métricas de seguridad de la información para el nuevo estilo de ti
TRANSCRIPT
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Métricas de Seguridad de la Información para el Nuevo Estilo de TIEduardo Vianna de Camargo Neves, CISSP
Senior Regional Manager, Product Marketing
Acerca de las métricas de desempeño
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Un histórico probable de las métricas de desempeño
1930 1950 1960 1980-1990 2000
1939
Walter A. Shewhart publica el concepto de planificar-hacer-verificar-actuar (PDCA, plan-do-check-act)
1950
William Edwards Deming forma iingenieros japoneses en el control estadístico de los procesos y los conceptos de calidad.
El PDCA es aplicado en los procesos industriales y aumenta la calidad final de los productos.
1960
Albert Humphrey presenta los resultados de la metodología SWOT (Strengths, Weaknesses, Opportunities y Threats) en una convención de Stanford ResearchInstitute.
1981
Caso de suceso con KPI en British Airlines
1989
El concepto de Business Intelligence es popularizado por Gartner.
1990
Art Schneiderman y Dr. Robert S. Kaplan publican el libro “The Balanced Scorecard”
Los conceptos de métricas son aplicados en la tecnología con una serie de frameworks y metodologías que buscan aplicar los conceptos de negocio en el TI:
• 2005: ISO/IEC 20000
• 2007: IT Infrastructure Library (ITIL)
• 2009: ISO/IEC 27000
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Características de métricas de desempeño efectivas
No son financieras
No son expresas en dólares, pesos, euros o ninguna otra moneda
OportunoPueden ser mensuradas en unidades temporales
GerencialesSon usadas por el CEO y el time de gerencia ejecutiva
SimplesTodos entienden como debe ser mensurado y adecuado
AsignadasLa responsabilidad puede ser apuntada para una persona o grupo
Impactantes Afecta mas de un aspecto de la Organización
Accionables Encoraje una acción apropiada
Fuente: (1) Parmenter, David. Key Performance Indicators Developing, Implementing, and Using Winning KPIs. 2nd ed. Hoboken, NJ: John Wiley & Sons, 2007.
S Specific
M Measurable
A Achievable
R Relevant
T Time phased
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
De "bloody awful" para "bloody awesome"En la década de 1980, BA era conocida por los retrasos en los vuelos y una gran insatisfacción de sus clientes
Sir John King hay asumido la posición de Chairman de British Airways en 1981 para sanear las finanzas de la empresa y preparar el negocio para la privatización. Como parte del entendimiento do problema, hay buscado identificar los KPIsmás importantes.2
Reducción de costos directos
Impuestos de aeropuertos
Combustible extra en los vuelos con retrasos
Overbooking y acomodación de los pasajeros
Reducción de costos indirectos
Entrenamiento del equipo
Relacionamiento con los socios
Insatisfacción de los clientes
Mensuración de la puntualidad de todos los vuelos
+ =Fuente: (2) Kotter, John P. "Changing the Culture at British Airways." Harvard Business School Case 491-009, October 1990. (Revised September 1993.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
De "bloody awful" para "bloody awesome"Los resultados cambiaran de una pierda estimada en £200 por minuto para un resultado operacional de £284 millones en poco más de cinco años
Para alcanzar los indicadores de desempeño deseados, fue necesariocambiar de forma radical las practicas de la organización conreducción de la fuerza de trabajo, congelamiento de incrementos enlos pagos por un año y cierre de todas las operaciones que no fosenrentables3
• Practique lo que predica
• La cultura organizacional no es una religión
• La cultura y la estructura se influencian mutuamente
Fuente: (3) Grugulis, Irena, and Adrian Wilkinson. "Managing Culture at British Airways: Hype, Hope and Reality." Long Range Planning 35, no. 2002 (2002): 179-94. Accessed May 3, 2015.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
¿Por qué mensurar la seguridad de la información?
Métricas de desempeño son aplicadas a Seguridad de la Información con lo mismo propósito que para otras disciplinas de negocios:
• Medir el desempeño de las medidas de seguridad
• Realizar la gestión en búsqueda de mejores resultados
• Justificar las inversiones en seguridad
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Modelos de métricas mas comunesCon pequeñas variaciones, es común identificar en las empresas el uso de un modelo de métricas pre-definido o una adaptación con puntos específicos de sus negocios y para adherencia a reglamentaciones de mercado
• CIS Consensus Information Security Metrics: Desarrollado por el Center forInternet Security (CIS) en 2010 es composta por 28 definiciones de métricasposicionadas en 7 funciones que son comunes en las Organizaciones1
• NIST SP 800-55 R1 Performance Measurement Guide for Information Security:Publicado en 2008 es un guía para miembros del Gobierno de USA desarrollarenun modelo de métricas para mensurar la adherencia a los controles establecidos.3
• Reglamentaciones: Mensura-se la adherencia a los controles definidos porreglamentaciones de mercado, tal como PCI-DSS, HIPAA, SOX, Basel y similares.
(1) "CIS Consensus Information Security Metrics." Center for Internet Security. Accessed May 5, 2015. (3) Chew, Elizabeth, Marianne Swanson, Kevin Stine, Nadya Bartol, Anthony Brown, and Will Robinson. "NIST SP800-55 R1: Performance Measurement Guide for Information Security." July 1, 2008. Accessed May 5, 2015.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
CIS Consensus Information Security MetricsDesarrollado por el Center for Internet Security (CIS) en 2010 es composta por 28 definiciones de métricas posicionadas en 7 funciones que son comunes en las Organizaciones1
ApplicationSecurity
Configuration Change Management
Financial IncidentManagement
PatchManagement
Vulnerability Management
• Number of Applications• Percentage of Critical
Applications• Risk Assessment
Coverage• Security Testing
Coverage
• Mean-Time to Complete Changes
• Percent of Changes with Security Review
• Percent of Changes with Security Exceptions
• Information Security Budget as % of IT Budget
• Information Security Budget Allocation
• Mean-Time to Incident Discovery
• Incident Rate• Percentage of Incidents
Detected by Internal Controls
• Mean-Time Between Security Incidents
• Mean-Time to Recovery
• Patch Policy Compliance
• Patch Management Coverage
• Mean-Time to Patch
• Vulnerability Scan Coverage
• Percent of Systems Without Known Severe Vulnerabilities
• Mean-Time to Mitigate Vulnerabilities
• Number of Known Vulnerability Instances
(1) "CIS Consensus Information Security Metrics." Center for Internet Security. Accessed May 5, 2015.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Seguridad en el Nuevo Estilo de TI
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
El nuevo estilo de TI esta cambiando la forma como nosotros producimos, guardamos, brindamos y aseguramos la protección de la información
Cloud Movilidad Big Data
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
El tamaño de la superficie de ataque y la distribución de la información son incrementadas a cada segundo que pasa
Mainframe Client / Server InternetMobile, Social, Big Data & Cloud
A cada 60 segundos, son producidos, en media …
98.000+ tweets
695.000 actualizaciones
698.445 buscas
11MM de mensajes
168MM+ e-mails
1,82TB de datos criados
217 nuevos usuarios móviles
Fuente: HP Software
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Como mensurar y adecuar la seguridad en un ambiente hibrido y dinámico donde el control es responsabilidad de un CISO?
SIEM / IPS / IDS
Firewall / WAF / IPS / IDS
PesquisaBusca de albos potenciales
InfiltraciónPhishing y Malware
DescubiertaEntendimiento del ambiente
CapturaObtención de los datos
ExfiltraciónDatos robados removidos
VentaComercio en Mercado Negro
Criptografía aplicadaData Leak PreventionInvestigation y Legal
Es necesario explotar una única vulnerabilidad.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Sugerencias para un modelo efectivo
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
La importancia de un programa de métricas es definida pelo suporto próvido a los procesos de negocios de la OrganizaciónNo interesa o que es relevante e si como eso es percibido por los stakeholders y tomadores de decisión
Definir un frameworkpara su realidad
Posicionar con los objetivos del negocio
Mapear los indicadores y riesgos
Mapear con la adecuación del riesgo
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Generando métricas que pueden ser incrementadas a longo del tiempoLa profundidad de los resultados generados con base en las métricas debe empezar en el nivel operacional y ser incrementado a largo del tiempo hasta el nivel estratégico
0
5
10
15
Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Cuantidad de ataques
Basado en el tema presentado en el articulo de Garnter en:"No One Cares About Your Security Metrics and You Are to Blame - Paul Proctor." Paul Proctor RSS. August 11, 2013. Accessed May 5, 2015.
Cuantidad de vulnerabilidades
Cuantidad de vulnerabilidades
criticas en los sistemas
Porcentaje de vulnerabilidades no corregidas en sistemas críticos
Adecuación de riesgo en los
sistemas críticos
Reducción de impactos en los
negocios
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Podemos ayudar a apoyar su programa
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
La visión de HP Enterprise Security ProductsSoluciones efectivas para permitir el manejo del riesgo y adecuar la seguridad de los negocios de nuestros clientes
HP ArcSight + HP Fortify
HP TippingPoint
PesquisaBusca de albos potenciales
InfiltraciónPhishing y Malware
DescubiertaEntendimiento del ambiente
CapturaObtención de los datos
ExfiltraciónDatos robados removidos
VentaComercio en Mercado Negro
HP AtallaHP Security VoltageServicios Profesionales
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Seguridad para los datos que son importantesVisibilidad total del comportamiento de seguridad en los componentes de la infraestructura de TI y ítems adicionales, ganando informaciones que suportan la tomada de decisión precisa y dentro del tiempo necesario
HP ArcSight
HP Application Defender
HP Fortify
Datos en tiempo real para alimentar su
métricas y mantener los datos históricos para análisis posteriores
HP TippingPoint
HP Threat Central
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Cierre
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Revisión del tema y consideraciones finales
En el final la importancia de un programa de Métricas de Desempeño para Seguridad de la Información esta en como losresultados son percibidos por la Organización y de forma influencia en la tomada de decisión ejecutiva
• Alcance de los objetivos organizacionales
• Mantener los procesos operacionales efectivos y sin interrupción
• Adherir a los contractos, reglamentaciones y padrones del mercado
• Posicionar una imagen publica adecuada
• Gerencia de riesgo de forma precisa
Fundamentado por la analicé del tema presentada en: “"A Guide to Effective Security Metrics." Information Security Guide: Effective Practices and Solutions for Higher Education. April 1, 2012. Accessed May 5, 2015.”