Escrito por Luis Cabrera Lunes, 06 de Diciembre de 2010 00:00
Blog - Seguridad | Informática
En esta segunda y ultima entrega (Ver primera parte en este link) continuamos explorando las razones si estamos implementando un plan de seguridad adecuado para nuestra empresa.
Alcances de la aplicación de las Métricas de seguridad de la información
- Sistema de Información individual
Las métricas pueden ser aplicadas a nivel de los sistemas de información, proveyendo datos sobre su implementación, efectividad/eficiencia o los controles de seguridad requeridos. El propietario del sistema de información puede usar estas métricas para apoyar la determinación de la postura de seguridad de la información, identificando así áreas que necesitan mejoras y cumpliendo así con los requerimientos de la empresa.
- Ciclo de Vida de Desarrollo de los Sistemas (SDLC)
Las métricas deben ser usadas a través del SDLC para así monitorear la implementación de apropiados controles de seguridad. Diferentes métricas pueden ser útiles para diferentes actividades del proyecto.
Algunos ejemplos:
Fase SDLC | Métrica | Propósito | Valor |
Adquisición / Desarrollo | · Porcentaje de los productos defectuosos que impactan negativamente en la Seguridad. | · Identificar los defectos de la aplicación que pueden ser explotados en el futuro. | · Provee una visión efectividad dentro del SDLC y un entrenamiento en seguridad para los desarrolladores. |
| · Indica la necesidad de controles adicionales en Operaciones. | |||
Adquisición / Desarrollo | · Números de defectos descubiertos que son conocidos como vulnerabilidades del software. | · Proactivamente se gestionan los defectos de seguridad previas pruebas e implementaciones. | · Ayuda a minimizar el costo de desarrollo y mantenimiento. |
| · Numero de desviaciones entre diseño, código y requerimientos. | |||
| · Porcentaje de vulnerabilidades descubiertas y que han sido mitigadas. | |||
Implementación / Evaluación | · Porcentaje de módulos que contienen vulnerabilidades. | · Identificar los defectos de la aplicación que pueden ser explotados en el futuro. | · Provee una visión del riesgo de que sea explotado el sistema cuando sea implementado |
| · Porcentaje de fallas en los requerimientos de controles de seguridad | · Indica la necesidad de controles adicionales de seguridad en Operaciones. |
- Programa de métrica extendida a toda la empresa
Se puede implementar en todas áreas de la empresa un monitoreo de implementación, efectividad, eficiencia e impacto de la seguridad de la información sobre el negocio, es importante considerar que para que sean efectivas estas métricas, la empresa debe estar operando a cierto nivel de madurez en la gestión e implementación de la seguridad; asegurando que los procesos que proveen informaciones a las métricas sean consistentes y repetibles permitiendo de este modo asegurar los datos en todas las áreas de la empresa.
¿Cuáles son los factores críticos para una implementación exitosa?
El primer factor más crítico y fundamental para la implementación es el apoyo de la dirección y la alta gerencia, este apoyo no se debe limitar solo al programa de desarrollo de seguridad de la información, sino apuntalar también la implementación. Este respaldo permite establecer un foco en la seguridad de la información, un enfoque que se transmite de arriba hacia abajo en una estructura piramidal; sin un apuntalamiento sólido el programa de medición de la seguridad de la información puede fracasar.
El segundo componente es la existencia de políticas y procedimientos de seguridad de las informaciones respaldadas por la alta gerencia, forzando los mismos a su cumplimiento. No se puede realizar una medición con facilidad y exactitud si no se cuentan con estos documentos implementados.
El tercer componente es desarrollar y establecer medidas cuantificables, basados en las metas y objetivos de la seguridad de la información, fáciles de obtener y factibles de medición. Estas métricas deben ser repetibles y a la vez permitir medir sobre un periodo de tiempo.
El éxito de esta implementación puede ser juzgado por los resultados obtenidos del análisis, donde dichas conclusiones pueden demostrar el cumplimiento de la organización con requerimientos contractuales, legales y/o regulatorios; la identificación de problemas no identificados o conocidos previamente; proveer información complementaria para el proceso de administración de riesgos de seguridad o auditoria o revisión de gestión de la seguridad de la información.
Conclusiones
Los responsables de la Seguridad de una organización con frecuencia necesitan justificar las inversiones y medir las evoluciones de sus programas de Seguridad ante un directorio; por ello deben recurrir a métricas objetivas que muestren a los responsables del negocio las necesidades de logística tanto humana, tecnológicas o de políticas o procedimientos, así también como reportar las evoluciones de las implementaciones de Seguridad en la organización.
Por ello los datos a ser utilizados en el proceso de Métricas de Seguridad deben ser creíbles, contrastables, transparentes. El análisis y los informes deben ser iguales para todo aquel que realice la medición. Únicamente procesos que son consistentes y repetibles deben ser considerados para la medición, tales como: evaluación de riesgos, pruebas de penetración (Ethical Hacking), evaluación de seguridad y monitoreo continuo.
Las métricas son el nexo entre el lenguaje de Seguridad, TI y el lenguaje del Negocio; donde ambos interpretan el estado actual y futuro de la Seguridad; de otra manera no podríamos definir objetivos o metas y mucho menos demostrar el éxito alcanzado y el valor agregado que provee Seguridad gracias a los controles implementados.
¿Cómo usted sabe qué nivel de Seguridad esta implementado en su empresa?
"La Seguridad es un proceso, no un producto" - Bruce Schneier.
"Las métricas ineludiblemente deben estar incorporadas en el proceso de Seguridad; para que en base a una adecuada Estrategia de Seguridad los recursos sean destinados en forma correcta" - Luis Cabrera.
Referencias
- NIST SP 800-55, Security Metrics Guide for Information Technology Systems (para acceder haga clic aqui).
- ISO 27004:2009, Information Security Management Measurement.
- Andrew Jaquith, Security Metrics: replacing fear, uncertainty, and doubt, Addison Wesly, Indiana USA, November 2005.
- Sitio Security Metrics (para acceder haga clic aqui).
Ver el artículo completo Parte 1 y Parte 2.
Por Luis Cabrera, Chief Security Officer, Sudameris Bank, Paraguay.
| < Prev | Próximo > |
|---|
Próximas Jornadas
 |
 |
 |
 |
 |
Revista Impresa #16
Kiosco Digital
 |
Ingreso de usuarios
Registrados
Esta semana: 1 registrados
Este mes: 13 registrados
Visitas
 | Hoy | 4459 |
 | Ayer | 8356 |
 | Esta semana | 4459 |
 | Ultima semana | 45779 |
 | Este mes | 145876 |
 | Ultimo mes | 238584 |
 | Todos los días | 8377425 |
Hoy: May 21, 2012