SlideShare una empresa de Scribd logo

Metamétricas por Gabriel ÁlvarezSolis

Asociación
Asociación

Este documento presenta un enfoque pragmático para el desarrollo de métricas de seguridad de la información. Propone que las métricas deben ser predictivas, relevantes, accionables, genuinas, significativas, precisas, oportunas, independientes y económicas. Explica el marco GQM para definir objetivos, preguntas y métricas, y ofrece ejemplos como mapas de calor, escalas de calificación y catálogos de métricas. El objetivo es ayudar a las organizaciones a medir y mejorar su

Educación
1 de 37
Descargar para leer sin conexión
Metamétricas Un enfoque PRAGMÁTICO de métricas de administración de seguridad informática Presentado por: Ing. Gabriel Álvarez Solis Krag Brotby / Gary Hinson Nov 2013 (Traducción E.Fdez.T.)
Lámina 3
¿Por qué métricas? “El juicio de un hombre no puede ser mejor que la información sobre la que se ha basado..” Arthur Hays Sulzberger, 1947 Lámina 4
¿Por qué métricas? • • • • • • • Lámina 5 Tenga en cuenta que medimos para administrar y ------ Necesitamos : Métricas estratégicas – para navegar Métricas administrativas – para administrar Métricas operacionales – para operar
¿ Para quién son las métricas? CEO CISO Lámina 6 Information Security
¿Para quién son las métricas? CEO CIO IT Lámina 7 CISO Information Security
Las métricas … • Estratégicas son para los gerentes para saber si el programa va o no en su curso • • Administrativas, para la administración del programa día a día • • Operacionales, para asegurarse de que la maquinaria está funcionando adecuadamente Lámina 8
Métricas de seguridad de TI Lámina 9
¿Para quién son las métricas? CIO CISO Finance IT Information Security Lámin a 10 VP Production Toronto factory Perth factory VP Marketing Sales Business units CFO C-suite CEO
¿Para quién son las métricas? Local communities & society at large Owners, stockholders Authorities, industry regulators Stakeholders Customers, suppliers, business partners CIO CISO Finance IT Information Security Lámina 11 VP Production Toronto factory Perth factory VP Marketing Sales Business units CFO C-suite CEO
Audiencias de Métricas Owners – for reassurance External stakeholders Security metrics audiences Regulators & authorities – for reassurance & compliance Customers, local communities & Society at large – for reassurance Senior management, C-suite, Board Middle/junior management Operations Lámina 12 Peers For strategic purposes, governance & assurance For information security management & process improvement For operational reasons e.g. to configure & manage security controls For benchmarking comparison & sharing good practices
ISO27k ms xi o &a s es iple l i ci rinc Po P ss R i sk me nt Ri sk an aly si s Ri sk mi tig ati on di t as se s ery Au ce ie ov ien lic rr ec si l Po cy Re & s s on w ati La gul re s ste e rti en sa pa ng Di rd nti 3 Co ds dar tan S & es elin dures id Gu roce p Manage & contain Resolve ce an pli om 14. co Busin nti nu ess ity React .C 15 Identify ma 4 . R na isk ge me nt Prepare cy oli .P 5 13. Incident management Learn ISO/IEC 27002 Specify security Implement 10. Ops Comms & man agem ent Test Inventory s gg & ing al e rtin g Pa tch ing Mo nit ori Co ng nfi gs up Lo s Ba i ve Ar ch ta ck s on Da cti tio n Fu n ca pli ms Ap ste Sy tw o rk l Ne i ca ys Ph Classification en 9. P 8. H vir hy secu R rity on sic me al & nt al s Maintain & support Lámina 13 Liaison Ownership 11 . co Ac n ce tr s o s l Develop or acquire Reporting tion aniza . Org 6 7. Asset management Design are oftw 12. S pment lo deve Structure Ai r Joiners Movers Leavers Ph Awareness, training & education ys co i ca nd la itio &f Po cc loo nin we es d g s r Fir e
Objetivos y resultados Metrics Actions and Decisions Information security goals (reduce incidents, increase assurance) Business outcomes (market share, profit etc.) time and uncertainty Lámina 14 Figura adaptada de Hauser and Katz Metrics: You Are What You Measure www.mit.edu/~hauser/Papers/Hauser-Katz Measure 04-98.pdf
GQM Goal-Question-Metric Goals Objetivos Maintain Acme’s price premium Objetivo-Pregunta-Métrica Push into new markets Protect Acme’s IP Lámina 15 Maximize value of the distribution, service & support outlets
Objetivos GQM Preguntas Goals Questions Maintain Acme’s price premium What does ‘Protect Acme’s IP’ actually mean? What IP is Acme’s, in fact? Push into new markets Protect Acme’s IP Protect Acme’s IP from what? Protect which IP? How should Acme’s IP be protected? Lámina 16 Maximize value of the distribution, service & support outlets Why protect Acme’s IP?
GQM Objetivos Preguntas Métricas Goals Questions Metrics Maintain Acme’s price premium What does ‘Protect Acme’s IP’ actually mean? What IP is Acme’s, in fact? Push into new markets Protect Acme’s IP from what? Relative value of different forms of IP Most-Least important factors determining the value of IP Protect Acme’s IP Protect which IP? IP investments Comparative IP valuations How should Acme’s IP be protected? Lámina 17 Maximize value of the distribution, service & support outlets Why protect Acme’s IP?
Media docena de señales … “Cada Oficial de Seguridad (CSO) debe tener media docena de señales qué vigilar en forma regular. Estos indicadores pueden ser “métricas de supervivencia,” los botones rojos en un tablero del que se espera usted se haga cargo, el cual monitorea el bienestar de su organización, o un problema que preocupa a la gerencia.” George K. Campbell Lámina 18
Metamétricas Reseteo de passwords Logons fallidos Malware detectado Paquetes caidos Lámina 19 Vulnerabilidades identificadas Sistemas sin parches
Métricas Inteligentes (SMART) Específicas, Medibles, Alcanzables, Relevantes, Oportunas, Evaluar, Reevaluar Lámina 20 Tabla de Wikipedia SMART atribuida a Paul J. Meyer
PRAGMATIC Metametrics Predictive – forward-looking Relevant – to the business and infosec Actionable – controllable, do-able Genuine – can’t be faked or falsified Meaningful – to the audience Accurate – enough to be useful Timely – here and now Independent – hence verifiable Cheap – always a bonus! Lámina 21
Metametrics PRAGMATIC Predictiva – Ayuda a manejar situaciones, tomar decisiones y mejorar las cosas para el futuro Relevante – Para el especialista en materia, ya sea de seguridad de información, gobierno, riesgo, cumplimento o control entre otros Accionable – Proporciona información para poder tomar acciones Genuina – Los números resultantes están basados en los hechos y no pueden ser fácilmente manipulados deliberadamente Lámina 22
Metametrics PRAGMATIC Meaningful/Significativa – Para la audiencia a la que va dirigida, sin crear incertidumbre o excepticismo Accurate/Precisa – Real y precisa para permitir control mesurado? proporcional (nos detenemos? O seguimos avanzando? Más rápido, o lento? Timely/Oportuna – Obtenga la información en el momento en que se requiere para la toma de decisiones Independiente – Medida objetiva, basándose en evidencia que pueda ser verificable; y Costo-efectiva/Económica – Genera más valor que lo que cuesta el recopilar, analizar, presentar y utilizar la métrica Lámina 23
Ejemplo de mapa de calor Perth factory Toronto factory Global distribution, service and support Manufacturing operations Manufacturing operations QC QC Goods in Packaging and dispatch Procurement Packaging and dispatch Supplier relations Goods in Sales and marketing ▲ Infosec Risk IT C-suite Finance HR R&D HQ Legal & compliance Lámina 24
Un análisis de profundidad Ventas y Mercadotecnia estatus de infosec, May 2012: 69% Risk management 79% Policy ▲ 61% Organization 44% Asset management 20% HR security 31% Physical & environmental 58% Comms & ops management 58% Access control ▲ 69% Software development 73% Incident management 10% Business continuity ▼ 39% Compliance 51% OVERALL Lámina 25
El clásico CMM Lámina 26
Calificando escalas Lámina 27
Calificación Pragmática Lámina 28
Calificando un mapa de calor Lámina 29
Un catálogo de métricas Lámina 30
Metamétricas avanzadas • So-pesando el criterio PRAGMÁTICO • Compilando, graduando, compartiendo y comparando catálogos de métricas • Medidas creativas: más por menos • Sistema de métricas de seguridad de Información • Medir cualquier cosa Lámina 31
Lámina 32
Lámina 33
Lámina 34
Únase a la discusión Lámina 35
Gracias por su atención Contacto en México: Innovative-Soft Ing. Gabriel Álvarez Solis gas@innovative-soft.com Tel. 044-55-3018-5456 Contacto con el autor: Krag Brotby kragby@gmail.com Lámina 36
Metamétricas por Gabriel ÁlvarezSolis

Recomendados

Seguridad asequible para PYMES
Seguridad asequible para PYMESSeguridad asequible para PYMES
Seguridad asequible para PYMESAnglo-Studies Educational Consulting
 
Introducción a la Ingeniería de Sistemas de Información
Introducción a la Ingeniería de Sistemas de InformaciónIntroducción a la Ingeniería de Sistemas de Información
Introducción a la Ingeniería de Sistemas de Informaciónharalfj
 
อุปกรณ์เชื่อมต่อคอมพิวเตอร์
อุปกรณ์เชื่อมต่อคอมพิวเตอร์อุปกรณ์เชื่อมต่อคอมพิวเตอร์
อุปกรณ์เชื่อมต่อคอมพิวเตอร์Pass Paladin
 
อุปหกนณ์พื้นฐานคอมพิวเตอร์
อุปหกนณ์พื้นฐานคอมพิวเตอร์อุปหกนณ์พื้นฐานคอมพิวเตอร์
อุปหกนณ์พื้นฐานคอมพิวเตอร์Pass Paladin
 
ผู้ให้บริการอินเตอร์เน็ต
ผู้ให้บริการอินเตอร์เน็ตผู้ให้บริการอินเตอร์เน็ต
ผู้ให้บริการอินเตอร์เน็ตPass Paladin
 
อุปกรณ์เชื่อมต่อคอมพิวเตอร์2
อุปกรณ์เชื่อมต่อคอมพิวเตอร์2อุปกรณ์เชื่อมต่อคอมพิวเตอร์2
อุปกรณ์เชื่อมต่อคอมพิวเตอร์2Pass Paladin
 
Prueba
PruebaPrueba
Pruebasrteufel
 
ประวัติ
ประวัติประวัติ
ประวัติPass Paladin
 

Recomendados

Seguridad asequible para PYMES
Seguridad asequible para PYMESSeguridad asequible para PYMES
Seguridad asequible para PYMESAnglo-Studies Educational Consulting
 
Introducción a la Ingeniería de Sistemas de Información
Introducción a la Ingeniería de Sistemas de InformaciónIntroducción a la Ingeniería de Sistemas de Información
Introducción a la Ingeniería de Sistemas de Informaciónharalfj
 
อุปกรณ์เชื่อมต่อคอมพิวเตอร์
อุปกรณ์เชื่อมต่อคอมพิวเตอร์อุปกรณ์เชื่อมต่อคอมพิวเตอร์
อุปกรณ์เชื่อมต่อคอมพิวเตอร์Pass Paladin
 
อุปหกนณ์พื้นฐานคอมพิวเตอร์
อุปหกนณ์พื้นฐานคอมพิวเตอร์อุปหกนณ์พื้นฐานคอมพิวเตอร์
อุปหกนณ์พื้นฐานคอมพิวเตอร์Pass Paladin
 
ผู้ให้บริการอินเตอร์เน็ต
ผู้ให้บริการอินเตอร์เน็ตผู้ให้บริการอินเตอร์เน็ต
ผู้ให้บริการอินเตอร์เน็ตPass Paladin
 
อุปกรณ์เชื่อมต่อคอมพิวเตอร์2
อุปกรณ์เชื่อมต่อคอมพิวเตอร์2อุปกรณ์เชื่อมต่อคอมพิวเตอร์2
อุปกรณ์เชื่อมต่อคอมพิวเตอร์2Pass Paladin
 
Prueba
PruebaPrueba
Pruebasrteufel
 
ประวัติ
ประวัติประวัติ
ประวัติPass Paladin
 
Curso "Métricas de Seguridad" [Extracto]
Curso "Métricas de Seguridad" [Extracto]Curso "Métricas de Seguridad" [Extracto]
Curso "Métricas de Seguridad" [Extracto]Jorge Albarran
 
Cómo sacar provecho de la explosión de datos smart big data
Cómo sacar provecho de la explosión de datos smart big dataCómo sacar provecho de la explosión de datos smart big data
Cómo sacar provecho de la explosión de datos smart big dataAlet & CO
 
Sim
SimSim
Simbyron piaun
 
Sistemas de información empresarial
Sistemas de información empresarialSistemas de información empresarial
Sistemas de información empresarialVideoconferencias UTPL
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaMarcelo Herrera
 
Big Data para procesos. De TV3 a cualquier PYME
Big Data para procesos. De TV3 a cualquier PYMEBig Data para procesos. De TV3 a cualquier PYME
Big Data para procesos. De TV3 a cualquier PYMEOpenBigDataManagement
 
Latin cacs 2004 CC CZ
Latin cacs 2004 CC CZLatin cacs 2004 CC CZ
Latin cacs 2004 CC CZCarlos Chalico
 
Sesión 1- Inteligencia de Negocios como herramienta empresarial pptx
Sesión 1- Inteligencia de Negocios como herramienta empresarial pptxSesión 1- Inteligencia de Negocios como herramienta empresarial pptx
Sesión 1- Inteligencia de Negocios como herramienta empresarial pptxnelsoncotrinagarca
 
07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademicaWaldo Arteaga
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Prácticas de BI para CRM
Prácticas de BI para CRMPrácticas de BI para CRM
Prácticas de BI para CRMEvaluandoSoftware
 
Decisiones de negocio en materia de analítica de datos
Decisiones de negocio en materia de analítica de datosDecisiones de negocio en materia de analítica de datos
Decisiones de negocio en materia de analítica de datosheymitzi
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
04 Softtek
04 Softtek04 Softtek
04 SofttekPepe
 
Cobit1
Cobit1Cobit1
Cobit1Blue Delacour
 
Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética
Curso: Auditoría de sistemas: 01 Conceptos, estándares, éticaCurso: Auditoría de sistemas: 01 Conceptos, estándares, ética
Curso: Auditoría de sistemas: 01 Conceptos, estándares, éticaJack Daniel Cáceres Meza
 
Administración de sistemas de información estrategicos 2
Administración de sistemas de información estrategicos 2Administración de sistemas de información estrategicos 2
Administración de sistemas de información estrategicos 2jarmendipg
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
Universidad la salle presentacion examen de grado
Universidad la salle presentacion examen de gradoUniversidad la salle presentacion examen de grado
Universidad la salle presentacion examen de gradoMtro. Carlos Raul Maldonado Legaria. CISA | Master en TI
 
Administracion de sistemas vs. administracion de servicios
Administracion de sistemas vs. administracion de serviciosAdministracion de sistemas vs. administracion de servicios
Administracion de sistemas vs. administracion de serviciosadriakuma
 
Ciberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan DiazCiberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan DiazAsociación
 
Comunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge HaggComunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge HaggAsociación
 

Más contenido relacionado

Similar a Metamétricas por Gabriel ÁlvarezSolis

Curso "Métricas de Seguridad" [Extracto]
Curso "Métricas de Seguridad" [Extracto]Curso "Métricas de Seguridad" [Extracto]
Curso "Métricas de Seguridad" [Extracto]Jorge Albarran
 
Cómo sacar provecho de la explosión de datos smart big data
Cómo sacar provecho de la explosión de datos smart big dataCómo sacar provecho de la explosión de datos smart big data
Cómo sacar provecho de la explosión de datos smart big dataAlet & CO
 
Big Data para procesos. De TV3 a cualquier PYME
Big Data para procesos. De TV3 a cualquier PYMEBig Data para procesos. De TV3 a cualquier PYME
Big Data para procesos. De TV3 a cualquier PYMEOpenBigDataManagement
 
Sesión 1- Inteligencia de Negocios como herramienta empresarial pptx
Sesión 1- Inteligencia de Negocios como herramienta empresarial pptxSesión 1- Inteligencia de Negocios como herramienta empresarial pptx
Sesión 1- Inteligencia de Negocios como herramienta empresarial pptxnelsoncotrinagarca
 
07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademicaWaldo Arteaga
 
Decisiones de negocio en materia de analítica de datos
Decisiones de negocio en materia de analítica de datosDecisiones de negocio en materia de analítica de datos
Decisiones de negocio en materia de analítica de datosheymitzi
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
04 Softtek
04 Softtek04 Softtek
04 SofttekPepe
 
Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética
Curso: Auditoría de sistemas: 01 Conceptos, estándares, éticaCurso: Auditoría de sistemas: 01 Conceptos, estándares, ética
Curso: Auditoría de sistemas: 01 Conceptos, estándares, éticaJack Daniel Cáceres Meza
 
Administración de sistemas de información estrategicos 2
Administración de sistemas de información estrategicos 2Administración de sistemas de información estrategicos 2
Administración de sistemas de información estrategicos 2jarmendipg
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
Administracion de sistemas vs. administracion de servicios
Administracion de sistemas vs. administracion de serviciosAdministracion de sistemas vs. administracion de servicios
Administracion de sistemas vs. administracion de serviciosadriakuma
 

Similar a Metamétricas por Gabriel ÁlvarezSolis (20)

Curso "Métricas de Seguridad" [Extracto]
Curso "Métricas de Seguridad" [Extracto]Curso "Métricas de Seguridad" [Extracto]
Curso "Métricas de Seguridad" [Extracto]
 
Cómo sacar provecho de la explosión de datos smart big data
Cómo sacar provecho de la explosión de datos smart big dataCómo sacar provecho de la explosión de datos smart big data
Cómo sacar provecho de la explosión de datos smart big data
 
Sim
SimSim
Sim
 
Sistemas de información empresarial
Sistemas de información empresarialSistemas de información empresarial
Sistemas de información empresarial
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Big Data para procesos. De TV3 a cualquier PYME
Big Data para procesos. De TV3 a cualquier PYMEBig Data para procesos. De TV3 a cualquier PYME
Big Data para procesos. De TV3 a cualquier PYME
 
Latin cacs 2004 CC CZ
Latin cacs 2004 CC CZLatin cacs 2004 CC CZ
Latin cacs 2004 CC CZ
 
Sesión 1- Inteligencia de Negocios como herramienta empresarial pptx
Sesión 1- Inteligencia de Negocios como herramienta empresarial pptxSesión 1- Inteligencia de Negocios como herramienta empresarial pptx
Sesión 1- Inteligencia de Negocios como herramienta empresarial pptx
 
07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Prácticas de BI para CRM
Prácticas de BI para CRMPrácticas de BI para CRM
Prácticas de BI para CRM
 
Decisiones de negocio en materia de analítica de datos
Decisiones de negocio en materia de analítica de datosDecisiones de negocio en materia de analítica de datos
Decisiones de negocio en materia de analítica de datos
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
04 Softtek
04 Softtek04 Softtek
04 Softtek
 
Cobit1
Cobit1Cobit1
Cobit1
 
Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética
Curso: Auditoría de sistemas: 01 Conceptos, estándares, éticaCurso: Auditoría de sistemas: 01 Conceptos, estándares, ética
Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética
 
Administración de sistemas de información estrategicos 2
Administración de sistemas de información estrategicos 2Administración de sistemas de información estrategicos 2
Administración de sistemas de información estrategicos 2
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestre
 
Universidad la salle presentacion examen de grado
Universidad la salle presentacion examen de gradoUniversidad la salle presentacion examen de grado
Universidad la salle presentacion examen de grado
 
Administracion de sistemas vs. administracion de servicios
Administracion de sistemas vs. administracion de serviciosAdministracion de sistemas vs. administracion de servicios
Administracion de sistemas vs. administracion de servicios
 

Más de Asociación

Ciberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan DiazCiberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan DiazAsociación
 
Comunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge HaggComunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge HaggAsociación
 
Comunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
Comunidades de Seguridad y su Responsabilidad Social por Armando ZuñigaComunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
Comunidades de Seguridad y su Responsabilidad Social por Armando ZuñigaAsociación
 
Incidentes en Seguridad de la Información por Francisco Villegas Landin
Incidentes en Seguridad de la Información por Francisco Villegas LandinIncidentes en Seguridad de la Información por Francisco Villegas Landin
Incidentes en Seguridad de la Información por Francisco Villegas LandinAsociación
 
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínSeguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínAsociación
 
Estado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónEstado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónAsociación
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterAsociación
 
Prevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos RamírezPrevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos RamírezAsociación
 
Privacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel CanoPrivacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel CanoAsociación
 
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo EspinosaComunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo EspinosaAsociación
 
PyMEs Su reputación está en riezgo por Cedric Laurant
PyMEs Su reputación está en riezgo por Cedric LaurantPyMEs Su reputación está en riezgo por Cedric Laurant
PyMEs Su reputación está en riezgo por Cedric LaurantAsociación
 
Conferencia Ciber defensa protegiendo la informacion Juan Díaz
Conferencia Ciber defensa protegiendo la informacion Juan Díaz Conferencia Ciber defensa protegiendo la informacion Juan Díaz
Conferencia Ciber defensa protegiendo la informacion Juan DíazAsociación
 
Conferencia war room por cristo leon
Conferencia war room por cristo leonConferencia war room por cristo leon
Conferencia war room por cristo leonAsociación
 
Social media council por cristo leon
Social media council por cristo leonSocial media council por cristo leon
Social media council por cristo leonAsociación
 
Programa tríptico ds8 alapsiac
Programa tríptico ds8 alapsiacPrograma tríptico ds8 alapsiac
Programa tríptico ds8 alapsiacAsociación
 

Más de Asociación (15)

Ciberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan DiazCiberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan Diaz
 
Comunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge HaggComunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
 
Comunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
Comunidades de Seguridad y su Responsabilidad Social por Armando ZuñigaComunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
Comunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
 
Incidentes en Seguridad de la Información por Francisco Villegas Landin
Incidentes en Seguridad de la Información por Francisco Villegas LandinIncidentes en Seguridad de la Información por Francisco Villegas Landin
Incidentes en Seguridad de la Información por Francisco Villegas Landin
 
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínSeguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
 
Estado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónEstado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias Calderón
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel Ballester
 
Prevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos RamírezPrevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos Ramírez
 
Privacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel CanoPrivacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel Cano
 
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo EspinosaComunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
 
PyMEs Su reputación está en riezgo por Cedric Laurant
PyMEs Su reputación está en riezgo por Cedric LaurantPyMEs Su reputación está en riezgo por Cedric Laurant
PyMEs Su reputación está en riezgo por Cedric Laurant
 
Conferencia Ciber defensa protegiendo la informacion Juan Díaz
Conferencia Ciber defensa protegiendo la informacion Juan Díaz Conferencia Ciber defensa protegiendo la informacion Juan Díaz
Conferencia Ciber defensa protegiendo la informacion Juan Díaz
 
Conferencia war room por cristo leon
Conferencia war room por cristo leonConferencia war room por cristo leon
Conferencia war room por cristo leon
 
Social media council por cristo leon
Social media council por cristo leonSocial media council por cristo leon
Social media council por cristo leon
 
Programa tríptico ds8 alapsiac
Programa tríptico ds8 alapsiacPrograma tríptico ds8 alapsiac
Programa tríptico ds8 alapsiac
 

Último

SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxzulyvero07
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuaDANNYISAACCARVAJALGA
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfMaryRotonda1
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
celula, tipos, teoria celular, energia y dinamica
celula, tipos, teoria celular, energia y dinamicacelula, tipos, teoria celular, energia y dinamica
celula, tipos, teoria celular, energia y dinamicaFlor Idalia Espinoza Ortega
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxKarlaMassielMartinez
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxPryhaSalam
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptELENA GALLARDO PAÚLS
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdfBaker Publishing Company
 

Último (20)

SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahua
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdf
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
celula, tipos, teoria celular, energia y dinamica
celula, tipos, teoria celular, energia y dinamicacelula, tipos, teoria celular, energia y dinamica
celula, tipos, teoria celular, energia y dinamica
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf
 

Metamétricas por Gabriel ÁlvarezSolis

  • 1.
  • 2. Metamétricas Un enfoque PRAGMÁTICO de métricas de administración de seguridad informática Presentado por: Ing. Gabriel Álvarez Solis Krag Brotby / Gary Hinson Nov 2013 (Traducción E.Fdez.T.)
  • 4. ¿Por qué métricas? “El juicio de un hombre no puede ser mejor que la información sobre la que se ha basado..” Arthur Hays Sulzberger, 1947 Lámina 4
  • 5. ¿Por qué métricas? • • • • • • • Lámina 5 Tenga en cuenta que medimos para administrar y ------ Necesitamos : Métricas estratégicas – para navegar Métricas administrativas – para administrar Métricas operacionales – para operar
  • 6. ¿ Para quién son las métricas? CEO CISO Lámina 6 Information Security
  • 7. ¿Para quién son las métricas? CEO CIO IT Lámina 7 CISO Information Security
  • 8. Las métricas … • Estratégicas son para los gerentes para saber si el programa va o no en su curso • • Administrativas, para la administración del programa día a día • • Operacionales, para asegurarse de que la maquinaria está funcionando adecuadamente Lámina 8
  • 9. Métricas de seguridad de TI Lámina 9
  • 10. ¿Para quién son las métricas? CIO CISO Finance IT Information Security Lámin a 10 VP Production Toronto factory Perth factory VP Marketing Sales Business units CFO C-suite CEO
  • 11. ¿Para quién son las métricas? Local communities & society at large Owners, stockholders Authorities, industry regulators Stakeholders Customers, suppliers, business partners CIO CISO Finance IT Information Security Lámina 11 VP Production Toronto factory Perth factory VP Marketing Sales Business units CFO C-suite CEO
  • 12. Audiencias de Métricas Owners – for reassurance External stakeholders Security metrics audiences Regulators & authorities – for reassurance & compliance Customers, local communities & Society at large – for reassurance Senior management, C-suite, Board Middle/junior management Operations Lámina 12 Peers For strategic purposes, governance & assurance For information security management & process improvement For operational reasons e.g. to configure & manage security controls For benchmarking comparison & sharing good practices
  • 13. ISO27k ms xi o &a s es iple l i ci rinc Po P ss R i sk me nt Ri sk an aly si s Ri sk mi tig ati on di t as se s ery Au ce ie ov ien lic rr ec si l Po cy Re & s s on w ati La gul re s ste e rti en sa pa ng Di rd nti 3 Co ds dar tan S & es elin dures id Gu roce p Manage & contain Resolve ce an pli om 14. co Busin nti nu ess ity React .C 15 Identify ma 4 . R na isk ge me nt Prepare cy oli .P 5 13. Incident management Learn ISO/IEC 27002 Specify security Implement 10. Ops Comms & man agem ent Test Inventory s gg & ing al e rtin g Pa tch ing Mo nit ori Co ng nfi gs up Lo s Ba i ve Ar ch ta ck s on Da cti tio n Fu n ca pli ms Ap ste Sy tw o rk l Ne i ca ys Ph Classification en 9. P 8. H vir hy secu R rity on sic me al & nt al s Maintain & support Lámina 13 Liaison Ownership 11 . co Ac n ce tr s o s l Develop or acquire Reporting tion aniza . Org 6 7. Asset management Design are oftw 12. S pment lo deve Structure Ai r Joiners Movers Leavers Ph Awareness, training & education ys co i ca nd la itio &f Po cc loo nin we es d g s r Fir e
  • 14. Objetivos y resultados Metrics Actions and Decisions Information security goals (reduce incidents, increase assurance) Business outcomes (market share, profit etc.) time and uncertainty Lámina 14 Figura adaptada de Hauser and Katz Metrics: You Are What You Measure www.mit.edu/~hauser/Papers/Hauser-Katz Measure 04-98.pdf
  • 15. GQM Goal-Question-Metric Goals Objetivos Maintain Acme’s price premium Objetivo-Pregunta-Métrica Push into new markets Protect Acme’s IP Lámina 15 Maximize value of the distribution, service & support outlets
  • 16. Objetivos GQM Preguntas Goals Questions Maintain Acme’s price premium What does ‘Protect Acme’s IP’ actually mean? What IP is Acme’s, in fact? Push into new markets Protect Acme’s IP Protect Acme’s IP from what? Protect which IP? How should Acme’s IP be protected? Lámina 16 Maximize value of the distribution, service & support outlets Why protect Acme’s IP?
  • 17. GQM Objetivos Preguntas Métricas Goals Questions Metrics Maintain Acme’s price premium What does ‘Protect Acme’s IP’ actually mean? What IP is Acme’s, in fact? Push into new markets Protect Acme’s IP from what? Relative value of different forms of IP Most-Least important factors determining the value of IP Protect Acme’s IP Protect which IP? IP investments Comparative IP valuations How should Acme’s IP be protected? Lámina 17 Maximize value of the distribution, service & support outlets Why protect Acme’s IP?
  • 18. Media docena de señales … “Cada Oficial de Seguridad (CSO) debe tener media docena de señales qué vigilar en forma regular. Estos indicadores pueden ser “métricas de supervivencia,” los botones rojos en un tablero del que se espera usted se haga cargo, el cual monitorea el bienestar de su organización, o un problema que preocupa a la gerencia.” George K. Campbell Lámina 18
  • 20. Métricas Inteligentes (SMART) Específicas, Medibles, Alcanzables, Relevantes, Oportunas, Evaluar, Reevaluar Lámina 20 Tabla de Wikipedia SMART atribuida a Paul J. Meyer
  • 21. PRAGMATIC Metametrics Predictive – forward-looking Relevant – to the business and infosec Actionable – controllable, do-able Genuine – can’t be faked or falsified Meaningful – to the audience Accurate – enough to be useful Timely – here and now Independent – hence verifiable Cheap – always a bonus! Lámina 21
  • 22. Metametrics PRAGMATIC Predictiva – Ayuda a manejar situaciones, tomar decisiones y mejorar las cosas para el futuro Relevante – Para el especialista en materia, ya sea de seguridad de información, gobierno, riesgo, cumplimento o control entre otros Accionable – Proporciona información para poder tomar acciones Genuina – Los números resultantes están basados en los hechos y no pueden ser fácilmente manipulados deliberadamente Lámina 22
  • 23. Metametrics PRAGMATIC Meaningful/Significativa – Para la audiencia a la que va dirigida, sin crear incertidumbre o excepticismo Accurate/Precisa – Real y precisa para permitir control mesurado? proporcional (nos detenemos? O seguimos avanzando? Más rápido, o lento? Timely/Oportuna – Obtenga la información en el momento en que se requiere para la toma de decisiones Independiente – Medida objetiva, basándose en evidencia que pueda ser verificable; y Costo-efectiva/Económica – Genera más valor que lo que cuesta el recopilar, analizar, presentar y utilizar la métrica Lámina 23
  • 24. Ejemplo de mapa de calor Perth factory Toronto factory Global distribution, service and support Manufacturing operations Manufacturing operations QC QC Goods in Packaging and dispatch Procurement Packaging and dispatch Supplier relations Goods in Sales and marketing ▲ Infosec Risk IT C-suite Finance HR R&D HQ Legal & compliance Lámina 24
  • 25. Un análisis de profundidad Ventas y Mercadotecnia estatus de infosec, May 2012: 69% Risk management 79% Policy ▲ 61% Organization 44% Asset management 20% HR security 31% Physical & environmental 58% Comms & ops management 58% Access control ▲ 69% Software development 73% Incident management 10% Business continuity ▼ 39% Compliance 51% OVERALL Lámina 25
  • 29. Calificando un mapa de calor Lámina 29
  • 30. Un catálogo de métricas Lámina 30
  • 31. Metamétricas avanzadas • So-pesando el criterio PRAGMÁTICO • Compilando, graduando, compartiendo y comparando catálogos de métricas • Medidas creativas: más por menos • Sistema de métricas de seguridad de Información • Medir cualquier cosa Lámina 31
  • 35. Únase a la discusión Lámina 35
  • 36. Gracias por su atención Contacto en México: Innovative-Soft Ing. Gabriel Álvarez Solis gas@innovative-soft.com Tel. 044-55-3018-5456 Contacto con el autor: Krag Brotby kragby@gmail.com Lámina 36