trabajo de investigación. métricas de... · dr. eduardo fernández-medina paton ... luis enrique...

CIBSI 2011 VI Congreso Iberoamericano de

Seguridad Informática

MGSM-PYME

Métricas de seguridad en los SGSIs, para conocer el nivel de seguridad de los SSOO y

de los SGBD

Antonio Santos-Olmo Parra ([email protected])

Dr. Luis Enrique Sánchez Crespo ([email protected])

Dr. Eduardo Fernández-Medina Paton ([email protected])

Dr. Mario Piattini Velthuis ([email protected])

mailto:[email protected]








Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia

03 de Noviembre de 2011

3.- Objetivos

4.- Proceso de medición

5.- Definición de controles

1.- Introducción

6.- Herramienta

7.- Resultados prácticos

8.- Conclusiones

2.- Estado del arte

1. Introducción.

2. Estado del arte.

3. Objetivos perseguidos en la investigación.

4. Desarrollo del proceso de medición.

5. Definición de los controles.

6. Herramienta.

7. Resultados prácticos.

8. Conclusiones y trabajo futuro.

Contenido de la presentación

Transparencia 2




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

1. Introducción.

2. Estado del arte.




6. Herramienta.




Transparencia 3




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Uso de los SGSI: las Organizaciones en general, y PYMES en particular, han ido tomando consciencia de la necesidad que tienen de soluciones en el ámbito de la seguridad de la información que tengan en cuenta los objetivos de la empresa, aumentando el interés por esa seguridad de la información en los últimos años. - ¿Qué son los SGSI?: “un conjunto de procesos, políticas, procedimientos, análisis y tests, organizados de forma lógica y soportado por objetivos a nivel estratégico, estructurados principalmente por los requisitos presentados en la norma ISO 27001” basado en un modelo de evaluación y mejora continua (en ISO 27001, el ciclo PDCA). - “No se puede controlar lo que no se puede medir” => Si los controles establecidos no se pueden medir, entonces no aportarán nada al SGSI.

Introducción Introducción

Transparencia 4




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

-La ISO 27001 requiere que los controles sean mediables => La ISO 27004 aporta la forma de llevar a cabo dichas mediciones. - El establecimiento de métricas con las que conocer el estado de la seguridad resulta fundamental en la implantación y mantenimiento de un SGSI, debiendo aparecer a la vez que se produce la implantación de éste. - Ese conocimiento del estado de la seguridad es importante en la toma de decisiones. - La publicación de la norma ISO 27004 es la prueba de que la medición y evolución del estado son elementos vitales que se comienzan a tener en cuenta. A día de hoy, es un aspecto poco desarrollado en la gestión y mejora de los SGSI.

Introducción Introducción

Transparencia 5




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

1. Introducción.

2. Estado del arte.




6. Herramienta.




Transparencia 6




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Hemos analizado los principales estándares de seguridad orientados a la gestión y medición de la seguridad de los sistemas:

-Estándares FIPS (Federal Information Processing Standard) – 140-1 y 140-2: conjunto normalizado de códigos utilizados para asegurar los datos, cubriendo áreas relacionadas con el diseño e implementación de un módulo criptográfico.

- SSE-CMM (Modelo de Capacidad y Madurez en la Ingeniería de Seguridad de Sistemas): modelo derivado del CMM. Describe características fundamentales de los procesos que deben existir en una Organización para asegurar una buena seguridad de sistemas. Primera versión en 1997 y actualización en 2003.

- La Serie 800 del NIST (National Insitute of Standards and Technology): agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos.

-NIST SP 800-55 (“Métricas de Seguridad para Sistemas de Tecnologías de la Información”): Publicada en 2003 y revisada en 2007. -NIST SP 800-80 “Guía para el desarrollo de métricas de seguridad de la información”: Publicada en 2006.

Estado del arte: Estándares analizados

Estado del arte

Transparencia 7




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

- Formada por los estándares relacionados con la seguridad de la

información, ya desarrollados o en fase de desarrollo. - Ofrecen un marco de gestión de la seguridad de la información, formando un conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI. - Para implementar un SGSI y afrontar un proceso de auditoría satisfactoriamente se requiere el conocimiento e interpretación de al menos la 27001, 27002 y 27006.

Estado del arte: ISO27000

Estado del arte

Transparencia 8




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte Estado del arte: ISO27000

Estado del arte

Transparencia 9




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

- Las dos normas más importantes y base de la familia son la 27001 y la

27002. - El resto de normas se consideran complementarias a la 27001 y la 27002, surgiendo como apoyo para la implementación en temas específicos o el proceso de auditoría del SGSI.

Estado del arte: ISO27000

Estado del arte

Transparencia 10




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Dos aspectos más destacados: descripción detallada de los controles y el método PDCA para aplicarlos. - Se basa en un ciclo de vida PDCA para toda la estructura de procesos del SGSI.

Estado del arte: ISO/IEC 27001:2005

Estado del arte

Transparencia 11




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Publicada en 2007, se corresponde con la ISO/IEC 17799:2005. Es una guía de buenas prácticas para la implementación de un SGSI describiendo los objetivos de control y controles recomendables respecto a la seguridad de información. No es certificable. Tiene 11 cláusulas de control de seguridad o dominios, que cubren los principales aspectos relacionados con la seguridad, conteniendo 39 objetivos de control y 133 controles.


Estado del arte

Transparencia 12




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Publicada el 7 de Diciembre del 2009. Especifica las métricas de seguridad y las técnicas de medida aplicables para determinar la eficacia y eficiencia de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan principalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA . - Nace para marcar criterios de cara a una correcta medición de la eficacia de un SGSI. - No aporta una colección de métricas o indicadores a aplicar a cualquier SGSI sino que establece una metodología para determinar la efectividad de un SGSI mediante actividades y procesos sin establecer medidores o usar resultados a conseguir.


Estado del arte

Transparencia 13




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Objetivos:

• Facilitar la mejora de la efectividad de la seguridad de la información.

• Evaluar la efectividad del SGSI y su mejora continua. • Lograr información objetiva y análisis para ayudar en la revisión

de la gerencia, la toma de decisiones y justificar mejoras en los controles.

• Evaluar la efectividad de los controles de seguridad y los

objetivos de control. - ISO/IEC 27004 se basa en el modelo PDCA (Plan-Do-Check-Act) estando las mediciones especialmente orientadas al “Do” (Implementación y operación del SGSI), como una entrada para el “Check” (Monitorizar y revisar), y así poder adoptar decisiones de mejora del SGSI mediante el “Act”.


Estado del arte

Transparencia 14




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

1. Introducción.

2. Estado del arte.




6. Herramienta.




Transparencia 15




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Herramienta Web

Normativas

Completa colección de métricas (Mediciones)

Herramientas del mercado

Caso práctico real

¿Cómo medir la Seguridad?

¿Material ISO 27004? ¿ISO

27004?

Accesibilidad Mantenimiento Costes

Objetivos

Transparencia 16

Objetivos




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Objetivo: Crear mecanismos que permitan medir el nivel de seguridad de los sistemas de información:

- Una valoración objetiva del nivel de riesgo del sistema.

- Un informe con los resultados de la auditoría, conteniendo vulnerabilidades encontradas y recomendaciones.

- Un histórico de las auditorías realizadas al sistema, junto con los resultados obtenidos.

Alcance:

- Desarrollo de los objetivos de control para cada ámbito.

- Automatización de parte de los objetivos de control.

- Utilización de la aplicación en entornos de desarrollo y producción de empresas reales.

Objetivos

Transparencia 17

Objetivos




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Las métricas para ser efectivas deben:

• Medir evolución de seguridad en el tiempo. • Estar asociadas con impactos financieros, y ser coherentes con

los objetivos de seguridad implantados. • Ser objetivas e imparciales. • Ser predictivas, consistentes y relevantes para Organización y

toma de decisiones. • Ser fuertes, confiables, defendibles y justificables. • Poder derivar acciones, ser fáciles de recolectar, definir,

implementar e interpretar, y ser reproducibles. • Estar ligados a los objetivos de negocio. • Estar expresadas en números cardinales o porcentajes, y

detalladas con unidades de medida.

Objetivos

Transparencia 18

Objetivos




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

- Beneficios y ventajas por el uso de métricas:

• Mejor comprensión de riesgos y debilidades. • Medición del desempeño de los controles. • Apoyo a la toma de decisiones. • Control de la situación real de la seguridad de la información. • Apoyo a la racionalización de costes. • Mayor eficacia de los procesos y actividades de seguridad de la

información, y actualización de tecnologías. • Identificación de problemas emergentes. • Verificación del cumplimiento de políticas y normativas. • Mostrar la evolución de la cultura de seguridad de la

información.

Objetivos

Transparencia 19

Objetivos




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Alcance inicial:

- Ámbitos de aplicación:

Windows 2003 Server

SQL Server 2005, 2008

Oracle 11i

Limitaciones:

- Funcionales: No todos los objetivos de control pueden ser automatizados.

- Temporales: El número de objetivos de control que es posible automatizar en el margen temporal marcado es de doce.

Objetivos Objetivos

Transparencia 20




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

1. Introducción.

2. Estado del arte.




6. Herramienta.




Transparencia 21




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

- El coste de implantación de una métrica debe ser proporcional al

beneficio obtenido. - Una forma de implantación seguir las fases del modelo PDCA (como ISO 27004), haciendo coincidir su implementación con las fases seguidas en ISO 27001. - Desde el principio del ciclo PDCA, se debe considerar la escalabilidad de las métricas ya que conforme se van agrupando deberán proporcionar menos información de detalle aportándola de más alto nivel para la toma de decisiones.

ISO/IEC 27001

ISO/IEC 27004

PLAN

Establecer el SGSI

Definir las métricas

DO

Implementar y operar el SGSI

Implantar las métricas

CHECK

Supervisar y revisar el SGSI

Revisar los datos de las

métricas

ACT

Mantener y mejorar el SGSI

Revisar/Mejorar las métricas

Proceso de medición

Transparencia 22





3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Cálculo del nivel de securización del sistema:

NR = (([PTVE]*100)/[PTVP]) NS = 100 – NR

- NR: Nivel de riesgo.

- NS: Nivel de securización.

- PTVE: Puntuación total de las vulnerabilidades encontradas.

- PTVP: Puntuación total de las vulnerabilidades posibles.


Transparencia 23





3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Clasificación del riesgo:

Riesgo Intervalo

(según el nivel de

securización)

Descripción

Sin Riesgo 90% - 100% No se han detectado fallos graves

Riesgo

potencial 60% - 90%

Se han detectado fallos de nivel

medio

Alto riesgo 0% - 60% Se han detectado uno o varios

fallos de nivel alto



Transparencia 24




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

1. Introducción.

2. Estado del arte.




6. Herramienta.




Transparencia 25




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Objetivo de Control: declaraciones de los resultados deseados u objetivos a ser alcanzados.

Para cada objetivo de control se definirá:

- Identificador

- Nivel

- Instante de aplicación

Niveles de valoración:

- Seguro: Valoración 0

- Inseguro: Valoración 1

- Muy Inseguro: Valoración 2

- Configuración correcta

- Prueba

- Escala de valoración

Definición de controles

Transparencia 26





3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Nivel: Acceso Servicio Aplicaciones Gestión Red

Total O.C: 8 4 3 8 2

Windows 2003 Server:

- 25 objetivos de control

- Nivel de seguridad máximo: 0

- Nivel de seguridad mínimo: 37


Transparencia 27





3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Nivel: General Servidor SGBD BD

Total O.C: 4 3 26 4

SQL Server 2005:


- 26 de ellos automatizables





Transparencia 28




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Oracle 11i:




Nivel: General Servidor SGBD BD

Total O.C: 6 5 10 5



Transparencia 29




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

1. Introducción.

2. Estado del arte.




6. Herramienta.




Transparencia 30




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Introducción de datos de la máquina a auditar.

Selección de la aplicación a analizar.

Selección de

conexión

Selección de

aplicación

Herramienta de medición

Herramienta

Transparencia 31




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

El nivel de securización se actualizará a medida que vayamos cumplimentando objetivos de control, bien automáticamente, bien de forma manual.

Cabecera del informe

Objetivos de control


Herramienta

Transparencia 32




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Comprobación de los Objetivos de control:

- Información sobre el Objetivo de control, incluyendo la configuración adecuada del mismo, y sobre la prueba a realizar para comprobar su cumplimento.

- Selección de la valoración para el Objetivo de Control. Para cada valoración se ofrece su descripción.

- El auditor puede añadir las observaciones que considere oportunas de cara al informe.


Herramienta

Transparencia 33




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

- Según la aplicación a auditar, se obtendrá un listado con los objetivos de control correspondientes, indicando cuales se comprueban de forma automática y cuales hay que comprobar manualmente.

- Una vez cumplimentados todos los objetivos de control, se obtendrá el nivel de securización de la aplicación auditada.

- El nivel de securización se obtendrá a partir de la discretización de los objetivos de control y su posterior ponderación. La puntuación obtenida sobre la máxima puntuación posible nos permitirá obtener un valor discretizado de securización para nuestra aplicación.


Herramienta

Transparencia 34




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Otras operaciones:

- Modificación de la valoración de los objetivos de control, tanto de los manuales como de los automáticos:

No se está de acuerdo con la valoración calculada por la aplicación. En el caso de los objetivos automatizados, la aplicación obtiene automáticamente una valoración, aunque se ofrece al auditor la posibilidad de cambiarla a su criterio.

Se desea añadir información complementaria.

- Almacenaje del informe de auditoría en el histórico, posibilitando acceder a él en cualquier momento futuro.

- Generar un documento en Word con el informe de auditoría.


Herramienta

Transparencia 35




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

- Listado de los informes de auditoría almacenados, ordenados por fecha.

- Seleccionando un informe, se accede a su detalle.

Histórico de auditorías


Herramienta

Transparencia 36




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

- Informe: Listado de los objetivos de control, junto a su calificación en cuanto a cumplimiento, de forma general.

- Seleccionando un objetivo de control, se accede a su detalle.

Cabecera del

informe

Valoración de Objetivos

de control


Herramienta

Transparencia 37




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Detalle de un Objetivo de control:

Se recupera información sobre:

- La valoración del Objetivo de control y la prueba realizada para verificar su cumplimiento.

- Las recomendaciones propuestas por la aplicación.

- Las observaciones anotadas por el auditor referentes a

dicho Objetivo de control.


Herramienta

Transparencia 38




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte ISM2 Herramienta para la Gestión de Métrica de SGSIs

Herramienta

Transparencia 39

Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez.




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones


Herramienta

Transparencia 40





3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones


Herramienta

Transparencia 41





3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

1. Introducción.

2. Estado del arte.




6. Herramienta.




Transparencia 42




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Pruebas

Pruebas de auditoría sobre servidores reales de las instalaciones de la empresa Sicaman Nuevas Tecnologías:

- Servidores W2003 de Producción y Desarrollo

- Servidores SQL Server 2005 de Producción y Desarrollo

- Servidor Oracle 11i

Resultados obtenidos:

Securización/

Servidor

Windows 2000

SQL SERVER

2000 Oracle 9i

Securización media

Servidor desarrollo [SQL]

51,35 52,83 - 52,22

Servidor desarrollo [ORA]

51,35 - 52,27 51,85

Servidor producción [SQL]

72,97 73,58 - 73,33

Resultados

Transparencia 43




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

- El entorno de producción de SNT tiene un nivel de securización medio, tanto a nivel de servidor, como a nivel de aplicaciones individuales. Sería aconsejable seguir las recomendaciones obtenidas de las auditorías, sobre todo teniendo en cuenta que es un entorno de producción.

- El entorno de desarrollo de SNT tiene un nivel de securización bajo, tanto a nivel de servidor, como a nivel de aplicaciones individuales, y tanto para entornos SQL Server como para entornos Oracle. Lo aconsejable para un entorno de desarrollo es situar el riesgo en un nivel medio, por lo que se aconseja seguir las recomendaciones de los informes de auditoría.

Conclusiones

Conclusiones y Trabajo futuro

Transparencia 44




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

1. Introducción.

2. Estado del arte.




6. Herramienta.




Transparencia 45




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Estudio de la normativa vigente en materia de métricas… FIPS 140-1, FIPS 140-2, NIST SP 800-53, NIST SP 800-55, NIST SP 800-80, familia ISO/IEC 27000 (ISO 27001, ISO 27002, ISO 27004) Estudio de herramientas existentes en el mercado… MGSM-PYME, S2GSI, herramienta para el cálculo del GAP ISO 27001 de SIGEA, ISOTools, GlobalSGSI y Ecija | SGSI

Conclusiones


Transparencia 46




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Herramienta desarrollada: Aplicación que permite obtener de forma (en alto grado) automática:

- Una valoración del grado de securización de un sistema.

- Listado de puntos débiles detectados.

- Recomendaciones para aumentar el nivel de seguridad.

Ventajas sobre la auditoría manual:

- Bajo coste en recursos y tiempos.

- Generación automática de informes de auditoría.

- Obtención automática de configuraciones adecuadas, recomendaciones y pruebas de verificación.

- Histórico de auditorías.


Transparencia 47




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Más Mediciones. Varias para cada Control Dividir Mediciones

Más Indicadores y Medidas para las Mediciones

Nuevos tipos de Indicadores

Ampliar números rangos de % y señalización para

ellos

Conclusiones


Transparencia 48




3.- Objetivos



1.- Introducción

6.- Herramienta


8.- Conclusiones

2.- Estado del arte

Informe en pdf Gráficos de histórico

Nuevos tipos de usuario

Desarrollar parte de auditoría

Avisos de situaciones críticas. Más rangos %.

Posibilidad de diferenciar entre Organización

grande y PYME para una adecuada gestión del estado del SGSI adaptada a cada una.

Integración de la herramienta en sistemas para automatización de actualizaciones y revisiones

Conclusiones


Transparencia 49

CIBSI 2011 VI Congreso Iberoamericano de

Seguridad Informática

Gracias por su atención

Dr. Luis Enrique Sánchez Crespo ([email protected])

Esther Álvarez Gonzalez ([email protected])

Dr. Eduardo Fernández-Medina Paton ([email protected])

Dr. Mario Piattini Velthuis ([email protected])






trabajo de investigación. métricas de... · dr. eduardo fernández-medina paton ... luis enrique...

Documents