Presentacin de PowerPoint
Indicadores GerencialesDe Seguridad de la Informacin
2011/12/01
Contenido
Contexto
Justificacin
Metodologa
Alineacin
Modelo
Objetos y Atributos
Especificacin
Aproximaciones
Recomendaciones
Financieros
Referencias
Contexto
If you cant measure it, you cant manage it,Peter Drucker.
In God we trust, all the others bring data,W. Edwards Deming.
Anything you need to quantify can be measured in some way that is superior to not measuring it at all,Glib's Law.
Repeatable and consistent metrics can be extremely valuable -- even if they're inaccurate",Wes Sonnenreich.
Justificacin
CMMI for Services 1.3, Measurement and Anlysis, Pagina 216, Software Engineer Institute.
Planearobjetivamente yestimarControlar elrendimientorespectoal planIdentificar yresolverproblemasdel procesoSer la basepara la medicinen el futuro
Justificacin
ISO 27004:2009 Information Security Mangement Measurement, 5.1. Objectives of Measurement
Evaluar laEfectividad de loscontrolesEvaluar laEfectividad delSGSIVerificar elcumplimiento delos requisitos deSeguridadFacilitar la mejoradel SGSI segnlos riesgosdel negocioDar insumo a ladireccin para latoma de decisiones
Justificacin
NIST 800-55: Performance Measurement Guide for Information Security
Aumentar laresponsabilidadMejorar laEfectividad de laSeguridad de laInformacinDemuestracumplimientoSuministraEntradasCuantificables paraAsignar recursos
Metodologa
EstablecerObjetivos deMedicinEspecificarMedidasEspecificar Procedimi-ento de Recoleccin yAlmacenamiento EspecificarProcedimientosDe Anlisis
Alinear mediciones y actividades de anlisis
ObtenerDatos de lasMedicionesAnalizar losDatos de lasMedicionesAlmacenar datosY resultadosComunicarResultados
Suministrar resultados de medicin
CMMI for Services 1.3, Measurement and Anlysis, Pagina 216, Software Engineer Institute.
Alineacin
Planes deTrabajoPlanes deNegocioPlanesEstratgicosRequisitosFormalesObligacionesContractualesObjetivosEstablecidosComparativosde IndustriaEntrevistas aDirectivosProblemasRecurrentesCMMI for Services 1.3, Measurement and Anlysis, Pagina 216, Software Engineer Institute.
Necesidades de informacin provienen de:
Modelo
ObjetoAtributoMedicinBaseMedicinDerivadaIndicadorLo que seraMedido(Sustantivo)Parte quePuede medirseValor asignadoAl atributoCombinacinDe MedidasBaseCombinacin deMedidasDerivadasServicioTecnolgcoDisponibilidadT Disponible
T Plan. No Disp.
T Transcurrido
D = (TD + TPND)------------------TTndice = D / Meta
Objetos y Atributos
Proceso:Tiempo de ciclo, Pendientes (WIP)
Servicio:Oportunidad, Seguridad, Disponibilidad
Activos:Valor.
Producto:Calidad (Defectos), Tamao.
Recurso:Esfuerzo, Costo.
Personas:Aprendizaje, Satisfaccin.
Plan:Avance, Cobertura.
Fuentes adicionales son ISO 9126 y ISO SQuaRE ISO 2501N.
Especificacin
1. De la Medicin
2. De los Objetos y Atributos
3. De las Medidas Base
4. De las Medidas Derivadas
5. Del Indicador
6. Del Criterio de Decisin
7. De los Resultados de Medicin
8. De los Interesados
9. De la Frecuencia y el Periodo
Especificacin
1. De la Medicin
ISO 27004:2009 Information Security Mangement Measurement.
Especificacin
1. De la Medicin
Especificacin
2. De los Objetos y Atributos
ISO 27004:2009 Information Security Mangement Measurement.
Especificacin
3. De las Medidas Base
Especificacin
3. De las Medidas Base
ISO 27004:2009 Information Security Mangement Measurement.
Especificacin
4. De las Medidas Derivadas
ISO 27004:2009 Information Security Mangement Measurement.
Especificacin
5. Del Indicador
ISO 27004:2009 Information Security Mangement Measurement.
Especificacin
6. Del Criterio de Decisin
ISO 27004:2009 Information Security Mangement Measurement.
Especificacin
7. De los Resultados de Medicin
ISO 27004:2009 Information Security Mangement Measurement.
Especificacin
7. De los Resultados de Medicin
Especificacin
8. De los interesados
ISO 27004:2009 Information Security Mangement Measurement.
Especificacin
8. De los interesados
ISO 27004:2009 Information Security Mangement Measurement.
Especificacin
9. De la Frecuencia y el Periodo
Aproximaciones
Top - DownBotton - UpEstrategia definida
Objetivos definidos
esto se cumple?
Actividades reflejan una estrategia implcita
lo que hoy hago es mi estrategia?
Aproximaciones
CascadaIterativoPlaneo todas las mediciones.
Luego comienzo a medirlas todas.
me quedar planeando?
Planeo una medicin.
Obtengo una medicin.
Luego repito el ciclo.
cmo actualiz lo anterior?
Aproximaciones
TcnicasNegocioMediciones de datos tcnicos (Vulnerabilidades, Incidentes)
Son concretos y reales.
que significan para el negocio?
Mediciones en trminos de dinero (ROSI, ALE).
Requieren supuestos.
son ciertos esos datos financieros?
Recomendaciones
Security Metrics: Replacing Fear, Uncertainty, and Doubt, Andrew Jaquith.
Para una buena medida:
Recomendaciones
Keeping Score, Using the Rigth Metrics to Drive World-Class Performance, Mark Graham Brown
Para un buen sistema de medicin:
Recomendaciones
Incorpora la nocin de lnea base, progreso e iterativa.
Registro bsico de mediciones:
Financieros
Parmetro
Financieros
Parmetro
Financieros
Modelo
Financieros
Parmetro
Financieros
Modelo
Financieros
Parmetro
Financieros
Parmetro
Financieros
Modelo
Financieros
Modelo
Referencias
CMMI for Services, Measurement and Analysis Process Area, Software Engineer Institute.
ISO 27004:2009, Information Security Management Measurement.
NIST 800-55, Performance Measurement Guide for Information Segurity.
COBIT 4.1., Procesos de Monitorear y Evaluar, Secciones Metas y Metricas.
ContctenosWeb:http://www.fluidsignal.com/Correo:[email protected]:+57 (1) 8124898, +57 (4) 4442637Celular:+57 3108408002, +57 3136601911Ubicacin:Bogot, Avenida el Dorado 44A-29 Oficina 403Medelln, Calle 7D 43A-99 Oficina 509 Torre Almagrn
Clusula Legal
Copyright 2011 Fluidsignal Group
Todos los derechos reservados
Este documento contiene informacin de propiedad de Fluidsignal Group. El cliente puede usar dicha informacin slo con el propsito de documentacin sin poder divulgar su contenido a terceras partes ya que contiene ideas, conceptos, precios y estructuras de propiedad de Fluidsignal Group S.A. La clasificacin "propietaria" significa que sta informacin es slo para uso de las personas a quienes esta dirigida. En caso de requerirse copias totales o parciales se debe contar con la autorizacin expresa y escrita de Fluidsignal Group S.A. Las normas que fundamentan la clasificacin de la informacin son los artculos 72 y siguientes de la decisin del acuerdo de Cartagena, 344 de 1.993, el artculo 238 del cdigo penal y los artculos 16 y siguientes de la ley 256 de 1.996.
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de subttulo del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de subttulo del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de subttulo del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de ttulo del patrn
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel