Beruflich Dokumente
Kultur Dokumente
Informacin: cmodebeevolucionarla
cmo debe evolucionar la
seguridadenlasorganizaciones
Roberto Arbelez CISSP, CISA
Securityy Program
Secu
og
Manager
ge for
o Latin America
e c
Microsoft Corp.
QUESUNMODELODEMADUREZ?
Esunconjuntoestructuradodeelementosquedescribenelnivelde
madurezdeunenteenunaspectodeterminado
Estableceunordenclaro,discretoyabsoluto,definiendonivelesoetapas
demadurez
Establecedemaneraexplcitalaevolucindelaorganizacinendicho
aspecto
PARAQUSIRVEUNMODELODEMADUREZ?
Mepermitemedirme:Dndeestoyhoy?
Autoanlisis
Presente
Madurez
Capacidad
Benchmarkingsectorial
Benchmarkingnacional/regional/global
Mepermitedefinirdndedeboestar
Oportunidadesdemejora/optimizacin
Alineacinconestrategiasorganizacionales
Alineacinconrequerimientospresentesyfuturos
Futuro
PARAQUSIRVEUNMODELODEMADUREZ?
Mepermiteplanearloquedebolograrparallegaradondequieroestar
Planes,proyectos,tareas
Mepermitegestionarmicrecimientoyevolucin
Medirsimeestoyacercandoadondedeboestar
Corregirelrumbosimeestoydesviando
QUINFORMACIONOBTENGODEUN
MODELO DE MADUREZ?
MODELODEMADUREZ?
Questoyhaciendo?
Deunconjuntodeelementos,culescumplo,culesno
D
j t d l
t
l
l
l
Cmoloestoyhaciendo?
Deloselementosquecumplo,cmoloscumplo?
Mejor,peor...
Manual,automatizado
En papel o en digital
Enpapel,oendigital
Endiferidooentiemporeal
AlgunosModelos
g
NISTCSEAT
CITI ISEM
CITIISEM
COBITMaturity Model
(ISM3)
SSECMM
CERTCSO
(
(ISM3)
)
Information SecurityManagementMaturity
Model
EEstemodeloestratadoenprofundidaden
t
d l
t t d
f did d
otrapresentacindelaVIIIJornadaNacional
d S
deSeguridadInformtica!
id d I f
ti !
ModeloNISTCSEAT
NISTCSEAT:National Institute ofStandards
and Technology Computer SecurityExpert
andTechnology
Security Expert
Assist Team
5nivelesdemadurezprogresiva
5 niveles de madurez progresiva
Poltica,Procedimiento,Implantacin,Prueba,
Integracin
ModeloNISTCSEAT
TpicosdelModeloNISTCSEAT
p
ManagementandCulture
RolesyresponsabilidadesdeTI
Roles y responsabilidades de TI
Revisindecontrolesdeseguridad
Reglasdecomportamientoydocumentacin
Reglas de comportamiento y documentacin
Anlisisdedesempeoyretroalimentacin
ProteccindeInfraestructurafsica
Proteccin de Infraestructura fsica
Controlesdepersonal
Controlesespecficosdeprograma
C t l
fi
d
TpicosdelModeloNISTCSEAT
p
Plans
Plandeseguridaddelsistema
Administracinderiesgos
Administracin de riesgos
Procesamientoautorizado
Documentacin
TpicosdelModeloNISTCSEAT
TrainingandEducation
SensibilizacinyEntrenamientoenseguridaddel
usuariofinal
SensibilizacinyEntrenamientoenseguridaddel
profesionaldeTI
SensibilizacinyEntrenamientoenseguridadde la
Gerenciayequipodeliderazgo
Entrenamientodeseguridadespecficode
programas
TpicosdelModeloNISTCSEAT
Budget andResources
Seguridaddelainformacincomopartedel
procesodeplaneacingeneral
Seaplicanrecursosadecuadosalaseguridaddela
i f
informacin
i
PresupuestoyrecursosdeseguridaddeTI
b d
basadosenunmodeloderiesgos
d l d i
SolucionesdeSeguridaddeTIcostoefectivas
Controlesdeadquisicin(procurement)
l d d
(
)
TpicosdelModeloNISTCSEAT
Lifecycle management
Ciclodevidadedesarrollodelsistemade
informacin(SDLC SecurityDevelopment Life
Cycle)
CambioscontroladosyprobadosatravsdelSDLC
bi
l d
b d
d l
TpicosdelModeloNISTCSEAT
Incident andEmergency Response
Identificacindeactivoscrticosysensibles
Respuestaantedesastres/contingencias
Identificacin,reporteyrespuestaanteincidentes
Continuidaddelasoperaciones
TpicosdelModeloNISTCSEAT
Operational SecurityControls
Mantenimientodehardwareydesoftware
Integridaddedatos
E/Sdeproduccin
Confidencialidaddedatos
Disponibilidaddedatos
Documentacindeoperacionesdelsistema
TpicosdelModeloNISTCSEAT
SeguridadFsica
ImplementacindeControlesdeSeguridadFsicos
Proteccindedispositivoselectrnicospersonales
Controldeemanaciones(radiaciones) ver
TEMPEST
Controleseninstalacionestemporales
TpicosdelModeloNISTCSEAT
ControlesdeSeguridaddeTI
Identificacinyautenticacin
Controlesdeaccesolgico
Auditora
Resultadosdel ModeloNISTCSEAT
TpicoscubiertosporCobit
M t it Model
Maturity
M d l
TodoslosdominiosdeCobit!
Todos los dominios de Cobit!
PlanandOrganize
AcquireandImplement
Acquire and Implement
DeliverandSupport
MonitorandEvaluate
Monitor and Evaluate
Ytodossusobjetivos!
ResultadosdeCobit Maturity
M d l
Model
SSECMM
ModelodeCapacidadyMadurezenla
Ingeniera de Seguridad de Sistemas
IngenieradeSeguridaddeSistemas
EsunmodeloderivadodelCMM
Describelascaractersticasesencialesdelos
D
ib l
t ti
i l d l
procesosquedebenexistirenuna
organizacinparaasegurarunabuena
i i
b
seguridaddesistemas
SSECMM
Cinconivelesdemadurezprogresiva:
Existente
Repetible
Personadesignada
Persona designada
Documentado
Revisado yactualizado
y actualizado
SSECMM
Mide usando cuatro niveles:
Inicial
Endesarrollo
Establecido
Gestionado
TpicosdeSSECMM
p
AdministerSystemSecurityControls
AssessOperationalSecurityRisk
Att k S
AttackSecurity
it
BuildAssuranceArgument
CoordinateSecurity
DetermineSecurityVulnerabilities
MonitorSystemSecurityPosture
Provide Security Input
ProvideSecurityInput
SpecifySecurityNeeds
VerifyandValidateSecurity
AdministerSystemSecurity
C
Controls
l
Objetivos:
Determinar si loscontroles
los controles deseguridad
de seguridad sonconfigurados
son configurados yusados
y usados de
de
manera apropiada
Prcticas Base:
Establecer responsabilidades deseguridad
Administrar las configuraciones deseguridad
Administrar losprogramas
los programas desensibilizacin,entrenamientoy
de sensibilizacin entrenamientoy
educacin enseguridad
Administrar servicios deseguridad ymecanismos decontrol
Prcticas
P ti
B
Base:
AttackSecurityy
Objetivos:
Identificar las vulnerabilidades delsistema
del sistema ydeterminar
y determinar su potencial
deserexplotadas.
Prcticas Base:
Ataques focalizados
Desarrollar escenarios deataques
Realizar ataques
Realizarataques
Sintetizar resultados deataques
Prcticas Base:
CoordinateSecurity
Objetivos:
Prcticas Base:
DetermineSecurityVulnerabilities
Objetivos:
Obtener unentendimiento
un entendimiento delas
de las vulnerabilidades delsistema
del sistema
Prcticas Base:
Seleccionar mtodo de
deanlisis
anlisis de
devulnerabilidades
vulnerabilidades
Analizar losactivos delsistema
Identificar amenazas
Identificar vulnerabilidades
Sintetizar vulnerabilidades delsistema
MonitorSystemSecurityPosture
Objetivos:
Obj ti
Detectar yrastrear eventos deseguridad internos yexternos.
Responderalosincidentes
Responder a los incidentes deacuerdo
de acuerdo conlas
con las polticas
Identificar yadministrar loscambios alas posturas operativas de
seguridad deacuerdo conlosobjetivos deseguridad
Prcticas
P i
B
Base:
ProvideSecurityInput
Objetivos:
Todos losincidentes enelsistema serevisan para detectar implicaciones de
seguridad yseresuelven deacuerdo conlosobjetivos deseguridad
Todos losmiembros delequipo tienen unentendimiento adecuado dela
seguridad
id d para llevar
ll
acabo
b sus labores.
l b
Lasolucin refleja losinsumos deseguridad provistos
Prcticas Base:
Entender
E
d las
l necesidades
id d deinsumos
d i
d
deseguridad
id d
Determinar constreimientos yconsideraciones
Identificar alternativas deseguridad
Analizar
li laseguridad
l
id d delas
d l alternativas
l
i
d i
deingeniera
i
Proveer guas deseguridad para ingeniera
Proveerguasdeseguridadparaoperaciones
SpecifySecurityNeeds
Objetivos:
Obj ti
Llegar aunentendimiento cmn delas necesidades deseguridad
entretodas las partes,incluyendo clientes.
Prcticas Base:
VerifyandValidateSecurity
Objetivos:
Garantizar que las soluciones cumplan conlosrequerimientos de
seguridad
id d
Garantizar que las soluciones cumplan conlosrequerimientos
operacionales deseguridad delosclientes
Prcticas Base:
Identificar objetivos deverificacin yvalidacin
Definirlaaproximacinalaverificacinyvalidacin
p
y
Ejecutarlaverificacin
Ejecutarlavalidacin
Proveerresultados
Proveer resultados
PARAQUENECESITOUNMODELODE
MADUREZ?
Nadietieneunsistemaptimodelanochealamaana
Nosepuedeoptimizarlaseguridaddeunsistemaenunaimplantacin
N
d
i i l
id d d
i
i l
i
BigBang
Laoptimizacindebesergradual
Nodebeinterrumpirlaoperacinnormaldelsistema
N d b i
i l
i
ld l i
Debedarsetiempoalaorganizacinparaqueabsorbaloscambios
PARAQUENECESITOUNMODELODE
MADUREZ?
Unmodelodemadurezmepermiteircreciendodemanera
estructurada planeada y balanceada
estructurada,planeadaybalanceada
Micrecimientosiempredebeestaralineadoconlosrequerimientosde
seguridaddemiorganizacin(nohayquecrecerporcrecer)
YSIQUIEROAPLICARUNO,QUEDEBO
HACER?
Estudiarlaofertademodelosdisponibles
Escogerelmsadecuadoamiorganizacin
E
l d
d
i
i i
Porsuenfoque(sistemas,procesos,documentacin,etc.)
Medirmecontraelmodelo
Determinaradndequieroestar
NOSIEMPREESNECESARIOTENERTODO
NO
SIEMPRE ES NECESARIO TENER TODO ENELNIVEL
EN EL NIVEL
MASALTODEMADUREZ!!!
YSIQUIEROAPLICARUNO,QUEDEBO
HACER (2)?
HACER(2)?
Realizarunestudiocosto/beneficioyunajustificacindeporqudebo
llegar al novel de madurez deseado
llegaralnoveldemadurezdeseado
Desarrollarunplanparallegaradichoniveldemadurez
Desarrollarportafoliodeinciativas,programasyproyectos
Empezaraejecutarmiplandeoptimizacin
l d
Medirmecontinuamenteparaverificarqueestoyavanzandohaciamis
metas
Conclusiones
Algunosmodelosestnorientadosamadurez,
otrosacapacidades
Algunosmodelosestnorientadosasistemas,
otrosaprocesos
Unosseajustanmsalasnecesidadesdeuna
Unos se ajustan ms a las necesidades de una
organizacinqueotros
Conclusiones(2)
Sonunaherramientaestratgicamuy
importante
Mepermitencrecerdemaneraorganizaday
equilibrada
Mepermitencompararmeconotras
Me permiten compararme con otras
organizaciones
Preguntas?
roberto.arbelaez@microsoft.com