métricas de seguridad de la información para el nuevo estilo de ti

© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Métricas de Seguridad de la Información para el Nuevo Estilo de TIEduardo Vianna de Camargo Neves, CISSP

Senior Regional Manager, Product Marketing

Acerca de las métricas de desempeño



Un histórico probable de las métricas de desempeño

1930 1950 1960 1980-1990 2000

1939

Walter A. Shewhart publica el concepto de planificar-hacer-verificar-actuar (PDCA, plan-do-check-act)

1950

William Edwards Deming forma iingenieros japoneses en el control estadístico de los procesos y los conceptos de calidad.

El PDCA es aplicado en los procesos industriales y aumenta la calidad final de los productos.

1960

Albert Humphrey presenta los resultados de la metodología SWOT (Strengths, Weaknesses, Opportunities y Threats) en una convención de Stanford ResearchInstitute.

1981

Caso de suceso con KPI en British Airlines

1989

El concepto de Business Intelligence es popularizado por Gartner.

1990

Art Schneiderman y Dr. Robert S. Kaplan publican el libro “The Balanced Scorecard”

Los conceptos de métricas son aplicados en la tecnología con una serie de frameworks y metodologías que buscan aplicar los conceptos de negocio en el TI:

• 2005: ISO/IEC 20000

• 2007: IT Infrastructure Library (ITIL)

• 2009: ISO/IEC 27000


Características de métricas de desempeño efectivas

No son financieras

No son expresas en dólares, pesos, euros o ninguna otra moneda

OportunoPueden ser mensuradas en unidades temporales

GerencialesSon usadas por el CEO y el time de gerencia ejecutiva

SimplesTodos entienden como debe ser mensurado y adecuado

AsignadasLa responsabilidad puede ser apuntada para una persona o grupo

Impactantes Afecta mas de un aspecto de la Organización

Accionables Encoraje una acción apropiada

Fuente: (1) Parmenter, David. Key Performance Indicators Developing, Implementing, and Using Winning KPIs. 2nd ed. Hoboken, NJ: John Wiley & Sons, 2007.

S Specific

M Measurable

A Achievable

R Relevant

T Time phased


De "bloody awful" para "bloody awesome"En la década de 1980, BA era conocida por los retrasos en los vuelos y una gran insatisfacción de sus clientes

Sir John King hay asumido la posición de Chairman de British Airways en 1981 para sanear las finanzas de la empresa y preparar el negocio para la privatización. Como parte del entendimiento do problema, hay buscado identificar los KPIsmás importantes.2

Reducción de costos directos

Impuestos de aeropuertos

Combustible extra en los vuelos con retrasos

Overbooking y acomodación de los pasajeros

Reducción de costos indirectos

Entrenamiento del equipo

Relacionamiento con los socios

Insatisfacción de los clientes

Mensuración de la puntualidad de todos los vuelos

+ =Fuente: (2) Kotter, John P. "Changing the Culture at British Airways." Harvard Business School Case 491-009, October 1990. (Revised September 1993.


De "bloody awful" para "bloody awesome"Los resultados cambiaran de una pierda estimada en £200 por minuto para un resultado operacional de £284 millones en poco más de cinco años

Para alcanzar los indicadores de desempeño deseados, fue necesariocambiar de forma radical las practicas de la organización conreducción de la fuerza de trabajo, congelamiento de incrementos enlos pagos por un año y cierre de todas las operaciones que no fosenrentables3

• Practique lo que predica

• La cultura organizacional no es una religión

• La cultura y la estructura se influencian mutuamente

Fuente: (3) Grugulis, Irena, and Adrian Wilkinson. "Managing Culture at British Airways: Hype, Hope and Reality." Long Range Planning 35, no. 2002 (2002): 179-94. Accessed May 3, 2015.


¿Por qué mensurar la seguridad de la información?

Métricas de desempeño son aplicadas a Seguridad de la Información con lo mismo propósito que para otras disciplinas de negocios:

• Medir el desempeño de las medidas de seguridad

• Realizar la gestión en búsqueda de mejores resultados

• Justificar las inversiones en seguridad


Modelos de métricas mas comunesCon pequeñas variaciones, es común identificar en las empresas el uso de un modelo de métricas pre-definido o una adaptación con puntos específicos de sus negocios y para adherencia a reglamentaciones de mercado

• CIS Consensus Information Security Metrics: Desarrollado por el Center forInternet Security (CIS) en 2010 es composta por 28 definiciones de métricasposicionadas en 7 funciones que son comunes en las Organizaciones1

• NIST SP 800-55 R1 Performance Measurement Guide for Information Security:Publicado en 2008 es un guía para miembros del Gobierno de USA desarrollarenun modelo de métricas para mensurar la adherencia a los controles establecidos.3

• Reglamentaciones: Mensura-se la adherencia a los controles definidos porreglamentaciones de mercado, tal como PCI-DSS, HIPAA, SOX, Basel y similares.

(1) "CIS Consensus Information Security Metrics." Center for Internet Security. Accessed May 5, 2015. (3) Chew, Elizabeth, Marianne Swanson, Kevin Stine, Nadya Bartol, Anthony Brown, and Will Robinson. "NIST SP800-55 R1: Performance Measurement Guide for Information Security." July 1, 2008. Accessed May 5, 2015.


CIS Consensus Information Security MetricsDesarrollado por el Center for Internet Security (CIS) en 2010 es composta por 28 definiciones de métricas posicionadas en 7 funciones que son comunes en las Organizaciones1

ApplicationSecurity

Configuration Change Management

Financial IncidentManagement

PatchManagement

Vulnerability Management

• Number of Applications• Percentage of Critical

Applications• Risk Assessment

Coverage• Security Testing

Coverage

• Mean-Time to Complete Changes

• Percent of Changes with Security Review

• Percent of Changes with Security Exceptions

• Information Security Budget as % of IT Budget

• Information Security Budget Allocation

• Mean-Time to Incident Discovery

• Incident Rate• Percentage of Incidents

Detected by Internal Controls

• Mean-Time Between Security Incidents

• Mean-Time to Recovery

• Patch Policy Compliance

• Patch Management Coverage

• Mean-Time to Patch

• Vulnerability Scan Coverage

• Percent of Systems Without Known Severe Vulnerabilities

• Mean-Time to Mitigate Vulnerabilities

• Number of Known Vulnerability Instances

(1) "CIS Consensus Information Security Metrics." Center for Internet Security. Accessed May 5, 2015.


Seguridad en el Nuevo Estilo de TI



El nuevo estilo de TI esta cambiando la forma como nosotros producimos, guardamos, brindamos y aseguramos la protección de la información

Cloud Movilidad Big Data


El tamaño de la superficie de ataque y la distribución de la información son incrementadas a cada segundo que pasa

Mainframe Client / Server InternetMobile, Social, Big Data & Cloud

A cada 60 segundos, son producidos, en media …

98.000+ tweets

695.000 actualizaciones

698.445 buscas

11MM de mensajes

168MM+ e-mails

1,82TB de datos criados

217 nuevos usuarios móviles

Fuente: HP Software


Como mensurar y adecuar la seguridad en un ambiente hibrido y dinámico donde el control es responsabilidad de un CISO?

SIEM / IPS / IDS

Firewall / WAF / IPS / IDS

PesquisaBusca de albos potenciales

InfiltraciónPhishing y Malware

DescubiertaEntendimiento del ambiente

CapturaObtención de los datos

ExfiltraciónDatos robados removidos

VentaComercio en Mercado Negro

Criptografía aplicadaData Leak PreventionInvestigation y Legal

Es necesario explotar una única vulnerabilidad.



Sugerencias para un modelo efectivo



La importancia de un programa de métricas es definida pelo suporto próvido a los procesos de negocios de la OrganizaciónNo interesa o que es relevante e si como eso es percibido por los stakeholders y tomadores de decisión

Definir un frameworkpara su realidad

Posicionar con los objetivos del negocio

Mapear los indicadores y riesgos

Mapear con la adecuación del riesgo


Generando métricas que pueden ser incrementadas a longo del tiempoLa profundidad de los resultados generados con base en las métricas debe empezar en el nivel operacional y ser incrementado a largo del tiempo hasta el nivel estratégico

0

5

10

15

Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6

Cuantidad de ataques

Basado en el tema presentado en el articulo de Garnter en:"No One Cares About Your Security Metrics and You Are to Blame - Paul Proctor." Paul Proctor RSS. August 11, 2013. Accessed May 5, 2015.

Cuantidad de vulnerabilidades

Cuantidad de vulnerabilidades

criticas en los sistemas

Porcentaje de vulnerabilidades no corregidas en sistemas críticos

Adecuación de riesgo en los

sistemas críticos

Reducción de impactos en los

negocios


Podemos ayudar a apoyar su programa



La visión de HP Enterprise Security ProductsSoluciones efectivas para permitir el manejo del riesgo y adecuar la seguridad de los negocios de nuestros clientes

HP ArcSight + HP Fortify

HP TippingPoint

PesquisaBusca de albos potenciales

InfiltraciónPhishing y Malware

DescubiertaEntendimiento del ambiente

CapturaObtención de los datos

ExfiltraciónDatos robados removidos

VentaComercio en Mercado Negro

HP AtallaHP Security VoltageServicios Profesionales


Seguridad para los datos que son importantesVisibilidad total del comportamiento de seguridad en los componentes de la infraestructura de TI y ítems adicionales, ganando informaciones que suportan la tomada de decisión precisa y dentro del tiempo necesario

HP ArcSight

HP Application Defender

HP Fortify

Datos en tiempo real para alimentar su

métricas y mantener los datos históricos para análisis posteriores

HP TippingPoint

HP Threat Central


Cierre



Revisión del tema y consideraciones finales

En el final la importancia de un programa de Métricas de Desempeño para Seguridad de la Información esta en como losresultados son percibidos por la Organización y de forma influencia en la tomada de decisión ejecutiva

• Alcance de los objetivos organizacionales

• Mantener los procesos operacionales efectivos y sin interrupción

• Adherir a los contractos, reglamentaciones y padrones del mercado

• Posicionar una imagen publica adecuada

• Gerencia de riesgo de forma precisa

Fundamentado por la analicé del tema presentada en: “"A Guide to Effective Security Metrics." Information Security Guide: Effective Practices and Solutions for Higher Education. April 1, 2012. Accessed May 5, 2015.”


Muchas gracias por su tiempo y disponibilidad.

Eduardo Vianna de Camargo Neves, CISSP

Senior Regional Manager, Product Marketing

métricas de seguridad de la información para el nuevo estilo de ti

Technology