Copyright 2005 Information Systems Audit and Control Association. Reservados todos los derechos. www.isaca.org.
Cmo Puede Medirse la Seguridad?
Por David A. Chapin -CISA, CISM, CISSP, IAM- y Steven Akridge -JD, CSM, CM, CISSP, IAM-
as mtricas de seguridad tradicionales son, en el me-
L jor de los casos, fortuitas; en el peor, dan una falsa
sensacin de seguridad, que lleva a una implantacin
ineficiente o insegura de medidas de seguridad. Este artculo
presenta un enfoque donde se combinan madurez y calidad
para proporcionar una imagen ms completa y ordenada del
estado de seguridad de una organizacin. Nos referiremos a
este enfoque como Modelo de Madurez del Programa de
Seguridad.
Las mtricas de seguridad -la medida de la eficacia de los
esfuerzos en seguridad de una organizacin a lo largo del
tiempo- han sido siempre difciles de evaluar. Cmo puede
determinar una organizacin si se encuentra segura? La me-
dida de la calidad del programa de seguridad slo puede
probarse realmente cuando la organizacin se ve agobiada
por una crisis. Pero para evitar esa situacin es precisamente
para lo que se realiza el esfuerzo en seguridad.
La gerencia necesita alguna medida de cmo de segura
est la organizacin. Las organizaciones necesitan pregun-
tarse:
Cuntos recursos son necesarios para estar "seguro"?
Cmo puede justificarse el coste de nuevas medidas de
seguridad?
Recibe la organizacin algo a cambio de su inversin?
Cundo sabe la organizacin que est "segura"?
Cmo puede comparar la organizacin su estado con
otras del sector y con los estndares de buenas prcticas?
La respuesta tradicional a estas preguntas se relaciona
con la evaluacin del riesgo y el riesgo residual que la orga-
nizacin est dispuesta a asumir en funcin de sus necesida-
des de negocio y limitaciones de presupuesto. La gestin del
riesgo puede darse por sentada, no conduciendo necesaria-
mente a un estado de mayor seguridad.
Imagine, por ejemplo, un anlisis de riesgos que contiene
una matriz de amenazas y el coste de mitigar los riesgos.
Algunos de los elementos de la lista tendran un coste insig-
nificante. Otros elementos seran muy caros (figura 1). Con
frecuencia, la gerencia puede decidir mitigar el mayor n-
mero de elementos por la menor cantidad de dinero, posi-
blemente dejando de lado los elementos ms caros. La supo-
sicin es que aadir controles de reduccin del riesgo es la
Fig. 1 - Sopesando el Coste de los Controles de Seguridad
Es mejor comprar ms por la misma cantidad de dinero?
INFORMATION SYSTEMS CONTROL JOURNAL, VOLUMEN 2, 2005
mejor opcin. Por ello, hay una tendencia a comprar grandes
cantidades de herramientas de seguridad y evitar los contro-
les ms caros y menos glamurosos. Los controles ms com-
plicados tienden a ser de naturaleza organizativa, requirien-
do cambios culturales (tales como un plan de recuperacin
de desastres), ms que soluciones llave en mano (tales como
cortafuegos y sistemas de deteccin de intrusos -IDSs-). La
direccin piensa que est comprando ms seguridad por
menos dinero.
Sin embargo, quin dice que se compre ms seguridad?
Cmo puede medir la organizacin la proteccin relativa
obtenida con cada adquisicin? Est comprando la organi-
zacin las salvaguardas de seguridad en el orden correcto?
Est exponindose la organizacin a ms riesgo debido al
enfoque no sistemtico de la implantacin?
Crear programas de seguridad desde cero permite abor-
dar estos problemas tradicionales de mtricas de seguridad
de otra forma. Una mirada renovada a dichos problemas fa-
cilita el desarrollo de una solucin exhaustiva para cualquier
sector.
Este enfoque nuevo, ms sistemtico, de las mtricas de
seguridad permitir:
Generar mediciones reproducibles y justificables.
Medir algo que tenga valor para la organizacin.
Determinar el progreso real en el estado de la seguridad.
Ser aplicable a un amplio espectro de organizaciones, al
tiempo que produce resultados similares.
Determinar el orden en que deberan aplicarse los contro-
les de seguridad.
Determinar los recursos que necesitan ser destinados al
programa de seguridad.
Mtricas de seguridad tradicionales. Qu
medir?
Una medida, por s misma, no es una mtrica. Debe in-
cluirse tambin el factor tiempo; tampoco la mtrica sola es
la respuesta a todos los problemas de la organizacin. Hay
que considerar y analizar el significado temporal de las m-
tricas. El truco est en desarrollar mtricas que sean simples
y proporcionen informacin til a la gerencia, a la vez que
se corresponden con objetivos relacionados con la seguri-
dad. Las mtricas tienen que iluminar a la organizacin
mostrando algn tipo de progreso.
Obviamente, la tarea de las mtricas de seguridad es con-
tar o medir algo. Pero, qu debera contarse? Cmo puede
medirse la seguridad? La figura 2 muestra ejemplos de m-
tricas de seguridad utilizadas tradicionalmente. Muchas or-
ganizaciones cuentan los incidentes tratados, p. ej., virus de-
tectados o eventos registrados. Cmo proporciona esto una
medida de la calidad del programa de seguridad? Cmo
muestra esto el progreso?
Los totales de incidentes son medidas poco fiables, por la
siguiente razn: imagine una pequea poblacin con un solo
agente de polica. No realiza otra tarea policial ms que pa-
trullar la carretera con un radar, deteniendo a cientos de
conductores por exceso de velocidad. Ahora, imagine una
gran ciudad con muchos policas. No usan radares y han pa-
rado a pocos conductores por exceso de velocidad, pero tie-
nen un gran programa de conduccin defensiva y otro de
prevencin de alcohol al volante. Es ms segura la pequea
poblacin que la gran ciudad? La cuenta de conductores por
exceso de velocidad es slo tan buena como el mecanismo cuando podran ser prevenidos de otra forma, como, p. ej.,
de deteccin, pero ese nmero no ofrece ninguna profundi- con mejor formacin.
zacin. Qu hay de los conductores borrachos que no ex- Finalmente, otra mtrica clsica es el coste del dao pro-
ceden la velocidad en la pequea poblacin?; no son po- vocado al negocio por un incidente de seguridad. En primer
tencialmente ms peligrosos? lugar, esto parte de que algo malo ha sucedido. Mientras que
puede que mida la eficacia de la respuesta ante el desastre,
no es necesariamente una buena medida de la calidad del
Figura 2 - Mtricas de Seguridad Tradicionales programa de seguridad. Algunos incidentes son funcin del
riesgo residual que la empresa est dispuesta a asumir, com-
Mtrica Supuesta Medicin Peligros
binados con circunstancias desafortunadas. O bien, otros in-
Nmero de Eficacia de los con- Por qu pasan tantos vi- cidentes pueden ser el resultado de prcticas de seguridad
virus o cdi- troles antivirus auto- rus en primer lugar? pobres que abren la puerta al desastre. Cmo pueden dis-
gos malig- mticos Cuntos pasaron y nun- tinguirse estos? O, puede que sucediera una de estas dos co-
nos detecta- ca se detectaron?
dos sas y la gestin de la crisis fue tan buena que produjo mni-
mo impacto en el negocio. Las salvaguardas proporcionan
Nmero de Nivel de actividad de Qu umbral desencade- slo un cierto grado de seguridad; siempre habr riesgos.
incidentes e la monitorizacin de na un incidente o una in-
La clave de las mtricas de seguridad est en obtener
investigacio- eventos de seguridad vestigacin? Se desen-
nes de segu- cadenan incidentes por medidas que tengan las siguientes caractersticas ideales:
ridad defectos en los procedi- Deberan medir cosas significativas para la organizacin.
mientos organizativos? Deberan ser reproducibles.
Coste de las Prdidas econmicas Qu riesgos residuales
Deberan ser objetivas e imparciales.
brechas de reales debidas a fa- eligi asumir la empresa? Deberan ser capaces de medir algn tipo de progresin a
seguridad llos de seguridad Es una medida de la lo largo del tiempo.
respuesta ante crisis o En la prctica, casi todas las mtricas de seguridad publi-
desastres, pero no nece- cadas carecen una o varias de estas caractersticas. Las m-
sariamente funcin de las
salvaguardas sensatas
tricas de seguridad tradicionales eran un asunto de "toma
implantadas? todo lo que puedas", es decir, cualquier mtrica que estuvie-
se disponible se agarraba y reportaba. Esta forma de pensar
Recursos Coste econmico re- Son ineficientes las debera cambiar.
asignados a al de utilizar un pro- herramientas, tareas
las funcio- grama de seguridad asignadas o procedimien- Se necesita un enfoque ms sistemtico para el desarrollo
nes de segu- tos, llevando al personal a de mtricas que encajen directamente en las caractersticas
ridad perder tiempo? mencionadas anteriormente.
Cumplimien- Nivel de cumplimien- Cmo se relaciona el
to de las re- to de los objetivos cumplimento con la efica- Madurez del Programa de Seguridad
glas de se- del programa de se- cia? Cul es el orden de Una pieza del puzzle de mtricas de seguridad es la me-
guridad guridad cumplimiento? Una vez dida del progreso del programa de seguridad frente a un
logrado el cumplimiento,
se "acaba" el programa
modelo de madurez. Este enfoque apunta directamente al
de seguridad? menos a dos de las cuatro caractersticas mencionadas con
anterioridad: mide cosas significativas para la organizacin
y la progresin hacia un objetivo.
Ahora, compare esto a una herramienta antivirus en un
Los pocos modelos de madurez de seguridad publicados
entorno de sistemas de informacin. El hecho de que est
estn resumidos en la figura 3. Por alguna razn, cada uno
reportando un gran nmero de virus puede dar la sensacin
tiene slo cinco niveles de madurez. Cada modelo parece
al equipo de seguridad que su herramienta est funcionando
sufrir de sus propios prejuicios acerca de la definicin de
pero, qu dice realmente acerca de la seguridad? En primer
madurez.
lugar, por qu estn entrando tantos virus? Cuntos entran
Aqu se propone que se use un nuevo estndar de madu-
y no son detectados? Cmo mide esto la calidad del pro-
rez. La madurez debera ser una medida slo del progreso
grama de seguridad? Debera considerarse como un gran
del programa a lo largo del tiempo, no necesariamente de la
xito el que el antivirus no detecte nunca un virus debido a
calidad de los elementos del mismo. Esta definicin de ma-
que ninguno llega a entrar en el sistema!
durez tiene varias caractersticas importantes:
Otra mtrica de seguridad tradicional es el tiempo dedi-
Proporciona el plan para un programa de seguridad com-
cado a una tarea -cunto tiempo dedica el personal a funcio-
pleto.
nes relacionadas con la seguridad-. En algunos casos, desde
Muestra a la gerencia el orden en el que implantar los
un punto de vista de direccin de proyecto, esta mtrica
elementos de seguridad.
puede ser valiosa, porque los dos nicos recursos que la
Conduce hacia la utilizacin de estndares de buenas
gente aporta a una organizacin son su capacidad intelectual
prcticas (p. ej., ISO 17799).1
y el tiempo que emplean utilizndola. Pero, desde el punto
Siempre y cuando se use un estndar, proporciona una
de vista de la seguridad, el tiempo de las personas puede no
forma de comparar el programa de seguridad de una orga-
ser una mtrica valiosa. Por ejemplo, al medir el tiempo de-
nizacin con el de otra.
dicado a investigaciones de seguridad, ms tiempo dedica-
Siguiendo este estndar de madurez, los modelos previos
do indica necesariamente un mejor estado de la seguridad?
sufren estas tres deficiencias clave:
Pudiera ser que el tiempo se est usando ineficientemente
1. Confunden calidad con existencia. Uno tiene que apren-
investigando incidentes de seguridad debido a que los pro-
der a andar antes de correr. La calidad de lo bien que uno
cedimientos de la organizacin son dbiles -desencadenando
anda no es necesariamente una indicacin de la habilidad
ms incidentes para ser tratados por el equipo de seguridad,
de correr.

INFORMATION SYSTEMS CONTROL JOURNAL, VOLUMEN 2, 2005

2. Los modelos existentes necesitan ser adaptados especfi- Figura 4 - Resumen General del Modelo de Madurez
camente a la organizacin. Por ello, es difcil comparar de Seguridad
directamente los resultados de una organizacin con los
Categoras N de Ele- Cuestiones cubiertas por los elementos
de otra. ISO 17799 mentos
3. Los modelos actuales tienden a provenir de perspectivas Medidos
de ingeniera o de gestin de proyectos. Por ello, se cen- 1. Gestin Necesidad, estrategia, compromiso,
tran en que los elementos cumplan con ciertas especifica- general de roles y responsabilidades, polticas y
11
ciones de estilo ingenieril. No dirigen necesariamente el la seguri- procedimientos
programa hacia un objetivo organizacional concreto y, dad
por ello, funcionan mal para un programa de seguridad. 2. Clasifi- Valoracin, evaluacin de riesgos,
La incorporacin filosofas de gestin de la calidad total cacin y propiedad, etiquetado y manejo, in-
5
(TQM) y Seis Sigma son un ejemplo de esto. control de ventario
activos
3. Seguri- Contratacin y finalizacin de contra-
Figura 3 - Modelos de Madurez de Seguridad Publicados
dad relativa to, roles y responsabilidades, investi-
8
al personal gacin de antecedentes, formacin,
Modelo Descripcin Comenta- reporte, revisin
rios
4. Seguri- Permetros, riesgos ambientales,
Modelo de Cinco niveles de madurez pro- Centrado en dad fsica y evaluacin de riesgos, controles de
Madurez de gresiva: niveles de del entorno acceso, seguridad, eliminacin y
Seguridad TI 1. Poltica documenta- 12
destruccin de activos, monitoriza-
de NIST 2. Procedimiento cin cin, gestin de incidentes, concien-
2
CSEAT 3. Implantacin ciacin, cooperacin
4. Prueba
5. Integracin 5. Control Permetros, evaluacin de riesgos,
de accesos controles de acceso, autenticacin,
Modelo de Cinco niveles de madurez pro- Centrado en necesidad de acceso, responsabili-
Evaluacin gresiva: conciencia- 11
dad del usuario, actualizacin de ac-
de la Segu- 1. Autocomplacencia cin y adop- cesos, monitorizacin, informtica
ridad de la 2. Reconocimiento cin por par- mvil, gestin de incidencias
Informacin 3. Integracin te de la or-
de Citigroup 4. Prcticas comunes ganizacin 6. Desarro- Estndares, modelo de ciclo de vida,
3
(CITI-ISEM) 5. Mejora continua llo y man- revisin, anlisis de diferencias, pla-
tenimiento nificacin de requerimientos, integri-
Modelo de Cinco niveles de madurez pro- Centrado en 9
de siste- dad y certificacin de tests, reposito-
madurez de gresiva: procedimien- mas rio de cdigo, gestin de versiones,
COBIT
4
1. Inicial / ad hoc tos especfi- retirada
2. Repetible pero intuitivo cos de audi-
3. Proceso definido tora 7. Gestin Estndares, todos los mtodos de
4. Gestionado y medible de comuni- comunicaciones electrnicas, proce-
5. Optimizado caciones y dimientos operativos, monitorizacin,
operacio- backups, gestin de excepciones,
Modelo Cinco niveles de madurez pro- Centrado en nes actualizaciones y parches, helpdesk,
SSE-CMM
5
gresiva: ingeniera de 16
gestin de cambios, sistemas cripto-
1. Realizado informalmente seguridad y grficos, gestin de soportes, cdigo
2. Planificado y perseguido diseo de maligno, aceptacin de sistemas, li-
3. Bien definido software brera de documentacin, planifica-
4. Controlado cuantitativamente cin de capacidades
5. Continuamente mejorado
8. Seguri- Funcin de seguridad, monitoriza-
Evaluacin Cinco niveles de madurez pro- Centrado en dad orga- cin, asesora, auditora, comit de
de la Capa- gresiva: la medicin nizacional seguridad, concienciacin, segrega-
cidad de 1. Existente de la calidad 11
cin de tareas, tests de penetracin y
Seguridad 2. Repetible relativa a ni- vulnerabilidad, gestin de inciden-
de 3. Persona designada veles de do- cias, cooperacin
6
CERT/CSO 4. Documentado cumentacin
5. Revisado y actualizado 9. Gestin Evaluacin de riesgos, gestin de
de conti- prioridades, backups, planificacin
Mide usando cuatro niveles: nuidad de 7 de continuidad de negocio y recupe-
1. Inicial negocio racin de desastres, pruebas, actua-
2. En desarrollo lizaciones
3. Establecido
10. Con- Reglamentaciones, contratos, pro-
4. Gestionado
formidad piedad intelectual, etiquetado y ma-
10
nejo, retencin de registros, audito-
Con la seguridad, el resultado debera ser ms parecido a ra, sanciones
una pliza de seguros. No es como fabricar un producto. En
vez de ello, la organizacin est socializando infraestructura Puesto que implica muy poca valoracin subjetiva, los
y cultura. resultados son reproducibles y objetivos. No se mide la cali-
Este nuevo acercamiento hacia un modelo detallado de dad o eficacia de la implantacin del elemento, aunque cier-
madurez de seguridad (llamado Modelo de Madurez del tos elementos (como los programas de auditora), si son eje-
Programa de Seguridad) toma un enfoque de sistema de ges- cutados, pueden llevar hacia otros controles de calidad. Esto
tin. Por ello, sigue el estndar ISO 17799 para desarrollar es parecido a las inspecciones de Sanidad de los restauran-
un programa de seguridad completo. Implica la existencia o tes. Las puntuaciones de inspeccin pueden decir qu res-
no existencia de un gran nmero de elementos (figura 4).

INFORMATION SYSTEMS CONTROL JOURNAL, VOLUMEN 2, 2005

taurantes evitar, pero no dicen nada acerca de si uno comer Estado de la seguridad
bien en aqullos que superaron la inspeccin. Una mejora del modelo de madurez es el estado de segu-
El nivel de madurez es una medida importante cuando se ridad, que modifica esencialmente el modelo de madurez
compara una organizacin con otra. Si el coeficiente de ma- basndose en la calidad de implantacin de cada elemento.
durez de una organizacin es de un 75%, querr conectar Una ventaja de aadir una medida de la calidad es que, a di-
su red con la de otra que slo llega al 25%? ferencia del ndice de madurez, el estado de seguridad no es
El nivel de madurez lleva a una organizacin a compren- un nivel esttico de realizacin. Es dinmico y puede cam-
der mejor su programa de seguridad en comparacin a otras biar basndose en la calidad de la ejecucin continua de los
semejantes. Proporciona un criterio con el cual evaluar el elementos del programa. El mantenimiento de un cierto es-
grado de confianza que puede ponerse en sistemas inform- tado de seguridad requiere una gestin activa del programa
ticos interconectados entre diferentes organizaciones. de seguridad.
Este modelo de madurez de seguridad es tambin una La calidad es una medida subjetiva. Pero, al estar separa-
gua para el orden en que se deberan implantar los elemen- da de la madurez, los dos valores no pueden confundirse,
tos del programa. La figura 5 muestra un ejemplo del acer- como en otros modelos. Se aconseja un factor de tres niveles
camiento paso a paso hacia la implantacin de elementos. (alto, medio, bajo), tal como se muestra en la figura 6. Con
En un programa maduro, los elementos son ejecutados ba- descripciones detalladas de los umbrales, es posible ser ob-
sndose en el resultado de las etapas de implantacin pre- jetivo y obtener resultados. Este esquema es similar al mo-
vias. Consecuentemente, le indica directamente a la gerencia delo de criticidad de la Infosec Assessment Methodology
cundo "comprar" seguridad. Responde a las preguntas ex- (IAM) de la National Security Agency (NSA) de EEUU,
puestas en la figura 1. donde los elementos tambin tienen tres niveles de calidad 7.
Pero, a diferencia del modelo IAM de la NSA, centrado en
Figura 5 - Ejemplos de Elementos de un datos y sistemas, proporciona una imagen ms rica de todo
Modelo de Madurez de Seguridad el programa de seguridad de la organizacin.
Orden de Elementos del programa de madurez
ejecucin 2. Clasificacin y control de activos Figura 6 - Ejemplo de una Medida de la Calidad de un
Modelo de Madurez de Seguridad
1 2.1 Se realiza una valoracin para identificar
y comprender los activos de informacin a pro- Elemento Si el elemento de madurez est implantado, entonces
teger. del pro-
Umbral de ba- Umbral de ca- Umbral de
grama de
2 2.2 Se realiza una evaluacin de riesgos pa- ja calidad lidad media alta calidad
madurez
ra identificar y cuantificar las amenazas a los
activos de informacin. 2.4 Desarro- Procedimientos Activos par- Clasificacin
llados pro- desarrollados cialmente clasi- presente en
3 2.3 Los activos de informacin tienen definidos cedimientos pero no im- ficados toda la orga-
encargados de sistemas y propietarios. de etique- plantados nizacin
4 2.4 Se desarrollan procedimientos de etique- tado clasi-
tado clasificatorio y de manejo de activos de ficatorio y
informacin. de manejo
de activos
5 2.5 Se instala un programa de inventario de de informa-
gestin de activos para manejar stos de cin
forma continua.

Una mtrica ideal de calidad de la seguridad podra utili-

Esto tambin evita el peligro de implantar medidas de zarse como un panel de control para la gerencia. Podra dar
seguridad en el orden incorrecto, introduciendo riesgos de una visin casi en tiempo real del estado de la seguridad de
seguridad precisamente por no implantar las salvaguardas la organizacin (ver figuras 7 y 8). Debera medirse sema-
sistemticamente. Por ejemplo, en la figura 5, la organiza- nalmente; la propiedad de elementos individuales de madu-
cin podra, de hecho, sufrir un dao si se implanta un sis- rez del programa debera ser asignada a departamentos es-
tema activo de gestin de inventario (elemento 2.5) antes de pecficos. As, clasificando los elementos por departamen-
valorar los activos y realizar una evaluacin de riesgos tos, la gerencia puede obtener una visin de la seguridad es-
(elementos 2.1 y 2.2). Si se completa en el orden incorrecto, pecficamente configurada en funcin de la estructura de la
podra suponer aos de rediseo del sistema de inventario organizacin.
para categorizar correctamente y, en ltima instancia, prote-
ger los activos. Fig. 7 - Ejemplo Simulado de Aumento de la Madurez
del Programa en el Tiempo
Puesto que este modelo es esencialmente una herramien-
ta detallada de conformidad, la gerencia puede malinterpre-
tar quizs la madurez del programa. Un alto nivel de madu-
rez puede dar la falsa impresin de conclusin de proyecto.
Puede indicar a la gerencia que ahora la organizacin est
"segura" y que no hay ya necesidad de apoyar el esfuerzo en
seguridad, cuando, en cambio, slo si los elementos han si-
do ejecutados con un alto nivel de calidad, puede ser indica-
tivo de un estado seguro. Pero, por otra parte, slo porque
una organizacin haya completado un elemento de seguri-
dad en particular, no quiere decir necesariamente que est
haciendo un buen uso de l. Esto es por lo que debe utilizar-
se una herramienta de medida separada para medir la cali-
dad o eficacia de la implantacin actual.

INFORMATION SYSTEMS CONTROL JOURNAL, VOLUMEN 2, 2005

 Fig. 8 - Ejemplo Simulado de Aumento de la Calidad en el
Tiempo Usando una Mtrica de Actitud
Estado de Seguridad Figura 9 - Ejemplo Simulado Mostrando una Comparativa
de Rendimientos de Seguridad por
Departamentos sobre un Panel de Control
Depar Elementos de Nivel de ma- Calidad de los
ta- madurez durez elementos de se-
mento (los implementados, guridad implanta-
en negrita)
dos

Alta Media Baja

1 1.1, 3.2, 4.1, Tres (3) de
7.5 cuatro (4) im-
plementados -
75%
2 7.1, 7.2, 7.3, Doce (12) de
7.4, 7.6, 7.7, 15 implemen-
7.8, 7.9, 7.10, tados - 80%
7.11, 7.12,
7.13, 7.14,
7.15, 7.16
3 4.2, 4.3, 4.4, Ocho (8) de 11
4.5, 4.6, 4.7, implementados
4.8, 4.9, 4.10, - 73%
4.11, 4.12

La figura 9 proporciona un ejemplo simulado de una or-

ganizacin ficticia semejante. De un vistazo, se puede com-
probar qu nivel alcanza cada departamento en madurez y
calidad. Por ejemplo, el departamento 2 est ms maduro,
pero su calidad es ms baja que la de los otros dos departa-
mentos y, mientras los departamentos 1 y 3 estn casi al
mismo nivel de madurez, la calidad de la implantacin del
departamento 1 es ms alta.
Estas evaluaciones necesitan una gestin activa constan-
te. Mediante el uso de mtricas de seguridad de esta manera,
la organizacin incorpora la seguridad profundamente en su
estructura. Las mtricas de seguridad se convierten entonces
en un indicador significativo del rendimiento organizacio-
nal, porque fueron diseadas para satisfacer los objetivos
iniciales de las mismas. Una organizacin puede demostrar
fcilmente mejoras en el estado de seguridad a lo largo del
tiempo. Adems, segn los elementos de seguridad se van
adoptando de forma ms sistemtica, la direccin puede
empezar a comprender los costes y beneficios de un pro-
grama de seguridad organizado, maduro y de alta calidad.
Estn ordenados por categoras de ISO 17799, con los
nmeros entre parntesis indicando el nmero real de ele-
mentos del programa utilizados para el ndice de madurez.
Todas las medidas de calidad de los elementos existentes
del programa se agregan en dos momentos diferentes.
Notas finales
1
ISO/IEC 17799:2000(E), Information TechnologyCode
of Practice for Information Security Management, Diciem-
bre, 2000
2
National Institute of Standards and Technology (NIST)
Computer Security Expert Assist Team (CSEAT) IT Model,
csrc.nist.gov/cseat/cseat_IT_Security_Maturity_Levels.htm
3
Dunbar, Thomas M.; Information Metrics @ Citigroup,
14 Jun. 2000, Computer System Security and Privacy Advi-
sory Board (CSSPAB) workshop Approaches to Measuring
Security,
http://csrc.nist.gov/ispab/june13-15/Citigroup.pdf
4
IT Governance Institute (ITGI), Control Objectives for In-
formation and related Technology (COBIT), EEUU, 2000,
www.itgi.org. Ver tambin www.auckland.ac.nz/security/
InfomationSecurityMaturityAssessment.htm, versin borra-
dor 0.1, 2003.
5
Systems Security Engineering Capability Maturity Model,
(SSE-CMM), Carnegie Melon University, 1999, www.sse-
cmm.org
6
CERT Security Capability Assessment Tool, CSO Onli-
ne, CXO Media Inc. y Carnegie Melon University, 2003,
www.csoonline.com/surveys/securitycapability.html
7
G. Miles, et al., Security Assessment: Case Studies for Im-
plementing the NSA IAM, Sygress Publishing Inc., 2004

INFORMATION SYSTEMS CONTROL JOURNAL, VOLUMEN 2, 2005

David Chapin, CISA, CISM, CISSP, IAM
es consultor de seguridad independiente. Sus campos de in-
ters actuales incluyen diseo de infraestructuras de seguri-
dad, gestin de seguridad, evaluacin de informacin y se-
guridad organizacional. Tiene tres patentes en procesos de
negocio. Se le puede contactar en dchapin@earthlink.net.

Steven Akridge, JD, CISM, CM, CISSP, IAM

es consultor de seguridad independiente. Sus campos de in-
ters actuales incluyen gestin de seguridad, seguridad or-
ganizacional, metodologas de evaluacin, tcnicas forenses,
criptografa y seguridad en inteligencia. Ha participado en
numerosos comits de la industria de la seguridad, inclu-
yendo el Comit de Direccin de la Infraestructura Federal
de Clave Pblica, la Sociedad para la Seguridad de Infraes-
tructuras Crticas y la Asociacin Nacional de CIOs del Es-
tado. Se le puede contactar en steveakridge@cissp.com.

Este Trabajo est traducido al espaol por Javier Ruiz Spohr (www.iso27000.es) de la versin en ingls de How can security
be measured?, con permiso de ISACA. Javier Ruiz Spohr asume toda la responsabilidad de la exactitud y fidelidad de la
traduccin.
2005 Information Systems Audit and Control Association (ISACA). Todos los derechos reservados. Ninguna parte de esta
publicacin puede ser usada, copiada, reproducida, modificada, distribuida, mostrada, almacenada en sistemas de recupera-
cin o transmitida en forma alguna por ningn medio (electrnico, mecnico, fotocopiando, grabando o cualquier otro), sin
autorizacin previa por escrito de ISACA.
This Work is translated by Javier Ruiz Spohr (www.iso27000.es) into Spanish from the English language version of How
can security be measured? with the permission of the ISACA. Javier Ruiz Spohr assumes sole responsibility for the accu-
racy and faithfulness of the translation.
2005 Information Systems Audit and Control Association (ISACA). All rights reserved. No part of this publication may
be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any
means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

INFORMATION SYSTEMS CONTROL JOURNAL, VOLUMEN 2, 2005