© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 1

Ing. Carlos Ormella Meyer

Marzo 2015

Introducción a las

Métricas de Seguridad

de la Informacióny su Aplicación enNuevos Escenarios

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 2

Agenda• Tema 1: Seguridad de la Información y

Seguridad Informática.

• Tema 2: Evaluación de la concientización

• Tema 3: Oportunidades y Riesgos Positivos

• Tema 4: Efectividad de los Controles y Balanced Scorecard (BSC)

• Tema 5: Móviles BYOD

• Tema 6: IoT (Internet de las Cosas)

• Tema 7: Herramientas de Ciberseguridad

• Tema 8: Big data y Analítica

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 3

Seguridadde laInformaciónSeguridadInformática

Vulnerab. y Amen. TIC• Virus• Spam - Phising• Contraseñas• Ataques DoS• Internet, e-mail, etc.

Vulnerab. Organiz., Operac. y Físicos• Ausencia de Normas y Políticas• Control insuficiente de cambios• Actitud y comportamiento personal• Errores, actos deliberados personal• información verbal o en papel, etc.

Seguridad Información vs. Informática

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 4

• Los resultados se han semaforizado en 3 niveles(rojo/amarillo/verde) con límites al 50% y 75% ypueden presentarse gráficamente de distintasmaneras.

Efectividad de la Concientización

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 5

• La norma ISO 31000, a la que se ajusta la nuevaversión de la ISO 27001, ha redefinido los riesgoscomo inseguridad en el logro de objetivos.

• Esto implica que, además de los riesgostradicionales de efectos negativos, puede haberriesgos de efectos positivos que constituyenOportunidades que se pueden aprovechar.

• Pueden encontrarse oportunidades existentes quepodrían mejorarse y lograr mayor aprovechamiento.

• Pero también se pueden generar oportunidades.• Por ejemplo, un plan de Concientización que permita

luego verificar los niveles de conocimiento, actitud ycomportamiento que se hayan inducido.

Oportunidades: Riesgos positivos

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 6

• Las Oportunidades pueden tratarse en forma similara los Riesgos, en cuanto a establecer en formacualitativa el nivel a partir del impacto que puedecausar su aprovechamiento y la probabilidad deque se produzca tal situación

• A la inversa de los riesgos, en que los de mayoresprobabilidades e impactos son los primeros que hayque mitigar, tales valores mayores con lasoportunidades señalan las oportunidades másconvenientes para aprovechar.

• Las métricas a aplicar para las oportunidadespueden basarse apelando a ROSI (Retorno Sobre lainversión en Seguridad de la Información).

Oportunidades: Riesgos positivos

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 7

Mapa de Oportunidades y Riesgos

3

2

1

3

2

1

5 4 3 2 1 1 2 3 4 5 Alto Medio Medio Medio Bajo Bajo Medio Medio Medio Alto alto bajo bajo alto

OPORTUNIDADES RIESGOS

Alta

Media

Baja

Alta

Media

Baja

Probab. Probab.

Impacto Impacto

Color Oportunidades Riesgos

Rojo Las más aprovechables Los más críticos a mitigar

AmarilloLas que podrían aprovecharse,sobre todo si se mejoran

Los que conviene mitigar

VerdeLas menos aprovechables peroque podrían mejorarse

Los menos riesgosos

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 8

• La efectividad de los controles implementados sepuede establecer por medio de métricas.

• La norma ISO 27004 establece el marco de trabajoy las características que deben dichas métricas,pero no estipula detalles de cuáles son.

• Para eso pueden usar dos publicaciones NIST.•• La La NIST 800-55v1 NIST 800-55v1 ofrece una guofrece una guíía sobre ma sobre méétricastricas

respecto a los controles de seguridad respecto a los controles de seguridad NISTNIST..•• Por su parte, Por su parte, NIST 800-53 NIST 800-53 define dichos controlesdefine dichos controles

y los mapea a controles de la norma y los mapea a controles de la norma ISO 27002ISO 27002..•• Se puede elaborar una tabla de mapeo inverso, deSe puede elaborar una tabla de mapeo inverso, de

controles controles ISO 27002ISO 27002 a controles a controles NISTNIST, y usar as, y usar asíílas las métricas respectivas de NIST 800-55.

Efectividad de los controlesEfectividad de los controles

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 9

• Más amplio y completo resulta al aplicar la metodologíaGQM (Métricas de Metas por Cuestionario).

• GQM parte de establecer Metas para luego plantearPreguntas cuyas Respuestas serán las Métricas.

• Meta: Seguridad de los recursos humanos.• Preguntas: ¿Cuáles fueron los resultados de un plan

de concientización?• Métricas:

a) % del total del personal que asistieron al programa.b) % del total del personal con roles y

responsabilidades significativas.c) % del porcentajes obtenidos en cuanto a criterios de

conocimiento, actitud y comportamiento en una encuesta posterior?

Efectividad de los controles

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 10

• Más completo es el Balanced Scorecard (BSCBalanced Scorecard (BSC)) para paraiimplementar la estrategia, además de la efectividad ygestión de las medidas y controles, y que ademásbalancea indicadores financieros y no financieros.indicadores financieros y no financieros.

•• El El BSCBSC usa usa cuatro Perspectivascuatro Perspectivas::1) Finanzas1) Finanzas2) Clientes2) Clientes3) Procesos internos3) Procesos internos4) Aprendizaje y Crecimiento4) Aprendizaje y Crecimiento

•• El El BSCBSC se compone de se compone de dos partes o seccionesdos partes o secciones::1) 1) Mapa EstratMapa Estratéégico:gico: consta de consta de objetivosobjetivos estratestratéégicosgicos

enlazados por relaciones de enlazados por relaciones de causa y efectocausa y efecto..2) 2) Tablero de Control o de Comando: Tablero de Control o de Comando: es la parte mes la parte mááss

conocida del conocida del Balanced ScorecardBalanced Scorecard..

Efectividad de los Controles

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 11

Tablero de Control del BSCIndicadoresIndicadoresIndicadores MetasMetasMetas

ObjetivosestratégicosObjetivosObjetivos

estratestratéégicosgicosIniciativasIniciativasIniciativas

ObjetivosObjetivos Lo que se quiere conseguir.Lo que se quiere conseguir.

IndicadoresIndicadoresParParáámetros basados en metros basados en mméétricastricaspara monitorear el progreso hacia elpara monitorear el progreso hacia elalcance de cada objetivo.alcance de cada objetivo.

Metas/hitosMetas/hitos((targetstargets))

Lo que quiere lograrse a lo largo delLo que quiere lograrse a lo largo deltiempo; se mide con indicadores.tiempo; se mide con indicadores.

IniciativasIniciativasPlanes para lograr los objetivos y lasPlanes para lograr los objetivos y lasmetas correspondientes.metas correspondientes. E

n c

/Per

spec

tiva

:

• Los objetivos estratégicos derivan en operacionalescon sus indicadores, metas e iniciativas propias.

Efect

ivid

ad

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 12

Métricas de seguridad y BSC• Los objetivos operacionales de seguridad se

mapean en objetivos de control y las iniciativas encontroles de la ISO 27002 (versión 2005 en la Figura)para cumplir los objetivos y metas deseados.

Efect

ivid

ad

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 13

• BYOD (“Traiga su propio dispositivo”) se refiere aque los empleados de una empresa traigan y usensus dispositivos móviles, como tablets y celularesinteligentes para acceder a información de la misma.

• Este nuevo foco en la seguridad de la información anivel corporativo, exige establecer seguridad física,protección lógica de la información residente,protección de acceso y conectividad adecuada.

• Se implementa con políticas de uso, incluyendorequisitos, procedimientos y guías, así comotambién responsabilidades, y verificacionesconstantes, aplicando métricas adecuadasdefinidas mediante el mecanismo GQM.

Móviles BYOD

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 14

• IoT es la interconexión digital de objetos cotidianos.• Esto incluye automóviles y dispositivos conectados a

computadoras, incluyendo celulares, móviles,sensores industriales, ciudades inteligentes, etc.

• Las vulnerabilidades más frecuentes son la falta deautenticación y la encripción de las transmisiones,expuestas tanto a ataques de botnet como aAmenazas Persistentes Avanzadas (APT), esdecir, un conjunto de procesos sigilosos y continuos,a veces producidos por el hombre, para penetrar laseguridad de una entidad específica.

• Las métricas deben revisar la correlación de tráficos,registros, contextos e información externa.

IoT – Internet de las Cosas

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 15

• Tres Servicios: SaaS, PaaS e IaaS. Con SaaS secontratan las aplicaciones, PaaS ofrece plataforma paradesarrollo, e IaaS plataforma de hardware.

• Formas de Implementación: Nube Privada, Comunitaria,Pública e Híbrida.

• Tres herramientas para complementar la ISO 27001 y laISO 27017 (controles para ciberseguridad):a) CSF de NIST con mapeado a controles ISO 27001.b) CCM de CSA también se mapea a la ISO 27001.c) Controles críticos de SANS

• También SIEM (Gestión de eventos de seguridad de lainformación), recoge y analiza datos, y produce alertas.

• Métricas, SLA (Acuerdos de Nivel de Servicio) analizadobajo GQM.

Ciberseguridad

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 16

• Big Data: gestión y análisis de gran variedad de datos,producidos tanto por dispositivos como por personas,generalmente soportados en infraestructuras de Nubes.

• Big Data se puede definir con cinco indicadores llamados5v, aunque los tres primeros son los más mencionados.1) Volumen, grandes cantidades de datos: medidos en

Terabytes (1012), Petabytes (1015), y Exabytes (1018).2) Variedad, datos de tres tipos:

a) Estructurados: Los de bases de datos relacionales,b) Semiestructurados: Registros internos y de

servidores, seguimiento de clics en Internet.c) No estructurados: Datos que no pueden almacenarse

en una base de datos tradicional, tales como imágenes,video, audio, etc., y texto de redes sociales, foros, e-mails, archivos Powerpoint y Word, etc.

Big Data y Analítica

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 17

3) Velocidad, con que se reciben los datos.4) Veracidad, como resultado de análisis y validación de su

utilidad para mejorar la toma de decisiones.5) Valor, de los datos para los negocios.

• Analítica de Big Data es una extensión para Big Data delData Analytics para examinar grandes volúmenes de datoscon variedad de tipos de datos, que se generan a altavelocidad, para establecer patrones ocultos, correlaciones,tendencias de mercado, preferencias de clientes, etc.

• Su uso se viene difundiendo especialmente en bancos,compañías de tarjetas de crédito para prevenir el fraude oidentificar robos, y negocios minoristas.

• Las métricas son las propias de la Computación en la Nube,así como las previstas para firewalls virtualizados.

Big Data y Analítica

© Ing. Carlos Ormella Meyerciprio@ingcomyasoc.com.ar msi - 18

Ing. Carlos Ormella Meyer

ciprio@ingcomyasoc.com.ar

www.angelfire.com/la2/revistalanandwan

Para mayor información