CIBSI 2011 VI Congreso Iberoamericano de Seguridad Informática

MGSM-PYME Métricas de seguridad en los SGSIs, para conocer el nivel de seguridad de los SSOO y de los SGBD

Antonio Santos-Olmo Parra ([email protected])

Dr. Eduardo Fernández-Medina Paton ([email protected])

Dr. Luis Enrique Sánchez Crespo ([email protected])

Dr. Mario Piattini Velthuis ([email protected])

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

Contenido de la presentación

5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

1. Introducción.

8.- Conclusiones

Transparencia 2

2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

8. Conclusiones y trabajo futuro.

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

Contenido de la presentación

5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

1. Introducción.

8.- Conclusiones

Transparencia 3

2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

8. Conclusiones y trabajo futuro.

1.- Introducción Introducción 2.- Estado del arte 3.- Objetivos

Introducción

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 4

Uso de los SGSI: las Organizaciones en general, y PYMES en particular, han ido tomando consciencia de la necesidad que tienen de soluciones en el ámbito de la seguridad de la información que tengan en cuenta los objetivos de la empresa, aumentando el interés por esa seguridad de la información en los últimos años. - ¿Qué son los SGSI?: “un conjunto de procesos, políticas, procedimientos, análisis y tests, organizados de forma lógica y soportado por objetivos a nivel estratégico, estructurados principalmente por los requisitos presentados en la norma ISO 27001” basado en un modelo de evaluación y mejora continua (en ISO 27001, el ciclo PDCA).

- “No se puede controlar lo que no se puede medir” => Si los controles establecidos no se pueden medir, entonces no aportarán nada al SGSI.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción Introducción 2.- Estado del arte 3.- Objetivos

Introducción

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 5

-La ISO 27001 requiere que los controles sean mediables => La ISO 27004 aporta la forma de llevar a cabo dichas mediciones. - El establecimiento de métricas con las que conocer el estado de la seguridad resulta fundamental en la implantación y mantenimiento de un SGSI, debiendo aparecer a la vez que se produce la implantación de éste. - Ese conocimiento del estado de la seguridad es importante en la toma de decisiones. - La publicación de la norma ISO 27004 es la prueba de que la medición y evolución del estado son elementos vitales que se comienzan a tener en cuenta. A día de hoy, es un aspecto poco desarrollado en la gestión y mejora de los SGSI.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

Contenido de la presentación

5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

1. Introducción.

8.- Conclusiones

Transparencia 6

2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

8. Conclusiones y trabajo futuro.

1.- Introducción 2.- Estado del arte Estado del arte 3.- Objetivos 4.- Proceso de medición

Estado del arte: Estándares analizados

5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 7

Hemos analizado los principales estándares de seguridad orientados a la gestión y medición de la seguridad de los sistemas: -Estándares FIPS (Federal Information Processing Standard) – 140-1 y 140-2: conjunto normalizado de códigos utilizados para asegurar los datos, cubriendo áreas relacionadas con el diseño e implementación de un módulo criptográfico.

- SSE-CMM (Modelo de Capacidad y Madurez en la Ingeniería de Seguridad de Sistemas): modelo derivado del CMM. Describe características fundamentales de los procesos que deben existir en una Organización para asegurar una buena seguridad de sistemas. Primera versión en 1997 y actualización en 2003.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

- La Serie 800 del NIST (National Insitute of Standards and Technology): agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. -NIST SP 800-55 (“Métricas de Seguridad para Sistemas de Tecnologías de la Información”): Publicada en 2003 y revisada en 2007. -NIST SP 800-80 “Guía para el desarrollo de métricas de seguridad de la información”: Publicada en 2006.

1.- Introducción 2.- Estado del arte Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta

Estado del arte: ISO27000

7.- Resultados prácticos

- Formada por los estándares relacionados con la seguridad de la

8.- Conclusiones

información, ya desarrollados o en fase de desarrollo.

Transparencia 8

- Ofrecen un marco de gestión de la seguridad de la información, formando un conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI.

- Para implementar un SGSI y afrontar un proceso de auditoría satisfactoriamente se requiere el conocimiento e interpretación de al menos la 27001, 27002 y 27006.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 9

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

Estado del arte: ISO27000

1.- Introducción

Estado del arte: ISO27000

2.- Estado del arte Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 10

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

- Las dos normas más importantes y base de la familia son la 27001 y la 27002. - El resto de normas se consideran complementarias a la 27001 y la 27002, surgiendo como apoyo para la implementación en temas específicos o el proceso de auditoría del SGSI.

1.- Introducción 2.- Estado del arte Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

Estado del arte: ISO/IEC 27001:2005 Dos aspectos más destacados: descripción detallada de los controles y el método PDCA para aplicarlos.

8.- Conclusiones

Transparencia 11

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

- Se basa en un ciclo de vida PDCA para toda la estructura de procesos del SGSI.

1.- Introducción 2.- Estado del arte Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 12

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

Estado del arte: ISO/IEC 27002:2005 Publicada en 2007, se corresponde con la ISO/IEC 17799:2005. Es una guía de buenas prácticas para la implementación de un SGSI describiendo los objetivos de control y controles recomendables respecto a la seguridad de información. No es certificable. Tiene 11 cláusulas de control de seguridad o dominios, que cubren los principales aspectos relacionados con la seguridad, conteniendo 39 objetivos de control y 133 controles.

1.- Introducción 2.- Estado del arte Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 13

Estado del arte: ISO/IEC 27004:2009 Publicada el 7 de Diciembre del 2009. Especifica las métricas de seguridad y las técnicas de medida aplicables para determinar la eficacia y eficiencia de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan principalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA . - Nace para marcar criterios de cara a una correcta medición de la eficacia de un SGSI. - No aporta una colección de métricas o indicadores a aplicar a cualquier SGSI sino que establece una metodología para determinar la efectividad de un SGSI mediante actividades y procesos sin establecer medidores o usar resultados a conseguir.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción

Estado del arte: ISO/IEC 27004:2009

2.- Estado del arte Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Objetivos: •

Facilitar la mejora de la efectividad de la seguridad de la información.

•

Evaluar la efectividad del SGSI y su mejora continua.

•

Lograr información objetiva y análisis para ayudar en la revisión de la gerencia, la toma de decisiones y justificar mejoras en los controles.

•

Evaluar la efectividad de los controles de seguridad y los objetivos de control.

Transparencia 14

- ISO/IEC 27004 se basa en el modelo PDCA (Plan-Do-Check-Act) estando las mediciones especialmente orientadas al “Do” (Implementación y operación del SGSI), como una entrada para el “Check” (Monitorizar y revisar), y así poder adoptar decisiones de mejora del SGSI mediante el “Act”. Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

Contenido de la presentación

5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

1. Introducción.

8.- Conclusiones

Transparencia 15

2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

8. Conclusiones y trabajo futuro.

1.- Introducción

Objetivos

2.- Estado del arte 3.- Objetivos Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

Normativas

8.- Conclusiones

Transparencia 16

Herramientas del mercado

¿Material ISO 27004? Completa colección de métricas (Mediciones)

Caso práctico real

¿ISO 27004?

Herramienta Web  Accesibilidad  Mantenimiento  Costes

¿Cómo medir la Seguridad? Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción

Objetivos

2.- Estado del arte 3.- Objetivos Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Objetivo: Crear mecanismos que permitan medir el nivel de seguridad de los sistemas de información: - Una valoración objetiva del nivel de riesgo del sistema.

Transparencia 17

- Un informe con los resultados de la auditoría, conteniendo vulnerabilidades encontradas y recomendaciones. - Un histórico de las auditorías realizadas al sistema, junto con los resultados obtenidos. Alcance: - Desarrollo de los objetivos de control para cada ámbito. - Automatización de parte de los objetivos de control. - Utilización de la aplicación en entornos de desarrollo y producción de empresas reales.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción

Objetivos

2.- Estado del arte 3.- Objetivos Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 18

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

Las métricas para ser efectivas deben: •

Medir evolución de seguridad en el tiempo.

•

Estar asociadas con impactos financieros, y ser coherentes con los objetivos de seguridad implantados.

•

Ser objetivas e imparciales.

•

Ser predictivas, consistentes y relevantes para Organización y toma de decisiones.

•

Ser fuertes, confiables, defendibles y justificables.

•

Poder derivar acciones, ser fáciles de recolectar, definir, implementar e interpretar, y ser reproducibles.

•

Estar ligados a los objetivos de negocio.

•

Estar expresadas en números cardinales o porcentajes, y detalladas con unidades de medida.

1.- Introducción

Objetivos

2.- Estado del arte 3.- Objetivos Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 19

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

- Beneficios y ventajas por el uso de métricas: •

Mejor comprensión de riesgos y debilidades.

•

Medición del desempeño de los controles.

•

Apoyo a la toma de decisiones.

•

Control de la situación real de la seguridad de la información.

•

Apoyo a la racionalización de costes.

•

Mayor eficacia de los procesos y actividades de seguridad de la información, y actualización de tecnologías.

•

Identificación de problemas emergentes.

•

Verificación del cumplimiento de políticas y normativas.

•

Mostrar la evolución de la cultura de seguridad de la información.

1.- Introducción

Objetivos

2.- Estado del arte 3.- Objetivos Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 20

Alcance inicial: - Ámbitos de aplicación:  Windows 2003 Server  SQL Server 2005, 2008  Oracle 11i Limitaciones: - Funcionales: No todos los objetivos de control pueden ser automatizados. - Temporales: El número de objetivos de control que es posible automatizar en el margen temporal marcado es de doce.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

Contenido de la presentación

5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

1. Introducción.

8.- Conclusiones

Transparencia 21

2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

8. Conclusiones y trabajo futuro.

1.- Introducción

Proceso de medición

2.- Estado del arte 3.- Objetivos

Proceso 4.Procesode demedición medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 22

- El coste de implantación de una métrica debe ser proporcional al beneficio obtenido. - Una forma de implantación seguir las fases del modelo PDCA (como ISO 27004), haciendo coincidir su implementación con las fases seguidas en ISO 27001. - Desde el principio del ciclo PDCA, se debe considerar la escalabilidad de las métricas ya que conforme se van agrupando deberán proporcionar menos información de detalle aportándola de más alto nivel para la toma de decisiones. ISO/IEC 27001

ISO/IEC 27004

PLAN

Establecer el SGSI

Definir las métricas

DO

Implementar y operar el SGSI

Implantar las métricas

CHECK

Supervisar y revisar el SGSI

Revisar los datos de las métricas

ACT

Mantener y mejorar el SGSI

Revisar/Mejorar las métricas

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos

Proceso de medición

Proceso 4.Procesode demedición medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

Cálculo del nivel de securización del sistema:

8.- Conclusiones

Transparencia 23

NR = (([PTVE]*100)/[PTVP]) NS = 100 – NR

- NR: Nivel de riesgo. - NS: Nivel de securización. - PTVE: Puntuación total de las vulnerabilidades encontradas.

- PTVP: Puntuación total de las vulnerabilidades posibles.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción

Proceso de medición

2.- Estado del arte 3.- Objetivos

Proceso 4.Procesode demedición medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

 Clasificación del riesgo:

8.- Conclusiones

Intervalo Transparencia 24

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

Riesgo

(según el nivel de securización)

Descripción

Sin Riesgo

90% - 100%

No se han detectado fallos graves

Riesgo potencial

60% - 90%

Se han detectado fallos de nivel medio

Alto riesgo

0% - 60%

Se han detectado uno o varios fallos de nivel alto

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

Contenido de la presentación

5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

1. Introducción.

8.- Conclusiones

Transparencia 25

2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

8. Conclusiones y trabajo futuro.

1.- Introducción

Definición de controles

2.- Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Objetivo de Control: declaraciones de los resultados deseados u objetivos a ser alcanzados.

Transparencia 26

Para cada objetivo de control se definirá:

- Identificador

- Configuración correcta

- Nivel

- Prueba

- Instante de aplicación

- Escala de valoración

Niveles de valoración: - Seguro: Valoración 0 - Inseguro: Valoración 1 - Muy Inseguro: Valoración 2 Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción

Definición de controles

2.- Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles Definición de controles 6.- Herramienta 7.- Resultados prácticos

Windows 2003 Server:

8.- Conclusiones

- 25 objetivos de control - Nivel de seguridad máximo: 0

Transparencia 27

- Nivel de seguridad mínimo: 37

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

Nivel:

Acceso

Servicio

Aplicaciones

Gestión

Red

Total O.C:

8

4

3

8

2

1.- Introducción

Definición de controles

2.- Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 28

SQL Server 2005: - 37 objetivos de control - 26 de ellos automatizables - Nivel de seguridad máximo: 0 - Nivel de seguridad mínimo:

Nivel:

Total O.C:

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

53

General

Servidor

SGBD

BD

4

3

26

4

1.- Introducción

Definición de controles

2.- Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 29

Oracle 11i: - 26 objetivos de control - Nivel de seguridad máximo: 0 - Nivel de seguridad mínimo: 44

Nivel:

Total O.C:

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

General

Servidor

SGBD

BD

6

5

10

5

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

Contenido de la presentación

5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

1. Introducción.

8.- Conclusiones

Transparencia 30

2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

8. Conclusiones y trabajo futuro.

1.- Introducción

Herramienta de medición

2.- Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta Herramienta 7.- Resultados prácticos 8.- Conclusiones

Selección de conexión

Transparencia 31

Selección de aplicación

 Introducción de datos de la máquina a auditar.  Selección de la aplicación a analizar.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción

Herramienta de medición

2.- Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta Herramienta 7.- Resultados prácticos 8.- Conclusiones

El nivel de securización se actualizará a medida que vayamos cumplimentando objetivos de control, bien automáticamente, bien de forma manual.

Transparencia 32

Cabecera del informe

Objetivos de control

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos

Herramienta de medición

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta Herramienta

Comprobación de los Objetivos de control:

7.- Resultados prácticos 8.- Conclusiones

Transparencia 33

- Información sobre el Objetivo de control, incluyendo la configuración adecuada del mismo, y sobre la prueba a realizar para comprobar su cumplimento. - Selección de la valoración para el Objetivo de Control. Para cada valoración se ofrece su descripción.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

- El auditor puede añadir las observaciones que considere oportunas de cara al informe.

1.- Introducción 2.- Estado del arte 3.- Objetivos

Herramienta de medición

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 34

- Según la aplicación a auditar, se obtendrá un listado con los objetivos de control correspondientes, indicando cuales se comprueban de forma automática y cuales hay que comprobar manualmente. - Una vez cumplimentados todos los objetivos de control, se obtendrá el nivel de securización de la aplicación auditada. - El nivel de securización se obtendrá a partir de la discretización de los objetivos de control y su posterior ponderación. La puntuación obtenida sobre la máxima puntuación posible nos permitirá obtener un valor discretizado de securización para nuestra aplicación.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos

Herramienta de medición

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 35

Otras operaciones: - Modificación de la valoración de los objetivos de control, tanto de los manuales como de los automáticos:  No se está de acuerdo con la valoración calculada por la aplicación. En el caso de los objetivos automatizados, la aplicación obtiene automáticamente una valoración, aunque se ofrece al auditor la posibilidad de cambiarla a su criterio.  Se desea añadir información complementaria. - Almacenaje del informe de auditoría en el histórico, posibilitando acceder a él en cualquier momento futuro. - Generar un documento en Word con el informe de auditoría.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción

Herramienta de medición

2.- Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 36

Histórico de auditorías

- Listado de los informes de auditoría almacenados, ordenados por fecha. - Seleccionando un informe, se accede a su detalle. Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción

Herramienta de medición

2.- Estado del arte 3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 37

Cabecera del informe

Valoración de Objetivos de control

- Informe: Listado de los objetivos de control, junto a su calificación en cuanto a cumplimiento, de forma general. - Seleccionando un objetivo de control, se accede a su detalle. Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos

Herramienta de medición

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta Herramienta 7.- Resultados prácticos

Detalle de un Objetivo de control:

8.- Conclusiones

Transparencia 38

Se recupera información sobre: - La valoración del Objetivo de control y la prueba realizada para verificar su cumplimiento. - Las recomendaciones propuestas por la aplicación.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

- Las observaciones anotadas por el auditor referentes a dicho Objetivo de control.

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

ISM2 Herramienta para la Gestión de Métrica de SGSIs

5.- Definición de controles 6.- Herramienta Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 39

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez.

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

ISM2 Herramienta para la Gestión de Métrica de SGSIs

5.- Definición de controles 6.- Herramienta Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 40

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez.

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

ISM2 Herramienta para la Gestión de Métrica de SGSIs

5.- Definición de controles 6.- Herramienta Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 41

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez.

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

Contenido de la presentación

5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

1. Introducción.

8.- Conclusiones

Transparencia 42

2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

8. Conclusiones y trabajo futuro.

1.- Introducción 2.- Estado del arte

Pruebas

3.- Objetivos 4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos Resultados 8.- Conclusiones

Transparencia 43

Pruebas de auditoría sobre servidores reales de instalaciones de la empresa Sicaman Nuevas Tecnologías: - Servidores W2003 de Producción y Desarrollo - Servidores SQL Server 2005 de Producción y Desarrollo

- Servidor Oracle 11i Resultados obtenidos:

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

Securización/ Servidor

Windows 2000

SQL SERVER 2000

Oracle 9i

Securización media

Servidor desarrollo [SQL]

51,35

52,83

-

52,22

Servidor desarrollo [ORA]

51,35

-

52,27

51,85

Servidor producción [SQL]

72,97

73,58

-

73,33

las

1.- Introducción 2.- Estado del arte 3.- Objetivos

Conclusiones y Trabajo futuro

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones Conclusiones

Transparencia 44

- El entorno de producción de SNT tiene un nivel de securización medio, tanto a nivel de servidor, como a nivel de aplicaciones individuales. Sería aconsejable seguir las recomendaciones obtenidas de las auditorías, sobre todo teniendo en cuenta que es un entorno de producción. - El entorno de desarrollo de SNT tiene un nivel de securización bajo, tanto a nivel de servidor, como a nivel de aplicaciones individuales, y tanto para entornos SQL Server como para entornos Oracle. Lo aconsejable para un entorno de desarrollo es situar el riesgo en un nivel medio, por lo que se aconseja seguir las recomendaciones de los informes de auditoría.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos 4.- Proceso de medición

Contenido de la presentación

5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos

1. Introducción.

8.- Conclusiones

Transparencia 45

2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

8. Conclusiones y trabajo futuro.

1.- Introducción 2.- Estado del arte 3.- Objetivos

Conclusiones y Trabajo futuro

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones Conclusiones

 Estudio de la normativa vigente en materia de métricas…

Transparencia 46

FIPS 140-1, FIPS 140-2, NIST SP 800-53, NIST SP 800-55, NIST SP 800-80, familia ISO/IEC 27000 (ISO 27001, ISO 27002, ISO 27004)

 Estudio de herramientas existentes en el mercado…

MGSM-PYME, S2GSI, herramienta para el cálculo del GAP ISO 27001 de SIGEA, ISOTools, GlobalSGSI y Ecija | SGSI Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos

Conclusiones y Trabajo futuro

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones

Transparencia 47

Herramienta desarrollada: Aplicación que permite obtener de forma (en alto grado) automática: - Una valoración del grado de securización de un sistema. - Listado de puntos débiles detectados.

- Recomendaciones para aumentar el nivel de seguridad. Ventajas sobre la auditoría manual: - Bajo coste en recursos y tiempos. - Generación automática de informes de auditoría. - Obtención automática de configuraciones adecuadas, recomendaciones y pruebas de verificación.

- Histórico de auditorías.

Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos

Conclusiones y Trabajo futuro

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones Conclusiones

Transparencia 48

 Más Mediciones. Varias para cada Control  Dividir Mediciones  Más Indicadores y Medidas para las Mediciones  Nuevos tipos de Indicadores  Ampliar números rangos de % y señalización para ellos Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

1.- Introducción 2.- Estado del arte 3.- Objetivos

Conclusiones y Trabajo futuro

4.- Proceso de medición 5.- Definición de controles 6.- Herramienta 7.- Resultados prácticos 8.- Conclusiones Conclusiones

Transparencia 49

 Informe en pdf  Gráficos de histórico  Nuevos tipos de usuario  Desarrollar parte de auditoría

 Avisos de situaciones críticas. Más rangos %.  Posibilidad de diferenciar entre Organización grande y PYME para una adecuada gestión del estado del SGSI adaptada a cada una.

 Integración de la herramienta en sistemas para automatización de actualizaciones y revisiones Luis Enrique Sánchez Crespo

CIBSI 2011 Bucaramanga, Colombia 03 de Noviembre de 2011

CIBSI 2011 VI Congreso Iberoamericano de Seguridad Informática

Gracias por su atención

Dr. Luis Enrique Sánchez Crespo ([email protected])

Dr. Eduardo Fernández-Medina Paton ([email protected])

Esther Álvarez Gonzalez ([email protected])

Dr. Mario Piattini Velthuis ([email protected])