trabajo de investigación. definición d… · estándares de seguridad internacionales más...
Post on 24-Sep-2020
13 Views
Preview:
TRANSCRIPT
V Congreso Iberoamericano de Seguridad Informática.
Bucaramanga (Colombia)
Daniel Villafranca (dvillafranca@deltanet.es)
DELTANET-SI. R+D Department
Eduardo Fernández-Medina (Eduardo.FdezMedina@uclm.es)
Mario Piattini (Mario.Piattini@uclm.es)
GSyA &ALARCOS Research Group
University of Castilla-La Mancha
SPAIN
CIBSI 2011
Definición de un modelo automatizado para
la evaluación y mantenimiento de un SGSI
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 2 de 26
Introducción
Antecedentes
Revisión de la metodología para la selección de métricas
para la construcción del CMI de la Seguridad
Definición de la herramienta para la evaluación y el
mantenimiento del SGSI.
Conclusiones y próximos trabajos
Indice
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 3 de 26
Introducción
Antecedentes
Revisión de la metodología para la selección de métricas
para la construcción del CMI de la Seguridad
Definición de la herramienta para la evaluación y el
mantenimiento del SGSI.
Conclusiones y próximos trabajos
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 4 de 26
En los últimos años se ha experimentado un creciente interés de las empresas por la seguridad de la información. Este hecho se ve impulsado por diferentes factores con distinto origen.
Una de las herramientas más importantes para los SGSI es el Cuadro de Mando Integral (CMI) de la Seguridad. Desde su aparición en 1992 los CMI han sido usados por centenares de organizaciones como un medio para describir su estrategia y medir su rendimiento. Los CMI son muy útiles porque permiten obtener y agrupar la información más relevante y útil para la toma de decisiones,
La implantación de Cuadros de Mando para la Gestión de Seguridad es, por tanto, un proceso complejo. Cerca del 70% de los proyectos dedicado a plantear Cuadros de Mando fracasan o son abandonados tras su implantación [2].
En este artículo se revisa la definición de una metodología que apoyándose en los estándares de seguridad internacionales más importantes (como ISO/IEC 27000, CobIT o NIST), va a permitir evaluar el éxito del desarrollo y la implantación de un SGSI en una organización (principalmente PYMES).
Introducción (I). La gestión de la Seguridad y los CMI
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 5 de 26
Introducción
Antecedentes
Revisión de la metodología para la selección de métricas
para la construcción del CMI de la Seguridad
Definición de la herramienta para la evaluación y el
mantenimiento del SGSI.
Conclusiones y próximos trabajos
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 6 de 26
Las definiciones de métricas no siempre tienen en cuenta el entorno o el
contexto en el cual serán aplicadas. Es por ello la necesidad de realizar una
clasificación de las mismas.
Entre los principales modelos de referencia encontramos:
» El modelo COBIT (de ISACA) propone una estructura de indicadores basados
en Indicadores Clave del Rendimiento (KPI), Indicadores clave de logros (KGI) y
los Factores críticos del éxito (FCE).
» El NIST (National Institute of Standards and Technology) realiza un enfoque más
práctico en la evaluación y selección de estos indicadores que van a definir la
métrica, tales como el tipo de control, propósito de medida, valores, etc.,
» La familia de normas ISO/IEC 27000, que es el grupo de estándares, dedicado a
la definición de los SGSI (Sistemas de Gestión de Seguridad de la Información).
Esta familia, formada por 5 estándares internacionales, abarca los requisitos de
los sistemas de gestión de la seguridad, la gestión del riesgo, métricas y
medidas, guías de implantación, glosario de términos y mejora continua.
Marcos de referencia
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 7 de 26
Uno de los aspectos que tienen en común estas metodologías es que la
creación de un sistema de gestión y que éste debe basarse en los procesos
que la organización ejecuta, aunque no quedan claramente
personalizados en los indicadores y métricas que propugnan.
Problemática
Hemos observado que para la implantación
de un SGSI es fundamental tener pocos
indicadores al principio pero bien
definidos, exponiendo de una forma clara lo
que está midiendo, porqué y para qué.
Cada compañía tiene intereses distintos en
materia de seguridad, y las métricas se
deben establecer de acuerdo al objeto que
se esté tratando de proteger y medir, así
como a la situación de la empresa
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 8 de 26
Introducción
Antecedentes
Revisión de la metodología para la selección de métricas
para la construcción del CMI de la Seguridad
Definición de la herramienta para la evaluación y el
mantenimiento del SGSI.
Conclusiones y próximos trabajos
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 9 de 26
Los objetivos que nos hemos marcado en nuestra investigación previa han
perseguido automatizar y optimizar el proceso de selección de indicadores y
definición de las métricas de seguridad para la construcción de un Cuadro
de Mandos Integral para la Seguridad.
En dicho proceso se partía de:
» Unos indicadores de seguridad predefinidos que según la naturaleza de la
organización en la que se planteaba implantar el SGSI.
» Otros indicadores que disponemos previamente del trabajo previo realizado en
la empresa.
» Otros indicadores que serán necesarios obtener, para ir construyendo las
métricas que conformarán el CMI para los objetivos que son definidos por la
gerencia
Objetivos de nuestra metodología
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 10 de 26
Además del Modelo de Madurez (expuesto en otros trabajos), para adaptar a las
necesidades de los estándares a las necesidades de seguridad de las PYMES,
decidimos también desarrollar una metodología propia para construir nuestro CMI y
así evaluar nuestro SGSI.
Descripción del proceso de selección de métricas
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 11 de 26
El grado de desarrollo del cuadro de mando, y por consecuencia, de las
métricas y de los indicadores, irá reflejando el nivel de madurez de la
compañía.
El elemento central de nuestro proceso es el sistema experto que nos va a
permitir seleccionar los mejores indicadores justificado en el trabajo que
realizaría un auditor experto
En base a las métricas e indicadores seleccionados y organizados, el CMI
nos va a aportar:
» Control de la gestión de la seguridad relacionando los objetivos de la organización con el
SGSI.
» Perspectiva histórica sobre las mejoras y evolución del SGSI
» Una referencia o comparación (benchmarking) interno y externo de nuestras métricas con
las de otras organizaciones.
» Una herramienta de información a la Dirección para soporte a la toma de decisiones.
» Relacionar la seguridad con los objetivos de la empresa o del departamento.
Otras características
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 12 de 26
En base a las métricas e indicadores seleccionados y organizados, el CMI
nos va a aportar:
» Control de la gestión de la seguridad relacionando los objetivos de la organización con el
SGSI.
Algunos resultados
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 13 de 26
Marcos de referencia
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 14 de 26
El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar
y comunicar datos relacionados con los procesos de la Seguridad de la Información.
Tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de
información, y los sistemas que la gestionan, y demostrar objetivamente la eficacia y
eficiencia de los controles de seguridad y/o del sistema de gestión de la seguridad
con la finalidad de sustituirlos, corregirlos, modificarlos o mejorarlos.
Mientras hay algunos autores(1) que parecen mantener que las diferencias entre
mesure, metric e indicator, es el “grado de evolución o de jerarquía” -que iría desde
los datos en bruto (measures) hasta los objetivos de las entidades (indicators)
pasando por la medición de la eficacia y la eficiencia (metrics)- otros documentos
observan los indicadores como targets, entendidos estos como resultados o estados
deseados o deseables de las operaciones (metrics) realizadas(2).
_________________________
1 Mañas, José A. Security Metrics and Measurements for IT. UPGRADE, Vol. VI, Nº 4, August 2005.
2 NIST Special Publication 800-80. Initial Public Draft. Guide to Performance Metrics for Information Security. April 2006.
Métricas, medidas e Indicadores: Conceptos previos
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 15 de 26
El Cuadro de mando integral (CMI) aplicado a la seguridad será la herramienta
que nos permitirá evaluar y revisar de una forma rápida el estado del SGSI.
La definición de las métricas deberá tener en cuenta varios aspectos:
¿Para qué? (queremos medir): Medir la evolución de la seguridad de un sistema o
producto, la capacidad de la organización, dónde hay que hacer hincapié en la
mejora de la seguridad.
¿Qué? (queremos medir): Cantidad y tipo de amenazas, Incidentes y sus impactos,
Vulnerabilidades y puntos débiles.
¿Cómo? (podemos medirlo): ¿Cómo convertimos la información en datos
válidos?¿Qué fuentes y herramientas necesitamos?
El objetivo principal del uso de las métricas es que proporcionen una información cuantitativa (porcentajes, medias, números)
Indicadores y métricas de seguridad en la construcción del CMI
de la seguridad (1): Métricas de seguridad y CMI
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 16 de 26
En ocasiones, surgen problemas para la definición de la métrica en el ámbito de la PYME, siendo algunos de los principales son:
» Las métricas no están siempre definidas en un contexto en donde el objetivo o interés que se pretende su utilización es explícito.
» Las definiciones de métricas no siempre tienen en cuenta el entorno o el contexto en el cual serán aplicadas.
» Aunque el objetivo es explícito, las hipótesis experimentales a menudo no están hechas de forma explícita.
» No es posible realizar una adecuada validación teórica de las métricas porque el atributo que se pretende cuantificar no está bien definido.
» Un gran número de métricas no han sido nunca objeto de validación empírica
Indicadores y métricas de seguridad en la construcción del CMI
de la seguridad (2): Problemas en la definición de métricas
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 17 de 26
Indicadores y métricas de seguridad en la construcción del CMI
de la seguridad (3): Gobierno de las TI
Se representa un enfoque para el gobierno de
TI. La dirección operacional usa procesos para
organizar y administrar las actividades
cotidianas de TI.
Se establecen equivalencias entre los modelos
de procesos COBIT y las áreas principales del
gobierno de TI, ofreciendo así un puente entre
lo que los responsables de seguridad y
operaciones deben realizar y lo que la gerencia
desea controlar.
Por otro lado, el concepto del Gobierno de las TI surge como respuesta a la brecha existente entre las expectativas y los resultados obtenidos en el uso de las TI
Para lograr un gobierno efectivo, la seguridad de la información es fundamental. La gerencia espera que los controles a ser implementados por los responsables de las operaciones se encuentren dentro de un marco de control definido para todo los procesos de TI. COBIT da soporte al gobierno de TI
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 18 de 26
Introducción
Antecedentes
Indicadores y Métricas de seguridad en la construcción
del CMI de la Seguridad
Proceso de construcción del CMI de Seguridad
Metodología para la construcción de un CMI de la Seguridad
Descripción detallada del proceso de Selección de métricas
de seguridad
Conclusiones y próximos trabajos
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 19 de 26
El Cuadro de Mando de Seguridad de la Información es una herramienta de control de gestión que traduce la estrategia de seguridad en un conjunto de objetivos relacionados
Existen principalmente dos metodologías para la construcción de un Cuadro de Mando: top-down y bottom-up, siendo el criterio que determina la elección de una u otra la finalidad del mismo:
Construcción del CMI de seguridad: Metodologías
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral
20 de 26
Proceso estándar de construcción de CMI (I): Perspectivas de
nuestro CMI de seguridad
Nuestro modelo propone cinco dominios para agrupar la información presentada.
El CMI irá variando sus indicadores en cada uno de los dominios y ciclos según el nivel de madurez y los objetivos del plan de SGSI que se hayan definido al inicio
Partiendo de una clasificación práctica basada en nuestra experiencia de las
mediciones realizadas en las empresas, hemos realizado una clasificación
global en cinco categorías :
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 21 de 26
Introducción
Antecedentes
Indicadores y Métricas de seguridad en la construcción
del CMI de la Seguridad
Proceso de construcción del CMI de Seguridad
Metodología para la construcción de un CMI de la
Seguridad
Descripción detallada del proceso de Selección de métricas
de seguridad
Conclusiones y próximos trabajos
Todos los elementos anteriores se recogen en el siguiente esquema, que se ha
ido refinando y conformando según se presenta en la siguiente figura:
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral
22 de 26
Proceso estándar de construcción de CMI (II): Esquema general
de la metodología
El proceso de obtención del CMI de seguridad, a partir de los objetivos del SGSI, la auditoría preliminar realizada y y los indicadores clave recogidos
Tiene en cuenta es el nivel de madurez que tiene la empresa en ese momento y el esquema seleccionado para la empresa
Hace uso de la experiencia anterior y de los valores de referencia (benchmarks) que se obtienen a partir de las empresas u organizaciones que se dedican a la misma actividad
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 23 de 26
Introducción
Antecedentes
Indicadores y Métricas de seguridad en la construcción
del CMI de la Seguridad
Proceso de construcción del CMI de Seguridad
Metodología para la construcción de un CMI de la Seguridad
Descripción detallada del proceso de Selección de
métricas de seguridad
Conclusiones y próximos trabajos
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 24 de 26
Introducción a MGSM-PYME
• Metodología para la implantación de SGSI desarrollada
específicamente para PYMES
• Basada en esquemas de seguridad
• Relaciona los diferentes elementos
del SGSI por medio de matrices
• Sencilla de aplicar
• Consta de 3 subprocesos
MGSM-PYME
GEGS
Generación de esquemas
GSGS
Generación del SGSI
MSGS
Mantenimiento del SGSI
Metodología
EB
Esquema Base
Modelo
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 25 de 26
Los objetivos de nuestro modelo de madurez (MMGS-PYME)
• Número reducido de niveles.
• Reducción de los costes (económicos y temporales) de implantación y
mantenimiento.
• Mejora del porcentaje de éxito de las implantaciones.
• Sistemas de gestión de seguridad evolutivos.
• Reutilización
• Minimizar costes de mantenimiento y recogida de información
• Priorizar los costes antes que la precisión.
• Versatilidad.
• Automatización.
• Otros objetivos: Certificación por niveles, Evolución dinámica del nivel de
seguridad, Minimizar el uso y gestión de los documentos, Análisis de Riesgos
básico.
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 26 de 26
Los objetivos anteriores sirven de base para nuestro proceso de selección.
El motor de inferencia implementa un modelo probabilístico basado en
una red bayesiana, definido por la siguiente estructura y variables:
Descripción del proceso de selección (I): Detalle de la Red
Bayesiana
TE: Tipo de Empresa (pequeña, mediana,
grande)
TA: Tipo de Activo, (son 23 en el esquema
que define nuestro modelo)
A: Obtención Automática (S/N)
NM: Nivel de madurez (1,2,3)
R: Ratio (benchmark) de incidencias (en
rango %).
C: Coste de obtención (bajo/medio/alto)
F: Frecuencia de medición (bajo/medio/alto).
P: Peso del indicador en el CMI según el
tipo de dominio (1-5)
FM
C P
TE
NM A
TA
RI
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 27 de 26
Los algoritmos de agrupamiento se desarrollan en dos fases que con
base en la teoría de grafos, tienden a simplificar el cálculo de
probabilidades
Descripción del proceso de selección (II): Algoritmo de
propagación de probabilidades
FASE I. Obtención de un árbol de grupos maximales
Obtención del grafo moral (GM),
Obtención del grafo triangulado (GT)
Construcción del árbol de grupos maximales
FASE II. Cálculo de las probabilidades
Cálculo de las funciones potenciales
Construcción de una factorización de la distribución de probabilidad
conjunta,
Fase de absorción de evidencias
Fase de propagación de la evidencia.
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 28 de 26
Una vez que tenemos las distribuciones conjuntas de todos los grupos de la
red podremos calcular la distribución de probabilidad de cada una de las
variable eligiendo el grupo de menor tamaño que la contiene y
marginalizando la distribución, según se muestra en la tabla
Descripción del proceso de selección (III): Resultado del cálculo
de probabilidades
Variable Grupo Probabilidad
A G1 P(A) = TA, FM P(A,TA,FM)
TA G1 P(TA) = A, FM P(A,TA,FM)
FM G1 P(FM) = A, TA P(A,TA,FM)
C G2 P(C) = A, FM P(A,FM,C)
P G3 P(P) = NM,R,A P(NM,R,P,A)
TE G4 P(TE) = NM,R P(TE,NM,R)
NM G4 P(NM) = TE, R P(TE,NM,R)
R G4 P(R) = TE,,NM P(TE,NM,R)
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral
29 de 26
El proceso de formulación de las métricas que conforman nuestro cuadro de
mando, lo que es el núcleo repetible del proceso, se muestra en el siguiente
algoritmo
Descripción del proceso de selección (IV): Formulación de las
métricas
Se parte de una selección
inicial de indicadores, que
agrupados en su dominio,
utilizan el sistema experto
para definir su aplicación.
Dentro del sistema experto
se calcula la probabilidad de
la contribución del indicador
según sus características.
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral
30 de 26
La implementación de esta metodología es una parte del proyecto global
que conforma nuestra herramienta de gestión de seguridad: SCMM-PYME
Soporte automatizado
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 31 de 26
Introducción
Antecedentes
Indicadores y Métricas de seguridad en la construcción
del CMI de la Seguridad
Proceso de construcción del CMI de Seguridad
Metodología para la construcción de un CMI de la Seguridad
Descripción detallada del proceso de Selección de métricas
de seguridad
Conclusiones y próximos trabajos
Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 32 de 26
Conclusiones
La implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI) presenta un problema añadido en las PYMES
La selección de indicadores y definición de métricas en un Cuadro de Mando Integral (CMI) de la Seguridad de la Información es un problema que las guías y métodos estándar (ISO27001, COBIT, ITIL o NIST) no resuelven no llegan a resolver el problema y por eso se ha desarrollado MMGS-PYMES.
Este artículo presenta un nuevo método que permite resolver el problema en la definición de las métricas de seguridad complementando nuestro proceso de construcción del SGSI
Dichas métricas nos permiten construir el CMI que evalúa de forma eficaz el SGSI y desarrollar una mejora continua del mismo
MMetodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 33 de 26
Próximos trabajos y líneas abiertas de investigación.
Implantación en el futuro de nuevas características a la metodología
en la que servirán de apoyo en el selección de indicadores,
pudiendo realizar un análisis del éxito de la implantación y un
estudio de otros sistemas expertos
Finalizar el desarrollo de la herramienta, realizando la aplicación
completa a nuevos procesos que nos permitan ir generando nuestra
base de conocimientos.
Complementar la herramienta de generación del SGSI, integrándose
en la elaboración del esquema para obtener de entrada los
indicadores más óptimos.
Aplicar nuestro proceso de selección en otras metodologías o
estándares clásicos de seguridad y probar de esta forma su eficacia.
Utilización en procedimientos de evaluación de la seguridad en otros
campos: e-commerce, desarrollo de software seguro, auditorias de
LOPD,…
Gracias por su atención
Luis Enrique Sánchez Crespo
lesanchez@sicaman-nt.com
Metodología para la selección de métricas en la
construcción de un Cuadro de Mando Integral
V Congreso Iberoamericano de Seguridad Informática.
Montevideo (Uruguay)
CIBSI 2009
top related