Notas Workshop métricas de seguridad

2 dic 2014

Medición de controles de seguridad

Tablero de comando – Balanced Score Card (métricas tácticas y estratégicas)
Guías metodológicas: ISO 27001 y 9000 (términos y definiciones)

Las métricas están en, en ciclo PDCA, en el área correspondiente a CHECK para luego tomar ACCIÓN
El planeamiento estratégico, su lógica.
Misión: para qué está en la sociedad la empresa
Visión:
Perspectivas estratégicas: cómo lo veo
Temas estratégicos y resultados: temas estratégicos en los que me voy a enfocar para el negocio.
Objetivos del negocio: SMART , objetivos específicos, medibles, alcanzable, relevante, que se pueda
realizar en el tiempo y en qué momento lo voy a realizar.
Genero un mapa estratégico donde relacionar los objetivos y agrupados por los temas estratégicos
Métricas
Iniciativas estratégicas: plan de acción.

FUD: Miedo Incertidumbre

Libro Security Metrics
ARPU: Ganancia / Cantidad de Usuarios

Tablero de comando balanceado

No sólo métricas que tomen información del pasado.
- Calidad
- Innovación (aprendizaje y crecimiento)
- Participación del mercado (clientes)
- Perspectiva de procesos internos
Deben estar los 4 balanceados.
Aprox. 5 u 8 métricas en cada una de las perspectivas

Métricas estratégicas son para mostrarse a clientes y finanzas. Nos permite alinearse al negocio. Y
cómo hacerle ganar más dinero al negocio.

Métricas tácticas permiten asegurarme desde que està todo bien. Ayudan a justificar alguna acción
o cuando algo ocurre.

Qué mido? Página 8.

Tipos de métricas. Página 9.

Ejercicios 1!

Programación:
- No se efectúe la revisión de codigo y testing antes de pasar a prod.

Acceso a sistema:
- Cantidad de intentos fallidos al sistema, principalmente para usuarios especiales
- Excesivos blanqueo de contraseñas
- Existencia de perfiles incompatibles concentrados en una misma persona física
 - El acceso al concentrador de logs de la aplicación (de seguridad o sistemas) no se encuentra
restringido
- Recertificación de accesos: Falta de control periódico, por ejemplo cada 3 o 4 meses de los
dueños de datos para accesos específicos de usuarios al sistema.

Protección del sistema:

- Aparición de un software malicioso repetidas veces.
- Cantidad de equipos con componentes de antivirus no actualizados.

Protección de información en base de datos:

- Falta de protección de información clasificada como confidencial sobre las tablas del
sistema.
- Control de intentos de accesos a recursos controlados

Ejercicio 2!

Robot de backup
Firewall
IPS
Encripción
Antispam
WSUS

Robot de backup:

Métricas de existencia:
Dónde aplico el backup (base de casillas de mails, file server, logs, archivos de configuración de
equipos, bases de datos, otros)

- Control del resultado de backup. Se observa en la consola del aplicativo de backup, o mail al
operador. Métrica: cuantas veces fallo el backup semanal
- Tiempo de ejecución, que esté dentro de los parámetros previstos. Métrica: tasa de
aumento de tiempo de duración del backup
- Cantidad de procesos de backup no ejecutados, definición de fallas o alarmas. Métrica:
procesos no ejecutados, procesos ejecutados
- Tipos de fallas que no pueden resolverse dentro del período o ventana de tiempo definida
para la tarea de bkp.
- Envío de alarmas al operador de backup en general. Métrica: cantidad de alarmas recibidas
y/o no recibidas contra los problemas reportados
- Tamaño del backup esté comprendido dentro del rango previsto. Métrica: tener una media
del tamaño y controlar cuanto me pase
- Pruebas de integridad del backup: efectuar restores de información. Considerar tratamiento
de la clasificación de la información a restaurar.
- Cuántos pedidos de restauración de backups de una casilla de correo específica o carpeta
compartida.
- Inventario de backup. Rotulación de medios.
- Tiempo de restore sea efectiva frente a la necesidad del negocio.
 - Tener el equipo necesario para ejecutar la restauración de información, según la tecnología
desde la cual se realizó el backup.

Ejercicio 3!

Certificación de usuarios y perfiles

- Porcentaje de sucursales q no certificaron en una semana
- Porcentaje de sucursales que certificaron en una semana
- Motivos por no certificación

Toma de conciencia

Nota: todos los usuarios de la compañía deben participar de las concientizaciones

- Cantidad de horas hombre que se insumen en el proceso.
- Recursos en gral que se insumen en el proceso.
- Cantidad de charlas de concientización dirigidas a usuarios finales, jefaturas, y gerencias en
un año.
- Cantidad de personal ausente y presente en cada charla, vs la cantidad de usuarios de la
compañía.
- Temas desarrollados en cada charla
- Evaluaciones realizadas por usuarios para comprensión de temas
- Cantidad de evaluaciones aprobadas
- Boletines de Seguridad anuales.
- Cantidad de llamados obtenidos generados por el boletín.
- Áreas que colaboran con la concientización en seguridad de la información
- Cantidad de actividades cumplimentadas según el plan de concientización anual
- Cantidad Acuerdos de confidencialidad con usuarios firmados
- Acuerdos de confidencialidad con proveedores firmados y actualizados
- Concientizaciones técnicas a seguridad informática
o Ver su efectividad respecto de la baja, por ejemplo, de cantidad de desbloquedos
efectuados (deberían bajar)

Control de inventario de sw

- Cantidad de softwares en un momento determinado.

- Cantidad de licencias compradas vs cantidad de licencias usadas
- Cantidad de licencias expiradas en un tiempo determinado
- Cantidad de licencias renovadas en un tiempo determinado
- Cantidad de software libre
- Cantidad de versiones para cada software y sistema operativo asociado
- Cantidad de software que no tiene soporte del proveedor
- Cantidad de software que se encuentra en cada tipo de imagen de la compañía