Métricas para la Gestión de la Seguridad de la Información en el Ministerio de Defensa Oscar Pastor Acosta Gerente de Seguridad

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Métricas para la Gestión de la Seguridad de la Información en el Ministerio de Defensa Oscar Pastor Acosta Gerente de Seguridad"

Inmaculada Correa Muñoz
hace 8 años
Vistas:

1 Métricas para la Gestión de la Seguridad de la Información en el Ministerio de Defensa Oscar Pastor Acosta Gerente de Seguridad Isdefe

2 Índice Objetivos del Proyecto Fases del Proyecto Análisis Previo Diseño de las Métricas Apoyo a la Implantación Apoyo al Seguimiento Acciones Futuras Conclusiones Referencias 2

3 Proyecto de Métricas de Seguridad para Defensa Objetivo del Proyecto Diseño y modelado de Métricas de Seguridad para la gestión de la Seguridad de la Información en el Ministerio de Defensa y el apoyo en la toma de decisiones. Octubre Octubre Coordinado por la IGECIS en el MINISDEF. Ejecutado por ISDEFE. 3

Información en el Ministerio de Defensa y el apoyo en la toma de decisiones.

4 Fases del Proyecto Qué tareas se han realizado? 1. ANÁLISIS PREVIO 2. DISEÑO DE LAS MÉTRICAS 3. APOYO A LA IMPLANTACIÓN 4. APOYO AL SEGUIMIENTO 1. Análisis previo: Identificación y documentación de objetivos de control y controles aplicables al Ministerio de Defensa, en base al tipo de información manejada en el mismo. 2. Diseño de las métricas: Identificación y definición de métricas que permitan valorar la gestión de seguridad y apoyen en la toma de decisión, de acuerdo a los objetivos de control y controles identificados en el análisis previo. 3. Apoyo a la implantación: Propuesta para la implantación de un conjunto reducido de métricas. 4. Apoyo al seguimiento: Propuesta para la obtención de datos y análisis de los indicadores. 4

Diseño de las métricas: Identificación y definición de métricas que permitan valorar la gestión de seguridad y apoyen en la toma de decisión, de acuerdo a los objetivos de control y

5 Fases del Proyecto 1. Análisis previo 1. ANÁLISIS PREVIO Identificación de la información manejada en el MINISDEF: Información clasificada NACIONAL Información clasificada OTAN Información clasificada UE Datos de carácter personal SECRETO RESERVADO CONFIDENCIAL DIFUSIÓN LIMITADA SIN CLASIFICAR COSMIC TOP SECRET NATO SECRET NATO CONFIDENTIAL NATO RESTRICTED NATO UNCLASSIFIED TRES SECRET UE SECRET UE CONFIDENTIEL UE RESTREINT UE NIVEL ALTO NIVEL MEDIO NIVEL BAJO 1.2. Análisis de la normativa aplicable a dicha información, para la definición de los objetivos de control y controles que serán objeto de medida. Normativa Nacional O.M. 76/2006 CCN-STIC LSO y RD 242/1969 LEY 11/2007 OM 17/2001 Instrucción 11/ Normativa OTAN C-M(2003)49 Directivas específicas Guidelines Enclosures... Normativa UE Normas de Seguridad del Consejo de la Unión Europea LOPD y RMS Ley Orgánica 15/1999 de Protección de Datos de carácter personal RD 994/1999 por el que se aprueba el Reglamento de Medidas de Seguridad 5

6 Fases del Proyecto 1. Análisis previo 1. ANÁLISIS PREVIO Análisis de los estándares y buenas prácticas para la gestión de la seguridad de la información, con el fin de completar la definición de objetivos de control y controles. ISO 27002:2005 NIST Rev1 COBIT 4.0 ITIL v Mapeo entre normativa y estándares, partiendo de los objetivos de control y controles definidos en ISO 27002: Identificación, agrupación y selección de controles por cada Área de Seguridad de la Información definida en la Política de Seguridad de la Información del Ministerio de Defensa, partiendo del mapeo realizado anteriormente. SEGINFOPER SEGINFODOC SEGINFOSIT SEGINFOINS SEGINFOEMP 6

7 ÁREAS DE SEGURIDAD DE LA INFORMACIÓN NORMATIVA APLICABLE Y RESTO DE ESTÁNDARES Fases del Proyecto 1. Análisis previo 1. ANÁLISIS PREVIO 2. MATRIZ DE AGRUPACIÓN DE CONTROLES POR ÁREAS DE SEGURIDAD DE LA INFORMACIÓN 7 OBJETIVOS DE CONTROL Y CONTROLES ISO 27002:2005

8 Fases del Proyecto 2. Diseño de las Métricas 2. DISEÑO DE LAS MÉTRICAS 2.1. Análisis de estándares, normas y buenas prácticas existentes en el ámbito de las Métricas de seguridad, tanto a nivel de metodologías propuestas, como de medias e indicadores que definen. NIST Rev1 ISO Metodología de métricas ITIL Medidas, indicadores COBIT ISO

de seguridad, tanto a nivel de metodologías propuestas, como de medias e indicadores que

9 seguridad. Realizar un seguimiento de los resultados obtenidos. Realizar la mejora continua de la seguridad. Fases del Proyecto 2. Diseño de las Métricas 2. DISEÑO DE LAS MÉTRICAS 2.2. Definición de la metodología a seguir en la definición, implantación y mejora de métricas e indicadores de la Seguridad de la Información en el Ministerio de Defensa. 9 Qué metodología es más adecuada para el programa de Métricas del Ministerio de Defensa? Tanto la ISO como el NIST SP rev1 son borradores. El Ministerio de Defensa tiene unas características específicas (información clasificada... ) Metodología adaptada a las características especiales del Ministerio de Defensa: Conocer el estado de seguridad y el grado de implantación de las medidas de

10 Fases del Proyecto 2. Diseño de las Métricas 2. DISEÑO DE LAS MÉTRICAS 2.3. Elaboración del Catálogo de Medidas e indicadores de Seguridad de la Información para el MINISDEF, siguiendo la Metodología definida, y en base al Análisis previo. Estructura en árbol. GRUPO DE MEDIDAS GRUPO DE MEDIDAS SUBGRUPO DE MEDIDAS SUBGRUPO DE MEDIDAS MEDIDA DERIVADA MEDIDA DERIVADA MEDIDA BASE MEDIDA BASE MEDIDA BASE MEDIDA BASE... Más de 800 medidas definidas para cubrir toda la normativa de Seguridad en Defensa y en todas las Áreas de Seguridad de la Información. Implantación progresiva en función de: Capacidades y recursos del MINISDEF Valor de información obtenida frente a coste de la medida Utilización de procedimientos de medida ya implantados Repositorios de información existentes... 10

GRUPO DE MEDIDAS GRUPO DE MEDIDAS SUBGRUPO DE MEDIDAS SUBGRUPO DE MEDIDAS MEDIDA DERIVADA MEDIDA DERIVADA MEDIDA BASE MEDIDA BASE MEDIDA BASE MEDIDA BASE.

11 Fases del Proyecto 3. Apoyo a la implantación 3. APOYO A LA IMPLANTACIÓN 3.1. Selección de un pequeño conjunto de métricas para su implantación. Actualización software antivirus. Detecciones antivirus. Infecciones en correo electrónico / SPAM Propuesta para la implantación de las métricas seleccionadas. Identificación de los procedimientos y de la operativa existente para la obtención de las medidas asociadas. Ámbito WAN PG Responsables de datos CCEA (Centro Corporativo de Explotación y Apoyo) Herramientas (SCANS, LogICA, Antivirus McAfee, herramientas de seguridad del Nodo INET...). Repositorios de información Directorio Activo, Radia, McAfee... Informes de seguridad generados mensualmente 11

Identificación de los procedimientos y de la operativa existente para la obtención de las medidas asociadas.

12 Fases del Proyecto 4. Apoyo al seguimiento 4. APOYO AL SEGUIMIENTO 4.1. Propuesta para la obtención de datos y análisis de los indicadores: Colaboración con el Departamento de Seguridad del CCEA. Objetivo: Mejorar y evolucionar el sistema de Métricas. Análisis del subconjunto de métricas implantadas. Propuesta de mejora, para impulsar los indicadores hacia las metas establecidas, de tal forma que se conviertan en una ayuda para la toma de decisiones. 12

del CCEA. Objetivo: Mejorar y evolucionar el sistema de Métricas. Análisis del subconjunto de métricas implantadas.

13 Proyecto de Métricas de Seguridad para Defensa Acciones futuras Cubrir la implantación de todas las medidas definidas en el Catálogo. Sólo se ha probado un grupo muy reducido de medidas, que constituye aproximadamente un 5%. MEDIDAS NO IMPLANTADAS MEDIDAS IMPLANTADAS Integración de procedimientos de medición en el funcionamiento general del SGSI. El programa de métricas de seguridad debe estar completamente integrado con el SGSI. Proceso de mejora de las medidas CICLO CONTINUO DE MEJORA El proceso de medida y las propias medidas deben ser controladas y revisadas periódicamente para comprobar si el proceso se ejecuta según lo previsto, es eficaz, o necesita algún cambio o mejora. 13

MEDIDAS NO IMPLANTADAS MEDIDAS IMPLANTADAS Integración de procedimientos de medición en el funcionamiento general del SGSI.

14 Conclusiones La gestión de la seguridad requiere el uso de métricas. La selección de métricas dependen de las políticas y de la madurez de la organización. El proyecto de implantación de métricas debe ser progresivo. El proyecto de implantación debe contar con el apoyo de la dirección y con recursos suficientes. El proyecto de métricas tiene que estar completamente integrado con el SGSI. El proceso de medida debe ser controlado y revisado periódicamente, constituyendo un ciclo continuo de mejora. 14

El proyecto de implantación de métricas debe ser progresivo.

15 Referencias ISO/IEC 1st CD Information technology - Security techniques - Information security management measurements. ISO/IEC Information technology - Security techniques - Information security management systems Requirements. ISO/IEC Information technology - Security techniques - Code of practice for information security management. ISO/IEC 15939:2002 Software Engineering-Software Measurement Process. Consejos de implantación y métricas de ISO/IEC y Versión 1, Junio de NIST rev1 - Performance Measurement Guide for Information Security (DRAFT). NIST SP Guide for Developing Performance Metrics for Information Security. Control Objectives for Information and related Technology (COBIT) v4.1. Cómo puede medirse la seguridad?. David A. Cahpin & Steven Akridge. INFORMATION SYSTEMS CONTROL JOURNAL, VOLUMEN 2, Security Metrics. Replacing fear, uncertainty, and doubt. Andrew Jaquith.. Ed. Addison-Wesley Cuadro de Mando de la Seguridad. Indicadores y Métricas. Francisco Lázaro Anguís. L&M Data Communications Métricas de Seguridad, Indicadores y Cuadro de Mando. Alejandro Corletti y Carmen de Alba Muñoz. Revista Auditoría y Seguridad. Abril, Process Approach to Information Security Metrics in Finnish Industry and State Institutions. Anni Sademies VTT Finland. Towards a Security Metrics Taxonomy for the Information and Communication Technology Industry. Reijo Savola VTT Finland. 15

ISO/IEC 27002 Information technology - Security techniques - Code of practice for information security management. ISO/IEC 15939:2002 Software Engineering-Software Measurement Process.

16 Preguntas Oscar Pastor Acosta Gerente de Seguridad 16

17 Fin de la presentación Muchas gracias 17

Documentos relacionados

ACTAS DE LA X RECSI, SALAMANCA, 2008 VILLAFRANCA et al.: DISEÑO DE PATRÓN DE SELECCIÓN 585 Diseño de patrón de selección de métricas para la construcción de CMI de la seguridad D. Villafranca 1, L. E.