PDF de programación - Evolución de la estrategia de seguridad de la información basada en indicadores

Evolución de la estrategia de
seguridad de la información

basada en indicadores

Wilmar Arturo Castellanos

CGEIT, CISM, CISA

Deloitte

Agenda

• Planeación estratégica de seguridad

• Gobierno de Seguridad

•

Indicadores asociados a los objetivos estratégicos

• Enfoque para medir la evolución de seguridad en el entorno

de la gestión integral de riesgos – ERM

• Referencias

Planeación estratégica de seguridad
EVOLUCIÓN DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN
BASADA EN INDICADORES

Planeación estratégica de seguridad de la

información

A.5

100%

A.15

A.6

A.14

A.13

80%

60%

40%

20%

0%

45%

34%

26%

28%

10%

18%

31%

33%

38%

36%

A.7

A.14

49%

A.8

A.13

90%

A.5

100%

A.15

A.6

82%

62%

80%

60%

40%

20%

0%

75%

49%

60%

58%

52%

69%

76%

53%

A.7

A.8

A.12

A.9

A.12

A.9

A.11

A.10

A.11

A.10

Planeación estratégica de seguridad de la

información

Gobierno de Seguridad
EVOLUCIÓN DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN
BASADA EN INDICADORES

Gobierno de Seguridad

Objetivos
estratégicos

Objetivos
tácticos

Objetivos

operacionales

Indicadores / Métricas

Gobierno de Seguridad

• Objetivos estratégicos

– Gestión de activos
– Gestión de riesgos
– Gestión de continuidad
– Gestión del recursos humano

Gobierno de Seguridad

• Objetivos tácticos y operativos

– Gestión de acceso
– Gestión de operaciones y comunicaciones

Indicadores asociados a los objetivos
estratégicos
EVOLUCIÓN DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN
BASADA EN INDICADORES

Características de un buen indicador

 Medido consistentemente, sin criterios subjetivos

 Barato de obtener, preferiblemente si es automático

 Expresado como un número cardinal o un porcentaje

 Basado en una unidad de medida (porcentaje, horas, pesos)

Importancia de los indicadores

 Lord Kelvin, Físico

 “Medir es saber”

 “Si no puede medirlo, no puede mejorarlo”

 “Si puede medir aquello de lo que habla y puede expresarlo mediante
un número, usted sabe algo acerca del tema, si no puede medirlo, su
conocimiento es deficiente e insatisfactorio”

 F. D. Rossini, Termodinámica

 “La capacidad de medir es una de las más grandes habilidades del ser

humano”

Importancia de los indicadores

 Galileo Galilei,

 “Medir lo que es medible y hacer medible lo que aún no lo es”

 Peter Drucker

 “Si no puede medirlo, no puede administrarlo”

Indicadores asociados a los objetivos

estratégicos

Objetivo estratégico relacionado con: GESTIÓN DE RIESGOS DE SEGURIDAD

% de procesos cuyos activos de información
han sido identificados y clasificados

% de procesos cuyos datos privados han
sido identificados y clasificados

% de procesos cuyos activos de información
/ datos privados tienen un análisis
documentado de riesgos

% de procesos cuyos activos de información
/ datos privados tienen un plan de
mitigación documentado

% de activos de información del proceso
que han sido sujetos a un análisis de riesgos
documentado

% de activos de información del proceso
que tienen un plan de mitigación
documentado

% de sistemas que han sido certificados

% de aplicaciones del negocio que se
ejecutan en sistemas certificados

Indicadores asociados a los objetivos

estratégicos

Objetivo estratégico relacionado con: GESTIÓN SEGURA DEL RECURSO HUMANO

% de cargos que incluyen la seguridad de la
información en las responsabilidades,
habilidades

% de cargos que incluyen la seguridad de la
información en las evaluaciones de
desempeño

% de usuarios x área que han completado el
background check antes de tener acceso a
la información

% de usuarios que completaron plan de
educación, conciencia y entrenamiento en
seguridad en el último año

Indicadores asociados a los objetivos

estratégicos

Objetivo estratégico relacionado con: SEGURIDAD DE APLICACIONES / ACCESO

% de aplicaciones acreditadas

% de aplicaciones que cuyo acceso se
controla basado en roles

% de aplicaciones evaluadas en el último
año

% de aplicaciones cuyos usuarios y
privilegios han sido certificados en el último
año por los dueños

Objetivo estratégico relacionado con: CONTINUIDAD

% de procesos cubiertos por un análisis de
impacto al negocio

% de procesos que tienen definidas las
estrategias de continuidad con base en un
BIA

Indicadores asociados a los objetivos

estratégicos

Objetivo estratégico relacionado con: SEGURIDAD EN OPERACIONES

% de proveedores con auditoría
independiente de seguridad en el último
año (p. e. SAS70)

% de proveedores cuyos contratos
contienen cláusulas de seguridad,
privacidad, continuidad y derecho a
auditoría independiente

% de aplicaciones con procesos periódicos,
eventuales y emergenciales documentados

% de servicios con acuerdos de nivel de
servicio definidos

Enfoque para medir la evolución de
seguridad en el entorno de la
gestión integral de riesgos – ERM
EVOLUCIÓN DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN
BASADA EN INDICADORES

Evolución de seguridad en el entorno de

la gestión integral de riesgos – ERM

COMPONENTES

A

Gobierno del riesgo

B
Estrategia de riesgos

E

D

C
Evaluación de riesgos

F
Actividades de Control

Información y
comunicaciones

G

H

Monitoreo y reporte

Fuente: COSO ERM Integrated Framework September 2004

Evolución de seguridad en el entorno de

la gestión integral de riesgos – ERM

Actividades de Control

• Arquitectura
• Gestión de activos
• Gestión de continuidad

del negocio

• Gestión de cambios
• Contratación y

outsourcing

• Seguridad de la

información

• Recurso humano
• Gestión de riesgo
• Operaciones
• Seguridad física y

ambiental

• Protección de datos y

privacidad

• Gestión de incidentes
• Gestión de proyectos
• Gestión de registros
• Cumplimiento

Evolución de seguridad en el entorno de

la gestión integral de riesgos – ERM

Objetivos de

control

Unificación de
requerimientos

Eliminación de
redundancias

Medición estándar
por componente

Requerimiento

común

Requerimiento

específico

Requerimiento

específico

Requerimiento

específico

Requerimiento

específico

Objetivo de

control

Actividad de

control

Prueba del

control

Regulatorios

Estándares
de Industria
(PCI, BITS, etc)

Prácticas
comunes
(COBIT, ISO, etc.)

Gobierno del riesgo

Estrategia de riesgos

Evaluación de riesgos

Actividades de Control

Información y
comunicaciones

Monitoreo y reporte

Evolución de seguridad en el entorno de

la gestión integral de riesgos – ERM

• Algunos ejemplos

Risk Governance-Risk Profile

Gobierno del riesgo
• Estrategia (COBIT)
• Política de seguridad
• Política de control de acceso
• Política de intercambio de información
• Roles y responsabilidades (AICPA/CICA)
• Etc.

Governance Bodies

Medium

Investment Planning

Metrics

Policies & Guidance

Low

Portfolio Management

Project Management

Evolución de seguridad en el entorno de

la gestión integral de riesgos – ERM

Estrategia de riesgos
• Programa de gestión de registros (ISO

15489)

• Estrategias de relación con interesados

(BS25999)

• Cumplimiento legal
• Etc.

Risk Strategy-Risk Profile

Business Drivers

Program Charter

Medium

Readiness Planning

Vision & Roadmap

Medium

Evolución de seguridad en el entorno de

la gestión integral de riesgos – ERM

Evaluación de riesgos
• BIA (BS25999)
• Enfoque de gestión de riesgos (COBIT)
• Respuesta al riesgo (COSO ERM)
• Declaración de aplicabilidad
• Visitas de evaluación de riesgos

periódicas

• Evaluación documentada y actualizada de

riesgos de seguridad (ISO2000)

• Etc.

Risk Assessment-Risk Profile

Event Identification

Requirements & Risk Libraries

Risk Analysis

Risk Response

Evolución de seguridad en el entorno de

la gestión integral de riesgos – ERM

Actividades de Control
• Aseguramiento de aplicaciones
• Sistema de control de acceso (PCI-DSS)
• Computación móvil y teletrabajo
• Configuración de firewalls y routers (PCI-

DSS)

• Encripción en redes wireless (PCI-DSS)
• Seguridad en sistemas operativos
• Gestión de contraseñas
• Disponibilidad de información privada en

emergencias (HIPAA)

• Captura de registros (ISO15489)
• Protección de medios físicos
• Intercambio electrónico de información
• Activación de pistas de auditoría
• Etc.

Control Activities-Risk Profile

Access Control

Medium

Communications & Operations

Mgmt.

Configuration Management

Crisis & Incident Management

Identity Management

Infrastructure Security

IS Acquisition Dev. &

Maintenance

Mobile Security

Organization (Program)

Low

Low

Low

Low

Low

High

Medium

Medium

Vulnerability Management

Low

Evolución de seguridad en el entorno de

la gestión integral de riesgos – ERM

Información y comunicaciones
• Definición y divulgación de

responsabilidad de usuarios por el control
de acceso

• Cultura de continuidad del negocio

(BS25999)

• Programa de educación y entrenamiento

(BS25999)

• Competencia, conciencia y entrenamiento

de los proveedores (ISO20000)

• Competencia del personal, roles y

responsabilidades (COSO ERM)

• Etc.

Information & Communications-Risk Profile

Communications Strategy

High

Information Strategy

Medium

Integration with Operations

Medium

Evolución de seguridad en el entorno de

la gestión integral de riesgos – ERM

Monitoring & Reporting-Risk Profile

Monitoreo y reporte
• Procedimientos de monitoreo
• Monitoreo de terceros
• Auditorías independientes
• Definiciones del regulador (COSO ERM)
• Accountability (PCI-DSS)
• Revisión wireless (PCI-DSS) de wireless
• Monitoreo y reporte (COBIT)
• Etc.

Corrective Action Planning

Key Risk Monitoring

Loss Event Tracking

Reporting

Testing

Low

Referencias

• Security Metrics, Andrew Jacquith, Addison Wesley, 2007

• Enterprise Security Architecture, Sherwood, Clark, Lynas, 2005

•

IT Governance Institute

• COBIT

•

•

ISO 20000

ISO27001 - ISO27002

• Deloitte IT Risk Management Framework