Indicadores Gerenciales

De Seguridad de la Informacin
2011/12/01

Contenido

Contexto Justificacin Metodologa Alineacin Modelo Objetos y Atributos Especificacin Aproximaciones Recomendaciones Financieros Referencias

Contexto

If you cant measure it, you cant manage it, Peter Drucker. In God we trust, all the others bring data, W. Edwards Deming. Anything you need to quantify can be measured in some way that is superior to not measuring it at all, Glib's Law. Repeatable and consistent metrics can be extremely valuable -- even if they're inaccurate", Wes Sonnenreich.

Justificacin
Planear objetivamente y estimar Controlar el rendimiento respecto al plan

Identificar y resolver problemas del proceso

Ser la base para la medicin en el futuro

CMMI for Services 1.3, Measurement and Anlysis, Pagina 216, Software Engineer Institute.

Justificacin
Evaluar la Efectividad de los controles Evaluar la Efectividad del SGSI

Verificar el cumplimiento de los requisitos de Seguridad

Facilitar la mejora del SGSI segn los riesgos del negocio

Dar insumo a la direccin para la toma de decisiones

ISO 27004:2009 Information Security Mangement Measurement, 5.1. Objectives of Measurement

Justificacin
Aumentar la responsabilidad Mejorar la Efectividad de la Seguridad de la Informacin

Demuestra cumplimiento

Suministra Entradas Cuantificables para Asignar recursos

NIST 800-55: Performance Measurement Guide for Information Security

Metodologa
Alinear mediciones y actividades de anlisis Suministrar resultados de medicin

Establecer Objetivos de Medicin Especificar Medidas Especificar Procedimiento de Recoleccin y Almacenamiento Especificar Procedimientos De Anlisis

Obtener Datos de las Mediciones Analizar los Datos de las Mediciones Almacenar datos Y resultados

Comunicar Resultados

CMMI for Services 1.3, Measurement and Anlysis, Pagina 216, Software Engineer Institute.

Alineacin
Necesidades de informacin provienen de:
Planes de Trabajo Planes Estratgicos Planes de Negocio

Requisitos Formales

Obligaciones Contractuales

Objetivos Establecidos

Comparativos de Industria

Entrevistas a Directivos

Problemas Recurrentes

CMMI for Services 1.3, Measurement and Anlysis, Pagina 216, Software Engineer Institute.

Modelo
Objeto
Lo que sera Medido (Sustantivo) Servicio Tecnolgco

Atributo

Parte que Puede medirse

Disponibilidad

Medicin Base Medicin Derivada

Valor asignado Al atributo

T Disponible T Plan. No Disp. T Transcurrido

Combinacin De Medidas Base Combinacin de Medidas Derivadas

D = (TD + TPND) -----------------TT

Indicador

ndice = D / Meta

Objetos y Atributos

Proceso: Servicio: Activos: Producto: Recurso: Personas: Plan:

Tiempo de ciclo, Pendientes (WIP) Oportunidad, Seguridad, Disponibilidad Valor. Calidad (Defectos), Tamao. Esfuerzo, Costo. Aprendizaje, Satisfaccin. Avance, Cobertura.
Fuentes adicionales son ISO 9126 y ISO SQuaRE ISO 2501N.

Especificacin

1. De la Medicin 2. De los Objetos y Atributos 3. De las Medidas Base 4. De las Medidas Derivadas 5. Del Indicador 6. Del Criterio de Decisin 7. De los Resultados de Medicin 8. De los Interesados 9. De la Frecuencia y el Periodo

Especificacin

1. De la Medicin

ISO 27004:2009 Information Security Mangement Measurement.

Especificacin

1. De la Medicin

Especificacin

2. De los Objetos y Atributos

ISO 27004:2009 Information Security Mangement Measurement.

Especificacin

3. De las Medidas Base

Especificacin

3. De las Medidas Base

ISO 27004:2009 Information Security Mangement Measurement.

Especificacin

4. De las Medidas Derivadas

ISO 27004:2009 Information Security Mangement Measurement.

Especificacin

5. Del Indicador

ISO 27004:2009 Information Security Mangement Measurement.

Especificacin

6. Del Criterio de Decisin

ISO 27004:2009 Information Security Mangement Measurement.

Especificacin

7. De los Resultados de Medicin

ISO 27004:2009 Information Security Mangement Measurement.

Especificacin

7. De los Resultados de Medicin

Especificacin

8. De los interesados

ISO 27004:2009 Information Security Mangement Measurement.

Especificacin

8. De los interesados

ISO 27004:2009 Information Security Mangement Measurement.

Especificacin

9. De la Frecuencia y el Periodo

Aproximaciones
Top - Down Botton - Up

Estrategia definida Objetivos definidos

esto se cumple?

Actividades reflejan una estrategia implcita

lo que hoy hago es mi estrategia?

Aproximaciones
Cascada Iterativo

Planeo todas las mediciones. Luego comienzo a medirlas todas.

Planeo una medicin. Obtengo una medicin. Luego repito el ciclo.

me quedar planeando?

cmo actualiz lo anterior?

Aproximaciones
Tcnicas Negocio

Mediciones de datos tcnicos (Vulnerabilidades, Incidentes) Son concretos y reales.

Mediciones en trminos de dinero (ROSI, ALE). Requieren supuestos.

son ciertos esos datos financieros?

que significan para el negocio?

Recomendaciones
Para una buena medida:
Caracterstica 1. Consistente 2. Econmica 3. Nmerica 4. Unidad 5. Contextual Descripcin Criterio objetivo de obtencin y analisis. Fcil de obtener (en lo posible automtica) Nmero cardinal o porcentaje. No cualitativa Debe disponer de una unidad de medida. Relevante para la toma de decisiones.

Security Metrics: Replacing Fear, Uncertainty, and Doubt, Andrew Jaquith.

Recomendaciones
Para un buen sistema de medicin:
Caracterstica 1. Simple 2. Alineada 3. Tiempo 4. Interesados 5. Desplegada 6. Resumida 7. Ajustada 8. Metas Descripcin Pocos vitales en vez de muchos triviales. Enlazada a los factores criticos de xito. Incluyen pasado, presente y futuro. Clientes, accionistas, empleados, etc. De la direccin al empleado. Combinar para reflejar rendimiento global. Alineada con los cambios en la estrategia. Basadas en analisis de competidores claves

Keeping Score, Using the Rigth Metrics to Drive World-Class Performance, Mark Graham Brown

Recomendaciones
Registro bsico de mediciones:

Medicin Base Derivada Indicador

Meta X [uni] A [uni] P [uni]

Ene y b q

Feb z c r

... ... ... ...

Total ... ... ...

Incorpora la nocin de lnea base, progreso e iterativa.

Financieros
Parmetro

Asset Value=Market Value

Asset Value= Maintenance Cost Asset Value= AdquisitionCost Asset Value= Reconstruction Cost Asset Value= Income Loss Asset Value= Expected Penalties Asset Value=Combinations of Above

Financieros
Parmetro

Exposure Factor = Percentage of Asset Loss Exposure Factor =1Percentage of Asset Save Exposure Factor =1,if Inherent Risk Exposure Factor 1,if Residual Risk

Financieros
Modelo

SLE=Single Loss Expectancy SLE= AV EF

Financieros
Parmetro

ARO= Annual Rate of Ocurrence

ARO=1.0=Once per Year

ARO=0.1=Once each Ten Years

Financieros
Modelo

ALE= Annual Loss Expectancy

ALE =SLE ARO

ALE= AV EF ARO

Financieros
Parmetro

IC =Investment of Control

Financieros
Parmetro

IoC =Incidents without Control IwC = Incidents with Control

Financieros
Modelo

RM =Risk Mitigated IwC RM =1 IoC

Financieros
Modelo

ROSI =Return overr Security Investment RE.=Risk Exposure RE. RM IC ROSI = IC

ALE RM IC ROSI = IC

IwC AV EF ARO1 IC IoC ROSI = IC

Referencias

CMMI for Services, Measurement and Analysis Process Area, Software Engineer Institute. ISO 27004:2009, Information Security Management Measurement. NIST 800-55, Performance Measurement Guide for Information Segurity. COBIT 4.1., Procesos de Monitorear y Evaluar, Secciones Metas y Metricas.

Contctenos

Web: Correo: Telfono: Celular: Ubicacin:

http://www.fluidsignal.com/ mercadeo.ventas@fluidsignal.com +57 (1) 8124898, +57 (4) 4442637 +57 3108408002, +57 3136601911 Bogot, Avenida el Dorado 44A-29 Oficina 403 Medelln, Calle 7D 43A-99 Oficina 509 Torre Almagrn

Clusula Legal
Copyright 2011 Fluidsignal Group Todos los derechos reservados Este documento contiene informacin de propiedad de Fluidsignal Group. El cliente puede usar dicha informacin slo con el propsito de documentacin sin poder divulgar su contenido a terceras partes ya que contiene ideas, conceptos, precios y estructuras de propiedad de Fluidsignal Group S.A. La clasificacin "propietaria" significa que sta informacin es slo para uso de las personas a quienes esta dirigida. En caso de requerirse copias totales o parciales se debe contar con la autorizacin expresa y escrita de Fluidsignal Group S.A. Las normas que fundamentan la clasificacin de la informacin son los artculos 72 y siguientes de la decisin del acuerdo de Cartagena, 344 de 1.993, el artculo 238 del cdigo penal y los artculos 16 y siguientes de la ley 256 de 1.996.