Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.

Más información disponible en www.DeepL.com/pro.

COMPUTER s & s ECUR I TY 2 5 (2006) 413-41 9

d i s p o n i b l e en w w w .sc ienc
edirect.com

Página web de la revista:

www.elsevier.com/locate/cose

Un método cuantitativo para el análisis de las deficiencias

de la norma ISO 17799

Bilge Karabacaka,*, Ibrahim Sogukpinarb

Instituto Nacional de Investigación en Electrónica y Criptología (UEKAE), Tunus Caddesi No: 80, 06100 Kavaklidere, Ankara Turquía
a

Instituto de Tecnología de Gebze, 41400 Gebze, Kocaeli, Turquía

b

A R T ÍC U L OEN F O AB S T R AC T O
R M A
ISO/IEC 17799:2005 es una de las principales normas de seguridad de la información. Se
Historia del artículo: trata de un código de buenas prácticas que incluye 133 controles en 11 ámbitos
Recibido el 7 de mayo de diferentes. Hay una serie de herramientas y programas informáticos que utilizan las
2005
organizaciones para comprobar si cumplen esta norma. La tarea de comprobar el
Revisado el 22 de marzo de
cumplimiento ayuda a las organizaciones a determinar su conformidad con los controles
2006
enumerados en la norma y a obtener resultados útiles para el proceso de certificación. En
Aceptado el 19 de mayo de
2006 este artículo se propone un método de encuesta cuantitativa para evaluar la conformidad
con la norma ISO 17799. Nuestro estudio de caso ha demostrado que el método de
Palabras clave: encuesta ofrece resultados precisos de conformidad en poco tiempo y con un coste
BS 7799 minimizado.
ISO 17799 ª 2006 Elsevier Ltd. Todos los derechos
reservados.
ISO 27001
Cumplimiento
Seguridad de la
información Análisis
de riesgos
Análisis cuantitativo de
riesgos Encuesta

de certificación formal para la norma BS 7799 en 1999, que se

1. Introducción
denominó BS 7799- 2:1999. En 2005, ISO publicó su propia
norma de certificación, ISO/IEC 27001:2005 (ISO, 2005). ISO/IEC
Las normas desempeñan un papel esencial para trazar la hoja
17799:2005 e ISO/
de ruta de la seguridad de la información. ISO/IEC 17799:2005
IEC 27001:2005 tienen relaciones sólidas. ISO/IEC 17799:2005
es una norma esencial para la seguridad de la información
(ISO/IEC, 2005). Originalmente, era una norma británica
denominada BS 7799, que fue revisada a gran escala en 1999.
Tras esta revisión, la Organización Internacional de
Normalización adoptó la BS 7799 como norma internacional
(Tong et al., 2003). La nueva norma mundial se denominó
ISO/IEC 17799:2000. La ISO 17799 se revisó
significativamente en 2005.
La British Standards Institution puso en marcha un sistema
 deficiencias en el que se descubren las diferencias entre la
es el código de buenas prácticas en el que existen 133
situación de la organización y la norma. La tarea de
controles. ISO/IEC 27001:2005 establece el marco del
comprobar el nivel de conformidad ayuda a las empresas a
Sistema de Gestión de la Seguridad de la Información. Los
determinar su situación, por lo que supone una aportación
controles, que se enumeran en la primera, se utilizan
útil al proceso de certificación.
sistemáticamente en los Sistemas de Gestión de la Seguridad
La certificación se ha convertido en un tema popular para las
de la Información.
organizaciones. En la actualidad, muchas organizaciones
La conformidad es el proceso práctico de comparar los
solicitan la certificación ISO 27001 (o BS 7799). Además,
controles aplicados por una organización con los de la
algunas organizaciones están en vías de obtener la certificación.
norma ISO 17799. Se trata básicamente de un análisis de
Algunas ya están certificadas. Se espera tener

* Autor correspondiente.
Direcciones de correo electrónico: bilge@uekae.tubitak.gov.tr (B. Karabacak), ispinar@bilmuh.gyte.edu.tr (I. Sogukpinar).
0167-4048/$ - see front matter ª 2006 Elsevier Ltd. Todos los derechos reservados.
doi:10.1016/j.cose.2006.05.001
414 CO M P U T E R s & s E CURITY 2 5 (2006) 413-41 9
significativo aumento internacional de la demanda de
certificación.1 Así, la importancia del proceso de conformidad
aumenta día a día.
En este trabajo, propusimos un método de encuesta
cuantitativa para evaluar el cumplimiento de la norma ISO
17799. Este método se basa en el modelo de riesgo de
ISRAM (Karabacak y Sogukpinar, 2005). El modelo de
riesgo de ISRAM está personalizado para ser utilizado en un
proceso de cumplimiento. El ISRAM es una herramienta
cuantitativa de análisis de riesgos basada en encuestas, que
utiliza operaciones matemáticas básicas. Su modelo de riesgo
se basa en la famosa fórmula del riesgo; el riesgo es igual a la
multiplicación de la probabilidad de ocurrencia de una
amenaza y el impacto de la amenaza ocurrida. ISRAM elabora
esta fórmula básica de riesgo, de modo que la fórmula de
riesgo contiene el número de participantes, el número de
preguntas, el peso de las preguntas y los pesos de las opciones
de respuesta. La encuesta, y por tanto el proceso de análisis
de riesgos, puede completarse con éxito siguiendo el modelo
de riesgo de ISRAM. Se remite al lector a (Karabacak y
Sogukpinar, 2005) para una explicación detallada.
Al igual que la ISRAM, el corazón del método de
cumplimiento propuesto es
una fórmula cuantitativa. La fórmula cubre los pasos
básicos de una encuesta de conformidad. En este caso,
produce el porcentaje de conformidad en lugar de un valor
de riesgo. Nuestro método de conformidad asigna valores de
peso cuantitativos a los controles ISO 17799. Estos controles
se convierten en preguntas de la encuesta. Designa
opciones de respuesta a todas las preguntas, y también se
asignan valores de ponderación a todas las opciones de
respuesta. Los valores de ponderación de las respuestas y
las preguntas se representan como variables en nuestro
modelo. Además de estos valores, el número de
participantes y el porcentaje de operadores de conversión
también están representados en nuestro modelo.
Nuestro método de cumplimiento hereda las ventajas de la
ISRAM. El método de conformidad propuesto es rentable y
flexible. La organización puede cambiar los valores de
ponderación según sus necesidades. No requiere ningún
software especializado. El modelo abierto de nuestro método
da lugar a su facilidad de uso, que es crucial para las
comprobaciones de conformidad.
El resto de este documento se organiza como sigue: En la
segunda sección se presentan los métodos de cumplimiento y
certificación de la norma ISO 17799. El método propuesto
para el cumplimiento de la norma ISO 17799 se presenta en la
tercera sección. La cuarta sección contiene algunas ideas
sobre la verificación, la comparación y los resultados de la
aplicación. La quinta sección es la conclusión.
2. Métodos para cumplir la norma ISO 17799
En la actualidad, existen varias herramientas para llevar a
cabo el cumplimiento de la norma ISO 17799. Estas
herramientas suelen utilizar cuestionarios para determinar el
nivel de conformidad (USGAO, 1999). La mayoría de ellas
son principalmente software de análisis de riesgos, que
cuentan con el apoyo del módulo de cumplimiento de la
Cobra es una herramienta de software más para cumplir la
norma ISO 17799 (C&A Systems Security Limited, 2000). Al
igual que Riskwatch, Cobra tiene un módulo ISO 17799. Una
vez que un analista de riesgos ejecuta el módulo, se le
formulan una serie de preguntas extraídas de la norma ISO
17799. Según las opciones de respuesta seleccionadas, el
modelo de riesgos de Cobra calcula el porcentaje de
cumplimiento de la norma ISO 17799.
CRAMM (CRAMM, 2001) también realiza análisis de
deficiencias ISO 17799. CRAMM se utiliza ampliamente en la
OTAN. Al igual que otras herramientas de análisis de riesgos
basadas en software, CRAMM tiene un módulo ISO 17799.
Utilizando este módulo de preguntas, el análisis de brechas ISO
17799 se realiza de la misma manera.
ISO 17799 Toolkit (El ISO 17799 Toolkit) es una serie de
documentos y elementos reunidos para ayudar a las empresas
en el proceso de certificación ISO 17799. Los documentos en
el kit de herramientas se componen de preguntas y opciones de
respuesta relacionadas con la política de seguridad de la
información, análisis de impacto en el negocio, la
planificación de recuperación de desastres, análisis de
dependencia y análisis de continuidad. A diferencia de las
herramientas de software existentes en el mercado, ISO
17799 Toolkit no realiza una comprobación de conformidad.
Guía directamente al usuario para establecer un sistema de
gestión de la seguridad de la información.
Existen propuestas novedosas para la certificación ISO
17799. La certificación incremental de la seguridad de la
información (Solms y Solms, 2001) es uno de estos métodos.
La certificación de seguridad incremental divide la norma ISO
7799 en diferentes niveles. Cada uno de los niveles contiene un
subconjunto de los controles de la ISO 7799. Por ejemplo,
una empresa puede obtener una certificación de nivel 1 si
cumple los requisitos especificados para dicho nivel. La idea
básica que subyace a la certificación de seguridad incremental
es la de "todo o nada" en el proceso de certificación (Solms y
Solms, 2001). Aunque la mayoría de las empresas desean
obtener algún tipo de certificación de seguridad de la
información, la vía oficial de certificación puede resultar muy
difícil debido a su diseño de "todo o nada". Las herramientas
dedicadas a la certificación ISO 17799 aún no están muy
extendidas y son bastante caras. La certificación de seguridad
incremental se propone como un método alternativo más
sencillo.
El método de análisis de riesgos para la seguridad de la
información, ISRAM, utiliza
una fórmula basada en encuestas para el análisis cuantitativo
del riesgo (Karaba- cak y Sogukpinar, 2005). Convierte las
preguntas de la encuesta y las opciones de respuesta en
números y realiza los cálculos necesarios para expresar el
riesgo. Para ello, utiliza un modelo de riesgo abierto. Dado
que el cumplimiento de la norma ISO 17799 puede ser
realizado por
hacer una encuesta y analizar los resultados, ISRAM puede ser
norma ISO 17799.
Riskwatch es uno de los programas informáticos de análisis
de riesgos del mercado (Riskwatch, 2005). Riskwatch se utiliza
ampliamente en organizaciones privadas y gubernamentales.
Algunos de los clientes de Riskwatch son el Departamento de
Defensa de EE.UU., el Departamento de Justicia de EE.UU., la
NSA, AT&T y General Electric. Riskwatch tiene una estructura
modular. La base de conocimientos ISO 17799 es uno de estos
módulos, mediante el cual se realiza el análisis de brechas ISO
17799. utilizado en el proceso de conformidad con la norma ISO 17799.

1Computer Fraud & Security (2003), BS 7799-Slow uptake by

companies, p. 3.
3. Evaluación del cumplimiento de la
norma ISO 17799 mediante una encuesta
cuantitativa

ISO 17799 no es una norma técnica. Está relacionada con los

riesgos empresariales y la propia información. Por lo tanto,
teniendo en cuenta el alcance, al menos una persona de cada
área afectada dentro del alcance debe participar en el proceso
de cumplimiento de la norma ISO 17799. El enfoque más
adecuado para alcanzar este objetivo es realizar una
encuesta, que debe cubrir todas las áreas afectadas dentro del
alcance.

3.1. El modelo de evaluación del cumplimiento

Nuestro modelo de evaluación del cumplimiento de la norma

ISO 17799 se deduce del modelo de riesgo de I S R A M .
ISRAM tiene un
 COMPUTER s & s ECUR
fórmula de cálculo del riesgo abierto. Todo el proceso de la
encuesta puede seguirse examinando la fórmula básica. El
número y los valores de las preguntas de la encuesta, el
número de participantes y las opciones de respuesta pueden
modificarse libremente.
Nuestro modelo de conformidad se muestra en la fórmula
(1). El número de controles de la norma ISO 17799 limita el
número de preguntas de nuestro m o d e l o personalizado.
Por lo tanto, el número de preguntas puede ser como máximo
133. Dependiendo del tipo de organización, y sus procesos
dentro de la organización, este número puede ser inferior a
133. Dependiendo del tipo de organización, y sus procesos
dentro de la organización, este número puede ser inferior a
133. Por ejemplo, si la organización no dispone de
instalaciones de desarrollo de software, los controles
relacionados con el desarrollo de software deben eliminarse
de la encuesta. Así, estos controles de no contribuyen
negativamente al valor de cumplimiento.
La norma ISO 17799 puede considerarse como una lista
de contramedidas, que se organiza en 11 cláusulas
fundamentales (Tabla 1). Una vez que una organización
decide realizar una comprobación de conformidad, debe
seleccionar las cláusulas pertinentes y las preguntas
pertinentes dentro de las cláusulas según el alcance del
proceso de conformidad y sus procesos empresariales
dentro del alcance.
P P
V w
pmm
f m
Porcentaje de conformidad ¼ (1)
f
donde f, el número de inspectores para una norma ISO 17799
determinada
cláusula. (El número de encuestadores depende de la cláusula
de ISO 17799); m, número total de controles (preguntas) que
se extraen de la cláusula especificada de ISO 17799. (Los
valores máximos de m se muestran en la Tabla 1.); wm , peso
del control (pregunta) 'm'; pm , peso de la opción de respuesta
seleccionada para el control (pregunta) 'm'; V, valor numérico
de la versión porcentual. Esta operación convierte el resultado
global de la encuesta en un valor porcentual, es decir, "xx%";
CompliancePercentage (Porcentaje de conformidad), valor
porcentual único para la conformidad con la norma ISO
17799 para una cláusula especificada. En la fórmula (1)
pueden verse todos los factores del análisis de las deficiencias
de la norma ISO 17799. Estos factores son el número de
participantes para cada cláusula, el número de controles y sus
valores de peso, las opciones de respuesta para cada control y
sus valores de peso. El resultado de la fórmula (1) es el
porcentaje de cumplimiento de la norma ISO 17799. La
herramienta delta inversa convierte el resultado de la encuesta
masiva en el
Cuadro 1 - Cláusulas y número de control dentro de las
cláusulas
Cláusula ISO 17799 El número
de controles
dentro de la
cláusula
Política de seguridad 2
Organización de la seguridad de la información 11
Gestión de activos 5
Seguridad de los recursos humanos 9
I TY 2 5 (2006) 413-41 9 415
valor porcentual. Es una simple operación de proporción
directa. Calcula el valor máximo del resultado global de
una encuesta determinada (como si todos los controles
existieran en la empresa). Una vez calculados los
resultados máximos y reales de la encuesta, el delta inverso
convierte este resultado global en un valor porcentual
mediante una operación de proporción directa.
Las preguntas de la encuesta deben dirigirse al personal
pertinente dentro del ámbito de aplicación. La estructura
modular de nuestro método de conformidad lo hace
posible. El número y los perfiles de los participantes en la
encuesta dependen de la cláusula de la norma ISO 17799. En
nuestro estudio de caso, las preguntas relativas a la cláusula
de política de seguridad se dirigen a siete participantes, que
son el director general, el director comercial y los
responsables de seguridad. Las preguntas relativas a la
cláusula de gestión de activos se dirigen a 40 participantes,
que son los administradores de sistemas, los
administradores de seguridad y los desarrolladores de
sistemas. Los detalles del proceso de encuesta se explican
en las secciones siguientes.
3.2. Pregunta extraída de la encuesta
Algunas de las preguntas extraídas de la encuesta están
escritas en
El cuadro 2, que se clasifica en 11 cláusulas como en la norma
ISO
Norma 17799. Aquí no se pueden escribir todas las preguntas,
porque se extraen 133 preguntas.
Estas preguntas no son más que los enunciados de
control de la norma, pero convertidos a las preguntas de la
encuesta.
3.3. Módulo de evaluación de encuestas
La evaluación de encuestas se basa en medidas cuantitativas.
Para evaluar una encuesta, es necesario convertir las
preguntas de la encuesta y las opciones de respuesta en
valores numéricos. Para ello se utilizan las tablas 3 y 4,
respectivamente. Son similares a las tablas de referencia del
método ISRAM. Las Tablas 3 y 4 se preparan teniendo en
cuenta los requisitos de conformidad.
En nuestro método, los valores de ponderación de las
preguntas y las opciones de respuesta se determinan utilizando
varias normas y mejores prácticas como BS 7799-2, COBIT, ISF
y las directrices del NIST (BSI, 2002; ISACA, 2004; ISF, 2003;
NIST, 2001; NIST, 2002). Pero estas
los valores de peso pueden modificarse en función de la
seguridad
requisitos de la organización y esta tarea corresponde a los
miembros del equipo de cumplimiento. Por ejemplo, en el
caso de las organizaciones militares, es posible que las
sesiones inactivas deban cerrarse tras un periodo de inactividad
definido. Por otra parte, este control puede ser omitido por las
universidades. En este caso, la organización militar debería dar
más valor a este control. La misma situación se aplica a la
ponderación de las opciones de respuesta. En la tabla 5 se
 muestran algunos controles, sus opciones de respuesta y la
se dan valores de ponderación. Algunas de las preguntas son
simplemente sí-no. Otras tienen varias opciones. En las
preguntas de opción múltiple, sólo se permite seleccionar una
opción de respuesta.
La primera pregunta del cuadro 5 es de tipo sí-no. La
segunda es una pregunta de opción múltiple. Si el control se
compone de un solo factor, como la primera pregunta, se
c o n s i d e r a una pregunta de sí-no. Si el control de la
norma ISO 17799 se compone de varios factores, como en la
segunda pregunta, se ofrecen todas las opciones de respuesta
posibles, tal y como se indica en la tabla 5. Tenga en cuenta
que la ponderación de dos o más opciones de respuesta puede
ser la misma.
 416 CO M P U T E R s
Cuadro 2 - Algunas de las preguntas extraídas
Política de seguridad
Organización de la seguridad de la información
diferentes partes de
Gestión de activos
Seguridad de los recursos humanos
Seguridad física y medioambiental
Gestión de comunicaciones y operaciones
usuarios que
Control de acceso
Adquisición, desarrollo y mantenimiento de la
seguridad de la información
Gestión de incidentes de seguridad de la información
Gestión de la continuidad de la actividad
Cumplimiento
Los valores de ponderación deben determinarse
cuidadosamente y acordarse antes de cada proceso de
comprobación del cumplimiento, ya que el porcentaje de
cumplimiento está directamente relacionado con los valores
de ponderación de las preguntas y sus respuestas. Los
valores de ponderación deben ser seleccionados por un
comité (equipo de cumplimiento) cuyos miembros deben
estar familiarizados con los conceptos de seguridad de la
información.
& s E CURITY 2 5 (2006) 413-41 9
¿Existe un documento de política de seguridad de la información aprobado por la
dirección, y publicado y comunicado a todos los empleados y partes externas
pertinentes?
¿Las actividades de seguridad de la información están coordinadas por representantes de
la organización con los roles y funciones laborales pertinentes?
¿Están claramente definidas todas las responsabilidades en materia de seguridad de la
información?
¿Se ha definido y aplicado un proceso de autorización de la dirección para las nuevas
instalaciones de tratamiento de la información?
¿Están todos los activos claramente identificados y se ha elaborado y mantenido un
inventario de todos los activos importantes?
¿Toda la información y los activos asociados a las instalaciones de procesamiento de la
información son propiedad de una parte designada de la organización?
¿Existe un proceso disciplinario formal para los empleados que han cometido una
infracción de seguridad?
¿Están claramente definidas y asignadas las responsabilidades para llevar a cabo la
rescisión o el cambio de empleo?
¿Se ha diseñado y aplicado la seguridad física de oficinas, salas e instalaciones?
¿Se diseñan y aplican la protección física y las directrices para trabajar en zonas seguras?
¿Se mantiene correctamente el equipo para garantizar su disponibilidad e integridad
continuas?
¿Se documentan, mantienen y ponen los procedimientos operativos a disposición de todos los
¿Los necesita?
¿Se controlan los cambios en las instalaciones y sistemas de tratamiento de la
información?
¿Están restringidos y controlados la asignación y el uso de privilegios?
¿Se controla la asignación de contraseñas mediante un proceso de gestión formal?
¿Se exige a los usuarios que sigan buenas prácticas de seguridad en la selección y
uso de contraseñas?
¿Se cierran las sesiones inactivas tras un periodo definido de inactividad?
¿Se validan los datos introducidos en las aplicaciones para garantizar que son
correctos y adecuados?
¿Existe una gestión de claves que respalde el uso de técnicas criptográficas por parte de
la organización?
¿Existen procedimientos para controlar la instalación de software en los sistemas
operativos?
¿Se notifican los incidentes de seguridad de la información a través de los canales de gestión
adecuados como
lo más rápidamente posible?
¿Se comprueban y actualizan periódicamente los planes de continuidad de la actividad para
garantizar que están al día?
¿fecha y efecto?
¿Se garantizan la protección de datos y la privacidad tal y como exigen la legislación
y la normativa pertinentes y, si procede, las cláusulas contractuales?
¿Se utilizan los controles criptográficos de conformidad con todos los acuerdos, leyes y
reglamentos pertinentes?
También es importante que, antes de cada control de
conformidad, se oriente a los inspectores. Hay que señalar
que sus respuestas a las preguntas afectarán directamente a
las futuras inversiones de la empresa en seguridad de la
información.
Los siguientes controles se consideran esenciales para una
organización desde el punto de vista legislativo, en función de
la legislación aplicable (ISO/IEC, 2005):
a. Protección de datos y privacidad de la información
personal.
b. Protección de los registros de la organización.
c. Derechos de propiedad intelectual.

Los siguientes controles se consideran prácticas

habituales para la seguridad de la información (ISO/IEC,
2005):

a. Documento de política de seguridad de la información

(McEvoy y Whitcombe, 2002).
b. Asignación de responsabilidades en materia de seguridad de
la información.
c. Concienciación, educación y formación en seguridad de
la información.
d. Tratamiento correcto en las aplicaciones.
e. Gestión técnica de la vulnerabilidad.
 COMPUTER s & s ECUR I TY 2 5 (2006) 413-41 9 417

Cuadro 5 - Un subconjunto de preguntas, opciones de

respuesta y sus valores de ponderación
Cuadro 3 - Tabla de referencia para los valores ponderales Preguntas de control y Opciones de
de los controles respuesta y ponderaciones correspondientes
Peso de Explicación ponderaciones
correspondientes
el control (w)
¿Se cierran las sesiones inactivas Sí (2)
3 El control está directamente asociado al después de un período definido de No (0)
cumplimiento de la norma ISO 17799. La inactividad? (2)
ausencia del control está directamente ¿Es una política de seguridad de la información Sí - todas
asociada a una vulnerabilidad grave y/o el (4) documento aprobado por Sí, pero no comunicada a
control está directamente asociado a un la dirección, y publicada a partes externas (3)
activo crítico. y comunicado a todos Sí, pero
2 El control está asociado de alguna manera con parcialmente a los empleados y comunicados (2)
el cumplimiento de la norma ISO 17799. La partes externas? (3) Sí, pero no se ha comunicado
ausencia del control está directamente asociada (1) Sí, pero no se ha publicado
a una vulnerabilidad importante y/o el control (0)
está directamente asociado a un activo Sí pero no aprobado (0)
importante. No - ninguno (0)
1 El control está poco asociado al cumplimiento
de la norma ISO 17799. La ausencia del control
La autenticación y el mecanismo de control de acceso son
está directamente asociada a una vulnerabilidad
módulos vitales para obtener resultados precisos. Este
insignificante y/o el control está indirectamente
asociado a un activo importante mecanismo sólo permite el acceso a los inspectores
f. Gestión de la continuidad de las actividades. designados para cada cláusula de la norma ISO 17799. En el
g. Gestión de incidentes y mejoras en la seguridad de la cuadro 6 se presenta la aplicación del mecanismo de control
información. de acceso a nuestro caso práctico.

Por lo tanto, debe prestarse especial atención a los

controles relacionados con estos factores. Los valores de 4. Los resultados de la
ponderación de estas preguntas y sus opciones de respuesta aplicación, verificación y
positiva deben maximizarse. comparación

Se realiza un estudio de caso para medir la conformidad de

3.4. Aplicación del método
una organización gubernamental que cuenta con unos 200
empleados. Todo el personal participa en la encuesta. La
Se realizan varias aplicaciones técnicas preliminares. En
encuesta abarca todas las cláusulas de la norma ISO 17799.
primer lugar, se programa una aplicación de encuesta
Los detalles de la encuesta y los resultados se muestran en la
utilizando tecnologías web ASP® . La página web de la
Tabla 6.
encuesta se coloca en el servidor web de la organización. Se
En el Cuadro 6 también se muestran las funciones de los
desarrolla un mecanismo integrado de autenticación y control
participantes en la encuesta para cada cláusula. Obsérvese
de acceso para que los usuarios autorizados puedan ver y
que, debido a la estructura modular de nuestro modelo,
responder sólo a las preguntas que les corresponden.
pueden calcularse los cumplimientos parciales de cada
Todas las preguntas y opciones de respuesta y sus valores
cláusula. Esto ayuda a ver qué cláusulas muestran más
de ponderación se importan a la aplicación de encuestas
incumplimientos de la norma. En nuestro caso práctico, la
basada en web. El módulo de evaluación de la encuesta es el
empresa tiene problemas importantes en las cláusulas de
núcleo del proceso. Aplica el modelo de conformidad descrito
seguridad física y medioambiental, gestión de la
en la fórmula (1). Calcula el porcentaje de conformidad a
continuidad de negocio y control de acceso. Aplicando los
partir de las respuestas d e los encuestados (Fig. 1).
tratamientos necesarios a estas cláusulas, el porcentaje de
conformidad puede elevarse al 70%.
El valor porcentual final de cumplimiento, 49%, se obtiene
de tomando la media aritmética de los valores porcentuales
Tabla 4 - Posibles valores de ponderación de las opciones
de respuesta individuales de
Peso del Explicación
opción de respuesta
(p)

4 Opción de respuesta más eficaz. Afecta

enormemente al cumplimiento
3 Opción de respuesta bastante eficaz.
Afecta mucho al cumplimiento
2 Opción de respuesta algo eficaz. Afecta
considerablemente al cumplimiento
1 Opción de respuesta menos eficaz.
Afectar ligeramente al cumplimiento
0 Sin efecto sobre el cumplimiento
Fig. 1 - Diagrama de flujo básico de la aplicación del
proceso de encuesta cuantitativa.
418 CO M P U T E R s & s E CURITY 2 5 (2006) 413-41 9

Cuadro 6 - Resultados del estudio de casos

Número total Número total Porcentaje de El papel
de preguntas de participantes conformidad de los
contestadas en estas peritos
preguntas
Política de seguridad 2 7 70 Director general
Agentes de seguridad
Responsables de los
departamentos
Organización de la información 11 35 50 Director general
seguridad Responsables de los
departamentos
Recursos humanos
personal del departamento
Directores técnicos

Gestión de activos 5 40 35 Administradores de sistemas

Administradores de seguridad
Desarrolladores de sistemas
Personal

Seguridad de los recursos humanos 9 9 68 Director general

Responsables de los
departamentos
Responsable de recursos
humanos
Físico y medioambiental 13 15 20 Guardias de seguridad física
seguridad Directores técnicos
Personal

Comunicaciones y 32 45 54 Agentes de seguridad

gestión de operaciones Administradores de sistemas
Administradores de seguridad
Desarrolladores de sistemas
Comprobadores de sistemas
Directores técnicos

Control de acceso 25 87 23 Agentes de seguridad

Administradores de sistemas
Administradores de seguridad
Guardias de seguridad física
Desarrolladores de sistemas
Comprobadores de sistemas
Directores técnicos

Adquisición de seguridad de la 16 20 67 Desarrolladores de sistemas

información,
desarrollo y mantenimiento Comprobadores de sistemas

Incidente de seguridad de la 5 8 45 Administradores de seguridad

información
gestión Personal

Continuidad de las actividades 5 4 22 Director general

gestión Directores técnicos
Responsables de los
departamentos
Conformidad 10 4 85 Director general
Responsables de los
departamentos
Recursos humanos
personal del departamento

Total 133 Todo el personal 49

El objetivo real de las herramientas de software existentes en

cláusulas. La seguridad de la información debe considerarse
el mercado, que realizan análisis de deficiencias de la norma
de forma holística. Por lo tanto, se debe dar la misma
ISO 17799, es realizar análisis de riesgos. Por lo tanto, estas
importancia a todas las cláusulas, si son aplicables para una
herramientas pueden no ser asequibles para todos
organización.
organizaciones. Nuestro método de cumplimiento es
mucho más barato que las herramientas de software
como Riskwatch y CRAMM.
Nuestro método también es ventajoso por su facilidad de
uso. La mayoría de las herramientas requieren sesiones de
formación obligatorias antes de empezar a utilizarlas.
Riskwatch y CRAMM son herramientas de este tipo. Cobra
también es fácil de usar como nuestro método.
 COMPUTER s & s ECUR I TY 2 5 (2006) 413-41 9 419

Tanto nuestro método como Cobra son flexibles. El REFERENCIAS

módulo
gestor de la Cobra permite personalizar los valores de
las preguntas y las opciones de respuesta. Para nuestro método, el
El equipo de cumplimiento realiza esta tarea. Riskwatch y encuestadores relacionados responden a las preguntas
CRAMM permiten adaptar los valores de ponderación. específicas. En segundo lugar, se presta especial atención a la
Como se indica en la segunda sección de este hora de preparar las opciones de respuesta y los valores de
documento, ISO 17799 Toolkit no realiza controles de ponderación de las preguntas (controles) y sus respuestas. En
cumplimiento. Es una herramienta muy valiosa para ayudar tercer lugar, dependiendo del tipo de organización y de los
a las empresas a establecer un Sistema de Gestión de la procesos que se lleven a cabo en ella, pueden omitirse varias
Seguridad de la Información. Nuestro método se puede cláusulas y varias preguntas de las cláusulas. En cuarto lugar,
utilizar de acuerdo con la ISO 17799 Toolkit. antes de cada control de conformidad, se debe orientar a los
Los conceptos de certificación incremental de la seguridad inspectores. Todas estas acciones deben llevarse a cabo para
de la información introducen aspectos únicos para la mejorar la precisión de las encuestas antes de iniciar cualquier
certificación de la seguridad de la información. Al igual que proceso de encuesta.
el ISO 17799 Toolkit, nuestro método de conformidad puede
utilizarse de acuerdo con este esquema de certificación
propuesto.
Tras el estudio de un caso, se demuestra que realizar
análisis de cumplimiento utilizando nuestro método es
práctico y no requiere mucho tiempo ni esfuerzo. Nuestro
modelo de cumplimiento es lo suficientemente flexible
como para realizar encuestas precisas en diferentes
circunstancias. Algunas de las preguntas irrelevantes
pueden omitirse. Otra característica de flexibilidad es que
los valores de ponderación de las preguntas y las respuestas
pueden revisarse para diferentes encuestas en diferentes
organizaciones. El coste de nuestro método es bajo para las
organizaciones. De hecho, no requiere ningún soporte de
software. La aplicación web de encuestas es un componente
opcional que automatiza el proceso de encuesta. Con
nuestro método, todo el proceso de cumplimiento puede
realizarse en papel.

5. Conclusión

En este trabajo se propone un método de encuesta cuantitativa

para las comprobaciones de conformidad con la norma ISO
17799. El método propuesto tiene algunas características
únicas. Su facilidad de uso y flexibilidad son ventajas
importantes. El personal técnico puede cambiar fácilmente
el número de preguntas, las opciones de respuesta y ajustar
nuevos valores numéricos de las mismas. El análisis de
conformidad no lleva mucho tiempo utilizando nuestro
método. El coste de nuestro modelo es bajo en comparación
con las herramientas informáticas del mercado.
Existen varios paquetes de software de análisis de
conformidad con la norma ISO 17799 en el mercado. La
mayoría de ellos realizan encuestas como nuestro método.
Aunque este software permite los cambios en la encuesta, no
tienen los mecanismos de control de acceso basado en roles.
Si la encuesta se realiza mediante una aplicación web, se
utiliza un mecanismo de control de acceso basado en roles.
Además, el uso de tecnologías web facilita las actividades de
adaptación.
El éxito de nuestro método depende de las respuestas de
los encuestados. Unas preguntas con respuestas precisas
conducen a unos resultados de cumplimiento exactos. Varias
acciones desempeñan un papel importante para mejorar la
precisión. En primer lugar, el control de acceso basado en
funciones contribuye en gran medida a la precisión. Sólo los
Institución Británica de Normalización (BSI). Information
security management systems - specification with guidance of
use; 2002.
C&A Systems Security Limited. Productos de consultoría COBRA
para Windows, evaluación y guía del usuario; 2000.
Foro de Seguridad de la Información (ISF). El estándar de buenas
prácticas para la seguridad de la información; 2003.
Asociación de Auditoría y Control de Sistemas de Información
(ISACA). Certified information systems auditor review
manual; 2004.
Karabacak B, Sogukpinar I. ISRAM: Método de análisis de riesgos para
la seguridad de la información. J Comput Secur 2005;24(2):147-59.
McEvoy N, Whitcombe A. Análisis de riesgos estructurado. En:
InfraSec; 2002. p. 88-103 [LNCS 2437].
Instituto Nacional de Normas y Tecnología (NIST). Publicación
especial 800-26 del NIST, guía de autoevaluación de la
seguridad para sistemas de tecnología de la información; 2001.
Instituto Nacional de Normas y Tecnología (NIST). NIST special
publication 800-30, risk management guide for inform- mation
technology systems; 2002.
Riskwatch, <http://www.riskwatch.com>; 2005.
Solms B, Solms R. Certificación incremental de la seguridad de la
información.
J Comput Secur 2001;20(4):308-10.
Organización Internacional de Normalización, Comisión
Electrotécnica Inter- nacional (ISO/IEC). ISO/IEC
17799:2005: tecnología de la información - código de
prácticas para la gestión de la seguridad de la información ;
2005.
Organización Internacional de Normalización, Comisión
Electrotécnica Internacional (ISO). ISO/IEC 27001:2005:
tecnología de la información, técnicas de seguridad, sistemas
de gestión de la seguridad de la información, requisitos;
2005.
Conjunto de herramientas ISO 17799, <http://www.iso17799-
made-easy.com>; 2005.
Tong CKS, Fung KH, Huang HYH, Chan KK, et al.,
Implementation of ISO 17799 and BS7799 in picture archiving
and communi- cations system: local experience in
implementation of BS7799 standard. En: International
congress series 1256; 2003.
p. 311-18.
Agencia Central de Informática y Telecomunicaciones del
Reino Unido. CCTA risk analysis and management method,
CRAMM user guide, issue 2.0; 2001.
Oficina General de Contabilidad de los Estados Unidos
(USGAO). Information security risk assessment,
<http://www.gao.gov/cgi-bin/ getrpt?GAO/AIMD-00-33>;
1999.

Bilge Karabacak se licenció en Ingeniería Electrónica por la

Universidad de Bilkent en 1999 y obtuvo un máster en
Ingeniería Informática en el Instituto Tecnológico de Gebze
en 2003. Actualmente cursa el doctorado en Ingeniería
Informática en el Instituto Tecnológico de Gebze. Sus áreas
de interés son la gestión de riesgos, la seguridad de las redes
y la seguridad de las aplicaciones.

Ibrahim Sogukpinar se licenció en Ingeniería Electrónica y

de Comunicaciones por la Universidad Técnica de Estambul
en 1982 y obtuvo un máster en Ingeniería Informática y de
Control por la Universidad Técnica de Estambul en 1985. Se
doctoró en Ingeniería Informática y de Control por la
Universidad Técnica de Estambul en 1995. Actualmente es
profesor adjunto en el Departamento de Ingeniería
Informática del Instituto de Tecnología de Gebze. Sus áreas
de interés son la seguridad de la información, las redes
informáticas, las aplicaciones de los sistemas de información
y la visión por ordenador.