DESARROLLO DE METRICAS DE SEGURIDAD SOX Juan Rodrigo Anabalón Riquelme ISSA Chile 09 de abril de 2008
Ley Sarbanes Oxley Creada en el año 2002 luego de escándalos financieros en EE.UU. Impulso una nueva estructura organizativa para devolver la confianza a los inversionistas. Requiere entre otras cosas: Mejorar la calidad de la información financiera y no financiera Dicta normas de gobierno corporativo Nuevos requerimientos de información financiera Nuevas restricciones para los auditores 09 de abril de 2008 Juan Rodrigo Anabalón R. 2
COSO COSO (Committee of Sponsoring Organizations of the Treadway Commission) organización encargada de identificar fraude financieros. En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. 09 de abril de 2008 Juan Rodrigo Anabalón R. 3
COSO Internal Control Integrated Framework Control Environment Risk Assessment Control Activities Information and Communication Monitoring 09 de abril de 2008 Juan Rodrigo Anabalón R. 4
Risk assessment Determinar el impacto y riesgo de: Information Quality Programming change controls Access to systems Availability of information Confidentiality Recoverability 09 de abril de 2008 Juan Rodrigo Anabalón R. 5
coso 09 de abril de 2008 Juan Rodrigo Anabalón R. 6
CobIT 09 de abril de 2008 Juan Rodrigo Anabalón R. 7
Sección 404 Contexto: Demostrar (documentos) que los controles de TI se han realizado. Aplicación: Identificar y probar los casos donde los controles manuales han sido sustituidos por procesos automatizados. 09 de abril de 2008 Juan Rodrigo Anabalón R. 8
Principales enfoques Utilización de COSO, modelo del Gobierno Corporativo, y de COBIT, modelo del Gobierno de la Tecnología de la Información, para lograr conformidad con la ley SARBANES OXLEY. 09 de abril de 2008 Juan Rodrigo Anabalón R. 9
Métricas Justificación Control efectivo de operaciones de calidad y seguridad. Claridad de fortalezas y debilidades de la organización en términos de postura de seguridad. Alineadas con modelos de mejora de calidad y gestión de seguridad. Se deben alinear con la legislación vigente. Anticiparse a las necesidades, de forma que puedan preverse las inversiones necesarias para garantizar, al menos, el cumplimiento de los objetivos de seguridad de la empresa. Justificar el gasto en seguridad mostrando de una forma clara la relación existente entre dicho gasto y el aumento en la seguridad de los activos de la empresa. 09 de abril de 2008 Juan Rodrigo Anabalón R. 10 Informes detallados del estado de sus sistemas.
Métricas La definición de las métricas deberá tener en cuenta aspectos que se detallan a continuación: Para qué? (queremos medir): Medir la evolución de la seguridad de un sistema o servicio. Medir la efectividad de una aproximación de protección y prevención. Medir la capacidad o habilidad de la organización en las tareas de seguridad. Tener datos elocuentes sobre el estado de seguridad de la organización. Saber dónde hay que hacer hincapié en la mejora de la seguridad. 09 de abril de 2008 Juan Rodrigo Anabalón R. 11
Qué? (queremos medir): Cantidad y tipo de amenazas. Calidad de la respuestas a las amenazas y ataques. Incidentes y sus impacto. Vulnerabilidades y puntos débiles. Cumplimiento del plan de seguridad Cumplimiento de políticas Cumplimiento de auditorías 09 de abril de 2008 Juan Rodrigo Anabalón R. 12
Métricas Cómo? (podemos medirlo): Cómo convertimos la información en datos válidos? Qué fuentes y herramientas necesitamos? La dificultad en la definición de una métrica está precisamente en la dificultad de concretar tres factores. 09 de abril de 2008 Juan Rodrigo Anabalón R. 13
Métricas Actividades: Por áreas, secciones Personas: Administradores por departamento Tiempo: Hr/Día Meses/Años Costos: Sueldos, Consultorías Recursos: HW, SW, Usuarios, Mantenimiento. sistemas, aplicaciones 09 de abril de 2008 Juan Rodrigo Anabalón R. 14
Tipos de métricas Las organizaciones pueden usar distintos enfoques. NIST SP 800 80 defines tres tipos de métricas. Métricas para medir la implementación de políticas de seguridad. Métricas de eficiencia y efectividad para medir de la entrega de servicios de forma segura. Métricas de impacto en el negocio o métricas de impacto en los 09 de abril procesos de 2008de negocio y eventos. Juan Rodrigo Anabalón R. 15
Situación actual Acercamiento Determinar la integración del departamento IT con la integración de la sección 404. Determinar los documentos existentes. Determinar los controles existentes 09 de abril de 2008 Juan Rodrigo Anabalón R. 16
Plan y alcance Identificar los sistemas críticos y subsistemas que se ven involucrados en la creación, almacenamiento, procesamiento y reporte de información financiera. 09 de abril de 2008 Juan Rodrigo Anabalón R. 17
Identificar los controles principales Controles Generales Controles específicos 09 de abril de 2008 Juan Rodrigo Anabalón R. 18
Políticas y controles * El área de sistemas podrá supervisar los equipos computacionales, sistemas y tráfico de red en cualquier momento. CONTROL * Las bajas de personal deberán se comunicadas al área de sistemas para realizar la baja de cuentas de usuario y acceso a sistemas y redes. Política de seguridad y responsabilidad personal * Queda prohibida la instalación de programas no licenciados por personas individuales en la compañía. * Todos los equipos de la compañía deberán tener activado en el navegador web la opción Proxy de navegación. * El área de sistemas supervisará el cumplimiento de los SLA comprometidos y se deberá establecer el motivó de los problema y gestionar las medidas corr ectivas 09 de abril de 2008 Juan Rodrigo Anabalón R. 19
* El área de sistemas podrá supervisar los equipos computacionales, sistemas y tráfico de red en cualquier momento. * Las bajas de personal deberán se comunicadas al área de sistemas para realizar la baja de cuentas de usuario y acceso a sistemas y redes. Política de seguridad y responsabilidad personal * Queda prohibida la instalación de programas no licenciados por personas individuales en la compañía. * Todos los equipos de la compañía deberán tener activado en el navegador web la opción Proxy de navegación. CONTROL * El área de sistemas supervisará el cumplimiento de los SLA comprometidos y se deberá establecer el motivó de los problema y gestionar las medidas correctivas 09 de abril de 2008 Juan Rodrigo Anabalón R. 20
CONTROL Política de respaldo de información * Todos los respaldo deben generar una bitácora que permita la revisión del resultado del proceso, periódicamente se deberá realizar una revisión de integridad de estos respaldos * Los sitios donde se almacenen las copias de respaldo deben ser físicamente seguras, deben contar con ambiente controlado y controles físicos de acceso según estándares y normas internacionales N Fecha Mes de Marzo 2008 Semanal Lun Mar Mie Jue Vie Saba Dom Dom 24 25 26 27 28 29 30 31 Hora Inicio Termino 21:00 21:12 21:00 07:10 21:00 03:07 21:00 21:05 22:55 00:27 21:00 00:23 21:00 10:20 21:00 TOTAL MES Renca Server 1 SERVER 1 OK OK OK OK OK OK OK OK 97% 2 SERVER 2 OK OK NO NO NO NO NO OK 64% 3 SERVER 3 OK OK OK OK OK OK OK OK 100% 4 SERVER 4 OK OK OK OK OK OK OK OK 100% 5 SERVER 5 OK OK OK OK OK OK OK OK 100% 6 SERVER 6 NO NO NO NO NO NO NO OK 40% 7 SERVER 7 OK OK OK OK OK OK OK NO 80% 8 SERVER 8 OK OK OK OK OK OK OK OK 97% 9 SERVER 9 OK OK OK OK OK OK OK En Ejec 86% 10 SERVER 10 OK OK OK OK OK OK OK OK 92% 90% 90% 80% 80% 80% 80% 80% 80% 83% * Se realizarán pruebas de recuperación al menos cada 30 días. CONTROL * El resultado de estas pruebas debe ser registrado en un informe escrito y debe ser firmado por el administrador de sistemas responsable. 09 de abril de 2008 Juan Rodrigo Anabalón R. 21
Control del proceso GENERALES CONTROL PERIODICIDAD RESPONSABLE Fecha Enero Febero Marzo OPERACIONES 98% 57% 88% Listado de personas con acceso al Data Center Revisión del documento Mensual Juan Anabalón El día 4 de cada mes OK OK OK Usuarios Desvinculados revisión del documento Mensual Pablo Vinnett Creación y modificación de cuentas de correo electrónico Permisos de acceso Revisión de la creacióon y modificación de cuentas de correo electrónico Revisión de modificación de permisos de acceso a carpetas compartidas El día 4 de cada mes Diario Mario Estay all diario Mario Estay all Listado de personas que accedieron al Data Revisión del documento Mensual Juan Anabalón Center El día 4 de cada mes OK OK OK OK OK OK OK OK OK OK OK OK Listado de personas que intentaron acceder al Revisión del documento Mensual Juan Anabalón Data Center El día 4 de cada mes OK OK OK ADMINISTRACION DE CAMBIOS 50% 67% 67% Cambios efectuados Tomar 5 cambios al azar y validar su correcta documentación Mensual Juan Anabalón El dia 5 de cada mes OK OK OK Cambios rechazados Obtener el registro de los cambios rechazados. Mensual Juan Anabalón El dia 5 de cada mes NO NO OK PROXY Monitorear trafico de red Validar y bloquear paginas o trafico malicioso Semanal Julio Crespo El día 7 de cada mes OK 100% 66% 74% 09 de abril de 2008 Juan Rodrigo Anabalón R. 22
Distribución de Riesgo 09 de abril de 2008 Juan Rodrigo Anabalón R. 23
Preguntas Contacto: Juan Rodrigo Anabalón R. jranabalon@yahoo.es 09 de abril de 2008 Juan Rodrigo Anabalón R. 24
Referencias Referencias Alicia Clay, Elizabeth Chew, Joan Hash, Nadya Bartol, Anthony Brown. Guide for Developing Performance Metrics for Information Security. Recommendations of the National Institute of Standards and Technology. 2006. César Colado, Alfonso Franco. Métricas de seguridad: una visión actualizada. 2003. David A. Chapin, Steven Akridge. Cómo Puede Medirse la Seguridad?. Information Systems Audit and Control Association. 2005. Baker Newman & Noyes, Sarbanes Oxley Act of 2002, Section 404 Management s Report on Internal Control Over Financial Reporting. PhD. MBA Marcelo Valenzuela. Ley Sarbanes Oxley, Acevedo Valenzuela y Asociados Ltda. 09 de abril de 2008 Juan Rodrigo Anabalón R. 25