¿Está usted implementando un Plan de Seguridad adecuado para su Empresa?
Según Kaplan y Norton, no se puede gestionar lo que no se puede medir y no se puede medir lo que no se puede describir; si trasladamos este enunciado a la Seguridad quedaría algo así como: "no se puede gestionar la Seguridad de nuestra empresa si implementamos controles de Seguridad que no pueden ser medibles".
Las buenas prácticas de la industria y regulaciones internacionalmente conocidas; como las leyes de Glinger-Cohen Act, the Government Performance and Results Act (GPRA), the Government Paperwork Elimination Act (GPEA) y the Federal Information Security Management Act (FISMA), requieren medir el desempeño de la seguridad de la información.
Para implementar estas mediciones podemos recurrir a varias guías de buenas prácticas disponibles, a modo de referencia menciono algunas: “Guide to Security Metrics” de SANS Institute, “Developing Metrics for Effective Information Security Governance” de John P. Pironti, “Security Metrics” de Andrew Jaquith, “Performance Measurement Guide for Information Security” de NIST (National Institute of Standards and Technolgy) y el estándar ISO/IEC 27004:2009 Information Security Management Measurement .
¿Que son las métricas de la seguridad de la información?
La métrica de la seguridad de la información es el resultado de la colección, análisis y reporte de los datos colectados, los cuales reflejan la efectividad de la gestión y control de seguridad implementada, son usadas principalmente para facilitar la toma de decisiones, mejorar el rendimiento y precisión de la Seguridad de la Información.
Las métricas pueden variar de acuerdo a la madurez, objetivos y metas de seguridad de cada organización.
Las métricas funcionan como un GPS, nos indica exactamente dónde estamos y a cuanto estamos de nuestro destino
¿Por qué es importante medir su seguridad aplicando más ciencia antes que más adivinanzas?
Las métricas permiten identificar la efectividad, eficiencia e impacto de los controles y actividades relacionadas a la seguridad; permitiendo reaccionar ante las tendencias, resolviendo problemas antes de que sean insuperables; alcanzando de este modo una mejora continua de las implementaciones, rendimiento y eficacia de la seguridad implementada.
Ayuda también a demostrar el nivel de cumplimiento de las regulaciones gubernamentales y/o buenas prácticas de la industria. Contribuye fundamentalmente en la toma de decisiones efectivas y oportunas para proveer inyección de recursos efectivos, reduciendo de esta manera desvíos de presupuestos a proyectos no fundamentales.
“Si se quiere ser objetivo con las tomas de decisiones de seguridad, necesariamente se debe emplear métricas de seguridad de la información”.
¿Existe un solo tipo de métrica?
El nivel de madurez de la seguridad de la información en la organización determina el tipo de medición que puede ser recolectado satisfactoriamente. Y esta madurez se da por la existencia e institucionalización de políticas y procedimientos. Al tener menor madurez de la seguridad de la información se necesita desarrollar sus metas y objetivos antes de poder implementar medidas efectivas. Y con mayor madurez se puede medir:
Implementaciones
Demuestra el progreso en la implementación de la seguridad de la información.
- Ejemplo:
1. Porcentaje de servidores que tienen implementado una configuración estándar de la empresa, o
2. Porcentaje de servidores que tienen configurado la política de seguridad de contraseñas.
Efectividad y Eficiencia
Es usado para monitorear si el proceso y los controles de seguridad están implementados correctamente y si operan como fue planificado, reuniendo los resultados esperados.
- Ejemplo:
1. Porcentaje de equipos en los cuales fueron aplicados actualizaciones para las vulnerabilidades del sistema operativo. Indicando así la efectividad de las alertas y advertencias de seguridad recibida de los fabricantes, y si fue aplicado dentro de un tiempo prudencial refiriendo este una eficiencia en la implementación. Esta métrica provee una información clave para los que toman decisiones sobre la seguridad de la información. Pudiendo usarse también para determinar si los controles están funcionando correctamente o ayudando a facilitar una priorización de las acciones correctivas.
Impacto sobre el Negocio
Ayuda a cuantificar los costos ahorrados por la implementación de la seguridad de la información o por los costos incurridos por resolver eventos de seguridad de la información. El nivel de confianza ganado o mantenido por parte del público por la implementación de la seguridad de la información, y otros impactos relacionados a la anterior.
¿Qué consideraciones debemos tener en cuenta para una implementación exitosa del Programa de medición de la seguridad de la información?
- Organizacional
Las áreas de las empresas que no tienen como primera responsabilidad la seguridad de la información pero interactúan con la seguridad de la información en forma continua; pueden necesitar incluir métricas a sus procesos. (Ej.: Legales, Capacitación, etc.).
- Administrable
Cualquier métrica aplicada debe ser administrable por el área que la implementa. A medida que el programa de medición de la Seguridad de la Información madure y el nivel del objetivo es alcanzado, estas métricas deben entrar en una fase de discontinuidad, debiendo aplicarse una nueva métrica, más actualizada y completa. Esto se da principalmente cuando las políticas y estándares de la seguridad de la información son modificados o la misión del área es redefinida.
- Administración de datos
Para asegurar la calidad y validez de los datos, el método de colección y almacenamiento de los datos usados para las métricas deben ser estandarizados. Si existen datos sensibles en esta colección de datos, los mismos deben estar protegidos de acuerdo a su criticidad.
- Automatización de la colección de datos
Una eficiente administración de los datos es facilitado por la automatización de la colección de datos, minimizando las oportunidades de error humano y llevando a una gran precisión de los datos disponibles.
- El alcance del programa de medición de la seguridad de la información
Un programa de medición puede tener un alcance de varios entornos y necesidades. Por ejemplo: Cuantificar el nivel de la seguridad de los sistemas de información de las Operaciones o Cuantificar la integración de la seguridad de la información en el ciclo de vida de desarrollo de los sistemas (SDLC) durante el proceso de desarrollo de las aplicaciones o Cuantificar el desempeño de la seguridad de la información en todas las áreas de la empresa.
Alcances de la aplicación de las Métricas de seguridad de la información
- Sistema de Información individual
Las métricas pueden ser aplicadas a nivel de los sistemas de información, proveyendo datos sobre su implementación, efectividad/eficiencia o los controles de seguridad requeridos. El propietario del sistema de información puede usar estas métricas para apoyar la determinación de la postura de seguridad de la información, identificando así áreas que necesitan mejoras y cumpliendo así con los requerimientos de la empresa.
- Ciclo de Vida de Desarrollo de los Sistemas (SDLC)
Las métricas deben ser usadas a través del SDLC para así monitorear la implementación de apropiados controles de seguridad. Diferentes métricas pueden ser útiles para diferentes actividades del proyecto.
- Programa de métrica extendida a toda la empresa
Se puede implementar en todas áreas de la empresa un monitoreo de implementación, efectividad, eficiencia e impacto de la seguridad de la información sobre el negocio, es importante considerar que para que sean efectivas estas métricas, la empresa debe estar operando a cierto nivel de madurez en la gestión e implementación de la seguridad; asegurando que los procesos que proveen informaciones a las métricas sean consistentes y repetibles permitiendo de este modo asegurar los datos en todas las áreas de la empresa.
¿Cuáles son los factores críticos para una implementación exitosa?
El primer factor más crítico y fundamental para la implementación es el apoyo de la dirección y la alta gerencia, este apoyo no se debe limitar solo al programa de desarrollo de seguridad de la información, sino apuntalar también la implementación. Este respaldo permite establecer un foco en la seguridad de la información, un enfoque que se transmite de arriba hacia abajo en una estructura piramidal; sin un apuntalamiento sólido el programa de medición de la seguridad de la información puede fracasar.
El segundo componente es la existencia de políticas y procedimientos de seguridad de las informaciones respaldadas por la alta gerencia, forzando los mismos a su cumplimiento. No se puede realizar una medición con facilidad y exactitud si no se cuentan con estos documentos implementados.
El tercer componente es desarrollar y establecer medidas cuantificables, basados en las metas y objetivos de la seguridad de la información, fáciles de obtener y factibles de medición. Estas métricas deben ser repetibles y a la vez permitir medir sobre un periodo de tiempo.
El éxito de esta implementación puede ser juzgado por los resultados obtenidos del análisis, donde dichas conclusiones pueden demostrar el cumplimiento de la organización con requerimientos contractuales, legales y/o regulatorios; la identificación de problemas no identificados o conocidos previamente; proveer información complementaria para el proceso de administración de riesgos de seguridad o auditoria o revisión de gestión de la seguridad de la información.
Conclusiones
Los responsables de la Seguridad de una organización con frecuencia necesitan justificar las inversiones y medir las evoluciones de sus programas de Seguridad ante un directorio; por ello deben recurrir a métricas objetivas que muestren a los responsables del negocio las necesidades de logística tanto humana, tecnológicas o de políticas o procedimientos, así también como reportar las evoluciones de las implementaciones de Seguridad en la organización.
Por ello los datos a ser utilizados en el proceso de Métricas de Seguridad deben ser creíbles, contrastables, transparentes. El análisis y los informes deben ser iguales para todo aquel que realice la medición. Únicamente procesos que son consistentes y repetibles deben ser considerados para la medición, tales como: evaluación de riesgos, pruebas de penetración (Ethical Hacking), evaluación de seguridad y monitoreo continuo.
Las métricas son el nexo entre el lenguaje de Seguridad, TI y el lenguaje del Negocio; donde ambos interpretan el estado actual y futuro de la Seguridad; de otra manera no podríamos definir objetivos o metas y mucho menos demostrar el éxito alcanzado y el valor agregado que provee Seguridad gracias a los controles implementados.
¿Cómo usted sabe qué nivel de Seguridad esta implementado en su empresa?
"La Seguridad es un proceso, no un producto" - Bruce Schneier.
"Las métricas ineludiblemente deben estar incorporadas en el proceso de Seguridad; para que en base a una adecuada Estrategia de Seguridad los recursos sean destinados en forma correcta" - Luis Cabrera.
Referencias
- NIST SP 800-55, Security Metrics Guide for Information Technology Systems (para acceder haga clic aqui).
- ISO 27004:2009, Information Security Management Measurement.
- Andrew Jaquith, Security Metrics: replacing fear, uncertainty, and doubt, Addison Wesly, Indiana USA, November 2005.
- Sitio Security Metrics (http://www.securitymetrics.org/content/Wiki.jsp)
Fuente: http://www.cxo-community.com/articulos/blogs/blogs-seguridad-informatica/3469-iesta-usted-implementando-un-plan-de-seguridad-adecuado-para-su-empresa-parte-1.html.
Las buenas prácticas de la industria y regulaciones internacionalmente conocidas; como las leyes de Glinger-Cohen Act, the Government Performance and Results Act (GPRA), the Government Paperwork Elimination Act (GPEA) y the Federal Information Security Management Act (FISMA), requieren medir el desempeño de la seguridad de la información.
Para implementar estas mediciones podemos recurrir a varias guías de buenas prácticas disponibles, a modo de referencia menciono algunas: “Guide to Security Metrics” de SANS Institute, “Developing Metrics for Effective Information Security Governance” de John P. Pironti, “Security Metrics” de Andrew Jaquith, “Performance Measurement Guide for Information Security” de NIST (National Institute of Standards and Technolgy) y el estándar ISO/IEC 27004:2009 Information Security Management Measurement .
¿Que son las métricas de la seguridad de la información?
La métrica de la seguridad de la información es el resultado de la colección, análisis y reporte de los datos colectados, los cuales reflejan la efectividad de la gestión y control de seguridad implementada, son usadas principalmente para facilitar la toma de decisiones, mejorar el rendimiento y precisión de la Seguridad de la Información.
Las métricas pueden variar de acuerdo a la madurez, objetivos y metas de seguridad de cada organización.
Las métricas funcionan como un GPS, nos indica exactamente dónde estamos y a cuanto estamos de nuestro destino
¿Por qué es importante medir su seguridad aplicando más ciencia antes que más adivinanzas?
Las métricas permiten identificar la efectividad, eficiencia e impacto de los controles y actividades relacionadas a la seguridad; permitiendo reaccionar ante las tendencias, resolviendo problemas antes de que sean insuperables; alcanzando de este modo una mejora continua de las implementaciones, rendimiento y eficacia de la seguridad implementada.
Ayuda también a demostrar el nivel de cumplimiento de las regulaciones gubernamentales y/o buenas prácticas de la industria. Contribuye fundamentalmente en la toma de decisiones efectivas y oportunas para proveer inyección de recursos efectivos, reduciendo de esta manera desvíos de presupuestos a proyectos no fundamentales.
“Si se quiere ser objetivo con las tomas de decisiones de seguridad, necesariamente se debe emplear métricas de seguridad de la información”.
¿Existe un solo tipo de métrica?
El nivel de madurez de la seguridad de la información en la organización determina el tipo de medición que puede ser recolectado satisfactoriamente. Y esta madurez se da por la existencia e institucionalización de políticas y procedimientos. Al tener menor madurez de la seguridad de la información se necesita desarrollar sus metas y objetivos antes de poder implementar medidas efectivas. Y con mayor madurez se puede medir:
Implementaciones
Demuestra el progreso en la implementación de la seguridad de la información.
- Ejemplo:
1. Porcentaje de servidores que tienen implementado una configuración estándar de la empresa, o
2. Porcentaje de servidores que tienen configurado la política de seguridad de contraseñas.
Efectividad y Eficiencia
Es usado para monitorear si el proceso y los controles de seguridad están implementados correctamente y si operan como fue planificado, reuniendo los resultados esperados.
- Ejemplo:
1. Porcentaje de equipos en los cuales fueron aplicados actualizaciones para las vulnerabilidades del sistema operativo. Indicando así la efectividad de las alertas y advertencias de seguridad recibida de los fabricantes, y si fue aplicado dentro de un tiempo prudencial refiriendo este una eficiencia en la implementación. Esta métrica provee una información clave para los que toman decisiones sobre la seguridad de la información. Pudiendo usarse también para determinar si los controles están funcionando correctamente o ayudando a facilitar una priorización de las acciones correctivas.
Impacto sobre el Negocio
Ayuda a cuantificar los costos ahorrados por la implementación de la seguridad de la información o por los costos incurridos por resolver eventos de seguridad de la información. El nivel de confianza ganado o mantenido por parte del público por la implementación de la seguridad de la información, y otros impactos relacionados a la anterior.
¿Qué consideraciones debemos tener en cuenta para una implementación exitosa del Programa de medición de la seguridad de la información?
- Organizacional
Las áreas de las empresas que no tienen como primera responsabilidad la seguridad de la información pero interactúan con la seguridad de la información en forma continua; pueden necesitar incluir métricas a sus procesos. (Ej.: Legales, Capacitación, etc.).
- Administrable
Cualquier métrica aplicada debe ser administrable por el área que la implementa. A medida que el programa de medición de la Seguridad de la Información madure y el nivel del objetivo es alcanzado, estas métricas deben entrar en una fase de discontinuidad, debiendo aplicarse una nueva métrica, más actualizada y completa. Esto se da principalmente cuando las políticas y estándares de la seguridad de la información son modificados o la misión del área es redefinida.
- Administración de datos
Para asegurar la calidad y validez de los datos, el método de colección y almacenamiento de los datos usados para las métricas deben ser estandarizados. Si existen datos sensibles en esta colección de datos, los mismos deben estar protegidos de acuerdo a su criticidad.
- Automatización de la colección de datos
Una eficiente administración de los datos es facilitado por la automatización de la colección de datos, minimizando las oportunidades de error humano y llevando a una gran precisión de los datos disponibles.
- El alcance del programa de medición de la seguridad de la información
Un programa de medición puede tener un alcance de varios entornos y necesidades. Por ejemplo: Cuantificar el nivel de la seguridad de los sistemas de información de las Operaciones o Cuantificar la integración de la seguridad de la información en el ciclo de vida de desarrollo de los sistemas (SDLC) durante el proceso de desarrollo de las aplicaciones o Cuantificar el desempeño de la seguridad de la información en todas las áreas de la empresa.
Alcances de la aplicación de las Métricas de seguridad de la información
- Sistema de Información individual
Las métricas pueden ser aplicadas a nivel de los sistemas de información, proveyendo datos sobre su implementación, efectividad/eficiencia o los controles de seguridad requeridos. El propietario del sistema de información puede usar estas métricas para apoyar la determinación de la postura de seguridad de la información, identificando así áreas que necesitan mejoras y cumpliendo así con los requerimientos de la empresa.
- Ciclo de Vida de Desarrollo de los Sistemas (SDLC)
Las métricas deben ser usadas a través del SDLC para así monitorear la implementación de apropiados controles de seguridad. Diferentes métricas pueden ser útiles para diferentes actividades del proyecto.
- Programa de métrica extendida a toda la empresa
Se puede implementar en todas áreas de la empresa un monitoreo de implementación, efectividad, eficiencia e impacto de la seguridad de la información sobre el negocio, es importante considerar que para que sean efectivas estas métricas, la empresa debe estar operando a cierto nivel de madurez en la gestión e implementación de la seguridad; asegurando que los procesos que proveen informaciones a las métricas sean consistentes y repetibles permitiendo de este modo asegurar los datos en todas las áreas de la empresa.
¿Cuáles son los factores críticos para una implementación exitosa?
El primer factor más crítico y fundamental para la implementación es el apoyo de la dirección y la alta gerencia, este apoyo no se debe limitar solo al programa de desarrollo de seguridad de la información, sino apuntalar también la implementación. Este respaldo permite establecer un foco en la seguridad de la información, un enfoque que se transmite de arriba hacia abajo en una estructura piramidal; sin un apuntalamiento sólido el programa de medición de la seguridad de la información puede fracasar.
El segundo componente es la existencia de políticas y procedimientos de seguridad de las informaciones respaldadas por la alta gerencia, forzando los mismos a su cumplimiento. No se puede realizar una medición con facilidad y exactitud si no se cuentan con estos documentos implementados.
El tercer componente es desarrollar y establecer medidas cuantificables, basados en las metas y objetivos de la seguridad de la información, fáciles de obtener y factibles de medición. Estas métricas deben ser repetibles y a la vez permitir medir sobre un periodo de tiempo.
El éxito de esta implementación puede ser juzgado por los resultados obtenidos del análisis, donde dichas conclusiones pueden demostrar el cumplimiento de la organización con requerimientos contractuales, legales y/o regulatorios; la identificación de problemas no identificados o conocidos previamente; proveer información complementaria para el proceso de administración de riesgos de seguridad o auditoria o revisión de gestión de la seguridad de la información.
Conclusiones
Los responsables de la Seguridad de una organización con frecuencia necesitan justificar las inversiones y medir las evoluciones de sus programas de Seguridad ante un directorio; por ello deben recurrir a métricas objetivas que muestren a los responsables del negocio las necesidades de logística tanto humana, tecnológicas o de políticas o procedimientos, así también como reportar las evoluciones de las implementaciones de Seguridad en la organización.
Por ello los datos a ser utilizados en el proceso de Métricas de Seguridad deben ser creíbles, contrastables, transparentes. El análisis y los informes deben ser iguales para todo aquel que realice la medición. Únicamente procesos que son consistentes y repetibles deben ser considerados para la medición, tales como: evaluación de riesgos, pruebas de penetración (Ethical Hacking), evaluación de seguridad y monitoreo continuo.
Las métricas son el nexo entre el lenguaje de Seguridad, TI y el lenguaje del Negocio; donde ambos interpretan el estado actual y futuro de la Seguridad; de otra manera no podríamos definir objetivos o metas y mucho menos demostrar el éxito alcanzado y el valor agregado que provee Seguridad gracias a los controles implementados.
¿Cómo usted sabe qué nivel de Seguridad esta implementado en su empresa?
"La Seguridad es un proceso, no un producto" - Bruce Schneier.
"Las métricas ineludiblemente deben estar incorporadas en el proceso de Seguridad; para que en base a una adecuada Estrategia de Seguridad los recursos sean destinados en forma correcta" - Luis Cabrera.
Referencias
- NIST SP 800-55, Security Metrics Guide for Information Technology Systems (para acceder haga clic aqui).
- ISO 27004:2009, Information Security Management Measurement.
- Andrew Jaquith, Security Metrics: replacing fear, uncertainty, and doubt, Addison Wesly, Indiana USA, November 2005.
- Sitio Security Metrics (http://www.securitymetrics.org/content/Wiki.jsp)
Fuente: http://www.cxo-community.com/articulos/blogs/blogs-seguridad-informatica/3469-iesta-usted-implementando-un-plan-de-seguridad-adecuado-para-su-empresa-parte-1.html.
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios