CIBSI 2011 MGSM-PYME

Transcripción

1 Dr. Dr. Mario Piattini Velthuis VI Congreso Iberoamericano de Seguridad Informática MGSM-PYME Métricas de seguridad en los SGSIs, para conocer el nivel de seguridad de los SSOO y de los SGBD Antonio Santos-Olmo Parra (Asolmo@Sicaman-nt.com) Dr. Eduardo Fernández-Medina Paton (Eduardo.FdezMedina@uclm.es)

2 Contenido de la presentación 1. Introducción. Transparencia 2 2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos. 8. Conclusiones y trabajo futuro.

3 Contenido de la presentación 1. Introducción. Transparencia 3 2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos. 8. Conclusiones y trabajo futuro.

4 Introducción Transparencia 4 Introducción Uso de los SGSI: las Organizaciones en general, y PYMES en particular, han ido tomando consciencia de la necesidad que tienen de soluciones en el ámbito de la seguridad de la información que tengan en cuenta los objetivos de la empresa, aumentando el interés por esa seguridad de la información en los últimos años. - Qué son los SGSI?: un conjunto de procesos, políticas, procedimientos, análisis y tests, organizados de forma lógica y soportado por objetivos a nivel estratégico, estructurados principalmente por los requisitos presentados en la norma ISO basado en un modelo de evaluación y mejora continua (en ISO 27001, el ciclo PDCA). - No se puede controlar lo que no se puede medir => Si los controles establecidos no se pueden medir, entonces no aportarán nada al SGSI.

5 Introducción Introducción -La ISO requiere que los controles sean mediables => La ISO aporta la forma de llevar a cabo dichas mediciones. Transparencia 5 - El establecimiento de métricas con las que conocer el estado de la seguridad resulta fundamental en la implantación y mantenimiento de un SGSI, debiendo aparecer a la vez que se produce la implantación de éste. - Ese conocimiento del estado de la seguridad es importante en la toma de decisiones. - La publicación de la norma ISO es la prueba de que la medición y evolución del estado son elementos vitales que se comienzan a tener en cuenta. A día de hoy, es un aspecto poco desarrollado en la gestión y mejora de los SGSI.

6 Contenido de la presentación 1. Introducción. Transparencia 6 2. Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos. 8. Conclusiones y trabajo futuro.

7 2.- Estado Estado del arte del arte Transparencia 7 Estado del arte: Estándares analizados Hemos analizado los principales estándares de seguridad orientados a la gestión y medición de la seguridad de los sistemas: -Estándares FIPS (Federal Information Processing Standard) y 140-2: conjunto normalizado de códigos utilizados para asegurar los datos, cubriendo áreas relacionadas con el diseño e implementación de un módulo criptográfico. - SSE-CMM (Modelo de Capacidad y Madurez en la Ingeniería de Seguridad de Sistemas): modelo derivado del CMM. Describe características fundamentales de los procesos que deben existir en una Organización para asegurar una buena seguridad de sistemas. Primera versión en 1997 y actualización en La Serie 800 del NIST (National Insitute of Standards and Technology): agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. -NIST SP ( Métricas de Seguridad para Sistemas de Tecnologías de la Información ): Publicada en 2003 y revisada en NIST SP Guía para el desarrollo de métricas de seguridad de la información : Publicada en 2006.

8 2.- Estado Estado del arte del arte Estado del arte: ISO Formada por los estándares relacionados con la seguridad de la información, ya desarrollados o en fase de desarrollo. Transparencia 8 - Ofrecen un marco de gestión de la seguridad de la información, formando un conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI. - Para implementar un SGSI y afrontar un proceso de auditoría satisfactoriamente se requiere el conocimiento e interpretación de al menos la 27001, y

9 2.- Estado Estado del arte del arte Estado del arte: ISO27000 Transparencia 9

10 2.- Estado Estado del arte del arte Transparencia 10 Estado del arte: ISO Las dos normas más importantes y base de la familia son la y la El resto de normas se consideran complementarias a la y la 27002, surgiendo como apoyo para la implementación en temas específicos o el proceso de auditoría del SGSI.

11 2.- Estado Estado del arte del arte Transparencia 11 Estado del arte: ISO/IEC 27001:2005 Dos aspectos más destacados: descripción detallada de los controles y el método PDCA para aplicarlos. - Se basa en un ciclo de vida PDCA para toda la estructura de procesos del SGSI.

12 2.- Estado Estado del arte del arte Transparencia 12 Estado del arte: ISO/IEC 27002:2005 Publicada en 2007, se corresponde con la ISO/IEC 17799:2005. Es una guía de buenas prácticas para la implementación de un SGSI describiendo los objetivos de control y controles recomendables respecto a la seguridad de información. No es certificable. Tiene 11 cláusulas de control de seguridad o dominios, que cubren los principales aspectos relacionados con la seguridad, conteniendo 39 objetivos de control y 133 controles.

13 2.- Estado Estado del arte del arte Transparencia 13 Estado del arte: ISO/IEC 27004:2009 Publicada el 7 de Diciembre del Especifica las métricas de seguridad y las técnicas de medida aplicables para determinar la eficacia y eficiencia de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan principalmente para la medición de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA. - Nace para marcar criterios de cara a una correcta medición de la eficacia de un SGSI. - No aporta una colección de métricas o indicadores a aplicar a cualquier SGSI sino que establece una metodología para determinar la efectividad de un SGSI mediante actividades y procesos sin establecer medidores o usar resultados a conseguir.

14 2.- Estado Estado del arte del arte Transparencia 14 Objetivos: Estado del arte: ISO/IEC 27004:2009 Facilitar la mejora de la efectividad de la seguridad de la información. Evaluar la efectividad del SGSI y su mejora continua. Lograr información objetiva y análisis para ayudar en la revisión de la gerencia, la toma de decisiones y justificar mejoras en los controles. Evaluar la efectividad de los controles de seguridad y los objetivos de control. - ISO/IEC se basa en el modelo PDCA (Plan-Do-Check-Act) estando las mediciones especialmente orientadas al Do (Implementación y operación del SGSI), como una entrada para el Check (Monitorizar y revisar), y así poder adoptar decisiones de mejora del SGSI mediante el Act.

15 Contenido de la presentación 1. Introducción. Transparencia Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos. 8. Conclusiones y trabajo futuro.

16 Objetivos Transparencia 16 Normativas Material ISO 27004? Completa colección de métricas (Mediciones) Objetivos Herramientas del mercado ISO 27004? Herramienta Web Caso práctico real Accesibilidad Mantenimiento Costes Cómo medir la Seguridad?

17 Objetivos Transparencia 17 Objetivos Objetivo: Crear mecanismos que permitan medir el nivel de seguridad de los sistemas de información: - Una valoración objetiva del nivel de riesgo del sistema. - Un informe con los resultados de la auditoría, conteniendo vulnerabilidades encontradas y recomendaciones. - Un histórico de las auditorías realizadas al sistema, junto con los resultados obtenidos. Alcance: - Desarrollo de los objetivos de control para cada ámbito. - Automatización de parte de los objetivos de control. - Utilización de la aplicación en entornos de desarrollo y producción de empresas reales.

18 Objetivos Objetivos Las métricas para ser efectivas deben: Medir evolución de seguridad en el tiempo. Transparencia 18 Estar asociadas con impactos financieros, y ser coherentes con los objetivos de seguridad implantados. Ser objetivas e imparciales. Ser predictivas, consistentes y relevantes para Organización y toma de decisiones. Ser fuertes, confiables, defendibles y justificables. Poder derivar acciones, ser fáciles de recolectar, definir, implementar e interpretar, y ser reproducibles. Estar ligados a los objetivos de negocio. Estar expresadas en números cardinales o porcentajes, y detalladas con unidades de medida.

19 Objetivos Transparencia 19 Objetivos - Beneficios y ventajas por el uso de métricas: Mejor comprensión de riesgos y debilidades. Medición del desempeño de los controles. Apoyo a la toma de decisiones. Control de la situación real de la seguridad de la información. Apoyo a la racionalización de costes. Mayor eficacia de los procesos y actividades de seguridad de la información, y actualización de tecnologías. Identificación de problemas emergentes. Verificación del cumplimiento de políticas y normativas. Mostrar la evolución de la cultura de seguridad de la información.

20 Objetivos Transparencia 20 Alcance inicial: - Ámbitos de aplicación: Windows 2003 Server Objetivos SQL Server 2005, 2008 Oracle 11i Limitaciones: - Funcionales: No todos los objetivos de control pueden ser automatizados. - Temporales: El número de objetivos de control que es posible automatizar en el margen temporal marcado es de doce.

21 Contenido de la presentación 1. Introducción. Transparencia Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos. 8. Conclusiones y trabajo futuro.

22 4.- Proceso de de medición Transparencia 22 Proceso de medición - El coste de implantación de una métrica debe ser proporcional al beneficio obtenido. - Una forma de implantación seguir las fases del modelo PDCA (como ISO 27004), haciendo coincidir su implementación con las fases seguidas en ISO Desde el principio del ciclo PDCA, se debe considerar la escalabilidad de las métricas ya que conforme se van agrupando deberán proporcionar menos información de detalle aportándola de más alto nivel para la toma de decisiones. ISO/IEC ISO/IEC PLAN Establecer el SGSI Definir las métricas DO Implementar y operar el SGSI Implantar las métricas CHECK Supervisar y revisar el SGSI Revisar los datos de las métricas ACT Mantener y mejorar el SGSI Revisar/Mejorar las métricas

23 4.- Proceso de de medición Proceso de medición Cálculo del nivel de securización del sistema: Transparencia 23 NR = (([PTVE]*100)/[PTVP]) NS = 100 NR - NR: Nivel de riesgo. - NS: Nivel de securización. - PTVE: Puntuación total de las vulnerabilidades encontradas. - PTVP: Puntuación total de las vulnerabilidades posibles.

24 4.- Proceso de de medición Transparencia 24 Clasificación del riesgo: Riesgo Proceso de medición Intervalo (según el nivel de securización) Descripción Sin Riesgo 90% - 100% No se han detectado fallos graves Riesgo potencial 60% - 90% Se han detectado fallos de nivel medio Alto riesgo 0% - 60% Se han detectado uno o varios fallos de nivel alto

25 Contenido de la presentación 1. Introducción. Transparencia Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos. 8. Conclusiones y trabajo futuro.

26 Definición de Definición de controles Objetivo de Control: declaraciones de los resultados deseados u objetivos a ser alcanzados. Transparencia 26 Para cada objetivo de control se definirá: - Identificador - Configuración correcta - Nivel - Prueba - Instante de aplicación - Escala de valoración Niveles de valoración: - Seguro: Valoración 0 - Inseguro: Valoración 1 - Muy Inseguro: Valoración 2

27 Definición de Transparencia 27 Definición de controles Windows 2003 Server: - 25 objetivos de control - Nivel de seguridad máximo: 0 - Nivel de seguridad mínimo: 37 Nivel: Acceso Servicio Aplicaciones Gestión Red Total O.C:

28 Definición de Transparencia 28 Definición de controles SQL Server 2005: - 37 objetivos de control - 26 de ellos automatizables - Nivel de seguridad máximo: 0 - Nivel de seguridad mínimo: 53 Nivel: General Servidor SGBD BD Total O.C:

29 Definición de Transparencia 29 Definición de controles Oracle 11i: - 26 objetivos de control - Nivel de seguridad máximo: 0 - Nivel de seguridad mínimo: 44 Nivel: General Servidor SGBD BD Total O.C:

30 Contenido de la presentación 1. Introducción. Transparencia Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos. 8. Conclusiones y trabajo futuro.

31 Herramienta Transparencia 31 Selección de conexión Herramienta de medición Selección de aplicación Introducción de datos de la máquina a auditar. Selección de la aplicación a analizar.

32 Herramienta Transparencia 32 El nivel de securización se actualizará a medida que vayamos cumplimentando objetivos de control, bien automáticamente, bien de forma manual. Cabecera del informe Herramienta de medición Objetivos de control

33 Herramienta Herramienta de medición Comprobación de los Objetivos de control: Transparencia 33 - Información sobre el Objetivo de control, incluyendo la configuración adecuada del mismo, y sobre la prueba a realizar para comprobar su cumplimento. - Selección de la valoración para el Objetivo de Control. Para cada valoración se ofrece su descripción. - El auditor puede añadir las observaciones que considere oportunas de cara al informe.

34 Herramienta Transparencia 34 Herramienta de medición - Según la aplicación a auditar, se obtendrá un listado con los objetivos de control correspondientes, indicando cuales se comprueban de forma automática y cuales hay que comprobar manualmente. - Una vez cumplimentados todos los objetivos de control, se obtendrá el nivel de securización de la aplicación auditada. - El nivel de securización se obtendrá a partir de la discretización de los objetivos de control y su posterior ponderación. La puntuación obtenida sobre la máxima puntuación posible nos permitirá obtener un valor discretizado de securización para nuestra aplicación.

35 Herramienta Transparencia 35 Otras operaciones: Herramienta de medición - Modificación de la valoración de los objetivos de control, tanto de los manuales como de los automáticos: No se está de acuerdo con la valoración calculada por la aplicación. En el caso de los objetivos automatizados, la aplicación obtiene automáticamente una valoración, aunque se ofrece al auditor la posibilidad de cambiarla a su criterio. Se desea añadir información complementaria. - Almacenaje del informe de auditoría en el histórico, posibilitando acceder a él en cualquier momento futuro. - Generar un documento en Word con el informe de auditoría.

36 Herramienta Herramienta de medición Transparencia 36 Histórico de auditorías - Listado de los informes de auditoría almacenados, ordenados por fecha. - Seleccionando un informe, se accede a su detalle.

37 Herramienta Transparencia 37 Cabecera del informe Herramienta de medición Valoración de Objetivos de control - Informe: Listado de los objetivos de control, junto a su calificación en cuanto a cumplimiento, de forma general. - Seleccionando un objetivo de control, se accede a su detalle.

38 Herramienta Herramienta de medición Detalle de un Objetivo de control: Transparencia 38 Se recupera información sobre: - La valoración del Objetivo de control y la prueba realizada para verificar su cumplimiento. - Las recomendaciones propuestas por la aplicación. - Las observaciones anotadas por el auditor referentes a dicho Objetivo de control.

39 ISM2 Herramienta Herramienta para la Gestión de Métrica de SGSIs Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez. Transparencia 39

40 ISM2 Herramienta Herramienta para la Gestión de Métrica de SGSIs Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez. Transparencia 40

41 ISM2 Herramienta Herramienta para la Gestión de Métrica de SGSIs Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez. Transparencia 41

42 Contenido de la presentación 1. Introducción. Transparencia Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos. 8. Conclusiones y trabajo futuro.

43 Pruebas 7.- Resultados Resultados prácticos Transparencia 43 Pruebas de auditoría sobre servidores reales de las instalaciones de la empresa Sicaman Nuevas Tecnologías: - Servidores W2003 de Producción y Desarrollo - Servidores SQL Server 2005 de Producción y Desarrollo - Servidor Oracle 11i Resultados obtenidos: Securización/ Servidor Windows 2000 SQL SERVER 2000 Oracle 9i Securización media Servidor desarrollo [SQL] 51,35 52,83-52,22 Servidor desarrollo [ORA] Servidor producción [SQL] 51,35-52,27 51,85 72,97 73,58-73,33

44 Conclusiones Transparencia 44 Conclusiones y Trabajo futuro - El entorno de producción de SNT tiene un nivel de securización medio, tanto a nivel de servidor, como a nivel de aplicaciones individuales. Sería aconsejable seguir las recomendaciones obtenidas de las auditorías, sobre todo teniendo en cuenta que es un entorno de producción. - El entorno de desarrollo de SNT tiene un nivel de securización bajo, tanto a nivel de servidor, como a nivel de aplicaciones individuales, y tanto para entornos SQL Server como para entornos Oracle. Lo aconsejable para un entorno de desarrollo es situar el riesgo en un nivel medio, por lo que se aconseja seguir las recomendaciones de los informes de auditoría.

45 Contenido de la presentación 1. Introducción. Transparencia Estado del arte. 3. Objetivos perseguidos en la investigación. 4. Desarrollo del proceso de medición. 5. Definición de los controles. 6. Herramienta. 7. Resultados prácticos. 8. Conclusiones y trabajo futuro.

46 Conclusiones Conclusiones y Trabajo futuro Estudio de la normativa vigente en materia de métricas Transparencia 46 FIPS 140-1, FIPS 140-2, NIST SP , NIST SP , NIST SP , familia ISO/IEC (ISO 27001, ISO 27002, ISO 27004) Estudio de herramientas existentes en el mercado MGSM-PYME, S2GSI, herramienta para el cálculo del GAP ISO de SIGEA, ISOTools, GlobalSGSI y Ecija SGSI

47 Transparencia 47 Conclusiones y Trabajo futuro Herramienta desarrollada: Aplicación que permite obtener de forma (en alto grado) automática: - Una valoración del grado de securización de un sistema. - Listado de puntos débiles detectados. - Recomendaciones para aumentar el nivel de seguridad. Ventajas sobre la auditoría manual: - Bajo coste en recursos y tiempos. - Generación automática de informes de auditoría. - Obtención automática de configuraciones adecuadas, recomendaciones y pruebas de verificación. - Histórico de auditorías.

48 Conclusiones Conclusiones y Trabajo futuro Transparencia 48 Más Mediciones. Varias para cada Control Dividir Mediciones Más Indicadores y Medidas para las Mediciones Nuevos tipos de Indicadores Ampliar números rangos de % y señalización para ellos

49 Conclusiones Conclusiones y Trabajo futuro Transparencia 49 Informe en pdf Gráficos de histórico Nuevos tipos de usuario Desarrollar parte de auditoría Avisos de situaciones críticas. Más rangos %. Posibilidad de diferenciar entre Organización grande y PYME para una adecuada gestión del estado del SGSI adaptada a cada una. Integración de la herramienta en sistemas para automatización de actualizaciones y revisiones

50 Esther Álvarez Gonzalez Dr. Mario Piattini Velthuis VI Congreso Iberoamericano de Seguridad Informática Gracias por su atención Dr. Dr. Eduardo Fernández-Medina Paton