Upload
duongthien
View
223
Download
0
Embed Size (px)
Citation preview
© Ing. Carlos Ormella [email protected] msi - 1
Ing. Carlos Ormella Meyer
Marzo 2015
Introducción a las
Métricas de Seguridad
de la Informacióny su Aplicación enNuevos Escenarios
© Ing. Carlos Ormella [email protected] msi - 2
Agenda• Tema 1: Seguridad de la Información y
Seguridad Informática.
• Tema 2: Evaluación de la concientización
• Tema 3: Oportunidades y Riesgos Positivos
• Tema 4: Efectividad de los Controles y Balanced Scorecard (BSC)
• Tema 5: Móviles BYOD
• Tema 6: IoT (Internet de las Cosas)
• Tema 7: Herramientas de Ciberseguridad
• Tema 8: Big data y Analítica
© Ing. Carlos Ormella [email protected] msi - 3
Seguridadde laInformaciónSeguridadInformática
Vulnerab. y Amen. TIC• Virus• Spam - Phising• Contraseñas• Ataques DoS• Internet, e-mail, etc.
Vulnerab. Organiz., Operac. y Físicos• Ausencia de Normas y Políticas• Control insuficiente de cambios• Actitud y comportamiento personal• Errores, actos deliberados personal• información verbal o en papel, etc.
Seguridad Información vs. Informática
© Ing. Carlos Ormella [email protected] msi - 4
• Los resultados se han semaforizado en 3 niveles(rojo/amarillo/verde) con límites al 50% y 75% ypueden presentarse gráficamente de distintasmaneras.
Efectividad de la Concientización
© Ing. Carlos Ormella [email protected] msi - 5
• La norma ISO 31000, a la que se ajusta la nuevaversión de la ISO 27001, ha redefinido los riesgoscomo inseguridad en el logro de objetivos.
• Esto implica que, además de los riesgostradicionales de efectos negativos, puede haberriesgos de efectos positivos que constituyenOportunidades que se pueden aprovechar.
• Pueden encontrarse oportunidades existentes quepodrían mejorarse y lograr mayor aprovechamiento.
• Pero también se pueden generar oportunidades.• Por ejemplo, un plan de Concientización que permita
luego verificar los niveles de conocimiento, actitud ycomportamiento que se hayan inducido.
Oportunidades: Riesgos positivos
© Ing. Carlos Ormella [email protected] msi - 6
• Las Oportunidades pueden tratarse en forma similara los Riesgos, en cuanto a establecer en formacualitativa el nivel a partir del impacto que puedecausar su aprovechamiento y la probabilidad deque se produzca tal situación
• A la inversa de los riesgos, en que los de mayoresprobabilidades e impactos son los primeros que hayque mitigar, tales valores mayores con lasoportunidades señalan las oportunidades másconvenientes para aprovechar.
• Las métricas a aplicar para las oportunidadespueden basarse apelando a ROSI (Retorno Sobre lainversión en Seguridad de la Información).
Oportunidades: Riesgos positivos
© Ing. Carlos Ormella [email protected] msi - 7
Mapa de Oportunidades y Riesgos
3
2
1
3
2
1
5 4 3 2 1 1 2 3 4 5 Alto Medio Medio Medio Bajo Bajo Medio Medio Medio Alto alto bajo bajo alto
OPORTUNIDADES RIESGOS
Alta
Media
Baja
Alta
Media
Baja
Probab. Probab.
Impacto Impacto
Color Oportunidades Riesgos
Rojo Las más aprovechables Los más críticos a mitigar
AmarilloLas que podrían aprovecharse,sobre todo si se mejoran
Los que conviene mitigar
VerdeLas menos aprovechables peroque podrían mejorarse
Los menos riesgosos
© Ing. Carlos Ormella [email protected] msi - 8
• La efectividad de los controles implementados sepuede establecer por medio de métricas.
• La norma ISO 27004 establece el marco de trabajoy las características que deben dichas métricas,pero no estipula detalles de cuáles son.
• Para eso pueden usar dos publicaciones NIST.•• La La NIST 800-55v1 NIST 800-55v1 ofrece una guofrece una guíía sobre ma sobre méétricastricas
respecto a los controles de seguridad respecto a los controles de seguridad NISTNIST..•• Por su parte, Por su parte, NIST 800-53 NIST 800-53 define dichos controlesdefine dichos controles
y los mapea a controles de la norma y los mapea a controles de la norma ISO 27002ISO 27002..•• Se puede elaborar una tabla de mapeo inverso, deSe puede elaborar una tabla de mapeo inverso, de
controles controles ISO 27002ISO 27002 a controles a controles NISTNIST, y usar as, y usar asíílas las métricas respectivas de NIST 800-55.
Efectividad de los controlesEfectividad de los controles
© Ing. Carlos Ormella [email protected] msi - 9
• Más amplio y completo resulta al aplicar la metodologíaGQM (Métricas de Metas por Cuestionario).
• GQM parte de establecer Metas para luego plantearPreguntas cuyas Respuestas serán las Métricas.
• Meta: Seguridad de los recursos humanos.• Preguntas: ¿Cuáles fueron los resultados de un plan
de concientización?• Métricas:
a) % del total del personal que asistieron al programa.b) % del total del personal con roles y
responsabilidades significativas.c) % del porcentajes obtenidos en cuanto a criterios de
conocimiento, actitud y comportamiento en una encuesta posterior?
Efectividad de los controles
© Ing. Carlos Ormella [email protected] msi - 10
• Más completo es el Balanced Scorecard (BSCBalanced Scorecard (BSC)) para paraiimplementar la estrategia, además de la efectividad ygestión de las medidas y controles, y que ademásbalancea indicadores financieros y no financieros.indicadores financieros y no financieros.
•• El El BSCBSC usa usa cuatro Perspectivascuatro Perspectivas::1) Finanzas1) Finanzas2) Clientes2) Clientes3) Procesos internos3) Procesos internos4) Aprendizaje y Crecimiento4) Aprendizaje y Crecimiento
•• El El BSCBSC se compone de se compone de dos partes o seccionesdos partes o secciones::1) 1) Mapa EstratMapa Estratéégico:gico: consta de consta de objetivosobjetivos estratestratéégicosgicos
enlazados por relaciones de enlazados por relaciones de causa y efectocausa y efecto..2) 2) Tablero de Control o de Comando: Tablero de Control o de Comando: es la parte mes la parte mááss
conocida del conocida del Balanced ScorecardBalanced Scorecard..
Efectividad de los Controles
© Ing. Carlos Ormella [email protected] msi - 11
Tablero de Control del BSCIndicadoresIndicadoresIndicadores MetasMetasMetas
ObjetivosestratégicosObjetivosObjetivos
estratestratéégicosgicosIniciativasIniciativasIniciativas
ObjetivosObjetivos Lo que se quiere conseguir.Lo que se quiere conseguir.
IndicadoresIndicadoresParParáámetros basados en metros basados en mméétricastricaspara monitorear el progreso hacia elpara monitorear el progreso hacia elalcance de cada objetivo.alcance de cada objetivo.
Metas/hitosMetas/hitos((targetstargets))
Lo que quiere lograrse a lo largo delLo que quiere lograrse a lo largo deltiempo; se mide con indicadores.tiempo; se mide con indicadores.
IniciativasIniciativasPlanes para lograr los objetivos y lasPlanes para lograr los objetivos y lasmetas correspondientes.metas correspondientes. E
n c
/Per
spec
tiva
:
• Los objetivos estratégicos derivan en operacionalescon sus indicadores, metas e iniciativas propias.
Efect
ivid
ad
© Ing. Carlos Ormella [email protected] msi - 12
Métricas de seguridad y BSC• Los objetivos operacionales de seguridad se
mapean en objetivos de control y las iniciativas encontroles de la ISO 27002 (versión 2005 en la Figura)para cumplir los objetivos y metas deseados.
Efect
ivid
ad
© Ing. Carlos Ormella [email protected] msi - 13
• BYOD (“Traiga su propio dispositivo”) se refiere aque los empleados de una empresa traigan y usensus dispositivos móviles, como tablets y celularesinteligentes para acceder a información de la misma.
• Este nuevo foco en la seguridad de la información anivel corporativo, exige establecer seguridad física,protección lógica de la información residente,protección de acceso y conectividad adecuada.
• Se implementa con políticas de uso, incluyendorequisitos, procedimientos y guías, así comotambién responsabilidades, y verificacionesconstantes, aplicando métricas adecuadasdefinidas mediante el mecanismo GQM.
Móviles BYOD
© Ing. Carlos Ormella [email protected] msi - 14
• IoT es la interconexión digital de objetos cotidianos.• Esto incluye automóviles y dispositivos conectados a
computadoras, incluyendo celulares, móviles,sensores industriales, ciudades inteligentes, etc.
• Las vulnerabilidades más frecuentes son la falta deautenticación y la encripción de las transmisiones,expuestas tanto a ataques de botnet como aAmenazas Persistentes Avanzadas (APT), esdecir, un conjunto de procesos sigilosos y continuos,a veces producidos por el hombre, para penetrar laseguridad de una entidad específica.
• Las métricas deben revisar la correlación de tráficos,registros, contextos e información externa.
IoT – Internet de las Cosas
© Ing. Carlos Ormella [email protected] msi - 15
• Tres Servicios: SaaS, PaaS e IaaS. Con SaaS secontratan las aplicaciones, PaaS ofrece plataforma paradesarrollo, e IaaS plataforma de hardware.
• Formas de Implementación: Nube Privada, Comunitaria,Pública e Híbrida.
• Tres herramientas para complementar la ISO 27001 y laISO 27017 (controles para ciberseguridad):a) CSF de NIST con mapeado a controles ISO 27001.b) CCM de CSA también se mapea a la ISO 27001.c) Controles críticos de SANS
• También SIEM (Gestión de eventos de seguridad de lainformación), recoge y analiza datos, y produce alertas.
• Métricas, SLA (Acuerdos de Nivel de Servicio) analizadobajo GQM.
Ciberseguridad
© Ing. Carlos Ormella [email protected] msi - 16
• Big Data: gestión y análisis de gran variedad de datos,producidos tanto por dispositivos como por personas,generalmente soportados en infraestructuras de Nubes.
• Big Data se puede definir con cinco indicadores llamados5v, aunque los tres primeros son los más mencionados.1) Volumen, grandes cantidades de datos: medidos en
Terabytes (1012), Petabytes (1015), y Exabytes (1018).2) Variedad, datos de tres tipos:
a) Estructurados: Los de bases de datos relacionales,b) Semiestructurados: Registros internos y de
servidores, seguimiento de clics en Internet.c) No estructurados: Datos que no pueden almacenarse
en una base de datos tradicional, tales como imágenes,video, audio, etc., y texto de redes sociales, foros, e-mails, archivos Powerpoint y Word, etc.
Big Data y Analítica
© Ing. Carlos Ormella [email protected] msi - 17
3) Velocidad, con que se reciben los datos.4) Veracidad, como resultado de análisis y validación de su
utilidad para mejorar la toma de decisiones.5) Valor, de los datos para los negocios.
• Analítica de Big Data es una extensión para Big Data delData Analytics para examinar grandes volúmenes de datoscon variedad de tipos de datos, que se generan a altavelocidad, para establecer patrones ocultos, correlaciones,tendencias de mercado, preferencias de clientes, etc.
• Su uso se viene difundiendo especialmente en bancos,compañías de tarjetas de crédito para prevenir el fraude oidentificar robos, y negocios minoristas.
• Las métricas son las propias de la Computación en la Nube,así como las previstas para firewalls virtualizados.
Big Data y Analítica
© Ing. Carlos Ormella [email protected] msi - 18
Ing. Carlos Ormella Meyer
www.angelfire.com/la2/revistalanandwan
Para mayor información