DESARROLLO DE METRICAS 

DE SEGURIDAD SOX

Juan Rodrigo Anabalón Riquelme
ISSA Chile

09 de abril de 2008
 Ley Sarbanes Oxley
• Creada en el año 2002 luego de escándalos financieros 
en EE.UU.
• Impulso una nueva estructura organizativa para devolver 
la confianza a los inversionistas.
• Requiere entre otras cosas:
– Mejorar la calidad de la información financiera y no financiera
– Dicta normas de gobierno corporativo
– Nuevos requerimientos de información financiera
– Nuevas restricciones para los auditores

09 de abril de 2008 Juan Rodrigo Anabalón R. 2
 COSO
 COSO (Committee of Sponsoring Organizations of the Treadway 
Commission)  organización  encargada  de  identificar 

fraude financieros. 
 En 1992, COSO publicó el Sistema Integrado de 
Control  Interno,  un  informe  que  establece  una 
definición  común  de  control  interno  y 
proporciona  un  estándar  mediante  el  cual  las 
organizaciones  pueden  evaluar  y  mejorar  sus 
sistemas de control. 
09 de abril de 2008 Juan Rodrigo Anabalón R. 3
• COSO Internal Control – Integrated Framework
– Control Environment
– Risk Assessment
– Control Activities
– Information and Communication
– Monitoring

09 de abril de 2008 Juan Rodrigo Anabalón R. 4
• Risk assessment
– Determinar el impacto y riesgo de:
• Information Quality
• Programming change controls
• Access to systems
• Availability of information
• Confidentiality
• Recoverability

09 de abril de 2008 Juan Rodrigo Anabalón R. 5
 coso

09 de abril de 2008 Juan Rodrigo Anabalón R. 6
 CobIT

09 de abril de 2008 Juan Rodrigo Anabalón R. 7
 Sección 404
• Contexto: Demostrar (documentos) que 
los controles de TI se han realizado.

• Aplicación: Identificar y probar los casos 
donde los controles manuales han sido 
sustituidos por procesos automatizados.

09 de abril de 2008 Juan Rodrigo Anabalón R. 8
 Principales enfoques
• Utilización de COSO, modelo del 
Gobierno Corporativo, y de COBIT, 
modelo del Gobierno de la 
Tecnología de la Información, para 
lograr conformidad con la ley 
SARBANES­OXLEY.
09 de abril de 2008 Juan Rodrigo Anabalón R. 9
 Métricas
• Justificación
– Control efectivo de operaciones de calidad y seguridad.
– Claridad de fortalezas y debilidades de la organización en términos de 
postura de seguridad.
– Alineadas con modelos de mejora de calidad y gestión de seguridad.
– Se deben alinear con la legislación vigente.
– Anticiparse a las necesidades, de forma que puedan preverse las 
inversiones necesarias para garantizar, al menos, el  cumplimiento de los 
objetivos de seguridad de la empresa.
– Justificar el gasto en seguridad mostrando de una forma clara la relación 
existente entre dicho gasto y el aumento en la seguridad de los activos de 
la empresa.
09 de abril de 2008 Juan Rodrigo Anabalón R. 10
– Informes detallados del estado de sus sistemas.
 Métricas
• La definición de las métricas deberá tener en cuenta aspectos que se detallan 
a continuación:

– ¿Para qué? (queremos medir):

• Medir la evolución de la seguridad de un sistema o servicio.

• Medir la efectividad de una aproximación de protección y prevención.

• Medir la capacidad o habilidad de la organización en las tareas de 
seguridad.

• Tener datos elocuentes sobre el estado de seguridad de la 
organización.

• Saber dónde hay que hacer hincapié en la mejora de la seguridad.
09 de abril de 2008 Juan Rodrigo Anabalón R. 11
• ¿Qué? (queremos medir):

• Cantidad y tipo de amenazas.

• Calidad de la respuestas a las amenazas y ataques.

• Incidentes y sus impacto.

• Vulnerabilidades y puntos débiles.

• Cumplimiento del plan de seguridad

• Cumplimiento de políticas

• Cumplimiento de auditorías

09 de abril de 2008 Juan Rodrigo Anabalón R. 12
 Métricas
• ¿Cómo? (podemos medirlo):
• ¿Cómo convertimos la 
información en datos 
válidos?

• ¿Qué fuentes y 
herramientas necesitamos?

• La dificultad en la definición 
de una métrica está 
precisamente en la 
dificultad de concretar tres 
factores.
09 de abril de 2008 Juan Rodrigo Anabalón R. 13
 Métricas
Actividades: Personas:
Por áreas,  Administradores por 
secciones departamento

Tiempo:
Hr/Día 
Meses/Años

Costos:
Sueldos, Consultorías
Recursos: HW, SW, 
Usuarios,  Mantenimiento.
sistemas, 
aplicaciones
09 de abril de 2008 Juan Rodrigo Anabalón R. 14
 Tipos de métricas
• Las organizaciones pueden usar 
distintos enfoques.
• NIST SP 800­80 defines tres tipos de 
métricas.

– Métricas para medir la 
implementación de políticas de 
seguridad.

– Métricas de eficiencia y efectividad 
para medir de la entrega de 
servicios de forma segura.

– Métricas de impacto en el negocio o 
métricas de impacto en los 
09 de abril de 2008 Juan Rodrigo Anabalón R.
procesos de negocio y eventos. 15
 Acercamiento
• Situación actual
– Determinar la integración del departamento IT 
con la integración de la sección 404.
– Determinar los documentos existentes.
– Determinar los controles existentes

09 de abril de 2008 Juan Rodrigo Anabalón R. 16
• Plan y alcance
– Identificar los sistemas críticos y subsistemas 
que se ven involucrados en la creación, 
almacenamiento, procesamiento y reporte de 
información financiera.

09 de abril de 2008 Juan Rodrigo Anabalón R. 17
• Identificar los controles principales
– Controles Generales
– Controles específicos

09 de abril de 2008 Juan Rodrigo Anabalón R. 18
 Políticas y controles
*  El área de sistemas podrá supervisar los equipos 
computacionales, sistemas y tr áfico de red en 
cualquier momento. CONTROL

*  Las bajas de per sonal deberán se comunicadas al 
área de sistemas para realizar  la baja de cuentas de 
usuario y acceso a sistemas y redes.

*  Queda prohibida la instalación de pr ogramas no 
Política de segur idad y  licenciados por personas individuales en la 
responsabilidad personal compañía.

*  Todos los equipos de la compañía deberán tener 
activado en el navegador web la opción “ Proxy” de 
navegación.

*  El área de sistemas supervisar á el cumplimiento de 
los SLA compr ometidos y se deberá establecer  el 
motivó de los pr oblema y gesti onar las medidas 
corr ectivas

09 de abril de 2008 Juan Rodrigo Anabalón R. 19
 *  El área de sistemas podrá supervisar los equipos 
computacionales, sistemas y tráfico de red en 
cualquier momento.

*  Las bajas de personal deberán se comunicadas al 
área de sistemas para realizar la baja de cuentas de 
usuario y acceso a sistemas y redes.

*  Queda prohibida la instalación de programas no 
Política de seguridad y  licenciados por personas individuales en la 
responsabilidad personal compañía.

*  Todos los equipos de la compañía deberán tener 
activado en el navegador web la opción “Proxy” de 
navegación.

CONTROL *  El área de sistemas supervisará el cumplimiento de 
los SLA comprometidos y se deberá establecer el 
motivó de los problema y gestionar las medidas 
correctivas

09 de abril de 2008 Juan Rodrigo Anabalón R. 20
 Mes de Marzo 2008 Semanal TOTAL MES
Fecha Lun Mar Mie Jue Vie Saba Dom Dom
*  Todos los respaldo deben generar una bitácora  24 25 26 27 28 29 30 31

que permita la revisión del resultado del proceso,  Hora           
periódicamente se deberá realizar una revisión de  N° Inicio ­ 
Termino 21:00 21:12 21:00 07:10 21:00 03:07 21:00 21:05 22:55 00:27 21:00 00:23 21:00 10:20 21:00
Renca 
Server
integridad de estos respaldos 1 SERVER 1 OK OK OK OK OK OK OK OK 97%
2 SERVER 2 OK OK NO NO NO NO NO OK 64%
3 SERVER 3 OK OK OK OK OK OK OK OK 100%
4 SERVER 4 OK OK OK OK OK OK OK OK 100%
CONTROL *  Los sitios donde se almacenen las copias de  5 SERVER 5 OK OK OK OK OK OK OK OK 100%
6 SERVER 6 NO NO NO NO NO NO NO OK 40%
respaldo deb en ser físicamente seguras, deben  7 SERVER 7 OK OK OK OK OK OK OK NO 80%
contar con ambiente controlado y controles físicos  8 SERVER 8 OK OK OK OK OK OK OK OK 97%
9 SERVER 9 OK OK OK OK OK OK OK En Ejec 86%
Política de respaldo de  de acceso según estándares y normas  10 SERVER 10 OK OK OK OK OK OK OK OK 92%
90% 90% 80% 80% 80% 80% 80% 80% 83%
información internacionales

*  Se realizarán pruebas de recuperación al menos 
cada 30 días.

CONTROL
*  El resultado de estas pruebas debe ser registrado 
en un informe escrito y debe ser firmado por el 
administrador de sistemas responsable.

09 de abril de 2008 Juan Rodrigo Anabalón R. 21
 Control del proceso
GENERALES CONTROL PERIODICIDAD RESPONSABLE Fecha Enero Febero Marzo

OPERACIONES 98% 57% 88%

Listado de personas con El día 4 de 

Revisión del documento Mensual Juan Anabalón
acceso al Data Center cada mes
OK OK OK

El día 4 de 
Usuarios Desvinculados revisión del documento Mensual Pablo Vinnett
cada mes
OK OK OK
Revisión de la creacióon 
Creación y modificación
y modificación de 
de cuentas de correo Diario Mario Estay all
cuentas de correo 
electrónico
electrónico
OK OK OK

Revisión de modificación 
Permisos de acceso de permisos de acceso  diario Mario Estay all
a carpetas compartidas
OK OK OK
Listado de personas que
El día 4 de 
accedieron al Data Revisión del documento Mensual Juan Anabalón
cada mes
Center OK OK OK

Listado de personas que

El día 4 de 
intentaron acceder al Revisión del documento Mensual Juan Anabalón
cada mes
Data Center
OK OK OK
ADMINISTRACION DE CAMBIOS 50% 67% 67%

Tomar 5 cambios al azar

El dia 5 de 
Cambios efectuados y validar su correcta Mensual Juan Anabalón
cada mes
documentación
OK OK OK

Obtener el registro de El dia 5 de 

Cambios rechazados Mensual Juan Anabalón
los cambios rechazados. cada mes
NO NO OK
PROXY
100% 66% 74%
Validar y bloquear 
El día 7 de 
Monitorear trafico de red paginas o trafico  Semanal Julio Crespo
cada mes
malicioso OK

09 de abril de 2008 Juan Rodrigo Anabalón R. 22
 Distribución de Riesgo

09 de abril de 2008 Juan Rodrigo Anabalón R. 23
 Preguntas

Contacto:
Juan Rodrigo Anabalón R.
jranabalon@yahoo.es

09 de abril de 2008 Juan Rodrigo Anabalón R. 24
 Referencias
• Referencias
– Alicia Clay, Elizabeth Chew, Joan Hash, Nadya Bartol, Anthony Brown. Guide for Developing 
Performance Metrics for Information Security. Recommendations of the National Institute of 
Standards and Technology. 2006.
– César Colado, Alfonso Franco. Métricas de seguridad: una visión actualizada. 2003.
– David A. Chapin, Steven Akridge. ¿Cómo Puede Medirse la Seguridad?. Information Systems 
Audit and Control Association. 2005.
–  Baker Newman & Noyes, Sarbanes­Oxley Act of 2002, Section 404 – Management’s Report 
on Internal Control Over Financial Reporting.
– PhD. MBA Marcelo Valenzuela. Ley Sarbanes – Oxley,  Acevedo Valenzuela y Asociados 
Ltda.

09 de abril de 2008 Juan Rodrigo Anabalón R. 25