponibilidad
- Accesos no autorizados
- Configuracinpor defecto
- Suplantacinde IP o datos
- Monitoreo no autorizado
- Eliminar, borrar u manipular
datos
- Virus informticos
- Negacindel servicio
- Inundacinde paquetes
- Eliminar, borrar u manipular
datos - Monitoreo no autorizado
- Contraseas dbiles
datos
- Suplantacinde IP o datos
Modelo Estratgico de Mtricas en Seguridad de
la Informacin
Admon de
Riesgos
Cumplimiento
Obj ti d
Cul es el nivel de confianza de la
organizacin en temas de seguridad
i f ti ?
?
Objetivos de
negocio
Permetro Aplicaciones
informtica?
Efectividad de la
Arquitectura de
Seguridad
p
Servicios
Qu tan efectivas son las
Tecnologas de seguridad informtica
Disponibles en la organizacin?
?
Efectividad de la
Confidencialidad
Integridad
Di ibilid d
Qu tipo de incidentes se presentan
en la organizacin?
?
Administracin de
Incidentes
Disponibilidad
Modelo Estratgico de Mtricas en Seguridad de
la Informacin
Admon de
Riesgos
Cumplimiento
Objetivos de
Cul es el nivel de confianza de la
organizacin en temas de seguridad
informtica?
?
-% de nuevos empleados que completaron
su entrenamiento de seguridad/Total de
nuevos ingresos
- % de cuentas inactivas de usuario
deshabilitadas / Total de cuentas inactivas
- Valor total de los incidentes de seguridad
Objetivos de
negocio
Permetro Aplicaciones
Q tanefecti as sonlas
-No. Mensajes de spam detectados / No.
Total de mensajes ignorados
g
Informtica / Total del presupuesto de Seg.
Inf
Servicios
Qu tan efectivas son las
Tecnologas de seguridad informtica
Disponibles en la organizacin?
?
j g
- No. de mensajes salientes con virus o
spyware
- No de spyware detectados en servidores
o estaciones de trabajo
- No. de Estaciones de trabajo parchadas /
Total de las estaciones de trabajo
Confidencialidad
Integridad
Disponibilidad
Qu tipo de incidentes se presentan
en la organizacin?
?
- No. de incidentes asociados con la
confidencialidad/ Total de incidentes
- No. de incidentes asociados con la
disponibilidad/ Total de incidentes
No de incidentes asociados con la Disponibilidad - No. de incidentes asociados con la
confidencialidad/ Total de incidentes
Modelo Estratgico de Mtricas en
Seguridad de la Informacin
PREGUNTA EJEMPLO DE MTRICA PROPSITO
Cul es el nivel de confianza de la
organizacin en temas de seguridad
informtica?
-% de nuevos empleados que completaron
su entrenamiento de seguridad/Total de
nuevos ingresos
- % de cuentas inactivas de usuario
deshabilitadas / Total de cuentas inactivas
- Valor total de los incidentes de seguridad
Informtica / Total del presupuesto de Seg
ESTRATGICO
Desempeo de personas
y procesos
-No. Mensajes de spam detectados / No.
Total de mensajes ignorados
- No de mensajes salientes con virus o
Informtica / Total del presupuesto de Seg.
Inf
Desempeo de las
Qu tan efectivas son las
Tecnologas de seguridad informtica
Disponibles en la organizacin?
No. de mensajes salientes con virus o
spyware
- No de spyware detectados en servidores
o estaciones de trabajo
- No. de Estaciones de trabajo parchadas /
Total de las estaciones de trabajo
TCTICO
Desempeo de las
tecnologas
de seguridad informtica
Qu tipo de incidentes se presentan
en la organizacin?
- No. de incidentes asociados con la
confidencialidad/ Total de incidentes
- No. de incidentes asociados con la
disponibilidad/ Total de incidentes
- No. de incidentes asociados con la
OPERATIVO Desempeo de la
administracin
de incidentes
confidencialidad/ Total de incidentes
Algunas consideraciones del modelo
propuesto propuesto
El modelo se puede utilizar bottom-up o Top Down.
Esto significa que las preguntas son complementarias entre si:
responder una es soportar la respuesta de la otra responder una, es soportar la respuesta de la otra.
Es viable tomar decisiones ms concretas sobre aspectos de seguridad
informtica segn el nivel.
Sugiere una estrategia para justificar los presupuestos de seguridad Sugiere una estrategia para justificar los presupuestos de seguridad
Establece un ndice de confianza (nivel de inseguridadpermitido)
No es una propuesta disyunta de las prcticas internacionales. Es una
iniciativa complementaria y operacional. p y p
Se ajusta a la dinmica de negocios y cultural de la organizacin.
Integra las buenas prcticas de la industria: Cobit, ISM3, ITIL, entre otras.
Reflexiones finales
Medir en seguridad informtica es meditar y plantear en las
preguntas adecuadas
Medir en seguridad informtica es contextualizar las expectativas Medir en seguridad informtica es contextualizar las expectativas
de la alta gerencia
Medir en seguridad informtica no es ajustarse a lo expresado por
las buenas prcticas, es ajustarse a su propia dinmica de riesgos. p , j p p g
Medir en seguridad informtica es evidenciar el nivel de riesgo
permitido para desarrollar y potenciar los objetivos de negocio
Medir en seguridad informtica no es pensar en los datos sino en Medir en seguridad informtica no es pensar en los datos , sino en
lo que dicen y lo que significan los mismos para la gerencia.
Han cambiado las respuestas?
Declaraciones sobre las mtricas de seguridad de la informacin
Las mtricas debe ser objetivas y tangibles (F o V)
Las mtricas deben tener valores discretos (F o V)
Se requieren medidas absolutas y concretas (F o V)
Las mtricas son costosas (F o V)
Ud no puede administrar lo que no puede medir; por tanto no puede
mejorar lo que no puede administrar (F o V) j q p ( )
Es esencial medir los resultados (F o V)
Necesitamos los nmeros para expresarnos (F o V) p p ( )
Tomado y traducido de: Hinson, G. 2006
Para concluir
Recuerde que un buen sistema de mtricas en
id d i f ti b d l j seguridad informtica, no busca dar las mejores
respuestas o indicadores, sino la capacidad
organizacional para avanzar en la conquista de organizacional para avanzar en la conquista de
la falsa sensacin de seguridad .
Referencias
Information Security Forum (2006) Information security metrics. Disponible:
https://wwwsecurityforumorg/index htm https://www.securityforum.org/index.htm
Chew, E., Clay, A., Hash, J ., Bartol, N. y Brown. (2006) Guide for developing performance
metrics for information secuity. NIST. Disponible en:
http://csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf
Grandison, T., Bilger, M., OConnor, L., Graf, M., Swimmer, M. y Schunter, M. (2007)
Elevating the discussion on security management. Proceedings IEEE Business-Driven IT
Management Management.
Vaughn, R., Henning, R. y Siraj, A. (2003) Information assurance measures and metrics.
State of practice and proposed taxonomy. Proceedings of the 36th Hawaii International
Conference on System Sciences (HICSS03)
Longstaff, T. y Haimes, Y. (2002) A holistic roadmap for survivable infrastructure systems.
IEEE Transactions on systems, Man and cybernetics- Part A: Systems and Humans. Vol 32,
N 2 M h No.2. March.
Bellovin, S. (2008) On the brittleness of software and the infeasibility of security metrics. IEEE
Security & Privacy. J anary/February.
Savola, R. (2007) Towards a security metrics taxonomy for the information and
communicationtechnology industry. IEEE International Conference on Software Engineering
Advances(ICSEA 2007) d a ces( CS 00 )
Gottlieb, R. y Iyer, B. (2004) The four-domain architecture: An approach to support enterprise
architecture design. IBM System Journal. Vol.43 No.3
ISACA (2007) Cobit 4.1.
Rice, D. (2008) Geekonomics. The real cost of insecure software. Addison Wesley.
Cano, J . (2008) Entendiendo la inseguridad de la informacin. Editorial. Revista SISTEMAS.
No 105 ACIS No.105. ACIS.
Referencias
Hinson, G. (2006) Seven myths about information security metrics. IsecT Ltd. Disponible en:
http://wwwisect com http://www.isect.com
Koetzle, L., Yates, S., Kark, K. y Bernhardt. (2006) Howto measure what matters in security.
Forrester Research.
Kark, K. y Stamp, P. (2007) Defining an effective security metrics program. Forrester
Research.
Kark, K. y Nagel, B. (2007) The evolvingsecurity organization. Forrester Research.
S P (2008) M ki d i i l F R h
, y g , ( ) g y g
Stamp, P. (2008) Making data-centric security real. Forrester Research.
Kark, K. (2008) Seven habits of effective CISOs. Forrester Research.
Stakhanova, N., Basu, S. y Wong, J . (2007) A taxonomy of intrusion response systems.
International Journal Information and Computer Security. Vol.1 No.1/2.
Lee, J . y Lee, Y. (2002) A holistic model of computer abuse within organizations. Information
Management & Computer Security. Vol.10. No.2/3. Management & Computer Security. Vol.10. No.2/3.
Foltz, C. B. (2004) Cyberterrorism, computer crime and reality. Information Management &
Computer Security. Vol.12. No.2/3.
Kovacich, G. y Halibozek, E. (2006) Security metrics management. How to manage the cost
of an assets protection program. Butterworth-Heinemann.
J aquith, A. (2007) Security metrics: Replacing fear, uncertainty, and doubt. AdissonWesley.
Herrmann D (2007) Complete guide to security and privacy metrics Auerbach Herrmann, D. (2007) Complete guide to security and privacy metrics. Auerbach.
Shostack, A. y Stewart, A. (2008) The New School of Information Security. Addison Wesley.
Mtricas en Seguridad Informtica:
Una revisin acadmica
J i J C Ph D CFE J eimy J . Cano, Ph.D, CFE
GECTI
Facultad de Derecho
Universidad de los Andes
jcano@uniandes.edu.co