Está en la página 1de 19

http://www.sciencedirect.

com/science/article/pii/S2210832711000287#sec1

Un nuevo marco global para la informacin de gestin de riesgos de seguridad de la empresa


Mohamed S. Saleh una , Abdulkader Alfantookh b ,
la b

Universidad de Bradford, Bradford, Reino Unido Ministerio de Educacin Superior, Riyadh, Arabia Saud

Abstracto
Con el uso generalizado de las transacciones electrnicas en las empresas, la gestin de riesgos de seguridad de informacin (ISRM) se est convirtiendo en esencial para establecer un ambiente seguro para sus actividades. Este documento se refiere a la presentacin de un marco integral ISRM que permite la creacin efectiva de un ambiente seguro destino. El marco tiene dos dimensiones estructurales, y dos dimensiones procesales. Las medidas estructurales incluyen: ISRM "scope" y "criterios de evaluacin" ISRM, mientras que las dimensiones de procedimiento incluyen: ISRM "proceso" y "herramientas de evaluacin" ISRM. El marco utiliza la bancada completa (estrategia, la tecnologa, la organizacin, las personas y el medio ambiente) para ver el alcance ISRM, mientras que los criterios de evaluacin se considera abierto a distintas normas. Para las dimensiones procesales, el marco utiliza el conocido seis sigma DMAIC (definir, medir, analizar, mejorar y controlar) el ciclo del proceso ISRM, y que considere el uso de diversas herramientas de evaluacin. Se espera que el marco se utiliza ampliamente en el futuro como una referencia abierta a ISRM.

Reflejos
Se presenta informacin sobre el marco de gestin de riesgos de seguridad conceptual que integra los principales mtodos de gestin de riesgos. Las dimensiones estructurales del marco son: "scope" y "criterios de evaluacin" que apoyan su profundidad y amplitud. Las dimensiones procedimentales del marco son: el "proceso" y "herramientas de evaluacin" que se utilizan para mejorar su funcionalidad. El marco utiliza el rebaje (estrategia, la tecnologa, la organizacin y el medio ambiente) vista de su dimensin alc ance. Tambin depende de los seis-sigma DMAIC (definir, medir, analizar, mejorar y controlar) el modelo de su dimensin de proceso.

Palabras clave

Empresa de seguridad ; Seguridad de la informacin ; La gestin del riesgo ; Six-sigma ; Vista Stope

1. Introduccin
Una de las funciones esenciales de la tecnologa de la informacin (IT) la gobernanza es la gestin del riesgo, que tiene como objetivo proporcionar un ambiente seguro para el comercio electrnico y el comercio electrnico. En apoyo de esta funcin, varias organizaciones de TI, que se trate de las normas se han publicado diferentes mtodos de gestin de riesgos. Estos mtodos han sido y estn siendo adoptadas parcialmente o totalmente por las empresas que lo utilizan y que trabajan en diferentes campos, para identificar, analizar y minimizar los riesgos para sus actividades de TI. Habra sido ms conveniente para este tipo de empresas, si un mtodo integral que se adapte a las diversas necesidades de estos mtodos, de una manera bien diseado y mejorado, est disponible. Esto apoyara la compatibilidad de gestin de riesgos en las empresas, el uso de TI, proporcionando un entorno comn y seguro para su interaccin e-business. Este documento se refiere a la introduccin de un sistema de gestin (ISRM) marco de riesgos de seguridad de informacin integral para las empresas que utilizan TI. El alcance estructural del marco se basa en la bancada (estrategia, la tecnologa, la organizacin, la gente y el medio ambiente) vista que se est convirtiendo cada vez ms importante para la estructuracin de los problemas de seguridad de informacin sobre sus cinco mbitos distintos ( Saleh et al., 2006 y Saleh et al, 2007. , 2008; Esteves y Jos, 2008 ), y el proceso de gestin del marco se asocia con el conocido Six Sigma DMAIC (definir, medir, analizar, mejorar y controlar) las fases cclicas ( Pyzdek, 2003 ). Adems, el marco aade criterios de gestin de sus aspectos estructurales, y considera las herramientas de evaluacin de sus fases de procedimiento. El marco tambin permite la integracin y la mejora de los diversos mtodos de gestin de riesgos disponibles y las normas en sus componentes estructurales y de procedimiento. El documento describe el marco, y hace hincapi en su importancia como potencial de referencia abierto para la empresa ISRM.

2. Trabajos relacionados
Hoy en da, hay un nmero de diferentes tipos de metodologas de gestin de riesgos, algunos de ellos emitidos por organizaciones nacionales e internacionales ( ISO / IEC TR 13335, 1998 , NIST SP800-30, 2002, AS / NZS 4360, 2004 , HB231, 2004 , BSI Norma 100-3,

2005 y ISO / IEC 27005, 2008 ), otros emitidos por organizaciones profesionales ( CRAMM de 2001 , CORAS de 2003 , OCTAVE, 2005 , Magerit, 2006 ,Microsoft, 2006 y Mehari de 2007 ) y el resto presenta proyectos de investigacin ( Kailay y Jarratt, 1995 ,Smith y Eloff, 2002 , Robert y Rolf, 2003 , Karabacak y Sogukpinar de 2005 , Hoffanvik y Stolen, 2006 y Mayer et al., 2007 ). Cada uno de estos mtodos ha sido desarrollado para satisfacer una necesidad particular y por lo tanto tiene un diferentes objetivos, pasos, estructura, y el nivel de aplicacin. El objetivo comn de estos mtodos es priorizar y estimar el valor de riesgo y proponer el plan de mitigacin ms adecuadas para eliminar o minimizar ese riesgo a un nivel aceptable ( Vorster y Labuschagne, 2005 ). A pesar del creciente nmero de mtodos normalizados y comerciales de gestin de riesgos, varios informes, encuestas, y la literatura relacionada indican que la difusin de los mtodos de gestin de riesgos dentro de las organizaciones actuales, ha sido muy limitada hasta ahora debido a la falta de conciencia, de alto costo, necesidad de conocimientos tcnicos, y el proceso largo ( NCC, 2000 y DTI, 2002 ). Adems, la confianza en estos mtodos es muy baja debido a los malos resultados, los informes confusos volum inosos y el mbito tecnolgico estrecho ( Labushehagne y Eloff, 1998 y Spears, 2006 ). Por otra parte, el gran nmero confuso de los mtodos de gestin de riesgo (ms de 200 ahora) crea un problema a cualquier organizacin dispuesta a adoptar uno de estos mtodos y la ausencia de un ndice de referencia acordado o marco comparativo para la evaluacin de estos mtodos limitan su uso prctico en la evaluacin los riesgos de seguridad de la informacin las empresas ( Vorster y Labuschagne, 2005 , Bornman y Labuschagne, 2006 y Syalim et al., 2009 ). Labuschagne y Eloff (1998) sostiene que la mayora de los mtodos disponibles de gestin de riesgos tienen una base cientfica que surgi de los orgenes de ingeniera de la computacin. Estos mtodos tradicionales que se utilizan para gestionar el rie sgo y por lo general las empresas centradas en la tecnologa y esto propone soluciones tcnicas. La mayora de estos mtodos rara vez consideran los factores humanos, organizativos, estratgicos, o del medio ambiente. Si bien la tecnologa es un factor necesario, no es el nico elemento que requiere el reconocimiento (Hang et al, 2008;. . Werlinger et al, 2009 ). Adems, el enfoque de TI centrada en el anlisis de riesgos de seguridad no incluye los usuarios de negocio en la medida necesaria para identificar un conjunto integral de riesgos o para promover la concienciacin sobre la seguridad en toda la organizacin ( Lategan y Solms, 2006 ). Nosworthy (2000) mencion que con el fin de aplicar las medidas de continuidad de negocio de una manera consistente, manejable y rentable un enfoque de toda la organizacin a un anlisis de riesgo la continuidad del negocio prctica debera adoptarse y aplicarse a la empresa en su conjunto y no slo el departamento de TI. Recientemente, muchos autores sugieren la necesidad de un mtodo de gestin integral de riesgos de seguridad de informacin que minimice los varios defectos de los mtodos de gestin de riesgo tradicionales ( Niekerk y Labuschagne de 2006 , Spears, 2006 , Zuccato, 2006 , Anderson, 2007 y Huang et al., 2008 ). El mtodo propuesto debe basarse en las normas y considera las caractersticas especiales del dominio de seguridad de la informacin y

utiliza diferentes tcnicas para combinar los mtodos estndar y profesional en un marco de gestin integral y prctica informacin de riesgos de seguridad ( Jung et al., 1999 ).

3. El marco ISRM empresa objetivo


El marco ISRM objetivo tiene dos partes: una parte se ocupa de su punto de vista estructural, mientras que el otro est asociado con su punto de vista procesal. El punto de vista estructural tiene dos dimensiones: el alcance y los criterios, mientras que la vista del procedimiento tambin tiene otras dos dimensiones: proceso y he rramientas. El marco se describe en el siguiente, en trminos de estas cuatro dimensiones. El "alcance" del marco se basa en los cinco dominios de rebaje de la estrategia, la tecnologa, la organizacin, las personas y el medio ambiente con diferentes ni veles de detalle, asociados a cada dominio. La gestin de "criterios" del marco se consideran relacionados con los controles de la familia de normas ISO de seguridad de informacin. Sin embargo, otros requisitos tambin se pueden considerar. El "proceso" del marco adopta las cinco fases cclicas de seis sigma modelo DMAIC: definir, medir, analizar, mejorar y controlar. El apoyo "herramientas" del marco pueden incluir los diversos medios que promuevan el trabajo, tales como: herramientas de estudio, modelos matemticos y programas de computacin. . Figura 1 ilustra la estructura del marco propuesto. Ms explicaciones tanto de su vista estructural y vista del procedimiento deben seguir.

Figura 1. La estructura del marco ISRM empresa propuesta. Opciones Figura

3.1. El punto de vista estructural del marco


El punto de vista estructural del marco ISRM propuesto es descrito aqu en trminos de sus dos dimensiones: el mbito Stope basado, y los criterios de gestin.

El alcance Stope basado del marco permitira la cartografa de los elementos bsicos de la
empresa, se asocian con l, a los dominios de "la estrategia, la tecnologa, la organizacin, las personas y el medio ambiente". Los elementos bsicos de una empresa, con respecto a ISRM, se considera que son sus: activos, retos de seguridad y controles de seguridad. Estos se tratan en la siguiente de acuerdo con el alcance Stope basado. " La gestin de activos "es una de las principales clusulas de la norma ISO 17799, y tiene dos objetivos:" la responsabilidad de los activos "y" clasificacin de la informacin ". ISO define un activo " como todo lo que tiene valor para la organizacin "( ISO / IEC 17799, 2005 ). Esta definicin nos lleva a la consideracin de dos tipos de bienes: "tangibles" e "intangibles". Tabla 1 mapas de los activos materiales considerados por diferentes referencias a los cinco dominios de rebaje, lo que es una asignacin de alto nivel que puede ser refinado en sub - niveles de obtener ms detalles. La Mesa tambin considera a los activos intangibles que se asocian con mltiples dominios.
Tabla 1. activos empresariales considerados por diferentes referencias ( ISO / IEC TR 13335, 1998 y CRAMM, 2001 ) asignados en los dominios rebaje. Stope Activos principales grupos Tangible ( ejemplos ) Intangible

Stope

Activos principales grupos Tangible ( ejemplos ) Intangible Buena voluntad

S T

Informacin: ( documento de poltica ) Informacin: ( Archivos de datos ) Servicios TI: ( directorio de la mensajera activa ) Software: System ( Solaris ), aplicaciones ( Oracle Utilities (herramientas de gestin)), Hardware: Servidores ( Servers ) otros ( Impresoras ) Comunicacin: red ( routers ), ( cable )

Servicio al cliente

La confianza del pblico

La confianza del pblico

Ventaja competitiva

Imagen de la organizacin

Reputacin

Documentos: ( Compromiso de la direccin ) Acuerdos: ( parte Confidencialidad tercio ) Informacin: ( Investigacin ) Otros: ( Usuario materiales manuales de entrenamiento )

La confianza en los servicios

Empleado moral

Productividad

Lealtad

Personal de TI: ( gerente de seguridad de TI ) Empleado: ( alta direccin ) Usuarios: ( interior / exterior ) Contratistas: ( consultores ) Propietarios: ( Actores )

tica

Servicios ( Calefaccinlighting-power-AC ) Equipo: ( Escritorios-Fax mquinas-Cables ) Fsico (infraestructura): ( Oficinas y facilidades ) Opciones de tabla

Retos de seguridad pueden ser vistos como negativos de las monedas de dos caras:
amenazas y vulnerabilidades. ISO define la amenaza como " una causa potencial de un

incidente no deseado, que puede resultar en dao a un sistema u organizacin ", y que define
la vulnerabilidad como" una debilidad de un activo o grupo de activos que puede ser explotado

por una o ms amenazas " ( ISO / IEC 17799, 2005 ).Tabla 2 mapas ISO amenazas y
vulnerabilidades a los cinco dominios de bancada. En cuanto a las amenazas, la Mesa los marca como cualquiera: deliberada (D), accidental (A), o ambos (D & A).
Tabla 2. Amenazas y vulnerabilidades consideradas por diferentes referencias ( ISO / IEC TR 13335, 1998 y CRAMM, 2001 ) asignados en los dominios de bancada. Stope Desafos principales grupos Amenazas Vulnerabilidades

Stope

Desafos principales grupos Amenazas Vulnerabilidades Software: ( Los errores de configuracin ) Hardware: ( parches que faltan ) Comunicacin: ( protocolo innecesario ) Medios: ( interferencia elctrica ) Documento: ( No hay cuidado de que dispone ) Procedimientos: ( Violacines no reportados ) Empleado: ( formacin insuficiente )

S T

Poltica: (inadecuada) Los cdigos maliciosos: ( Virus ) D Software: ( Fallas ) D & A Hardware: ( Fallas ) D & A Comunicacin: ( Infiltracin ) D

Acuerdo: ( inadecuada ) D Informacin: ( Errores ) D Planificacin: ( Problemas ) D Procedimientos: ( incorrecta ) de D & A

Empleado: ( Sabotage ) D Usuarios: ( interior / exterior / Robo ) D Crackers: ( piratera informtica ) D

Industrial: ( Espionaje ) D Natural: ( Terremoto ) A Servicios ( corte de energa ) A

Natural: ( Plantel en zona de inundacin ) Fsica: ( puertas abiertas ) Opciones de tabla

Los controles de seguridad son definidas por la ISO como "medio de la gestin de riesgos,
incluidas las polticas, procedimientos, directrices, prcticas o estructuras organizativas, que pueden ser de su tcnica, de gestin o jurdica naturaleza administrativa". 3 Tabla clusulas mapas ISO seguridad de la informacin, los objetivos y los controles ( ISO / IEC 17799, 2005 ) a los cinco dominios rebaje.
Tabla 3. clusulas ISO seguridad de la informacin, los objetivos y los controles ( ISO / IEC 17799, 2005 ) asignadas en los dominios de bancada. Stope ISO 17799: 2005 piezas bsicas Nmero de parte S T 5 10 11 12 O 6 7 13 14 P E 8 9 15 Clusula Nmero de objetivos / controles / factores 1 10 7 6 2 2 2 1 3 2 3 39 2 32 25 16 11 5 5 5 9 13 10 133 15 188 120 96 82 7 13 33 30 59 39 682 Opciones de tabla

La poltica de seguridad Gestin de comunicaciones y operaciones El control de acceso Sistemas de informacin, adquisicin, desarrollo y mantenimiento Organizacin de la seguridad de la informacin Gestin de activos Informacin de gestin de incidentes de seguridad Gestin de la continuidad del negocio La seguridad de los recursos humanos Seguridad fsica y ambiental Conformidad

Total de objetivos, controles y medidas

Los controles de las normas ISO 17799 de gestin de seguridad de informacin han sido investigados previamente de acuerdo con la opinin de rebaje, con el fin de facilitar su aplicacin a las empresas, y la consecucin de actividades seguras TI ( Saleh et al., 2006 y Saleh et al., 2007 ).

Cabe sealar que el marco no se limita a las cuestiones de los activos, las amenazas, las vulnerabilidades y los controles considerados anteriormente, sino que tambin estara abierto a otros posibles problemas.

Los criterios de gestin de la vista estructural apareceran en todos los domini os de la bancada
de alcance del marco propuesto. Los criterios pueden especificar los controles de seguridad exigidos, en los distintos mbitos bancada, en relacin con el anlisis de costo -beneficio. Para los controles considerados, puede proporcionar puntos de referencia para sus niveles aceptables. En general, los criterios de gestin que se asocie con la estrategia y los requisitos de la empresa considerada.

3.2. La vista del procedimiento


La vista del procedimiento del marco ISRM propuesto es descrito aqu en trminos de sus dos dimensiones: el proceso de seis sigma basado y las herramientas de apoyo.

El proceso basado en seis sigma tiene el proceso cclico de cinco fases de definir, medir,
analizar, mejorar y controlar: DMAIC A continuacin, se asignan los procesos de los mtodos de gestin de riesgos de los organismos de normalizacin y de las sociedades profesionales antes expuestos en las fases del proceso DMAIC. Cada una de estas fases se aborda a continuacin, en trminos de su objetivo, de entrada y de salida. Tabla 4 mapas de los procesos de los principales mtodos de gestin de riesgos, considerados anteriormente, a las fases cclicas de seis sigma de: "definir, medir, analizar, mejorar y controlar". Esto muestra cmo el proceso DMAIC puede dar cabida a estos proceso s, proporcionando un proceso de gestin del riesgo global para el futuro. Esto es an mayor por dar las funciones de cada fase, en el proceso, como se resume en la Tabla 5 , y se explica en la siguiente.
Tabla 4. Mapeo de los procesos de los mtodos clave de gestin de riesgos a las fases DMAIC adoptivos de los seis-sigma. Seis Sigma Mtodos de gestin de riesgos clave AS / NZS 4360: Definir Comunica ry consultar ISO / IEC TR 13335-3 El anlisis de riesgos NIST 800-30 Caracterizacione s del sistema OCTAVE Conocimient o de rea personal de gestin operativa Crear perfil de amenazas Identificacin de amenazas Determinar los componentes principales Evaluar los componentes seleccionado s Valoracin de activos CRAMM Identificacin del activo Microsoft

Establecer el contexto Medir Identificar los riesgos

Identificacin de la vulnerabilidad

Amenaza y la vulnerabilidad

Seis Sigma

Mtodos de gestin de riesgos clave AS / NZS 4360: ISO / IEC TR 13335-3 NIST 800-30 Anlisis de control Determinacin de probabilidad Evaluar el riesgo Anlisis del impacto Determinacin del riesgo OCTAVE CRAMM Microsoft La evaluacin del riesgo

Analizar

Analizar los riesgos

Mejorar

Trate de riesgo

Seleccin de Salvaguardias Polticas y la implementaci n del plan

Controles recomendados Informe de evaluacin de riesgos El anlisis de costo-beneficio y la seleccin de los controles Implementacin

Desarrollar una estrategia de proteccin

Contramedida s seleccin y recomendaci n

Realizacin de apoyo a las decisiones Implementa r controles

Controla r

Monitoreo y revisin

Seguimiento

Probar y evaluar

Medicin de la efectividad del programa de gestin de riesgo Opciones de tabla

Tabla 5. El uso de seis sigma cinco fases DMAIC proceso cclico de ISRM. Explicacin DMAIC Definir Objetivo: Especificar actual empresa estatal ES Entrada: Recopilar informacin sobre los elementos bsicos de la empresa Bienes Amenazas Vulnerabilidades Controles Medir Tangible / intangible / propietario / ubicacin Deliberada / accidental Tcnico / organizacional Existentes / planificadas Una vista rebaje de los activos crticos, asociada a la evaluacin de las amenazas y vulnerabilidades que enfrentan, y con los controles de seguridad utilizados Salida Una vista bancada del estado actual de los elementos bsicos de la seguridad de la informacin en la empresa considerada

Objetivo: Evaluar el estado actual de la seguridad de la informacin Entrada: Definir salidas de etapa / expertos o ver dueo Bienes Amenazas / activos Vulnerabilidad / activo Controles / activos Requisitos Activos Valoracin (directa / indirecta) Posibles daos Debilidad en las medidas de seguridad Stope / ISO enfoque de evaluacin basado en el anlisis de control (Saleh et al., 2007 ) Confidencialidad / disponibilidad / integridad

Analizar

Objetivo: Encontrar la diferencia entre el estado actual y el estado de proteccin requerido Entrada: Evaluacin de la situacin actual de la empresa desde la fase de "medida" y "criterios de

Una vista rebaje de la brecha entre las necesidades de seguridad y el estado actual de la seguridad, teniendo en cuenta todos los activos crticos

Explicacin DMAIC proteccin de seguridad necesarias Modelo Evaluacin Desarrollo de un modelo analtico para el anlisis de brecha Utilizando el modelo para evaluar el estado actual de la seguridad frente necesaria una Determinacin de la brecha de seguridad que necesita ser cerrado, de manera que se consigue la mejora deseada

Salida

Brecha

Mejorar

Objetivo: Especificar las mejoras necesarias para cerrar la brecha entre el estado actual y el estado deseado Entrada: Estado obligatorio y el estado actual Instrucciones Desarrollo de las instrucciones para cerrar la brecha de seguridad y lograr la mejora deseada Disear un plan de accin que sigue las instrucciones

Una vista rebaje de un plan de accin de lo que se debe hacer para cerrar la brecha y lograr la seguridad requerida

Plan Controlar

Objetivo: Implementar la mejora, seguimiento y evaluacin; repetir el proceso. Entrada: Plan de accin para la mejora Implementacin Monitoreo Documentacin Vuelva a iniciar El plan de accin para la mejora El cambio de estado Documentar el trabajo El proceso DMAIC

La ejecucin del plan, el funcionamiento, el rendimiento, la activacin del proceso de

Opciones de tabla

La " definicin " fase especifica los elementos bsicos del proceso de gestin de riesgos. Esta
fase sera utilizar la salida de un ciclo anterior del proces o DMAIC, o iniciar un nuevo proceso, segn el caso considerado. Esta fase tiene un nmero de pasos de la siguiente manera: establecer el contexto del rea de opinin; mapa de la situacin actual de la empresa (activos, amenazas, vulnerabilidades, controles) para los dominios de bancada; especificar el propietario de cada activo; especificar la ubicacin de cada activo; especificar el origen de la amenaza; definir el nivel de detalle; y dar a los requisitos de seguridad.

El resultado de esta fase sera una vista bancada del estado actual de los elementos bsicos de la seguridad de la informacin en la empresa considerada.

La " medida " fase de evaluacin de los elementos bsicos de la estructura de acuerdo con un
criterio especfico. Se recibe la salida de la fase de "definir" y aadir la siguiente informacin para cada elemento: evaluacin del estado actual de los activos; evaluacin del estado actual de las amenazas; evaluacin del estado actual de las vulnerabilidades y evaluacin del estado actual de los controles. El resultado de esta fase sera una vista rebaje de los activos crticos, asociada a la evaluacin de las amenazas y vulnerabilidades que enfrentan, y con controles de uso de la garanta.

El " anlisis " de fase se analiza la brecha entre el estado actual y el estado deseado de
proteccin frente a los desafos. Esto se basa en la salida de la fase de "medida", por un lado, y por "criterios" requeridos por el otro. Los pasos bsicos de esta fase son las siguientes: desarrollo de un modelo analtico de anlisis de carencias; utilizando el modelo para la evaluacin del estado actual frente al estado requerido; y determinacin de la distanc ia de seguridad entre el estado actual y el estado deseado. El resultado de la fase es una vista rebaje de la brecha entre las necesidades de seguridad y el estado actual de la seguridad, teniendo en cuenta todos los activos crticos.

La " mejora " fase considera el estado de la seguridad y el Estado requerido. Cuenta con los
siguientes pasos principales: el desarrollo de directrices para cerrar la brecha de seguridad y lograr la mejora deseada, y disear un plan de accin que sigue las instrucciones . El resultado de la fase es una vista rebaje de un plan de accin de lo que se debe hacer para cerrar la brecha y lograr el mejoramiento de la seguridad requerida.

El " Control " fase considera el plan de mejora y realiza los siguientes pasos principales:
ejecucin del plan; seguimiento del estado cambiante, y documentar el trabajo. La salida de la fase es una mejora de la seguridad, adems de entrar en otro ciclo para responder a los nuevos requisitos y el cambio.

3.3. Herramientas de apoyo


El marco propuesto considera que "las herramientas de apoyo" seran necesarios para la ejecucin de las distintas fases DMAIC. Estas herramientas tambin han sido considerados por los mtodos anteriores ( Saleh y Bakry, 2008 ). Las herramientas pueden incluir, pero no limitado a: recopilacin de informacin y herramientas de estudio; modelos y herramientas matemticas; mtodos de clculo y paquetes de software, y otras herramientas relacionadas o combinadas.

4. Conclusiones
En este trabajo se ha presentado un nuevo marco ISRM empresa que goza de caractersticas atractivas para su uso futuro. La "bancada de alcance" del marco le permite dar cabida a la amplia gama de cuestiones relacionadas con ISRM, de una forma bien estructurada y abierta. Esto no slo integra los temas que han sido considerados por otros mtodos, pero tambin permite que otras o nuevas cuestiones a considerar. El seis sigma "proceso DMAIC" del marco le permite adaptarse a los diversos procesos de otros mtod os ISRM en un solo proceso unificado y ampliamente aceptado. Adems, el marco responder a la necesidad de utilizar un "criterios de gestin", y permite a diversos criterios a tener en cuenta, incluidos los controles de seguridad de la informacin ISO, y teniendo en cuenta los puntos de referencia predeterminados. El marco tambin considera el uso de "herramientas de apoyo" para llevar a cabo las distintas fases del proceso de manera eficiente como es el caso con otros mtodos

ISMR. El carcter integral y flexible de la estructura lo convierte en un candidato a convertirse en una "referencia abierta" para ISRM que puede ser ampliamente utilizado por empresas que buscan ambiente seguro para su negocio de e-basada. Los autores esperan que el tiempo para tomar hacia el uso a gran escala de la estructura no ser muy largo.

Referencias
1. o o o o o 2. o o o 3. o o Bornman y Labuschagne, 2006
Bornman, WG, Labuschagne, L., 2006. Un marco comparativo para la evaluacin de los mtodos de gestin de riesgos de seguridad de informacin. Informe tcnico, Standard Academia Banco de Tecnologa de la Informacin, Universidad Rand Afrikaans.

Anderson, 2007 K. Anderson Convergencia: un enfoque integral para la gestin de riesgos


Seguridad de la red (5) (2007), pp 4-7

AS / NZS 4360, 2004


AS / NZS 4360, 2004. Gestin de Riesgos. 3 ed. Standards Australia / Standards New Zealand, Sydney, Australia, Wellington, Nueva Zelanda.

o 4. o o BSI Norma 100-3, 2005


BSI Norma 100-3, 2005. El anlisis de riesgos basado en IT-Grundschutz-Version 2.0, la Oficina Federal para la Seguridad de la Informacin: Bundesmt Fur Sicherheit in der In formationstechnik, Alemania.

o 5. o o o 6. o o o 7. o DTI, 2002 CRAMM, 2001


CRAMM gua del usuario, 2001. Anlisis de Riesgos y el mtodo de gestin, Reino Unido Agencia Central de Informtica y Telecomunicaciones (CCTA), Reino Unido.

CORAS, 2003
CORAS, 2003. Disponible en: < http://coras.sourceforge.net/ > (consultado el 10 24.05.).

o o 8. o o o o o

Departamento de Comercio e Industria DTI, 2002. Informacin infracciones de seguridad: Encuesta de 2002, el Departamento de Comercio e Industria de Londres.

Esteves y Joseph, 2008 J. Esteves, RC Joseph Un marco global para la evaluacin de proyectos de e-Gobierno
Gobierno Trimestral de la Informacin, 25 (2008), pp 118 -132

Artculo | PDF (282 K) | Ver Registro de Scopus | Citado por en Scopus (40)

9. o o o 10. o o Huang et al., 2008


Huang, J., Ding, Y., Hu, Z., 2008. Modelo basado en el conocimiento de la informacin global de anlisis de riesgos de seguridad. En: Symposim Internacional de Ciencias de la Computacin y Tecnologa Computacional, 20 22 de diciembre, IEEE, Shanghai , pp 88-91.

HB231, 2004
HB231, 2004. Directrices Seguridad de la Informacin de Gestin de Riesgo, Australia / Nueva Zelanda, Sydney, Australia, Wellington, Nueva Zelanda.

o 11. o o Hoffanvik y Stolen, 2006


Ida Hoffanvik, detil Stolen, 2006. Un mtodo grfico para la identificacin de riesgos.En: Conferencia Internacional sobre el Modelo de Lenguajes y Sistemas Informticos (MoDELS'06), vikyme 4199 de Lecture Notes in Computer Science, Springer Verlag, pp 574-588.

o 12. o o ISO / IEC 27005, 2008


Organizacin Internacional de Normalizacin, 2008. ISO / IEC 27005: 2008. Tecnologa de la Informacin-Seguridad-Tcnicas de Informacin de Gestin de Riesgos de Seguridad de la Organizacin Internacional de Normalizacin, Ginebra, Suiza.

o 13. o ISO / IEC 17799, 2005

ISO / IEC 17799: (E), 2005. Informacin Tcnicas de cdigo de Tecnologa en Seguridad Informtica de Prcticas para la Gestin de la Seguridad de la Informacin, Organizacin Internacional de Normalizacin, Ginebra, Suiza.

o 14. o o o 15. o o o Jung et al., 1999 C. Jung, I. Han, B. Suh El anlisis de riesgos para el comercio electrnico utilizando el razonamiento basado en casos o
Revista Internacional de Sistemas Inteligentes en Contabilidad, Finanzas y Gestin, 8 (1) (1999), pp 61-73

ISO / IEC TR 13335, 1998


ISO / IEC TR 13335, 1998. Tecnologa de la Informacin-directrices para la gestin de la seguridad de TI - Parte 3, la Organizacin Internacional de Normalizacin, Ginebra, Suiza.

o 16. o o o

El texto completo a travs de CrossRef Kailay y Jarratt, 1995 MP Kailay, P. Jarratt RAMEX: un prototipo de sistema experto para el anlisis de riesgos de seguridad informtica y gestin

o o

Seguridad del ordenador y, 14 (5) (1995), pp 449-463

Artculo | PDF (1114 K) | Ver Registro de Scopus | Citado por en Scopus (13)

17. o o o o o 18. o o Labushehagne y Eloff, 1998 L. Labushehagne, JH Eloff Karabacak y Sogukpinar, 2005 B. Karabacak, I. Sogukpinar Isram: Mtodo de anlisis de riesgos de seguridad de informacin
Seguridad del ordenador y, 24 (2) (2005), pp 147-159

El uso del anlisis de riesgos en tiempo real para permitir la activacin dinmica de las contramedidas

o o 19. o o o o o 20. o o o 1. o o

Seguridad del ordenador y, 17 (4) (1998), pp 347-357

Lategan y Solms, 2006 N. Lategan, R. Solms Hacia informacin de la empresa de gestin de riesgos de una analoga del cuerpo
Fraude y Seguridad (12) (2006), pp 15-19

Magerit, 2006
Magerit, 2006. Metodologa para el Anlisis de Sistemas de Informacin y Gestin de Riesgos: Libro1, el mtodo, el Ministerio de Administracones Pbli cas, Madrid.

Mayer et al., 2007


Mayer, N., Heymans, P., Matulevicius, R., 2007. Diseo de un lenguaje de modelado para el sistema de gestin de riesgos de seguridad de informacin. En: Actas de la Primera Conferencia Internacional sobre Retos de Investigacin en Ciencias de la Informacin (RCIS '07).

o 2. o o o 3. o o Microsoft, 2006
Microsoft, 2006. La gua de administracin de riesgos de seguridad, soluciones de Microsoft para la seguridad y el cumplimiento y el centro de seguridad de Microsoft de excelencia, Microsoft Corporation, EE.UU..

Mehari de 2007
Mehari de 2007. General, Club de la Scurit de I'Information Francais (CLUSIF).

o 4. o o o 5. o o Niekerk y Labuschagne, 2006


Niekerk, L., Labuschagne, L., 2006. El modelo peculio: la informacin de gestin de riesgos de seguridad para el africano SMME sur. En: Actas de la AISS desde Insight Conferencia Foresight, 5 al 7 de julio de 2006, Sandton, Sudfrica.

NCC, 2000
Centro Nacional de Computacin (CNC), 2000. La Informacin de Seguridad: 2000 Encuesta del Centro Nacional de Computacin, Reino Unido.

o 6. o o o 7. o o o o o Nosworthy, 2000 JD Nosworthy Un enfoque prctico de anlisis de riesgos: riesgo BCM gestin
Seguridad del ordenador y, 19 (7) (2000), pp 596-614

NIST SP800-30, 2002


NIST SP800-30, 2002. Gua de Gestin de Riesgos de los Sistemas de Tecnologa de la Informacin, Instituto Nacional de Estndares y Tecnologa , EE.UU..

Artculo | PDF (146 K) | Ver Registro de Scopus | Citado por en Scopus (9)

8. o o o 9. o o o o o 10. o o o o o 11. o o o Saleh et al., 2007 MS Saleh, A. Alrabiah, SH Bakry Un modelo de bancada para la investigacin de conformidad con la norma ISO 17799 2005 Robert y Rolf, 2003 C. Robert, Rolf M. Puesta en funcionamiento de la gestin de riesgos
Seguridad del ordenador y, 22 (6) (2003), pp 87-493

OCTAVE, 2005
OCTAVE, 2005. Gestin de la informacin de riesgos de seguridad, Carnegie Mellon, EE.UU..

Pyzdek, 2003 T. Pyzdek El Six Sigma Manual


McGraw-Hill, Nueva York (2003)

o o

Diario de Gestin de la Informacin y Seguridad Informtica, Esmeralda, 15 (4) (2007), pp 283 -294

Ver Registro de Scopus | El texto completo a travs de CrossRef | Citado por en Scopus (2)

12. o o o Saleh et al., 2006 MS Saleh, A. Alrabiah, SH Bakry Con ISO 17799-2005 seguridad estndar de gestin: una visin rebaje con seis sigma enfoque o o 13. o o o o o 14. o o o o o Smith y Eloff, 2002 E. Smith, JHP Eloff Un prototipo para la evaluacin de riesgos de tecnologa de informacin en salud
Seguridad del ordenador y, 21 (3) (2002), pp 266-284 Revista Internacional de Gestin de Red, Wiley, 17 (1) (2006), pp 85 -97

Saleh y Bakry, 2008 MS Saleh, SH Bakry Una visin general de la clave de riesgos de los mtodos de gestin
Arabia Computer Journal, 6 (2) (2008)

Artculo | PDF (750 K) | Ver Registro de Scopus | Citado por en Scopus (6)

15. o o Spears, 2006


Spears, J., 2006. Un mtodo holstico de anlisis de riesgos para identificar los riesgos de seguridad de informacin: Gestin de la Seguridad, Integridad y Control Interno en Sistemas de Informacin. ISBN :978-0-387-29826-9. pp 185-202.

o 16. o Syalim et al., 2009

Syalim, A., Hori, Y. Sakurai, K., 2009. Comparacin de los mtodos de anlisis de riesgos: Mehari, Magerit, NIST800-30 y la gua de administracin de seguridad de Microsoft. En: Procedimiento de la Conferencia Internacional sobre la disponibilidad, fiabilidad y seguridad, 16 y 19 de marzo de 2009, IEEE, pp 726-731.

o 17. o o Vorster y Labuschagne, 2005


Vorster, A., Labuschagne, L., 2005. Un marco para comparar la informacin de las diferentes metodologas de anlisis de riesgos de seguridad. En: Conferencia Anual de Investigacin de Cientficos y Tecnlogos ordenador informacin sobre la misma investigacin en los pases en desarrollo - SAICSIT, Actas del Congreso, pp 95-103.

o 18. o o o Werlinger et al., 2009 R. Werlinger, K. Hawkey, K. Beznosov Una visin integrada de los problemas humanos, organizativos y tecnolgicos de TI de gestin de la seguridad o o
Gestin de la Informacin y Seguridad Informtica, 17 (1) (2009), pp 4 -19

Ver Registro de Scopus | El texto completo a travs de CrossRef | Citado por en Scopus (17)

19. o o o o Zuccato, 2006 A. Zuccato Marco de gestin de la seguridad integral aplicada en el comercio electrnico
Seguridad del ordenador y, 26 (1) (2006), pp 256-265