trabajo de investigación. definición d… · estándares de seguridad internacionales más...

V Congreso Iberoamericano de Seguridad Informática.

Bucaramanga (Colombia)

Daniel Villafranca ([email protected])

DELTANET-SI. R+D Department

Eduardo Fernández-Medina ([email protected])

Mario Piattini ([email protected])

GSyA &ALARCOS Research Group

University of Castilla-La Mancha

SPAIN

CIBSI 2011

Definición de un modelo automatizado para

la evaluación y mantenimiento de un SGSI

mailto:[email protected]




Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 2 de 26

Introducción

Antecedentes

Revisión de la metodología para la selección de métricas

para la construcción del CMI de la Seguridad

Definición de la herramienta para la evaluación y el

mantenimiento del SGSI.

Conclusiones y próximos trabajos

Indice


Introducción

Antecedentes







En los últimos años se ha experimentado un creciente interés de las empresas por la seguridad de la información. Este hecho se ve impulsado por diferentes factores con distinto origen.

Una de las herramientas más importantes para los SGSI es el Cuadro de Mando Integral (CMI) de la Seguridad. Desde su aparición en 1992 los CMI han sido usados por centenares de organizaciones como un medio para describir su estrategia y medir su rendimiento. Los CMI son muy útiles porque permiten obtener y agrupar la información más relevante y útil para la toma de decisiones,

La implantación de Cuadros de Mando para la Gestión de Seguridad es, por tanto, un proceso complejo. Cerca del 70% de los proyectos dedicado a plantear Cuadros de Mando fracasan o son abandonados tras su implantación [2].

En este artículo se revisa la definición de una metodología que apoyándose en los estándares de seguridad internacionales más importantes (como ISO/IEC 27000, CobIT o NIST), va a permitir evaluar el éxito del desarrollo y la implantación de un SGSI en una organización (principalmente PYMES).

Introducción (I). La gestión de la Seguridad y los CMI


Introducción

Antecedentes







Las definiciones de métricas no siempre tienen en cuenta el entorno o el

contexto en el cual serán aplicadas. Es por ello la necesidad de realizar una

clasificación de las mismas.

Entre los principales modelos de referencia encontramos:

» El modelo COBIT (de ISACA) propone una estructura de indicadores basados

en Indicadores Clave del Rendimiento (KPI), Indicadores clave de logros (KGI) y

los Factores críticos del éxito (FCE).

» El NIST (National Institute of Standards and Technology) realiza un enfoque más

práctico en la evaluación y selección de estos indicadores que van a definir la

métrica, tales como el tipo de control, propósito de medida, valores, etc.,

» La familia de normas ISO/IEC 27000, que es el grupo de estándares, dedicado a

la definición de los SGSI (Sistemas de Gestión de Seguridad de la Información).

Esta familia, formada por 5 estándares internacionales, abarca los requisitos de

los sistemas de gestión de la seguridad, la gestión del riesgo, métricas y

medidas, guías de implantación, glosario de términos y mejora continua.

Marcos de referencia


Uno de los aspectos que tienen en común estas metodologías es que la

creación de un sistema de gestión y que éste debe basarse en los procesos

que la organización ejecuta, aunque no quedan claramente

personalizados en los indicadores y métricas que propugnan.

Problemática

Hemos observado que para la implantación

de un SGSI es fundamental tener pocos

indicadores al principio pero bien

definidos, exponiendo de una forma clara lo

que está midiendo, porqué y para qué.

Cada compañía tiene intereses distintos en

materia de seguridad, y las métricas se

deben establecer de acuerdo al objeto que

se esté tratando de proteger y medir, así

como a la situación de la empresa


Introducción

Antecedentes







Los objetivos que nos hemos marcado en nuestra investigación previa han

perseguido automatizar y optimizar el proceso de selección de indicadores y

definición de las métricas de seguridad para la construcción de un Cuadro

de Mandos Integral para la Seguridad.

En dicho proceso se partía de:

» Unos indicadores de seguridad predefinidos que según la naturaleza de la

organización en la que se planteaba implantar el SGSI.

» Otros indicadores que disponemos previamente del trabajo previo realizado en

la empresa.

» Otros indicadores que serán necesarios obtener, para ir construyendo las

métricas que conformarán el CMI para los objetivos que son definidos por la

gerencia

Objetivos de nuestra metodología


Además del Modelo de Madurez (expuesto en otros trabajos), para adaptar a las

necesidades de los estándares a las necesidades de seguridad de las PYMES,

decidimos también desarrollar una metodología propia para construir nuestro CMI y

así evaluar nuestro SGSI.

Descripción del proceso de selección de métricas


El grado de desarrollo del cuadro de mando, y por consecuencia, de las

métricas y de los indicadores, irá reflejando el nivel de madurez de la

compañía.

El elemento central de nuestro proceso es el sistema experto que nos va a

permitir seleccionar los mejores indicadores justificado en el trabajo que

realizaría un auditor experto

En base a las métricas e indicadores seleccionados y organizados, el CMI

nos va a aportar:

» Control de la gestión de la seguridad relacionando los objetivos de la organización con el

SGSI.

» Perspectiva histórica sobre las mejoras y evolución del SGSI

» Una referencia o comparación (benchmarking) interno y externo de nuestras métricas con

las de otras organizaciones.

» Una herramienta de información a la Dirección para soporte a la toma de decisiones.

» Relacionar la seguridad con los objetivos de la empresa o del departamento.

Otras características


En base a las métricas e indicadores seleccionados y organizados, el CMI

nos va a aportar:

» Control de la gestión de la seguridad relacionando los objetivos de la organización con el

SGSI.

Algunos resultados


Marcos de referencia


El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar

y comunicar datos relacionados con los procesos de la Seguridad de la Información.

Tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de

información, y los sistemas que la gestionan, y demostrar objetivamente la eficacia y

eficiencia de los controles de seguridad y/o del sistema de gestión de la seguridad

con la finalidad de sustituirlos, corregirlos, modificarlos o mejorarlos.

Mientras hay algunos autores(1) que parecen mantener que las diferencias entre

mesure, metric e indicator, es el “grado de evolución o de jerarquía” -que iría desde

los datos en bruto (measures) hasta los objetivos de las entidades (indicators)

pasando por la medición de la eficacia y la eficiencia (metrics)- otros documentos

observan los indicadores como targets, entendidos estos como resultados o estados

deseados o deseables de las operaciones (metrics) realizadas(2).

_________________________

1 Mañas, José A. Security Metrics and Measurements for IT. UPGRADE, Vol. VI, Nº 4, August 2005.

2 NIST Special Publication 800-80. Initial Public Draft. Guide to Performance Metrics for Information Security. April 2006.

Métricas, medidas e Indicadores: Conceptos previos


El Cuadro de mando integral (CMI) aplicado a la seguridad será la herramienta

que nos permitirá evaluar y revisar de una forma rápida el estado del SGSI.

La definición de las métricas deberá tener en cuenta varios aspectos:

¿Para qué? (queremos medir): Medir la evolución de la seguridad de un sistema o

producto, la capacidad de la organización, dónde hay que hacer hincapié en la

mejora de la seguridad.

¿Qué? (queremos medir): Cantidad y tipo de amenazas, Incidentes y sus impactos,

Vulnerabilidades y puntos débiles.

¿Cómo? (podemos medirlo): ¿Cómo convertimos la información en datos

válidos?¿Qué fuentes y herramientas necesitamos?

El objetivo principal del uso de las métricas es que proporcionen una información cuantitativa (porcentajes, medias, números)

Indicadores y métricas de seguridad en la construcción del CMI

de la seguridad (1): Métricas de seguridad y CMI


En ocasiones, surgen problemas para la definición de la métrica en el ámbito de la PYME, siendo algunos de los principales son:

» Las métricas no están siempre definidas en un contexto en donde el objetivo o interés que se pretende su utilización es explícito.

» Las definiciones de métricas no siempre tienen en cuenta el entorno o el contexto en el cual serán aplicadas.

» Aunque el objetivo es explícito, las hipótesis experimentales a menudo no están hechas de forma explícita.

» No es posible realizar una adecuada validación teórica de las métricas porque el atributo que se pretende cuantificar no está bien definido.

» Un gran número de métricas no han sido nunca objeto de validación empírica


de la seguridad (2): Problemas en la definición de métricas



de la seguridad (3): Gobierno de las TI

Se representa un enfoque para el gobierno de

TI. La dirección operacional usa procesos para

organizar y administrar las actividades

cotidianas de TI.

Se establecen equivalencias entre los modelos

de procesos COBIT y las áreas principales del

gobierno de TI, ofreciendo así un puente entre

lo que los responsables de seguridad y

operaciones deben realizar y lo que la gerencia

desea controlar.

Por otro lado, el concepto del Gobierno de las TI surge como respuesta a la brecha existente entre las expectativas y los resultados obtenidos en el uso de las TI

Para lograr un gobierno efectivo, la seguridad de la información es fundamental. La gerencia espera que los controles a ser implementados por los responsables de las operaciones se encuentren dentro de un marco de control definido para todo los procesos de TI. COBIT da soporte al gobierno de TI


Introducción

Antecedentes

Indicadores y Métricas de seguridad en la construcción

del CMI de la Seguridad

Proceso de construcción del CMI de Seguridad

Metodología para la construcción de un CMI de la Seguridad

Descripción detallada del proceso de Selección de métricas

de seguridad



El Cuadro de Mando de Seguridad de la Información es una herramienta de control de gestión que traduce la estrategia de seguridad en un conjunto de objetivos relacionados

Existen principalmente dos metodologías para la construcción de un Cuadro de Mando: top-down y bottom-up, siendo el criterio que determina la elección de una u otra la finalidad del mismo:

Construcción del CMI de seguridad: Metodologías

Metodología para la selección de métricas en la construcción de un Cuadro de Mando Integral

20 de 26

Proceso estándar de construcción de CMI (I): Perspectivas de

nuestro CMI de seguridad

Nuestro modelo propone cinco dominios para agrupar la información presentada.

El CMI irá variando sus indicadores en cada uno de los dominios y ciclos según el nivel de madurez y los objetivos del plan de SGSI que se hayan definido al inicio

Partiendo de una clasificación práctica basada en nuestra experiencia de las

mediciones realizadas en las empresas, hemos realizado una clasificación

global en cinco categorías :


Introducción

Antecedentes




Metodología para la construcción de un CMI de la

Seguridad


de seguridad


Todos los elementos anteriores se recogen en el siguiente esquema, que se ha

ido refinando y conformando según se presenta en la siguiente figura:


22 de 26

Proceso estándar de construcción de CMI (II): Esquema general

de la metodología

El proceso de obtención del CMI de seguridad, a partir de los objetivos del SGSI, la auditoría preliminar realizada y y los indicadores clave recogidos

Tiene en cuenta es el nivel de madurez que tiene la empresa en ese momento y el esquema seleccionado para la empresa

Hace uso de la experiencia anterior y de los valores de referencia (benchmarks) que se obtienen a partir de las empresas u organizaciones que se dedican a la misma actividad


Introducción

Antecedentes





Descripción detallada del proceso de Selección de

métricas de seguridad



Introducción a MGSM-PYME

• Metodología para la implantación de SGSI desarrollada

específicamente para PYMES

• Basada en esquemas de seguridad

• Relaciona los diferentes elementos

del SGSI por medio de matrices

• Sencilla de aplicar

• Consta de 3 subprocesos

MGSM-PYME

GEGS

Generación de esquemas

GSGS

Generación del SGSI

MSGS

Mantenimiento del SGSI

Metodología

EB

Esquema Base

Modelo


Los objetivos de nuestro modelo de madurez (MMGS-PYME)

• Número reducido de niveles.

• Reducción de los costes (económicos y temporales) de implantación y

mantenimiento.

• Mejora del porcentaje de éxito de las implantaciones.

• Sistemas de gestión de seguridad evolutivos.

• Reutilización

• Minimizar costes de mantenimiento y recogida de información

• Priorizar los costes antes que la precisión.

• Versatilidad.

• Automatización.

• Otros objetivos: Certificación por niveles, Evolución dinámica del nivel de

seguridad, Minimizar el uso y gestión de los documentos, Análisis de Riesgos

básico.


Los objetivos anteriores sirven de base para nuestro proceso de selección.

El motor de inferencia implementa un modelo probabilístico basado en

una red bayesiana, definido por la siguiente estructura y variables:

Descripción del proceso de selección (I): Detalle de la Red

Bayesiana

TE: Tipo de Empresa (pequeña, mediana,

grande)

TA: Tipo de Activo, (son 23 en el esquema

que define nuestro modelo)

A: Obtención Automática (S/N)

NM: Nivel de madurez (1,2,3)

R: Ratio (benchmark) de incidencias (en

rango %).

C: Coste de obtención (bajo/medio/alto)

F: Frecuencia de medición (bajo/medio/alto).

P: Peso del indicador en el CMI según el

tipo de dominio (1-5)

FM

C P

TE

NM A

TA

RI


Los algoritmos de agrupamiento se desarrollan en dos fases que con

base en la teoría de grafos, tienden a simplificar el cálculo de

probabilidades

Descripción del proceso de selección (II): Algoritmo de

propagación de probabilidades

FASE I. Obtención de un árbol de grupos maximales

Obtención del grafo moral (GM),

Obtención del grafo triangulado (GT)

Construcción del árbol de grupos maximales

FASE II. Cálculo de las probabilidades

Cálculo de las funciones potenciales

Construcción de una factorización de la distribución de probabilidad

conjunta,

Fase de absorción de evidencias

Fase de propagación de la evidencia.


Una vez que tenemos las distribuciones conjuntas de todos los grupos de la

red podremos calcular la distribución de probabilidad de cada una de las

variable eligiendo el grupo de menor tamaño que la contiene y

marginalizando la distribución, según se muestra en la tabla

Descripción del proceso de selección (III): Resultado del cálculo

de probabilidades

Variable Grupo Probabilidad

A G1 P(A) = TA, FM P(A,TA,FM)

TA G1 P(TA) = A, FM P(A,TA,FM)

FM G1 P(FM) = A, TA P(A,TA,FM)

C G2 P(C) = A, FM P(A,FM,C)

P G3 P(P) = NM,R,A P(NM,R,P,A)

TE G4 P(TE) = NM,R P(TE,NM,R)

NM G4 P(NM) = TE, R P(TE,NM,R)

R G4 P(R) = TE,,NM P(TE,NM,R)


29 de 26

El proceso de formulación de las métricas que conforman nuestro cuadro de

mando, lo que es el núcleo repetible del proceso, se muestra en el siguiente

algoritmo

Descripción del proceso de selección (IV): Formulación de las

métricas

Se parte de una selección

inicial de indicadores, que

agrupados en su dominio,

utilizan el sistema experto

para definir su aplicación.

Dentro del sistema experto

se calcula la probabilidad de

la contribución del indicador

según sus características.


30 de 26

La implementación de esta metodología es una parte del proyecto global

que conforma nuestra herramienta de gestión de seguridad: SCMM-PYME

Soporte automatizado


Introducción

Antecedentes






de seguridad



Conclusiones

La implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI) presenta un problema añadido en las PYMES

La selección de indicadores y definición de métricas en un Cuadro de Mando Integral (CMI) de la Seguridad de la Información es un problema que las guías y métodos estándar (ISO27001, COBIT, ITIL o NIST) no resuelven no llegan a resolver el problema y por eso se ha desarrollado MMGS-PYMES.

Este artículo presenta un nuevo método que permite resolver el problema en la definición de las métricas de seguridad complementando nuestro proceso de construcción del SGSI

Dichas métricas nos permiten construir el CMI que evalúa de forma eficaz el SGSI y desarrollar una mejora continua del mismo

MMetodología para la selección de métricas en la construcción de un Cuadro de Mando Integral 33 de 26

Próximos trabajos y líneas abiertas de investigación.

Implantación en el futuro de nuevas características a la metodología

en la que servirán de apoyo en el selección de indicadores,

pudiendo realizar un análisis del éxito de la implantación y un

estudio de otros sistemas expertos

Finalizar el desarrollo de la herramienta, realizando la aplicación

completa a nuevos procesos que nos permitan ir generando nuestra

base de conocimientos.

Complementar la herramienta de generación del SGSI, integrándose

en la elaboración del esquema para obtener de entrada los

indicadores más óptimos.

Aplicar nuestro proceso de selección en otras metodologías o

estándares clásicos de seguridad y probar de esta forma su eficacia.

Utilización en procedimientos de evaluación de la seguridad en otros

campos: e-commerce, desarrollo de software seguro, auditorias de

LOPD,…

Gracias por su atención

Luis Enrique Sánchez Crespo

[email protected]

Metodología para la selección de métricas en la

construcción de un Cuadro de Mando Integral

V Congreso Iberoamericano de Seguridad Informática.

Montevideo (Uruguay)

CIBSI 2009




trabajo de investigación. definición d… · estándares de seguridad internacionales más...

Documents