Embed Size (px)
Citation preview
Métricas para la Seguridad de las Aplicaciones
MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.
Expositor
• About Me MAI. Andrés Casas, Director de Gestión de Riesgo de Deloitte,
Dirige la Implementación de Gobierno de Tecnología, Aseguramiento y
Seguridad de la Información para Costa Rica, Nicaragua, Honduras
y República Dominicana.
Certificaciones
CISSP, CISA, CISM, CRISC, ITIL, COBIT, ISO 27001, MAI
Experiencia
Más de ocho años en Servicios de Análisis de Riesgos a las Empresas,
Aseguramiento de Controles, Diseño de Sistemas de Control
Interno, Auditoría Interna de tecnología de la información,
Seguridad y Privacidad
• ¿Qué es esto?
• ¿De qué me sirve?
• ¿Qué proceso de administración implemento?
• ¿Cuáles métricas existen?
Agenda
• Medidas
• Métricas
• KPI
¿Qué es esto?
• Incrementar la rendición de cuentas – Activos frente a la responsabilidad
• Mejorar la efectividad de la seguridad de la información
• Demostrar cumplimiento – Leyes
– Buenas prácticas
• Proporcionar insumos cuantificables para las decisiones
¿De qué me sirve?
¿Qué proceso de administración implemento?
¿Qué proceso de administración implemento?
¿Qué proceso de administración implemento?
Qué proceso de administración implemento?
Las métricas son más valiosos cuando se cumplen ciertos criterios.
Qué proceso de administración implemento?
Las métricas son más valiosos cuando se cumplen ciertos criterios.
S
M
A
R
T
Específicas
Medibles
Acordadas
Realistas
Con límite de tiempo
Qué proceso de administración implemento?
Qué proceso de administración implemento?
¿Qué proceso de administración implemento?
Qué proceso de administración implemento?
[IA] Identity
and access
management
[EC] Enablers and
controlling
[AS] Application security
[IM1]
IT risk management
[EC2] Policies,
standards and
compliance
[IM2] Security
architecture
[IA1] Identification
and authentication
[AS2] Application
functions and
controls
[IM] IT management and supporting processes
[IS] Infrastructure security
[EC6] Effectiveness
metrics and
reporting
[IS2]
User devices
[IS1] Servers and
middleware
[IS3] Network and
communication
[IA2]
Authorization
[IM3]
Secure engineering
[IM4]
Secure operation
[EC4]
HR security
[EC3] Training and
awareness
[AS1] Secure
software
development
[EC5]
Physical security
[EC1] Strategy,
governance and
organization
[IM5] Information
and asset
management
[IM6] IT continuity
management
[IM7] Vulnerability
management
[IM8] Extended
enterprise security
management
[DS] Data security
[DS1] Data loss
prevention
[DS2] Media
security
Threat landscape
Holistic IT Security Management Framework
Industry Standards and Good Practice
La
ws
, re
gu
lati
on
s a
nd
co
mm
erc
ial
req
uir
em
en
ts
CS
In
tern
al e
xis
tin
g c
on
tro
ls /
ca
pa
bilit
ies
¿Qué proceso de administración implemento?
Servidores
Software Base de Servidores
Aplicaciones
Bases de Datos
Oracle 11i SQL Server 8
Herramienta de Desarrollo Oracle Forms
Software Base Clientes
Visual Basic .NET
Planillas Segx Ventas Producción
Power Builder 8.0
Windows 2003 Server
Windows NT4 Server
Windows 2008 Server
Windows 2000
Server
SERVER
2008
Windows 2008 Server Windows 2003
¿Qué proceso de administración implemento?
Tipos de métricas: • Métricas en procesos de seguridad
• Métricas de red
• Métricas de software
• Métricas de seguridad del personal
¿Qué proceso de administración implemento?
Métricas en procesos de seguridad: • Medición de los procesos y procedimientos
Implica alta utilidad de la seguridad políticas y procesos
• Relación entre indicadores y nivel de seguridad no está claramente definido
• Cumplimiento / Gobierno impulsado generalmente apoya una mayor seguridad
• Impacto real difícil de definir
¿Qué proceso de administración implemento?
Métricas de red: • Impulsado por productos
(firewalls, IDS, etc) • Disponible • Ampliamente utilizado • Brinda una sensación de control • Gráficos agradables • Puede ser engañoso
¿Qué proceso de administración implemento?
Métricas de software: • Medidas de software están
problemáticos (LOC, FPS, Complejidad etc)
• Dependen del contexto y sensible al entorno • Dependiente Arquitectura
¿Qué proceso de administración implemento?
INDICADOR PREVENCION CODIGO MALICIOSO
OBJETIVO Mide el nivel de efectividad del proceso de prevención de código malicioso.
ALCANCE Todos los intentos de infección detectados durante el período.
COMENTARIOS, EJEMPLOS Y TIPOS DE MEDICION
DATOS
Logs antivirus
Se informa la cantidad de intentos de infección detectados durante el periodo analizado.
Responsable: Juanito Perez Origen: DEFINIR ORIGEN DE DATOS
Frecuencia: Mensual
METODO DE CALCULO META
Infecciones no detenidas por el antivirus / Todos los intentos de infección registrados
Normal >90% Seguimiento <=90%
Las organizaciones deben documentar su métricas en un formato estándar para asegurar la aplicación del modelo, adaptación, recopilación y presentación de informes.
Métricas SDLC
% defectos que
impactan seguridad
# puntos de entrada
para cada módulo
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
% requerimientos de
seguridad mapeados
# vulnerabilidades de
software conocidas
# desviaciones entre diseño,
código y requerimientos
Desarrollo y adquisición
Métricas SDLC
# defectos en código
según su componente
% vulnerabilidades
que han sido mitigadas
1 2 3 4 5 6 7 8 9 10 11 12 13 17 18
% variación de costo o
presupuesto en actividades de seguridad
% módulos que
contienen vulnerabilidades
% controles de
seguridad fallidos
Desarrollo y adquisición
1 2 3
Implementación y evaluación
Métricas de calidad
Grado de operación del programa respecto los requerimientos Correctitud •Defectos KLOC
•Horas por interrupción del programa
Grado que un programa puede cambiar Mantenibilidad •Costo de corregir
•Tiempo para realizar cambios
Grado de resistencia ante pérdida de información Integridad •Tolerancia de fallos
•Ataques registrados contra el programa
Grado de facilidad de uso Usabilidad •Tiempo de entrenamiento
•Conocimientos necesarios para operar el programa
¿Qué proceso de administración implemento?
¿PREGUNTAS?
