Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Un Método Cuantitativo para El Análisis de Las Deficiencias de La Norma ISO 17799
Un Método Cuantitativo para El Análisis de Las Deficiencias de La Norma ISO 17799
d i s p o n i b l e en w w w .sc ienc
edirect.com
A R T ÍC U L OEN F O AB S T R AC T O
R M A
ISO/IEC 17799:2005 es una de las principales normas de seguridad de la información. Se
Historia del artículo: trata de un código de buenas prácticas que incluye 133 controles en 11 ámbitos
Recibido el 7 de mayo de diferentes. Hay una serie de herramientas y programas informáticos que utilizan las
2005
organizaciones para comprobar si cumplen esta norma. La tarea de comprobar el
Revisado el 22 de marzo de
cumplimiento ayuda a las organizaciones a determinar su conformidad con los controles
2006
enumerados en la norma y a obtener resultados útiles para el proceso de certificación. En
Aceptado el 19 de mayo de
2006 este artículo se propone un método de encuesta cuantitativa para evaluar la conformidad
con la norma ISO 17799. Nuestro estudio de caso ha demostrado que el método de
Palabras clave: encuesta ofrece resultados precisos de conformidad en poco tiempo y con un coste
BS 7799 minimizado.
ISO 17799 ª 2006 Elsevier Ltd. Todos los derechos
reservados.
ISO 27001
Cumplimiento
Seguridad de la
información Análisis
de riesgos
Análisis cuantitativo de
riesgos Encuesta
* Autor correspondiente.
Direcciones de correo electrónico: bilge@uekae.tubitak.gov.tr (B. Karabacak), ispinar@bilmuh.gyte.edu.tr (I. Sogukpinar).
0167-4048/$ - see front matter ª 2006 Elsevier Ltd. Todos los derechos reservados.
doi:10.1016/j.cose.2006.05.001
414 CO M P U T E R s & s E CURITY 2 5 (2006) 413-41 9
significativo aumento internacional de la demanda de Cobra es una herramienta de software más para cumplir la
certificación.1 Así, la importancia del proceso de conformidad norma ISO 17799 (C&A Systems Security Limited, 2000). Al
aumenta día a día. igual que Riskwatch, Cobra tiene un módulo ISO 17799. Una
En este trabajo, propusimos un método de encuesta vez que un analista de riesgos ejecuta el módulo, se le
cuantitativa para evaluar el cumplimiento de la norma ISO formulan una serie de preguntas extraídas de la norma ISO
17799. Este método se basa en el modelo de riesgo de 17799. Según las opciones de respuesta seleccionadas, el
ISRAM (Karabacak y Sogukpinar, 2005). El modelo de modelo de riesgos de Cobra calcula el porcentaje de
riesgo de ISRAM está personalizado para ser utilizado en un cumplimiento de la norma ISO 17799.
proceso de cumplimiento. El ISRAM es una herramienta CRAMM (CRAMM, 2001) también realiza análisis de
cuantitativa de análisis de riesgos basada en encuestas, que deficiencias ISO 17799. CRAMM se utiliza ampliamente en la
utiliza operaciones matemáticas básicas. Su modelo de riesgo OTAN. Al igual que otras herramientas de análisis de riesgos
se basa en la famosa fórmula del riesgo; el riesgo es igual a la basadas en software, CRAMM tiene un módulo ISO 17799.
multiplicación de la probabilidad de ocurrencia de una Utilizando este módulo de preguntas, el análisis de brechas ISO
amenaza y el impacto de la amenaza ocurrida. ISRAM elabora 17799 se realiza de la misma manera.
esta fórmula básica de riesgo, de modo que la fórmula de ISO 17799 Toolkit (El ISO 17799 Toolkit) es una serie de
riesgo contiene el número de participantes, el número de documentos y elementos reunidos para ayudar a las empresas
preguntas, el peso de las preguntas y los pesos de las opciones en el proceso de certificación ISO 17799. Los documentos en
de respuesta. La encuesta, y por tanto el proceso de análisis el kit de herramientas se componen de preguntas y opciones de
de riesgos, puede completarse con éxito siguiendo el modelo respuesta relacionadas con la política de seguridad de la
de riesgo de ISRAM. Se remite al lector a (Karabacak y información, análisis de impacto en el negocio, la
Sogukpinar, 2005) para una explicación detallada. planificación de recuperación de desastres, análisis de
Al igual que la ISRAM, el corazón del método de dependencia y análisis de continuidad. A diferencia de las
cumplimiento propuesto es herramientas de software existentes en el mercado, ISO
una fórmula cuantitativa. La fórmula cubre los pasos 17799 Toolkit no realiza una comprobación de conformidad.
básicos de una encuesta de conformidad. En este caso, Guía directamente al usuario para establecer un sistema de
produce el porcentaje de conformidad en lugar de un valor gestión de la seguridad de la información.
de riesgo. Nuestro método de conformidad asigna valores de Existen propuestas novedosas para la certificación ISO
peso cuantitativos a los controles ISO 17799. Estos controles 17799. La certificación incremental de la seguridad de la
se convierten en preguntas de la encuesta. Designa información (Solms y Solms, 2001) es uno de estos métodos.
opciones de respuesta a todas las preguntas, y también se La certificación de seguridad incremental divide la norma ISO
asignan valores de ponderación a todas las opciones de 7799 en diferentes niveles. Cada uno de los niveles contiene un
respuesta. Los valores de ponderación de las respuestas y subconjunto de los controles de la ISO 7799. Por ejemplo,
las preguntas se representan como variables en nuestro una empresa puede obtener una certificación de nivel 1 si
modelo. Además de estos valores, el número de cumple los requisitos especificados para dicho nivel. La idea
participantes y el porcentaje de operadores de conversión básica que subyace a la certificación de seguridad incremental
también están representados en nuestro modelo. es la de "todo o nada" en el proceso de certificación (Solms y
Nuestro método de cumplimiento hereda las ventajas de la Solms, 2001). Aunque la mayoría de las empresas desean
ISRAM. El método de conformidad propuesto es rentable y obtener algún tipo de certificación de seguridad de la
flexible. La organización puede cambiar los valores de información, la vía oficial de certificación puede resultar muy
ponderación según sus necesidades. No requiere ningún difícil debido a su diseño de "todo o nada". Las herramientas
software especializado. El modelo abierto de nuestro método dedicadas a la certificación ISO 17799 aún no están muy
da lugar a su facilidad de uso, que es crucial para las extendidas y son bastante caras. La certificación de seguridad
comprobaciones de conformidad. incremental se propone como un método alternativo más
El resto de este documento se organiza como sigue: En la sencillo.
segunda sección se presentan los métodos de cumplimiento y El método de análisis de riesgos para la seguridad de la
certificación de la norma ISO 17799. El método propuesto información, ISRAM, utiliza
para el cumplimiento de la norma ISO 17799 se presenta en la una fórmula basada en encuestas para el análisis cuantitativo
tercera sección. La cuarta sección contiene algunas ideas del riesgo (Karaba- cak y Sogukpinar, 2005). Convierte las
sobre la verificación, la comparación y los resultados de la preguntas de la encuesta y las opciones de respuesta en
aplicación. La quinta sección es la conclusión. números y realiza los cálculos necesarios para expresar el
riesgo. Para ello, utiliza un modelo de riesgo abierto. Dado
que el cumplimiento de la norma ISO 17799 puede ser
realizado por
hacer una encuesta y analizar los resultados, ISRAM puede ser
norma ISO 17799.
2. Métodos para cumplir la norma ISO 17799
Riskwatch es uno de los programas informáticos de análisis
de riesgos del mercado (Riskwatch, 2005). Riskwatch se utiliza
En la actualidad, existen varias herramientas para llevar a
ampliamente en organizaciones privadas y gubernamentales.
cabo el cumplimiento de la norma ISO 17799. Estas
Algunos de los clientes de Riskwatch son el Departamento de
herramientas suelen utilizar cuestionarios para determinar el
Defensa de EE.UU., el Departamento de Justicia de EE.UU., la
nivel de conformidad (USGAO, 1999). La mayoría de ellas
NSA, AT&T y General Electric. Riskwatch tiene una estructura
son principalmente software de análisis de riesgos, que
modular. La base de conocimientos ISO 17799 es uno de estos
cuentan con el apoyo del módulo de cumplimiento de la
módulos, mediante el cual se realiza el análisis de brechas ISO
17799. utilizado en el proceso de conformidad con la norma ISO 17799.
fórmula de cálculo del riesgo abierto. Todo el proceso de la valor porcentual. Es una simple operación de proporción
encuesta puede seguirse examinando la fórmula básica. El directa. Calcula el valor máximo del resultado global de
número y los valores de las preguntas de la encuesta, el una encuesta determinada (como si todos los controles
número de participantes y las opciones de respuesta pueden existieran en la empresa). Una vez calculados los
modificarse libremente. resultados máximos y reales de la encuesta, el delta inverso
Nuestro modelo de conformidad se muestra en la fórmula convierte este resultado global en un valor porcentual
(1). El número de controles de la norma ISO 17799 limita el mediante una operación de proporción directa.
número de preguntas de nuestro m o d e l o personalizado. Las preguntas de la encuesta deben dirigirse al personal
Por lo tanto, el número de preguntas puede ser como máximo pertinente dentro del ámbito de aplicación. La estructura
133. Dependiendo del tipo de organización, y sus procesos modular de nuestro método de conformidad lo hace
dentro de la organización, este número puede ser inferior a posible. El número y los perfiles de los participantes en la
133. Dependiendo del tipo de organización, y sus procesos encuesta dependen de la cláusula de la norma ISO 17799. En
dentro de la organización, este número puede ser inferior a nuestro estudio de caso, las preguntas relativas a la cláusula
133. Por ejemplo, si la organización no dispone de de política de seguridad se dirigen a siete participantes, que
instalaciones de desarrollo de software, los controles son el director general, el director comercial y los
relacionados con el desarrollo de software deben eliminarse responsables de seguridad. Las preguntas relativas a la
de la encuesta. Así, estos controles de no contribuyen cláusula de gestión de activos se dirigen a 40 participantes,
negativamente al valor de cumplimiento. que son los administradores de sistemas, los
La norma ISO 17799 puede considerarse como una lista administradores de seguridad y los desarrolladores de
de contramedidas, que se organiza en 11 cláusulas sistemas. Los detalles del proceso de encuesta se explican
fundamentales (Tabla 1). Una vez que una organización en las secciones siguientes.
decide realizar una comprobación de conformidad, debe
seleccionar las cláusulas pertinentes y las preguntas 3.2. Pregunta extraída de la encuesta
pertinentes dentro de las cláusulas según el alcance del
proceso de conformidad y sus procesos empresariales
dentro del alcance.
P P Algunas de las preguntas extraídas de la encuesta están
V w escritas en
pmm El cuadro 2, que se clasifica en 11 cláusulas como en la norma
ISO
f m
Porcentaje de conformidad ¼ (1) Norma 17799. Aquí no se pueden escribir todas las preguntas,
f
porque se extraen 133 preguntas.
donde f, el número de inspectores para una norma ISO 17799 Estas preguntas no son más que los enunciados de
determinada
control de la norma, pero convertidos a las preguntas de la
cláusula. (El número de encuestadores depende de la cláusula
encuesta.
de ISO 17799); m, número total de controles (preguntas) que
se extraen de la cláusula especificada de ISO 17799. (Los
3.3. Módulo de evaluación de encuestas
valores máximos de m se muestran en la Tabla 1.); wm , peso
del control (pregunta) 'm'; pm , peso de la opción de respuesta
La evaluación de encuestas se basa en medidas cuantitativas.
seleccionada para el control (pregunta) 'm'; V, valor numérico
Para evaluar una encuesta, es necesario convertir las
de la versión porcentual. Esta operación convierte el resultado
preguntas de la encuesta y las opciones de respuesta en
global de la encuesta en un valor porcentual, es decir, "xx%";
valores numéricos. Para ello se utilizan las tablas 3 y 4,
CompliancePercentage (Porcentaje de conformidad), valor
respectivamente. Son similares a las tablas de referencia del
porcentual único para la conformidad con la norma ISO
método ISRAM. Las Tablas 3 y 4 se preparan teniendo en
17799 para una cláusula especificada. En la fórmula (1)
cuenta los requisitos de conformidad.
pueden verse todos los factores del análisis de las deficiencias
En nuestro método, los valores de ponderación de las
de la norma ISO 17799. Estos factores son el número de
preguntas y las opciones de respuesta se determinan utilizando
participantes para cada cláusula, el número de controles y sus
varias normas y mejores prácticas como BS 7799-2, COBIT, ISF
valores de peso, las opciones de respuesta para cada control y
y las directrices del NIST (BSI, 2002; ISACA, 2004; ISF, 2003;
sus valores de peso. El resultado de la fórmula (1) es el
NIST, 2001; NIST, 2002). Pero estas
porcentaje de cumplimiento de la norma ISO 17799. La
herramienta delta inversa convierte el resultado de la encuesta
masiva en el
los valores de peso pueden modificarse en función de la
seguridad
requisitos de la organización y esta tarea corresponde a los
Cuadro 1 - Cláusulas y número de control dentro de las miembros del equipo de cumplimiento. Por ejemplo, en el
cláusulas caso de las organizaciones militares, es posible que las
Cláusula ISO 17799 El número sesiones inactivas deban cerrarse tras un periodo de inactividad
de controles definido. Por otra parte, este control puede ser omitido por las
dentro de la universidades. En este caso, la organización militar debería dar
cláusula
más valor a este control. La misma situación se aplica a la
Política de seguridad 2
ponderación de las opciones de respuesta. En la tabla 5 se
Organización de la seguridad de la información 11
Gestión de activos 5
Seguridad de los recursos humanos 9
muestran algunos controles, sus opciones de respuesta y la
se dan valores de ponderación. Algunas de las preguntas son
simplemente sí-no. Otras tienen varias opciones. En las
preguntas de opción múltiple, sólo se permite seleccionar una
opción de respuesta.
La primera pregunta del cuadro 5 es de tipo sí-no. La
segunda es una pregunta de opción múltiple. Si el control se
compone de un solo factor, como la primera pregunta, se
c o n s i d e r a una pregunta de sí-no. Si el control de la
norma ISO 17799 se compone de varios factores, como en la
segunda pregunta, se ofrecen todas las opciones de respuesta
posibles, tal y como se indica en la tabla 5. Tenga en cuenta
que la ponderación de dos o más opciones de respuesta puede
ser la misma.
416 CO M P U T E R s & s E CURITY 2 5 (2006) 413-41 9
Organización de la seguridad de la información ¿Las actividades de seguridad de la información están coordinadas por representantes de
diferentes partes de
la organización con los roles y funciones laborales pertinentes?
¿Están claramente definidas todas las responsabilidades en materia de seguridad de la
información?
¿Se ha definido y aplicado un proceso de autorización de la dirección para las nuevas
instalaciones de tratamiento de la información?
Gestión de activos ¿Están todos los activos claramente identificados y se ha elaborado y mantenido un
inventario de todos los activos importantes?
¿Toda la información y los activos asociados a las instalaciones de procesamiento de la
información son propiedad de una parte designada de la organización?
Seguridad de los recursos humanos ¿Existe un proceso disciplinario formal para los empleados que han cometido una
infracción de seguridad?
¿Están claramente definidas y asignadas las responsabilidades para llevar a cabo la
rescisión o el cambio de empleo?
Seguridad física y medioambiental ¿Se ha diseñado y aplicado la seguridad física de oficinas, salas e instalaciones?
¿Se diseñan y aplican la protección física y las directrices para trabajar en zonas seguras?
¿Se mantiene correctamente el equipo para garantizar su disponibilidad e integridad
continuas?
Gestión de comunicaciones y operaciones ¿Se documentan, mantienen y ponen los procedimientos operativos a disposición de todos los
usuarios que
¿Los necesita?
¿Se controlan los cambios en las instalaciones y sistemas de tratamiento de la
información?
Adquisición, desarrollo y mantenimiento de la ¿Se validan los datos introducidos en las aplicaciones para garantizar que son
seguridad de la información correctos y adecuados?
¿Existe una gestión de claves que respalde el uso de técnicas criptográficas por parte de
la organización?
¿Existen procedimientos para controlar la instalación de software en los sistemas
operativos?
Gestión de incidentes de seguridad de la información ¿Se notifican los incidentes de seguridad de la información a través de los canales de gestión
adecuados como
lo más rápidamente posible?
Gestión de la continuidad de la actividad ¿Se comprueban y actualizan periódicamente los planes de continuidad de la actividad para
garantizar que están al día?
¿fecha y efecto?
Cumplimiento ¿Se garantizan la protección de datos y la privacidad tal y como exigen la legislación
y la normativa pertinentes y, si procede, las cláusulas contractuales?
¿Se utilizan los controles criptográficos de conformidad con todos los acuerdos, leyes y
reglamentos pertinentes?
Los valores de ponderación deben determinarse También es importante que, antes de cada control de
cuidadosamente y acordarse antes de cada proceso de conformidad, se oriente a los inspectores. Hay que señalar
comprobación del cumplimiento, ya que el porcentaje de que sus respuestas a las preguntas afectarán directamente a
cumplimiento está directamente relacionado con los valores las futuras inversiones de la empresa en seguridad de la
de ponderación de las preguntas y sus respuestas. Los información.
valores de ponderación deben ser seleccionados por un Los siguientes controles se consideran esenciales para una
comité (equipo de cumplimiento) cuyos miembros deben organización desde el punto de vista legislativo, en función de
estar familiarizados con los conceptos de seguridad de la la legislación aplicable (ISO/IEC, 2005):
información.
a. Protección de datos y privacidad de la información
personal.
b. Protección de los registros de la organización.
c. Derechos de propiedad intelectual.
5. Conclusión