Metamétricas por Gabriel ÁlvarezSolis

100 %
0 %
Information about Metamétricas por Gabriel ÁlvarezSolis
Education

Published on February 5, 2014

Author: alapsiac

Source: slideshare.net

Metamétricas Un enfoque PRAGMÁTICO de métricas de administración de seguridad informática Presentado por: Ing. Gabriel Álvarez Solis Krag Brotby / Gary Hinson Nov 2013 (Traducción E.Fdez.T.)

Lámina 3

¿Por qué métricas? “El juicio de un hombre no puede ser mejor que la información sobre la que se ha basado..” Arthur Hays Sulzberger, 1947 Lámina 4

¿Por qué métricas? • • • • • • • Lámina 5 Tenga en cuenta que medimos para administrar y ------ Necesitamos : Métricas estratégicas – para navegar Métricas administrativas – para administrar Métricas operacionales – para operar

¿ Para quién son las métricas? CEO CISO Lámina 6 Information Security

¿Para quién son las métricas? CEO CIO IT Lámina 7 CISO Information Security

Las métricas … • Estratégicas son para los gerentes para saber si el programa va o no en su curso • • Administrativas, para la administración del programa día a día • • Operacionales, para asegurarse de que la maquinaria está funcionando adecuadamente Lámina 8

Métricas de seguridad de TI Lámina 9

¿Para quién son las métricas? CIO CISO Finance IT Information Security Lámin a 10 VP Production Toronto factory Perth factory VP Marketing Sales Business units CFO C-suite CEO

¿Para quién son las métricas? Local communities & society at large Owners, stockholders Authorities, industry regulators Stakeholders Customers, suppliers, business partners CIO CISO Finance IT Information Security Lámina 11 VP Production Toronto factory Perth factory VP Marketing Sales Business units CFO C-suite CEO

Audiencias de Métricas Owners – for reassurance External stakeholders Security metrics audiences Regulators & authorities – for reassurance & compliance Customers, local communities & Society at large – for reassurance Senior management, C-suite, Board Middle/junior management Operations Lámina 12 Peers For strategic purposes, governance & assurance For information security management & process improvement For operational reasons e.g. to configure & manage security controls For benchmarking comparison & sharing good practices

ISO27k ms xi o &a s es iple l i ci rinc Po P ss R i sk me nt Ri sk an aly si s Ri sk mi tig ati on di t as se s ery Au ce ie ov ien lic rr ec si l Po cy Re & s s on w ati La gul re s ste e rti en sa pa ng Di rd nti 3 Co ds dar tan S & es elin dures id Gu roce p Manage & contain Resolve ce an pli om 14. co Busin nti nu ess ity React .C 15 Identify ma 4 . R na isk ge me nt Prepare cy oli .P 5 13. Incident management Learn ISO/IEC 27002 Specify security Implement 10. Ops Comms & man agem ent Test Inventory s gg & ing al e rtin g Pa tch ing Mo nit ori Co ng nfi gs up Lo s Ba i ve Ar ch ta ck s on Da cti tio n Fu n ca pli ms Ap ste Sy tw o rk l Ne i ca ys Ph Classification en 9. P 8. H vir hy secu R rity on sic me al & nt al s Maintain & support Lámina 13 Liaison Ownership 11 . co Ac n ce tr s o s l Develop or acquire Reporting tion aniza . Org 6 7. Asset management Design are oftw 12. S pment lo deve Structure Ai r Joiners Movers Leavers Ph Awareness, training & education ys co i ca nd la itio &f Po cc loo nin we es d g s r Fir e

Objetivos y resultados Metrics Actions and Decisions Information security goals (reduce incidents, increase assurance) Business outcomes (market share, profit etc.) time and uncertainty Lámina 14 Figura adaptada de Hauser and Katz Metrics: You Are What You Measure www.mit.edu/~hauser/Papers/Hauser-Katz Measure 04-98.pdf

GQM Goal-Question-Metric Goals Objetivos Maintain Acme’s price premium Objetivo-Pregunta-Métrica Push into new markets Protect Acme’s IP Lámina 15 Maximize value of the distribution, service & support outlets

Objetivos GQM Preguntas Goals Questions Maintain Acme’s price premium What does ‘Protect Acme’s IP’ actually mean? What IP is Acme’s, in fact? Push into new markets Protect Acme’s IP Protect Acme’s IP from what? Protect which IP? How should Acme’s IP be protected? Lámina 16 Maximize value of the distribution, service & support outlets Why protect Acme’s IP?

GQM Objetivos Preguntas Métricas Goals Questions Metrics Maintain Acme’s price premium What does ‘Protect Acme’s IP’ actually mean? What IP is Acme’s, in fact? Push into new markets Protect Acme’s IP from what? Relative value of different forms of IP Most-Least important factors determining the value of IP Protect Acme’s IP Protect which IP? IP investments Comparative IP valuations How should Acme’s IP be protected? Lámina 17 Maximize value of the distribution, service & support outlets Why protect Acme’s IP?

Media docena de señales … “Cada Oficial de Seguridad (CSO) debe tener media docena de señales qué vigilar en forma regular. Estos indicadores pueden ser “métricas de supervivencia,” los botones rojos en un tablero del que se espera usted se haga cargo, el cual monitorea el bienestar de su organización, o un problema que preocupa a la gerencia.” George K. Campbell Lámina 18

Metamétricas Reseteo de passwords Logons fallidos Malware detectado Paquetes caidos Lámina 19 Vulnerabilidades identificadas Sistemas sin parches

Métricas Inteligentes (SMART) Específicas, Medibles, Alcanzables, Relevantes, Oportunas, Evaluar, Reevaluar Lámina 20 Tabla de Wikipedia SMART atribuida a Paul J. Meyer

PRAGMATIC Metametrics Predictive – forward-looking Relevant – to the business and infosec Actionable – controllable, do-able Genuine – can’t be faked or falsified Meaningful – to the audience Accurate – enough to be useful Timely – here and now Independent – hence verifiable Cheap – always a bonus! Lámina 21

Metametrics PRAGMATIC Predictiva – Ayuda a manejar situaciones, tomar decisiones y mejorar las cosas para el futuro Relevante – Para el especialista en materia, ya sea de seguridad de información, gobierno, riesgo, cumplimento o control entre otros Accionable – Proporciona información para poder tomar acciones Genuina – Los números resultantes están basados en los hechos y no pueden ser fácilmente manipulados deliberadamente Lámina 22

Metametrics PRAGMATIC Meaningful/Significativa – Para la audiencia a la que va dirigida, sin crear incertidumbre o excepticismo Accurate/Precisa – Real y precisa para permitir control mesurado? proporcional (nos detenemos? O seguimos avanzando? Más rápido, o lento? Timely/Oportuna – Obtenga la información en el momento en que se requiere para la toma de decisiones Independiente – Medida objetiva, basándose en evidencia que pueda ser verificable; y Costo-efectiva/Económica – Genera más valor que lo que cuesta el recopilar, analizar, presentar y utilizar la métrica Lámina 23

Ejemplo de mapa de calor Perth factory Toronto factory Global distribution, service and support Manufacturing operations Manufacturing operations QC QC Goods in Packaging and dispatch Procurement Packaging and dispatch Supplier relations Goods in Sales and marketing ▲ Infosec Risk IT C-suite Finance HR R&D HQ Legal & compliance Lámina 24

Un análisis de profundidad Ventas y Mercadotecnia estatus de infosec, May 2012: 69% Risk management 79% Policy ▲ 61% Organization 44% Asset management 20% HR security 31% Physical & environmental 58% Comms & ops management 58% Access control ▲ 69% Software development 73% Incident management 10% Business continuity ▼ 39% Compliance 51% OVERALL Lámina 25

El clásico CMM Lámina 26

Calificando escalas Lámina 27

Calificación Pragmática Lámina 28

Calificando un mapa de calor Lámina 29

Un catálogo de métricas Lámina 30

Metamétricas avanzadas • So-pesando el criterio PRAGMÁTICO • Compilando, graduando, compartiendo y comparando catálogos de métricas • Medidas creativas: más por menos • Sistema de métricas de seguridad de Información • Medir cualquier cosa Lámina 31

Lámina 32

Lámina 33

Lámina 34

Únase a la discusión Lámina 35

Gracias por su atención Contacto en México: Innovative-Soft Ing. Gabriel Álvarez Solis gas@innovative-soft.com Tel. 044-55-3018-5456 Contacto con el autor: Krag Brotby kragby@gmail.com Lámina 36

Add a comment

Related presentations

Related pages

Metamétricas por Gabriel ÁlvarezSolis - Education

1. Metamétricas Un enfoque PRAGMÁTICO de métricas de administración de seguridad informática Presentado por: Ing. Gabriel Álvarez ...
Read more

Metamétricas por Gabriel ÁlvarezSolis - Education

Búsqueda de; Home; Education; Metamétricas por Gabriel ÁlvarezSolis
Read more

Observaciones Diacrnicas Sobre El Lxico Utilizado Por ...

V. HISTORIA DEL ESPAÑOL DE AMÉRICA OBSERVACIONES DIACRÓNICAS SOBRE EL LÉXICO UTILIZADO POR GABRIEL GARCIA ... Metamétricas por Gabriel ÁlvarezSolis
Read more

Vidyapati Por Gabriel Zaid - Documents

Metamétricas por Gabriel ÁlvarezSolis PERIODO: 1955-1968. Octavio Paz Elena Poniatowska Sergio Pitol Carlos J. Sierra Gabriel Zaid Carlos ...
Read more