ModelosdeMadurezdeSeguridaddela

Informacin: cmodebeevolucionarla
cmo debe evolucionar la
seguridadenlasorganizaciones
Roberto Arbelez CISSP, CISA
Securityy Program
Secu
og
Manager
ge for
o Latin America
e c
Microsoft Corp.

QUESUNMODELODEMADUREZ?
Esunconjuntoestructuradodeelementosquedescribenelnivelde
madurezdeunenteenunaspectodeterminado
Estableceunordenclaro,discretoyabsoluto,definiendonivelesoetapas
demadurez
Establecedemaneraexplcitalaevolucindelaorganizacinendicho
aspecto

PARAQUSIRVEUNMODELODEMADUREZ?
Mepermitemedirme:Dndeestoyhoy?
Autoanlisis

Presente

Madurez
Capacidad

Benchmarkingsectorial
Benchmarkingnacional/regional/global

Mepermitedefinirdndedeboestar
Oportunidadesdemejora/optimizacin
Alineacinconestrategiasorganizacionales
Alineacinconrequerimientospresentesyfuturos

Futuro

PARAQUSIRVEUNMODELODEMADUREZ?
Mepermiteplanearloquedebolograrparallegaradondequieroestar
Planes,proyectos,tareas

Mepermitegestionarmicrecimientoyevolucin
Medirsimeestoyacercandoadondedeboestar
Corregirelrumbosimeestoydesviando

QUINFORMACIONOBTENGODEUN
MODELO DE MADUREZ?
MODELODEMADUREZ?
Questoyhaciendo?
Deunconjuntodeelementos,culescumplo,culesno
D
j t d l
t
l
l
l

Cmoloestoyhaciendo?
Deloselementosquecumplo,cmoloscumplo?
Mejor,peor...
Manual,automatizado
En papel o en digital
Enpapel,oendigital
Endiferidooentiemporeal

AlgunosModelos
g

NISTCSEAT
CITI ISEM
CITIISEM
COBITMaturity Model
(ISM3)
SSECMM
CERTCSO

(
(ISM3)
)
Information SecurityManagementMaturity
Model
EEstemodeloestratadoenprofundidaden
t
d l
t t d
f did d
otrapresentacindelaVIIIJornadaNacional
d S
deSeguridadInformtica!
id d I f
ti !

ModeloNISTCSEAT
NISTCSEAT:National Institute ofStandards
and Technology Computer SecurityExpert
andTechnology
Security Expert
Assist Team
5nivelesdemadurezprogresiva
5 niveles de madurez progresiva
Poltica,Procedimiento,Implantacin,Prueba,
Integracin

ModeloNISTCSEAT

TpicosdelModeloNISTCSEAT
p
ManagementandCulture
RolesyresponsabilidadesdeTI
Roles y responsabilidades de TI
Revisindecontrolesdeseguridad
Reglasdecomportamientoydocumentacin
Reglas de comportamiento y documentacin
Anlisisdedesempeoyretroalimentacin
ProteccindeInfraestructurafsica
Proteccin de Infraestructura fsica
Controlesdepersonal
Controlesespecficosdeprograma
C t l
fi
d

TpicosdelModeloNISTCSEAT
p
Plans
Plandeseguridaddelsistema
Administracinderiesgos
Administracin de riesgos
Procesamientoautorizado
Documentacin

TpicosdelModeloNISTCSEAT
TrainingandEducation
SensibilizacinyEntrenamientoenseguridaddel
usuariofinal
SensibilizacinyEntrenamientoenseguridaddel
profesionaldeTI
SensibilizacinyEntrenamientoenseguridadde la
Gerenciayequipodeliderazgo
Entrenamientodeseguridadespecficode
programas

TpicosdelModeloNISTCSEAT
Budget andResources
Seguridaddelainformacincomopartedel
procesodeplaneacingeneral
Seaplicanrecursosadecuadosalaseguridaddela
i f
informacin
i
PresupuestoyrecursosdeseguridaddeTI
b d
basadosenunmodeloderiesgos
d l d i
SolucionesdeSeguridaddeTIcostoefectivas
Controlesdeadquisicin(procurement)
l d d
(
)

TpicosdelModeloNISTCSEAT
Lifecycle management
Ciclodevidadedesarrollodelsistemade
informacin(SDLC SecurityDevelopment Life
Cycle)
CambioscontroladosyprobadosatravsdelSDLC
bi
l d
b d
d l

TpicosdelModeloNISTCSEAT
Incident andEmergency Response
Identificacindeactivoscrticosysensibles
Respuestaantedesastres/contingencias
Identificacin,reporteyrespuestaanteincidentes
Continuidaddelasoperaciones

TpicosdelModeloNISTCSEAT
Operational SecurityControls
Mantenimientodehardwareydesoftware
Integridaddedatos
E/Sdeproduccin
Confidencialidaddedatos
Disponibilidaddedatos
Documentacindeoperacionesdelsistema

TpicosdelModeloNISTCSEAT
SeguridadFsica
ImplementacindeControlesdeSeguridadFsicos
Proteccindedispositivoselectrnicospersonales
Controldeemanaciones(radiaciones) ver
TEMPEST
Controleseninstalacionestemporales

TpicosdelModeloNISTCSEAT
ControlesdeSeguridaddeTI
Identificacinyautenticacin
Controlesdeaccesolgico
Auditora

Resultadosdel ModeloNISTCSEAT

Cobit Maturityy Model

Modelodemadurez,hacepartedeCOBIT
(Control Objectives for Information and
(ControlObjectives
and
Related Technologies)
Esmuyconocido,ymuypopular
Es muy conocido y muy popular
Existenherramientasgratuitasparamedirla
madurezbajoestemodelo
d
b j
t
d l

Cobit Maturityy Model

NivelesdeCobit Maturityy Model

Inexistente: Secarecetotalmentedeun
proceso. La empresa no ha reconocido la
proceso.Laempresanohareconocidola
necesidad.

NivelesdeCobit Maturityy Model

Inicial: Existeevidenciaquelaempresaha
reconocido la necesidad del proceso No existe
reconocidolanecesidaddelproceso.Noexiste
unprocesoformal estandarizado sinoque
existe enfoques adhoc que se aplican de
existeenfoquesadhocqueseaplicande
maneraindividualocasoacaso.Lagestindel
mismo es desorganizada
mismoesdesorganizada.

NivelesdeCobit Maturityy Model

Repetible: Elprocesoseencuentrasuficientemente
y
p
j
desarrolladoydistintaspersonasejecutanmso
menoslosmismosprocedimientos.Noexisteuna
comunicacinnientrenamientoformaldelos
procedimientos,ylaresponsabilidadesindividual.
Existeunagrandependenciadelconocimientoque
tiene los individuos y por tanto existe una
tienelosindividuosy,portantoexisteuna
probabilidaddeerrorimportante.

NivelesdeCobit Maturityy Model

Definido: Elprocesoestestandarizado,
y
documentadoydifundidomedianteentrenamiento.
Sinembargo,sedejaavoluntaddelosindividuosla
aplicacindelosprocedimientosdelprocesoyes
pocoprobablequesedetectenlasdesviacionesen
suuso.Losprocedimientosensnosonsofisticados
y corresponden a la formalizacin de las prcticas
ycorrespondenalaformalizacindelasprcticas
existentes.

NivelesdeCobit Maturityy Model

Gestionado: Esposiblemonitorearymedirla
p
p
conformidadenlaaplicacindelosprocedimientos
delprocesoyesposibletomaraccionescuandoel
procesonoestoperandoadecuadamente.Los
procesosestnmejorndosecontinuamente.Se
disponedeautomatizacionesydeherramientasque
son usadas de una manera limitada o fragmentada
sonusadasdeunamaneralimitadaofragmentada.

NivelesdeCobit Maturityy Model

Optimizado: Elprocesohasidorefinadoal
nivel de las mejores prcticas, basado en los
niveldelasmejoresprcticas,basadoenlos
resultadosdelmejoramientocontinuoydelos
modelos ya maduros de otras compaas. Las
modelosyamadurosdeotrascompaas.Las
TIsonusadasintegralmenteparaautomatizar
workflow, entregando herramientas que
workflow,entregandoherramientasque
mejoranlacalidadyefectividad,aumentando
la capacidad de adaptacin de le empresa.
lacapacidaddeadaptacindeleempresa.

TpicoscubiertosporCobit
M t it Model
Maturity
M d l
TodoslosdominiosdeCobit!
Todos los dominios de Cobit!
PlanandOrganize
AcquireandImplement
Acquire and Implement
DeliverandSupport
MonitorandEvaluate
Monitor and Evaluate

Ytodossusobjetivos!

ResultadosdeCobit Maturity
M d l
Model

SSECMM
ModelodeCapacidadyMadurezenla
Ingeniera de Seguridad de Sistemas
IngenieradeSeguridaddeSistemas
EsunmodeloderivadodelCMM
Describelascaractersticasesencialesdelos
D
ib l
t ti
i l d l
procesosquedebenexistirenuna
organizacinparaasegurarunabuena
i i
b
seguridaddesistemas

SSECMM
Cinconivelesdemadurezprogresiva:
Existente
Repetible
Personadesignada
Persona designada
Documentado
Revisado yactualizado
y actualizado

SSECMM
Mide usando cuatro niveles:
Inicial
Endesarrollo
Establecido
Gestionado

TpicosdeSSECMM
p

AdministerSystemSecurityControls
AssessOperationalSecurityRisk
Att k S
AttackSecurity
it
BuildAssuranceArgument
CoordinateSecurity
DetermineSecurityVulnerabilities
MonitorSystemSecurityPosture
Provide Security Input
ProvideSecurityInput
SpecifySecurityNeeds
VerifyandValidateSecurity

AdministerSystemSecurity
C
Controls
l
Objetivos:
Determinar si loscontroles
los controles deseguridad
de seguridad sonconfigurados
son configurados yusados
y usados de
de
manera apropiada

Prcticas Base:
Establecer responsabilidades deseguridad
Administrar las configuraciones deseguridad
Administrar losprogramas
los programas desensibilizacin,entrenamientoy
de sensibilizacin entrenamientoy
educacin enseguridad
Administrar servicios deseguridad ymecanismos decontrol

Assess Operational Security Risk

AssessOperationalSecurityRisk
Objetivos:
Obtener unentendimiento delosriesgos deseguridad asociados con
laoperacin desistemas dentro deunentorno especfico

Prcticas
P ti
B
Base:

Seleccionar elmtodo deanlisis deriesgos

Priorizar losactivos yylas capacidades
p
operacionales
p
Identificar amenazas
Analizar elimpacto operacional

AttackSecurityy
Objetivos:
Identificar las vulnerabilidades delsistema
del sistema ydeterminar
y determinar su potencial
deserexplotadas.

Prcticas Base:

Ataques focalizados
Desarrollar escenarios deataques
Realizar ataques
Realizarataques
Sintetizar resultados deataques

Build Assurance Argument

BuildAssuranceArgument
Objetivos:
Determinar si losproductos yprocesos detrabajo proveen evidencia
deque losrequerimientos deseguridad delcliente han sido cubiertos

Prcticas Base:

Identificar losobjetivos deaseguramiento

Definir laestrategia deaseguramiento
Controlar laevidencia deaseguramiento
Analizar laevidencia
Proveer argumentos deaseguramiento
de aseguramiento

CoordinateSecurity

Objetivos:

Todos losmiembros delequipo conocen yestn involucrados con

actividades deingeniera deseguridad demanera suficiente para
realizar su trabajo demanera
de manera adecuada.
adecuada
Lasdecisiones yrecomendaciones relacionadas conseguridad se
comunican yseasumen demanera coordinada.

Prcticas Base:

Definir losobjetivos decoordinacin

Id tifi losmecanismos
Identificar
l
i
d
decoordinacin
di i
Facilitar lacoordinacin
Coordinar decisiones yrecomendaciones deseguridad

DetermineSecurityVulnerabilities
Objetivos:
Obtener unentendimiento
un entendimiento delas
de las vulnerabilidades delsistema
del sistema

Prcticas Base:

Seleccionar mtodo de
deanlisis
anlisis de
devulnerabilidades
vulnerabilidades
Analizar losactivos delsistema
Identificar amenazas
Identificar vulnerabilidades
Sintetizar vulnerabilidades delsistema

MonitorSystemSecurityPosture
Objetivos:
Obj ti
Detectar yrastrear eventos deseguridad internos yexternos.
Responderalosincidentes
Responder a los incidentes deacuerdo
de acuerdo conlas
con las polticas
Identificar yadministrar loscambios alas posturas operativas de
seguridad deacuerdo conlosobjetivos deseguridad

Prcticas
P i
B
Base:

Analizar losregistros deeventos

Monitorear cambios
Identificar incidentes deseguridad
Monitorear Salvaguardas deSeguridad

ProvideSecurityInput
Objetivos:
Todos losincidentes enelsistema serevisan para detectar implicaciones de
seguridad yseresuelven deacuerdo conlosobjetivos deseguridad
Todos losmiembros delequipo tienen unentendimiento adecuado dela
seguridad
id d para llevar
ll
acabo
b sus labores.
l b
Lasolucin refleja losinsumos deseguridad provistos
Prcticas Base:
Entender
E
d las
l necesidades
id d deinsumos
d i
d
deseguridad
id d
Determinar constreimientos yconsideraciones
Identificar alternativas deseguridad
Analizar
li laseguridad
l
id d delas
d l alternativas
l
i
d i
deingeniera
i
Proveer guas deseguridad para ingeniera
Proveerguasdeseguridadparaoperaciones

SpecifySecurityNeeds
Objetivos:
Obj ti
Llegar aunentendimiento cmn delas necesidades deseguridad
entretodas las partes,incluyendo clientes.

Prcticas Base:

Entender las necesidades deseguridad delosclientes

Identificar leyes,polticas,estndares yconstreimientos aplicables
Idenficar elcontexto deseguridad delsistema
Capturar laperspectiva
la perspectiva deseguridad
de seguridad delas
de las operaciones delsistema
del sistema
Capturar losobjetivos deseguridad dealtonivel
Definir losrequerimientos deseguridad delsistema
Ob
Obteneracuerdossobrelaseguridad
d
b l
id d

VerifyandValidateSecurity

Objetivos:
Garantizar que las soluciones cumplan conlosrequerimientos de
seguridad
id d
Garantizar que las soluciones cumplan conlosrequerimientos
operacionales deseguridad delosclientes
Prcticas Base:
Identificar objetivos deverificacin yvalidacin
Definirlaaproximacinalaverificacinyvalidacin
p
y
Ejecutarlaverificacin
Ejecutarlavalidacin
Proveerresultados
Proveer resultados

PARAQUENECESITOUNMODELODE
MADUREZ?
Nadietieneunsistemaptimodelanochealamaana
Nosepuedeoptimizarlaseguridaddeunsistemaenunaimplantacin
N
d
i i l
id d d
i
i l
i
BigBang
Laoptimizacindebesergradual
Nodebeinterrumpirlaoperacinnormaldelsistema
N d b i
i l
i
ld l i
Debedarsetiempoalaorganizacinparaqueabsorbaloscambios

PARAQUENECESITOUNMODELODE
MADUREZ?
Unmodelodemadurezmepermiteircreciendodemanera
estructurada planeada y balanceada
estructurada,planeadaybalanceada
Micrecimientosiempredebeestaralineadoconlosrequerimientosde
seguridaddemiorganizacin(nohayquecrecerporcrecer)

YSIQUIEROAPLICARUNO,QUEDEBO
HACER?
Estudiarlaofertademodelosdisponibles
Escogerelmsadecuadoamiorganizacin
E
l d
d
i
i i
Porsuenfoque(sistemas,procesos,documentacin,etc.)

Medirmecontraelmodelo
Determinaradndequieroestar

NOSIEMPREESNECESARIOTENERTODO
NO
SIEMPRE ES NECESARIO TENER TODO ENELNIVEL
EN EL NIVEL
MASALTODEMADUREZ!!!

YSIQUIEROAPLICARUNO,QUEDEBO
HACER (2)?
HACER(2)?
Realizarunestudiocosto/beneficioyunajustificacindeporqudebo
llegar al novel de madurez deseado
llegaralnoveldemadurezdeseado
Desarrollarunplanparallegaradichoniveldemadurez
Desarrollarportafoliodeinciativas,programasyproyectos

Empezaraejecutarmiplandeoptimizacin
l d

Medirmecontinuamenteparaverificarqueestoyavanzandohaciamis
metas

Conclusiones
Algunosmodelosestnorientadosamadurez,
otrosacapacidades
Algunosmodelosestnorientadosasistemas,
otrosaprocesos
Unosseajustanmsalasnecesidadesdeuna
Unos se ajustan ms a las necesidades de una
organizacinqueotros

Conclusiones(2)
Sonunaherramientaestratgicamuy
importante
Mepermitencrecerdemaneraorganizaday
equilibrada
Mepermitencompararmeconotras
Me permiten compararme con otras
organizaciones

Preguntas?

roberto.arbelaez@microsoft.com