Métricas de Seguridad en Los SGSIs, para Conocer El Nivel de Seguridad de Los SSOO y de Los SGBD PDF

CIBSI 2011
VI Congreso Iberoamericano de
Seguridad Informática
MGSM-PYME
Métricas de seguridad en los SGSIs, para
conocer el nivel de seguridad de los SSOO y
de los SGBD
Antonio Santos-Olmo Parra Dr. Eduardo Fernández-Medina Paton

(Asolmo@Sicaman-nt.com) (Eduardo.FdezMedina@uclm.es)
Dr. Luis Enrique Sánchez Crespo Dr. Mario Piattini Velthuis
(Lesanchez@Sicaman-nt.com) (Mario.Piattini@uclm.es)
1.- Introducción
2.- Estado del arte
3.- Objetivos
4.- Proceso de medición
Contenido de la presentación
5.- Definición de controles
6.- Herramienta
7.- Resultados prácticos 1. Introducción.
8.- Conclusiones
Transparencia 2 2. Estado del arte.
3. Objetivos perseguidos en la investigación.
4. Desarrollo del proceso de medición.
5. Definición de los controles.
6. Herramienta.
7. Resultados prácticos.
Luis Enrique Sánchez Crespo
CIBSI 2011
Bucaramanga, Colombia 8. Conclusiones y trabajo futuro.
03 de Noviembre de 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
8.- Conclusiones
6. Herramienta.
CIBSI 2011
Introducción
1.- Introducción
2.- Estado del arte
Introducción
3.- Objetivos
6.- Herramienta
7.- Resultados prácticos
Uso de los SGSI: las Organizaciones en general, y PYMES en particular,
8.- Conclusiones han ido tomando consciencia de la necesidad que tienen de soluciones
en el ámbito de la seguridad de la información que tengan en cuenta
Transparencia 4
los objetivos de la empresa, aumentando el interés por esa seguridad
de la información en los últimos años.
- ¿Qué son los SGSI?: “un conjunto de procesos, políticas,

procedimientos, análisis y tests, organizados de forma lógica y
soportado por objetivos a nivel estratégico, estructurados
principalmente por los requisitos presentados en la norma ISO 27001”
basado en un modelo de evaluación y mejora continua (en ISO 27001,
el ciclo PDCA).
- “No se puede controlar lo que no se puede medir” => Si los controles

establecidos no se pueden medir, entonces no aportarán nada al SGSI.

CIBSI 2011
Bucaramanga, Colombia
Introducción
1.- Introducción
2.- Estado del arte
Introducción
3.- Objetivos
6.- Herramienta
-La ISO 27001 requiere que los controles sean mediables => La ISO
8.- Conclusiones 27004 aporta la forma de llevar a cabo dichas mediciones.
Transparencia 5
- El establecimiento de métricas con las que conocer el estado de la
seguridad resulta fundamental en la implantación y mantenimiento de
un SGSI, debiendo aparecer a la vez que se produce la implantación de
éste.
- Ese conocimiento del estado de la seguridad es importante en la

toma de decisiones.
- La publicación de la norma ISO 27004 es la prueba de que la

medición y evolución del estado son elementos vitales que se
comienzan a tener en cuenta. A día de hoy, es un aspecto poco
desarrollado en la gestión y mejora de los SGSI.

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
8.- Conclusiones
6. Herramienta.
CIBSI 2011
1.- Introducción
2.- Estado del arte
Estado del arte Estado del arte:
3.- Objetivos
4.- Proceso de medición Estándares analizados
6.- Herramienta
Hemos analizado los principales estándares de seguridad orientados a
la gestión y medición de la seguridad de los sistemas:
8.- Conclusiones
-Estándares FIPS (Federal Information Processing Standard) –

Transparencia 7
140-1 y 140-2: conjunto normalizado de códigos utilizados para
asegurar los datos, cubriendo áreas relacionadas con el diseño e
implementación de un módulo criptográfico.
- SSE-CMM (Modelo de Capacidad y Madurez en la Ingeniería de

Seguridad de Sistemas): modelo derivado del CMM. Describe
características fundamentales de los procesos que deben existir en
una Organización para asegurar una buena seguridad de sistemas.
Primera versión en 1997 y actualización en 2003.
- La Serie 800 del NIST (National Insitute of Standards and

Technology): agencia de la Administración de Tecnología del
Departamento de Comercio de los Estados Unidos.
-NIST SP 800-55 (“Métricas de Seguridad para Sistemas de
Tecnologías de la Información”): Publicada en 2003 y
revisada en 2007.
-NIST SP 800-80 “Guía para el desarrollo de métricas de
CIBSI 2011
seguridad de la información”: Publicada en 2006.
1.- Introducción
2.- Estado del arte
Estado
3.- Objetivos
del arte Estado del arte:
ISO27000
6.- Herramienta
7.- Resultados prácticos - Formada por los estándares relacionados con la seguridad de la
8.- Conclusiones información, ya desarrollados o en fase de desarrollo.
Transparencia 8
- Ofrecen un marco de gestión de la seguridad de la información,

formando un conjunto de normas que especifican los requisitos para
establecer, implantar, poner en funcionamiento, controlar, revisar,
mantener y mejorar un SGSI.
- Para implementar un SGSI y afrontar un proceso de auditoría

satisfactoriamente se requiere el conocimiento e interpretación de al
menos la 27001, 27002 y 27006.

CIBSI 2011
1.- Introducción
2.- Estado del arte
Estado
3.- Objetivos
ISO27000
6.- Herramienta
8.- Conclusiones
Transparencia 9

CIBSI 2011
1.- Introducción
2.- Estado del arte
Estado
3.- Objetivos
ISO27000
6.- Herramienta
- Las dos normas más importantes y base de la familia son la 27001 y la
8.- Conclusiones
27002.
Transparencia 10
- El resto de normas se consideran complementarias a la 27001 y la
27002, surgiendo como apoyo para la implementación en temas
específicos o el proceso de auditoría del SGSI.

CIBSI 2011
1.- Introducción
2.- Estado del arte
Estado
3.- Objetivos
ISO/IEC 27001:2005
6.- Herramienta Dos aspectos más destacados: descripción detallada de los controles y
7.- Resultados prácticos el método PDCA para aplicarlos.
8.- Conclusiones
- Se basa en un ciclo de vida PDCA para toda la estructura de procesos

Transparencia 11 del SGSI.

CIBSI 2011
1.- Introducción
2.- Estado del arte
Estado
3.- Objetivos
ISO/IEC 27002:2005
6.- Herramienta
Publicada en 2007, se corresponde con la ISO/IEC 17799:2005. Es una
guía de buenas prácticas para la implementación de un SGSI
8.- Conclusiones
describiendo los objetivos de control y controles recomendables
respecto a la seguridad de información. No es certificable. Tiene 11
Transparencia 12
cláusulas de control de seguridad o dominios, que cubren los
principales aspectos relacionados con la seguridad, conteniendo 39
objetivos de control y 133 controles.

CIBSI 2011
1.- Introducción
2.- Estado del arte
Estado
3.- Objetivos
ISO/IEC 27004:2009
6.- Herramienta
Publicada el 7 de Diciembre del 2009. Especifica las métricas de
seguridad y las técnicas de medida aplicables para determinar la
8.- Conclusiones
eficacia y eficiencia de la implantación de un SGSI y de los controles
relacionados. Estas métricas se usan principalmente para la medición
Transparencia 13
de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo
PDCA .
- Nace para marcar criterios de cara a una correcta medición de la

eficacia de un SGSI.
- No aporta una colección de métricas o indicadores a aplicar a

cualquier SGSI sino que establece una metodología para determinar la
efectividad de un SGSI mediante actividades y procesos sin establecer
medidores o usar resultados a conseguir.

CIBSI 2011
1.- Introducción
2.- Estado del arte
Estado
3.- Objetivos
ISO/IEC 27004:2009
6.- Herramienta
Objetivos:
8.- Conclusiones
• Facilitar la mejora de la efectividad de la seguridad de la
información.
Transparencia 14
• Evaluar la efectividad del SGSI y su mejora continua.
• Lograr información objetiva y análisis para ayudar en la revisión

de la gerencia, la toma de decisiones y justificar mejoras en los
controles.
• Evaluar la efectividad de los controles de seguridad y los

objetivos de control.
- ISO/IEC 27004 se basa en el modelo PDCA (Plan-Do-Check-Act) estando

las mediciones especialmente orientadas al “Do” (Implementación y
operación del SGSI), como una entrada para el “Check” (Monitorizar y
revisar), y así poder adoptar decisiones de mejora del SGSI mediante el
“Act”.
CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
8.- Conclusiones
6. Herramienta.
CIBSI 2011
1.- Introducción
2.- Estado del arte
Objetivos
3.- Objetivos Objetivos
6.- Herramienta
7.- Resultados prácticos Normativas
8.- Conclusiones
Herramientas
del mercado
Transparencia 16
¿Material ISO
27004? ¿ISO
27004?
Completa colección
de métricas
(Mediciones)
Herramienta
Web
 Accesibilidad
 Mantenimiento
 Costes
Caso práctico real
¿Cómo medir la Seguridad?

CIBSI 2011
1.- Introducción
2.- Estado del arte
Objetivos
6.- Herramienta
Objetivo: Crear mecanismos que permitan medir el nivel de seguridad
de los sistemas de información:
8.- Conclusiones
- Una valoración objetiva del nivel de riesgo del sistema.

Transparencia 17
- Un informe con los resultados de la auditoría, conteniendo
vulnerabilidades encontradas y recomendaciones.
- Un histórico de las auditorías realizadas al sistema, junto con los
resultados obtenidos.
Alcance:
- Desarrollo de los objetivos de control para cada ámbito.
- Automatización de parte de los objetivos de control.
- Utilización de la aplicación en entornos de desarrollo y
producción de empresas reales.

CIBSI 2011
1.- Introducción
2.- Estado del arte
Objetivos
6.- Herramienta
Las métricas para ser efectivas deben:
8.- Conclusiones
• Medir evolución de seguridad en el tiempo.
Transparencia 18
• Estar asociadas con impactos financieros, y ser coherentes con
los objetivos de seguridad implantados.
• Ser objetivas e imparciales.
• Ser predictivas, consistentes y relevantes para Organización y

toma de decisiones.
• Ser fuertes, confiables, defendibles y justificables.
• Poder derivar acciones, ser fáciles de recolectar, definir,

implementar e interpretar, y ser reproducibles.
• Estar ligados a los objetivos de negocio.
• Estar expresadas en números cardinales o porcentajes, y

detalladas con unidades de medida.
CIBSI 2011
1.- Introducción
2.- Estado del arte
Objetivos
6.- Herramienta
- Beneficios y ventajas por el uso de métricas:
8.- Conclusiones
• Mejor comprensión de riesgos y debilidades.
Transparencia 19
• Medición del desempeño de los controles.
• Apoyo a la toma de decisiones.
• Control de la situación real de la seguridad de la información.
• Apoyo a la racionalización de costes.
• Mayor eficacia de los procesos y actividades de seguridad de la

información, y actualización de tecnologías.
• Identificación de problemas emergentes.
• Verificación del cumplimiento de políticas y normativas.
• Mostrar la evolución de la cultura de seguridad de la

información.
CIBSI 2011
1.- Introducción
2.- Estado del arte
Objetivos
6.- Herramienta
Alcance inicial:
8.- Conclusiones
- Ámbitos de aplicación:
Transparencia 20  Windows 2003 Server
 SQL Server 2005, 2008
 Oracle 11i
Limitaciones:
- Funcionales: No todos los objetivos de control pueden ser
automatizados.
- Temporales: El número de objetivos de control que es
posible automatizar en el margen temporal marcado es de
doce.

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
8.- Conclusiones
6. Herramienta.
CIBSI 2011
1.- Introducción
2.- Estado del arte
Proceso de medición
3.- Objetivos
Proceso
4.- Procesode
demedición
medición
6.- Herramienta
- El coste de implantación de una métrica debe ser proporcional al
8.- Conclusiones
beneficio obtenido.
Transparencia 22
- Una forma de implantación seguir las fases del modelo PDCA
(como ISO 27004), haciendo coincidir su implementación con las fases
seguidas en ISO 27001.
- Desde el principio del ciclo PDCA, se debe considerar la escalabilidad

de las métricas ya que conforme se van agrupando deberán
proporcionar menos información de detalle aportándola de más alto
nivel para la toma de decisiones.
ISO/IEC 27001 ISO/IEC 27004
PLAN Establecer el SGSI Definir las métricas
DO Implementar y operar el SGSI Implantar las métricas
CHECK Supervisar y revisar el SGSI Revisar los datos de las

métricas
CIBSI 2011
Bucaramanga, Colombia ACT Mantener y mejorar el SGSI Revisar/Mejorar las métricas
1.- Introducción
2.- Estado del arte
3.- Objetivos
Proceso
4.- Procesode
demedición
medición
6.- Herramienta
Cálculo del nivel de securización del sistema:
8.- Conclusiones
Transparencia 23
NR = (([PTVE]*100)/[PTVP])
NS = 100 – NR
- NR: Nivel de riesgo.

- NS: Nivel de securización.
- PTVE: Puntuación total de las vulnerabilidades encontradas.
- PTVP: Puntuación total de las vulnerabilidades posibles.

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
Proceso
4.- Procesode
demedición
medición
6.- Herramienta
 Clasificación del riesgo:
8.- Conclusiones
Intervalo
Transparencia 24 Riesgo (según el nivel de Descripción
securización)
Sin Riesgo 90% - 100% No se han detectado fallos graves
Riesgo Se han detectado fallos de nivel

60% - 90%
potencial medio
Se han detectado uno o varios

Alto riesgo 0% - 60%
fallos de nivel alto

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
8.- Conclusiones
6. Herramienta.
CIBSI 2011
1.- Introducción
2.- Estado del arte
Definición de controles
3.- Objetivos
5.- Definición
de controles
6.- Herramienta
Objetivo de Control: declaraciones de los resultados deseados u
8.- Conclusiones objetivos a ser alcanzados.
Transparencia 26
Para cada objetivo de control se definirá:

- Identificador - Configuración correcta
- Nivel - Prueba
- Instante de aplicación - Escala de valoración
Niveles de valoración:
- Seguro: Valoración 0
- Inseguro: Valoración 1
- Muy Inseguro: Valoración 2

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
5.- Definición
de controles
6.- Herramienta
7.- Resultados prácticos Windows 2003 Server:
8.- Conclusiones
- 25 objetivos de control
Transparencia 27
- Nivel de seguridad máximo: 0
- Nivel de seguridad mínimo: 37
Nivel: Acceso Servicio Aplicaciones Gestión Red
Total O.C: 8 4 3 8 2

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
5.- Definición
de controles
6.- Herramienta
7.- Resultados prácticos SQL Server 2005:
8.- Conclusiones
Transparencia 28
- 26 de ellos automatizables
Nivel: General Servidor SGBD BD
Total O.C: 4 3 26 4

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
5.- Definición
de controles
6.- Herramienta
7.- Resultados prácticos Oracle 11i:
8.- Conclusiones
Transparencia 29
Nivel: General Servidor SGBD BD
Total O.C: 6 5 10 5

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
8.- Conclusiones
6. Herramienta.
CIBSI 2011
1.- Introducción
2.- Estado del arte
Herramienta de medición
3.- Objetivos
6.- Herramienta
Herramienta
Selección
8.- Conclusiones
de
conexión
Transparencia 31
Selección
de
aplicación
 Introducción de datos de la máquina a auditar.

 Selección de la aplicación a analizar.

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
Herramienta
El nivel de securización se actualizará a medida que vayamos
8.- Conclusiones cumplimentando objetivos de control, bien automáticamente,
bien de forma manual.
Transparencia 32
Cabecera
del informe
Objetivos
de control

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
Herramienta Comprobación de los Objetivos de control:
8.- Conclusiones
Transparencia 33
- Información sobre el Objetivo de control, incluyendo la

configuración adecuada del mismo, y sobre la prueba a realizar
para comprobar su cumplimento.
- Selección de la valoración para el Objetivo de Control. Para
cada valoración se ofrece su descripción.
- El auditor puede añadir las observaciones que considere
oportunas de cara al informe.
CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
Herramienta
- Según la aplicación a auditar, se obtendrá un listado con los
8.- Conclusiones objetivos de control correspondientes, indicando cuales se
comprueban de forma automática y cuales hay que comprobar
Transparencia 34 manualmente.
- Una vez cumplimentados todos los objetivos de control, se

obtendrá el nivel de securización de la aplicación auditada.
- El nivel de securización se obtendrá a partir de la

discretización de los objetivos de control y su posterior
ponderación. La puntuación obtenida sobre la máxima
puntuación posible nos permitirá obtener un valor discretizado
de securización para nuestra aplicación.

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
Herramienta
Otras operaciones:
8.- Conclusiones
- Modificación de la valoración de los objetivos de control,
Transparencia 35
tanto de los manuales como de los automáticos:
 No se está de acuerdo con la valoración calculada por la
aplicación. En el caso de los objetivos automatizados, la
aplicación obtiene automáticamente una valoración,
aunque se ofrece al auditor la posibilidad de cambiarla a su
criterio.
 Se desea añadir información complementaria.
- Almacenaje del informe de auditoría en el histórico,
posibilitando acceder a él en cualquier momento futuro.
- Generar un documento en Word con el informe de auditoría.

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
Herramienta
8.- Conclusiones
Histórico de
Transparencia 36
auditorías
- Listado de los informes de auditoría almacenados, ordenados

por fecha.
- Seleccionando un informe, se accede a su detalle.
CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
Herramienta
8.- Conclusiones
Cabecera
del
Transparencia 37 informe
Valoración
de Objetivos
de control
- Informe: Listado de los objetivos de control, junto a su

calificación en cuanto a cumplimiento, de forma general.
- Seleccionando un objetivo de control, se accede a su detalle.

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
Herramienta
Detalle de un Objetivo de control:
8.- Conclusiones
Transparencia 38
Se recupera información sobre:

- La valoración del Objetivo de control y la prueba realizada
para verificar su cumplimiento.
- Las recomendaciones propuestas por la aplicación.
- Las observaciones anotadas por el auditor referentes a
dicho Objetivo de control.
CIBSI 2011
1.- Introducción
2.- Estado del arte
ISM2
3.- Objetivos
4.- Proceso de medición Herramienta para la Gestión de Métrica de SGSIs
6.- Herramienta
Herramienta
Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez.
8.- Conclusiones
Transparencia 39

CIBSI 2011
1.- Introducción
2.- Estado del arte
ISM2
3.- Objetivos
6.- Herramienta
Herramienta
8.- Conclusiones
Transparencia 40

CIBSI 2011
1.- Introducción
2.- Estado del arte
ISM2
3.- Objetivos
6.- Herramienta
Herramienta
8.- Conclusiones
Transparencia 41

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
8.- Conclusiones
6. Herramienta.
CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos Pruebas
6.- Herramienta
Pruebas de auditoría sobre servidores reales de las
Resultados
8.- Conclusiones instalaciones de la empresa Sicaman Nuevas Tecnologías:
- Servidores W2003 de Producción y Desarrollo
Transparencia 43
- Servidores SQL Server 2005 de Producción y Desarrollo

- Servidor Oracle 11i
Resultados obtenidos:
Securización/ SQL
Windows Securización
SERVER Oracle 9i
Servidor 2000 media
2000
Servidor
desarrollo [SQL] 51,35 52,83 - 52,22
Servidor
desarrollo 51,35 - 52,27 51,85
[ORA]
Servidor
Luis Enrique Sánchez Crespo producción 72,97 73,58 - 73,33
CIBSI 2011 [SQL]
1.- Introducción
2.- Estado del arte
3.- Objetivos
Conclusiones y Trabajo futuro
6.- Herramienta
7.- Resultados prácticos - El entorno de producción de SNT tiene un nivel de securización
8.- Conclusiones
Conclusiones
medio, tanto a nivel de servidor, como a nivel de aplicaciones
individuales. Sería aconsejable seguir las recomendaciones
Transparencia 44
obtenidas de las auditorías, sobre todo teniendo en cuenta que es
un entorno de producción.
- El entorno de desarrollo de SNT tiene un nivel de securización

bajo, tanto a nivel de servidor, como a nivel de aplicaciones
individuales, y tanto para entornos SQL Server como para
entornos Oracle. Lo aconsejable para un entorno de desarrollo es
situar el riesgo en un nivel medio, por lo que se aconseja seguir
las recomendaciones de los informes de auditoría.

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
6.- Herramienta
8.- Conclusiones
6. Herramienta.
CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos Conclusiones y Trabajo futuro
6.- Herramienta
8.- Conclusiones
Conclusiones
 Estudio de la normativa vigente en materia de métricas…
Transparencia 46
FIPS 140-1, FIPS 140-2, NIST SP 800-53, NIST SP 800-55, NIST SP 800-80,
familia ISO/IEC 27000 (ISO 27001, ISO 27002, ISO 27004)
 Estudio de herramientas existentes en el mercado…
MGSM-PYME, S2GSI, herramienta para el cálculo del GAP ISO 27001 de

SIGEA, ISOTools, GlobalSGSI y Ecija | SGSI

CIBSI 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
Conclusiones y Trabajo futuro
6.- Herramienta
Herramienta desarrollada: Aplicación que permite obtener de
8.- Conclusiones forma (en alto grado) automática:
- Una valoración del grado de securización de un sistema.
Transparencia 47
- Listado de puntos débiles detectados.

- Recomendaciones para aumentar el nivel de seguridad.
Ventajas sobre la auditoría manual:

- Bajo coste en recursos y tiempos.
- Generación automática de informes de auditoría.
- Obtención automática de configuraciones adecuadas,
recomendaciones y pruebas de verificación.
- Histórico de auditorías.

CIBSI 2011
1.- Introducción
2.- Estado del arte
6.- Herramienta
8.- Conclusiones
Conclusiones
Transparencia 48
 Más Mediciones. Varias para cada Control
 Dividir Mediciones
 Más Indicadores y Medidas para las Mediciones
 Nuevos tipos de Indicadores
 Ampliar números rangos de % y señalización para

ellos
CIBSI 2011
1.- Introducción
2.- Estado del arte
6.- Herramienta
8.- Conclusiones
Conclusiones
Transparencia 49
 Informe en pdf
 Gráficos de histórico
 Nuevos tipos de usuario
 Desarrollar parte de auditoría
 Avisos de situaciones críticas. Más rangos %.
 Posibilidad de diferenciar entre Organización

grande y PYME para una adecuada gestión del
estado del SGSI adaptada a cada una.
 Integración de la herramienta en sistemas para

automatización de actualizaciones y revisiones

CIBSI 2011
CIBSI 2011
VI Congreso Iberoamericano de
Seguridad Informática
Gracias por su atención
Dr. Luis Enrique Sánchez Crespo Dr. Eduardo Fernández-Medina Paton

(Lesanchez@Sicaman-nt.com) (Eduardo.FdezMedina@uclm.es)
Esther Álvarez Gonzalez Dr. Mario Piattini Velthuis
(Ealvarez@in-nova.org) (Mario.Piattini@uclm.es)

Métricas de Seguridad en Los SGSIs, para Conocer El Nivel de Seguridad de Los SSOO y de Los SGBD PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Métricas de Seguridad en Los SGSIs, para Conocer El Nivel de Seguridad de Los SSOO y de Los SGBD PDF

Cargado por

Copyright:

Formatos disponibles

CIBSI 2011

Antonio Santos-Olmo Parra Dr. Eduardo Fernández-Medina Paton

Transparencia 2 2. Estado del arte.

3. Objetivos perseguidos en la investigación.

4. Desarrollo del proceso de medición.

5. Definición de los controles.

Transparencia 3 2. Estado del arte.

3. Objetivos perseguidos en la investigación.

4. Desarrollo del proceso de medición.

5. Definición de los controles.

- ¿Qué son los SGSI?: “un conjunto de procesos, políticas,

- “No se puede controlar lo que no se puede medir” => Si los controles

Luis Enrique Sánchez Crespo

- Ese conocimiento del estado de la seguridad es importante en la

- La publicación de la norma ISO 27004 es la prueba de que la

Luis Enrique Sánchez Crespo

Transparencia 6 2. Estado del arte.

3. Objetivos perseguidos en la investigación.

4. Desarrollo del proceso de medición.

5. Definición de los controles.

-Estándares FIPS (Federal Information Processing Standard) –

- SSE-CMM (Modelo de Capacidad y Madurez en la Ingeniería de

- La Serie 800 del NIST (National Insitute of Standards and

- Ofrecen un marco de gestión de la seguridad de la información,

- Para implementar un SGSI y afrontar un proceso de auditoría

Luis Enrique Sánchez Crespo

Luis Enrique Sánchez Crespo

Luis Enrique Sánchez Crespo

- Se basa en un ciclo de vida PDCA para toda la estructura de procesos

Luis Enrique Sánchez Crespo

Luis Enrique Sánchez Crespo

- Nace para marcar criterios de cara a una correcta medición de la

- No aporta una colección de métricas o indicadores a aplicar a

Luis Enrique Sánchez Crespo

• Evaluar la efectividad del SGSI y su mejora continua.

• Lograr información objetiva y análisis para ayudar en la revisión

• Evaluar la efectividad de los controles de seguridad y los

- ISO/IEC 27004 se basa en el modelo PDCA (Plan-Do-Check-Act) estando

Transparencia 15 2. Estado del arte.

3. Objetivos perseguidos en la investigación.

4. Desarrollo del proceso de medición.

5. Definición de los controles.

¿Cómo medir la Seguridad?

- Una valoración objetiva del nivel de riesgo del sistema.

Luis Enrique Sánchez Crespo

• Ser objetivas e imparciales.

• Ser predictivas, consistentes y relevantes para Organización y

• Ser fuertes, confiables, defendibles y justificables.

• Poder derivar acciones, ser fáciles de recolectar, definir,

• Estar ligados a los objetivos de negocio.

• Estar expresadas en números cardinales o porcentajes, y

• Apoyo a la toma de decisiones.

• Control de la situación real de la seguridad de la información.

• Apoyo a la racionalización de costes.

• Mayor eficacia de los procesos y actividades de seguridad de la

• Identificación de problemas emergentes.

• Verificación del cumplimiento de políticas y normativas.

• Mostrar la evolución de la cultura de seguridad de la

Luis Enrique Sánchez Crespo

Transparencia 21 2. Estado del arte.

3. Objetivos perseguidos en la investigación.

4. Desarrollo del proceso de medición.

5. Definición de los controles.