ISO 27001 Implantación

Departamento de Tecnologas y Sistemas de Informacin Universidad de CastillaLa Mancha Tesis Doctoral
MGSMPYME Metodologa para la Gestin de la Seguridad y su Madurez en las PYMES
Doctorando: Luis Enrique Snchez Crespo Director: Dr. D. Eduardo FernndezMedina Patn
Departamento de Tecnologas y Sistemas de Informacin Universidad de CastillaLa Mancha Tesis Doctoral
MGSMPYME Metodologa para la Gestin de la Seguridad y su Madurez en las PYMES
Ciudad Real (Espaa), Marzo de 2009
Doctorando: Luis Enrique Snchez Crespo Director: Dr. D. Eduardo FernndezMedina Patn
Dedicatoria: A mis padres, Luis y Amparo, porque ellos saben el esfuerzo que hay detrs de este trabajo y porque siempre me han alentado a seguir, se han sacrificado conmigo y han puesto la misma ilusin que yo en este proyecto. A mi mujer, Maribel, por su amor y apoyo incondicional. A mi hermana, Mara Amparo, por su nimo cuando me hizo falta. A mi abuela, Enriqueta, con mi cario ms sincero y profundo. A mi amigo y hermano, Antonio, que ha estado conmigo a lo largo de todo el camino, dndome nimos y escuchndome con infinita paciencia. Y por ltimo a mis socios y amigos Carlos y Daniel que me prestaron toda la ayuda necesaria para hacer de este proyecto una realidad.
Agradecimientos En primer lugar, mi agradecimiento es para m director de tesis Eduardo Fernndez Medina porque desde el principio, ha confiado en m, me ha apoyado, ha trabajado duramente y me ha prestado su ayuda y consejo de manera incondicional, ofrecindome en todo momento toda su calidad profesional y humana. A mis compaeros del Grupo Alarcos por su inestimable ayuda y consejos recibidos a lo largo de la realizacin de la tesis. A todas aquellas personas que, de una forma u otra, han contribuido y me han dado nimos en la realizacin de este trabajo.
En todos los lugares donde encontr seres vivos, encontr voluntad de poder, e incluso en la voluntad del que sirve encontr voluntad de ser seor. [..] Y este misterio me ha confiado la vida misma. Mira, dijo, yo soy lo que tiene que superarse siempre a s mismo. [..] En verdad, vosotros llamis a esto voluntad de engendrar o instinto de finalidad, de algo ms alto, ms lejano, ms vario: pero todo eso es una nica cosa y un nico misterio. As hablo Zarathustra Friedrich Nietzsche
ndice general
1.Introduccin......................................................................................7
1.1. La seguridad en las organizaciones actuales. ...................................................... 7 1.1.1. Introduccin a los SGSI................................................................................ 9 1.1.2. Estado de la seguridad en las PYMES. ...................................................... 13 1.1.3. El coste de la falta de seguridad. ................................................................ 25 1.1.4. Marcos de trabajo de seguridad. ................................................................. 27 1.1.5. Conclusiones............................................................................................... 30 1.2. Marco de la tesis doctoral.................................................................................. 32 1.3. Hiptesis y objetivos ......................................................................................... 34 1.4. Organizacin de la tesis doctoral....................................................................... 35
2.-
Mtodo de trabajo ..........................................................................39
2.1. Investigacin cualitativa: Investigacinaccin................................................ 39 2.1.1. Definiciones................................................................................................ 39 2.1.2. Roles y modalidades en la investigacinaccin. ...................................... 40 2.1.3. Etapas de la investigacinaccin. ............................................................. 41 2.1.4. Problemas de la investigacinaccin y alternativas. ................................ 43 2.1.5. Ciclos en la investigacinaccin. ............................................................. 43 2.2. Aplicacin del mtodo de investigacin en este trabajo.................................... 45
3.-
Estado del arte ................................................................................51
3.1. SGSIs: Aspectos tcnicos y culturales............................................................... 51 3.1.1. Implantacin del sistema de gestin de seguridad...................................... 52 3.1.2. Composicin del sistema de gestin de seguridad. .................................... 53 3.1.3. Cultura de la seguridad de la informacin.................................................. 55 3.2. Marcos y estndares generales para la gestin de la seguridad......................... 58 3.2.1. Familia de estndares de la 27000.............................................................. 58 3.2.1.1. ISO/IEC27001 (ISO/IEC27001, 2005). .............................................. 61 3.2.1.2. ISO/IEC27002 (ISO/IEC27002, 2007). .............................................. 62 3.2.2. ISO/IEC15408/Common Criteria (ISO/IEC-CCv3.1, 2007)...................... 63 3.2.3. ISO/IEC21827/SSECMM (SSE-CMM, 2003)......................................... 64 3.2.3.1. Relacin entre SSE-CMM y la ISO/IEC27002. .................................. 67 3.2.3.2. CC_SSECMM (Lee, et al., 2003)...................................................... 69 3.2.4. ISO/IEC20000 (ISO/IEC20000, 2005). ..................................................... 70 3.2.5. ITIL (ITILv3.0, 2007). ............................................................................... 72
3.2.6. COBIT (COBITv4.0, 2006). ...................................................................... 74 3.2.6.1. Relacin entre COBIT y la ISO/IEC27002. ........................................ 78 3.2.7. ISM3 (ISM3, 2007). ................................................................................... 78 3.3. Propuestas de marcos para SGSIs orientados a PYMES................................... 81 3.3.1. Propuesta de Eloff (Eloff y Eloff, 2003). ................................................... 81 3.3.2. Propuesta de Areiza (Areiza, et al., 2005a). ............................................... 82 3.3.3. Propuesta de Dojkovski (Dojkovski, et al., 2006)...................................... 82 3.3.4. IS2ME (Linares y Paredes, 2007). ............................................................. 85 3.3.5. ASD (Wiander y Holappa, 2007). .............................................................. 87 3.3.6. Propuesta de Carey-Smith (Carey-Smith, et al., 2007). ............................. 89 3.3.7. Propuesta de Tawileh (Tawileh, et al., 2007). ............................................ 89 3.3.8. Propuesta de Sneza (Sneza, et al., 2007). ................................................... 91 3.4. Herramientas de gestin de la seguridad de la informacin.............................. 95 3.5. Resumen y conclusiones.................................................................................... 96
4.- MGSMPYME: Metodologa para la gestin de la seguridad y su madurez en las PYMES.....................................................................103

4.1. Visin general de MGSMPYME................................................................... 103 4.1.1. Definiciones previas. ................................................................................ 105 4.1.2. Objetivos................................................................................................... 108 4.1.3. Actores...................................................................................................... 109 4.1.4. Subprocesos. ............................................................................................. 111 4.1.4.1. Descripcin breve del subproceso GEGS.......................................... 112 4.1.4.2. Descripcin breve del subproceso GSGS.......................................... 114 4.1.4.3. Descripcin breve del subproceso MSGS. ........................................ 117 4.1.5. Visin global. ........................................................................................... 118 4.2. Subproceso P1: GEGS Generacin de esquemas. ........................................ 121 4.2.1. Objetivos................................................................................................... 123 4.2.2. Entrada y salida. ....................................................................................... 123 4.2.3. Actores...................................................................................................... 125 4.2.4. Actividades. .............................................................................................. 126 4.2.4.1. Actividad A1.1: Generacin de tablas maestras................................ 126 4.2.4.2. Actividad A1.2: Generacin de tablas del nivel de madurez. ........... 129 4.2.4.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos........... 132 4.2.4.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos. 142 4.3. Subproceso P2: GSGS Generacin del SGSI. .............................................. 157 4.3.1. Objetivos................................................................................................... 159 4.3.2. Entrada y salida. ....................................................................................... 160 4.3.3. Actores...................................................................................................... 161 4.3.4. Actividades. .............................................................................................. 162 4.3.4.1. Actividad A2.1: Establecimiento del marco de trabajo del SGSI. .... 162 4.3.4.2. Actividad A2.2: Establecimiento del nivel de madurez. ................... 166 4.3.4.3. Actividad A2.3: Realizacin del anlisis de riesgos.......................... 175 4.3.4.4. Actividad A2.4: Generacin del SGSI. ............................................. 183 4.4. Subproceso P3: MSGS Mantenimiento del SGSI. ....................................... 190 4.4.1. Objetivos................................................................................................... 192 4.4.2. Entrada y salida. ....................................................................................... 193
ii
4.4.3. Actores...................................................................................................... 194 4.4.4. Actividades. .............................................................................................. 194 4.4.4.1. Actividad A3.1: Obtener o renovar el certificado de CS................... 195 4.4.4.2. Actividad A3.2: Ejecutar procedimientos del SGSI.......................... 201 4.4.4.3. Actividad A3.3: Seguimiento del cumplimiento del SGSI................ 206 4.5. Modelo desarrollado Esquema base (EB). ................................................... 218 4.5.1. Niveles de madurez del modelo................................................................ 218 4.5.1.1. Seleccin de los controles para cada nivel de madurez..................... 222 4.5.2. Procedimientos del modelo. ..................................................................... 225 4.5.3. Perfiles del modelo. .................................................................................. 226 4.5.3.1. Cl/RD: Responsable de desarrollo..................................................... 226 4.5.3.2. Cl/RS: Responsable de seguridad...................................................... 226 4.5.3.3. Cl/RE: Responsable de explotacin. ................................................. 228 4.5.3.4. Cl/PA: Propietario de activos. ........................................................... 228 4.5.3.5. Cl/PS: Proveedor de servicios. .......................................................... 228 4.5.3.6. Cl/US: Usuarios del sistema de informacin..................................... 229 4.5.3.7. Cl/GDS: Gerente del departamento de sistemas................................ 229 4.5.3.8. Cl/RM : Responsable de marketing................................................... 230 4.5.3.9. Cl/RR: Responsable de RRHH.......................................................... 231 4.5.3.10. Cl/GD: Gerente de departamento. ................................................... 231 4.5.3.11. Cl/T: Terceros.................................................................................. 231 4.5.3.12. Resumen de perfiles. ....................................................................... 232 4.6. Conclusiones.................................................................................................... 233
5.- MGSMTOOL: Herramienta para gestionar la seguridad en las PYMES. ...................................................................................................237

5.1. Entorno tecnolgico......................................................................................... 237 5.2. Capa de presentacin. ...................................................................................... 239 5.2.1. Subproceso P1: GEGS Generacin de esquemas. ................................. 240 5.2.1.1. Actividad A1.1: Generacin de tablas maestras................................ 241 5.2.1.2. Actividad A1.2: Generacin de tablas del nivel de madurez. ........... 242 5.2.1.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos........... 243 5.2.1.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos. 245 5.2.2. Subproceso P2: GSGS Generacin del SGSI. ....................................... 247 5.2.2.1. Actividad A2.1: Establecimiento del marco de trabajo del SGSI. .... 247 5.2.2.2. Actividad A2.2: Establecimiento del nivel de madurez. ................... 248 5.2.2.3. Actividad A2.3: Realizacin del anlisis de riesgos.......................... 249 5.2.2.4. Actividad A2.4: Generacin del SGSI .............................................. 249 5.2.3. Subproceso P3: MSGS Mantenimiento del SGSI. ................................ 250 5.2.3.1. Actividad A3.1: Obtener o renovar el certificado de CS................... 250 5.2.3.2. Actividad A3.2: Ejecutar procedimiento del SGSI. .......................... 251 5.2.3.3. Actividad A3.3: Seguimiento del cumplimiento del SGSI................ 252 5.3. Capa de negocio............................................................................................... 253 5.4. Capa de datos................................................................................................... 253 5.4.1. Tablas relacionadas con la definicin de esquemas. ................................ 254 5.4.1.1. Tablas relacionadas con el establecimiento del nivel de madurez. ... 254 5.4.1.2. Tablas relacionadas con el anlisis de riesgos................................... 255 iii
5.4.1.3. Tablas relacionadas con la biblioteca de artefactos........................... 256 5.4.2. Tablas relacionadas con casos de uso....................................................... 258 5.5. Aportaciones de la herramienta y futuras mejoras. ......................................... 260
6.-
Caso de estudio. ............................................................................265
6.1. Descripcin de la organizacin........................................................................ 265 6.2. Descripcin del problema................................................................................ 266 6.3. Caso de estudio: Desarrollo del SGSI para SNT............................................. 266 6.3.1. Subproceso P1: GEGS Generacin de esquemas. ................................. 266 6.3.1.1. Actividad A1.1: Generacin de tablas maestras................................ 267 6.3.1.2. Actividad A1.2: Generacin de tablas del nivel de madurez. ........... 268 6.3.1.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos........... 268 6.3.1.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos. 269 6.3.2. Subproceso P2: GSGS Generacin del SGSI. ....................................... 271 6.3.2.1. Actividad A2.1: Establecimiento del marco de trabajo del SGSI. .... 271 6.3.2.2. Actividad A2.2: Establecimiento del nivel de madurez. ................... 272 6.3.2.3. Actividad A2.3: Realizacin del anlisis de riesgos.......................... 274 6.3.2.4. Actividad A2.4: Generacin del SGSI. ............................................. 277 6.3.3. Subproceso P3: MSGS Mantenimiento del SGSI. ................................ 279 6.3.3.1. Actividad A3.1: Obtener o renovar el certificado de CS................... 279 6.3.3.2. Actividad A3.2: Ejecutar procedimientos del SGSI.......................... 281 6.3.3.3. Actividad A3.3: Seguimiento del cumplimiento del SGSI................ 282 6.4. Resultados y conclusiones. .............................................................................. 287
7.-
Conclusiones..................................................................................291
7.1. Anlisis de la consecucin de los objetivos..................................................... 291 7.2. Aportaciones.................................................................................................... 293 7.3. Contraste de resultados.................................................................................... 295 7.3.1. Resumen general de publicaciones........................................................... 295 7.3.2. Conferencias nacionales. .......................................................................... 296 7.3.3. Conferencias iberoamericanas.................................................................. 297 7.3.4. Conferencias internacionales.................................................................... 297 7.3.5. Revistas nacionales................................................................................... 299 7.3.6. Revistas internacionales. .......................................................................... 299 7.3.7. Captulos de libros. ................................................................................... 299 7.4. Lneas abiertas e investigacin futura. ............................................................ 300
Bibliografa..............................................................................................305 Anexos......................................................................................................325
A.- Acrnimos. ......................................................................................................... 325 A.1. Acrnimos generales. ................................................................................. 325 A.2. Acrnimos del modelo MGSMPYME. .................................................... 326 B.- Esquema base. .................................................................................................... 330 B.1. Actividad A1.1: Generacin de tablas maestras. ........................................ 330 B.1.1. T1.1.1: Establecimiento de los roles del esquema. .............................. 330
iv
B.1.2. T1.1.2: Establecimiento de los sectores empresariales........................ 330 B.1.3. T1.1.3: Establecimiento de los niveles de madurez............................. 332 B.2. Actividad A1.2: Generacin de tablas del nivel de madurez...................... 332 B.2.1. T1.2.1: Establecimiento de las reglas de madurez............................... 332 B.2.2. T1.2.2: Establecimiento de los controles del modelo. ......................... 333 B.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos. ................... 371 B.3.1. T1.3.1: Seleccin de tipos de activos................................................... 371 B.3.2. T1.3.2: Seleccin de amenazas. ........................................................... 371 B.3.3. T1.3.3: Seleccin de vulnerabilidades. ................................................ 372 B.3.4. T1.3.4: Seleccin de criterios de riesgo. .............................................. 373 B.3.5. T1.3.5: Establecer relaciones entre tipos de activos y vulnerabilidad. 373 B.3.6. T1.3.6: Establecer relaciones entre amenazas y vulnerabilidades. ...... 377 B.3.7. T1.3.7: Establecimiento de relaciones entre amenazas y controles. .... 381 B.3.8. T1.3.8: Establecer relaciones entre t.activos, vulnerabilid y c.riesgo.. 383 B.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos. ........ 387 B.4.1. T1.4.1: Seleccin de reglamentos. ....................................................... 387 B.4.2. T1.4.2: Seleccin de procedimientos. .................................................. 389 B.4.3. T1.4.3: Seleccin de registros.............................................................. 389 B.4.4. T1.4.4: Seleccin de plantillas. ............................................................ 390 B.4.5. T1.4.5: Seleccin de instrucciones tcnicas......................................... 390 B.4.6. T1.4.6: Seleccin de Mtricas.............................................................. 390 B.4.7. T1.4.7: Establecimiento de relaciones entre reglamentosartefactos. . 391 B.4.8. T1.4.8: Establecimiento de relaciones entre reglamentos y controles. 395 B.4.9. T1.4.9: Establecimiento de relaciones entre artefactos y controles. .... 398 B.4.10. T1.4.10: Establecer relaciones entre procedimientos y artefactos..... 401 C.- Dominios del esquema: Reglamentos y procedimientos.................................... 403 C.1. OS: Organizacin de la seguridad............................................................... 403 C.1.1. OS/SI: Seguridad de la informacin. ................................................... 403 C.1.2. OS/UCII: Uso correcto de las infraestructuras de la informacin. ...... 406 C.1.3. OS/ISI: Infraestructura de seguridad de la informacin. ..................... 409 C.1.4. OS/AT: Acceso de terceros.................................................................. 413 C.1.5. OS/OE: Outsourcing (Externalizacin). .............................................. 415 C.2. CA: Clasificacin y control de activos. ...................................................... 421 C.2.1. CA/CI: Clasificacin de la informacin. ............................................. 421 C.3. GI: Deteccin y gestin de incidentes. ....................................................... 434 C.3.1. GI/ISFI: Infraestructura de seguridad de la informacin..................... 434 C.3.2. GI/PR: Planes de recuperacin. ........................................................... 447 C.4. SP: Seguridad del personal. ........................................................................ 453 C.4.1. SP/DPT: Seguridad en la definicin de los puestos de trabajo............ 453 C.4.2. SP/FU: Formacin de los usuarios....................................................... 460 C.5. SF: Seguridad fsica. ................................................................................... 462 C.5.1. SF/AS: rea de seguridad.................................................................... 462 C.5.2. SF/SE: Seguridad de equipamiento. .................................................... 470 C.6. CO: Comunicaciones y operaciones. .......................................................... 479 C.6.1. CO/POR: Procedimientos operativos y responsabilidades. ................. 480 C.6.2. CO/PSM: Proteccin contra software malicioso. ................................ 488 C.6.3. CO/GR: Gestin de la red. ................................................................... 490
C.7. AC: Control de accesos............................................................................... 494 C.7.1. AC/GAU: Gestin de accesos de usuario. ........................................... 494 C.7.2. AC/ASO: Control de acceso a sistemas operativos. ............................ 505 C.7.3. AC/RNCA: Requisitos de negocio para el control de acceso.............. 509 C.7.4. AC/CAR: Control de acceso en red. .................................................... 516 C.7.5. AC/RU: Responsabilidades del usuario............................................... 517 C.8. TI: Tratamiento de la informacin.............................................................. 517 C.8.1. TI/CS: Copias de seguridad. ................................................................ 517 C.8.2. TI/IIS: Intercambio de informacin y software. .................................. 523 C.8.3. TI/US: Uso de soportes........................................................................ 541 C.9. CL: Requisitos legales y normativas........................................................... 541 C.9.1. CL/LOPD: Ley orgnica de proteccin de datos personales. .............. 541 C.9.2. CL/LPI: Ley de propiedad intelectual.................................................. 549 D.- Resultados detallados del subproceso sP2 para SNT. ........................................ 559 D.1. Actividad A2.2: Establecimiento del nivel de madurez. ............................ 559 D.1.1. T2.2.2: Recogida de informacin tcnica del S.I................................. 559 D.2. Actividad A2.3: Realizando el anlisis de riesgos...................................... 564 D.2.1. T2.3.2: Resultado de la matriz de riesgos............................................ 564 D.2.2. T2.3.2: Resultado del plan de mejora. ................................................. 633 E.- Resultados de aplicar la actividad 2.2 de MGSM-PYME en otras compaias... 639 E.1. Campo de trabajo. ....................................................................................... 639 E.2. Tarea T2.2.1: Recogida de informacin empresarial. ................................. 640 E.3. Tarea T2.2.2: Recogida de informacin tcnica del S.I.............................. 641 E.4. Tarea T2.2.3: Establecimiento del nivel de madurez.................................. 645 F.- Mapa del SGSI. ................................................................................................... 647
vi
ndice de figuras
Figura 1.1. SGSI en dos de las empresas evaluadas (Kuusisto y Ilvonen, 2003)........... 13 Figura 1.2. Controles en las PYMES de Europa (Dimopoulos, et al., 2004b) ............... 15 Figura 1.3. Controles de segurid. en las PYMES de USA (Dimopoulos, et al., 2004b) 16 Figura 1.4. Existencia de un RS en las PYMES (Dimopoulos, et al., 2004b)................ 17 Figura 1.5. Antecedentes del RS en las PYMES (Dimopoulos, et al., 2004b)............... 18 Figura 1.6. Existe un sistema de anlisis de riesgos (Dimopoulos, et al., 2004b).......... 19 Figura 1.7. Razones para no realizar el anlisis de riesgos (Dimopoulos, et al., 2004b) 20 Figura 1.8. Controles de seguridad PYMES de Europa (Dimopoulos, et al., 2004b) . 20 Figura 1.9. Programa de seguridad de la informacin (Llvonen, 2006)......................... 23 Figura 1.10. Existencia de documentacin de poltica de seguridad (Llvonen, 2006)... 23 Figura 1.11. Vulnerabilidades de seguridad reportadas por el CERT (19952008). ..... 24 Figura 2.1. Carcter cclico de investigacinaccin. .................................................... 42 Figura 2.2. Carcter iterativo de la IA, adaptado de (Kock, 2004) .............................. 42 Figura 2.3. Dos dimensiones en investigacinaccin en sistemas de informacin ...... 44 Figura 2.4. Aplicacin de IA en la tesis doctoral. ........................................................ 46 Figura 3.1. Fases en la implantacin de un SGSI........................................................... 52 Figura 3.2. Elementos bsicos de un SGSI (Eloff y Eloff, 2003) .................................. 54 Figura 3.3. Marco de establecimiento de la cultura de seguridad. ................................. 56 Figura 3.4. Orientaciones de seguridad (Chia, et al., 2002b). ........................................ 56 Figura 3.5. Procesos de la ISO/IEC27001 (ISO/IEC27001, 2005). ............................... 61 Figura 3.6. Dominios de la ISO/IEC20072 (ISO/IEC27002, 2007)............................... 63 Figura 3.7. Integracin de ISO/IEC27001 y SSE-CMM en el modelo de referencia. ... 67 Figura 3.8. Asociacin de la ISO/IEC20000 con la ISO/IEC27001. ............................. 72 Figura 3.9. Marco de trabajo de ITIL. ............................................................................ 73 Figura 3.10. Flujo de los dominios de COBIT (COBITv4.0, 2006) .............................. 76 Figura 3.11. Marco para el desarrollo de la CS en la PYME (Dojkovski, et al., 2006). 84 Figura 3.12. Esquema general del mtodo IS2ME (Linares y Paredes, 2007)............... 86 Figura 3.13. Esquema detallado del mtodo IS2ME (Linares y Paredes, 2007)............ 86 Figura 3.14. Ciclo iterativo (Holappa y Wiander, 2006b).............................................. 88 Figura 3.15. Ciclo de sensibilizacin de seguridad (Tawileh, et al., 2007).................... 90 Figura 3.16. Etapas de gestin de la seguridad (Tawileh, et al., 2007) .......................... 90 Figura 3.17. Marco para fomentar la CS en las PYMES (Sneza, et al., 2007)............... 93 Figura 4.1. Esquema inicial de la metodologa MGSMPYME y su modelo. ............ 104 Figura 4.2. Esquema de los componentes de un SGSI. ................................................ 105 Figura 4.3. Esquema de los componentes de un Rol. ................................................... 106 Figura 4.4. Esquema de los componentes de un reglamento........................................ 106 Figura 4.5. Esquema de los componentes del anlisis de riesgos................................. 107 vii
Figura 4.6. Esquema de los componentes de un procedimiento................................... 107 Figura 4.7. Subproceso y productos del proceso de desarrollo MGSMPYME.......... 112 Figura 4.8. Artefactos que componen el subproceso GEGS. ....................................... 113 Figura 4.9. Artefactos que componen el subproceso GSGS. ....................................... 115 Figura 4.10. Artefactos que componen el subproceso MSGS...................................... 117 Figura 4.11. Esquema simplificado a nivel de actividad del subproceso GEGS.......... 121 Figura 4.12. Esquema detallado a nivel de actividad del subproceso GEGS............... 122 Figura 4.13. Esquema simplificado a nivel de de tarea de la actividad A1.1............... 126 Figura 4.14. Esquema detallado a nivel de tarea de la actividad A1.1......................... 127 Figura 4.15. Esquema simplificado a nivel de tarea de la actividad A1.2.................... 130 Figura 4.16. Esquema detallado a nivel de tarea de la actividad A1.2......................... 130 Figura 4.17. Esquema simplificado a nivel de tarea de la actividad A1.3.................... 133 Figura 4.18. Esquema detallado a nivel de tarea de la actividad A1.3......................... 134 Figura 4.19. Esquema simplificado a nivel de tarea de la actividad A1.4.................... 143 Figura 4.20. Esquema detallado a nivel de tarea de la actividad A1.4......................... 144 Figura 4.21. Ejemplo de reglamento para control de activos. ...................................... 145 Figura 4.22. Parte del procedimiento de gestin de licencias. ..................................... 147 Figura 4.23. Ejemplo de registros para cumplimiento LOPD. ..................................... 148 Figura 4.24. Ejemplo de plantilla para control de activos. ........................................... 149 Figura 4.25. Ejemplo de instruccin tcnica para gestin de incidencias. ................... 151 Figura 4.26. Esquema simplificado a nivel de actividad del subproceso GSGS.......... 158 Figura 4.27. Esquema detallado a nivel de actividad del subproceso GSGS. .............. 159 Figura 4.28. Esquema simplificado a nivel de tarea de la actividad A2.1.................... 162 Figura 4.29. Esquema detallado a nivel de tarea de la actividad A2.1......................... 163 Figura 4.30. Esquema simplificado a nivel de tarea de la actividad A2.2.................... 166 Figura 4.31. Esquema detallado a nivel de tarea de la actividad A2.2......................... 167 Figura 4.32. Nivel de madurez actual y objetivo.......................................................... 168 Figura 4.33. Esquema simplificado a nivel de tarea de la actividad A2.3.................... 176 Figura 4.34. Esquema detallado a nivel de tarea de la actividad A2.3......................... 177 Figura 4.35. Esquema general del anlisis de riesgos. ................................................. 178 Figura 4.36. Esquema simplificado a nivel de tarea de la actividad A2.4.................... 184 Figura 4.37. Esquema detallado a nivel de tarea de la actividad A2.4......................... 185 Figura 4.38. Aprobacin de la documentacin generada con MGSMPYME. ........... 189 Figura 4.39. Esquema simplificado a nivel de actividad del subproceso MSGS. ........ 190 Figura 4.40. Esquema detallado a nivel de actividad del subproceso MSGS. ............. 191 Figura 4.41. Esquema simplificado a nivel de tarea de la actividad A3.1.................... 195 Figura 4.42. Esquema detallado a nivel de tarea de la actividad A3.1......................... 196 Figura 4.43. Obtencin inicial de un certificado de cultura de seguridad. ............... 198 Figura 4.44. Esquema de renovacin de un certificado de la CS. ................................ 199 Figura 4.45. Asociacin del NCS con el periodo de renovacin de los certificados.... 200 Figura 4.46. Esquema simplificado a nivel de tarea de la actividad A3.2.................... 201 Figura 4.47. Esquema detallado a nivel de tarea de la actividad A3.2......................... 202 Figura 4.48. Flujo de actividad en procedimientos. ..................................................... 203 Figura 4.49. Esquema del procedimiento de denuncia................................................. 204 Figura 4.50. Esquema de activacin de un procedimiento de denuncia....................... 205 Figura 4.51. Esquema simplificado a nivel de tarea de la actividad A3.3.................... 206 Figura 4.52. Esquema detallado a nivel de tarea de la actividad A3.3......................... 207 viii
Figura 4.53. Representacin grfica de las tareas de la actividad A3.3. ...................... 208 Figura 4.54. Niveles del cuadro de mandos de seguridad. ........................................... 210 Figura 4.55. Alteracin del NCS por una violacin de la normativa. .......................... 214 Figura 4.56. Gestionar los certificados de cultura de la seguridad............................... 215 Figura 4.57. Sistema de alertas para control de niveles de seguridad .......................... 218 Figura 4.58. Esquema de los dominios del MGSMPYME. ....................................... 225 Figura 4.59. Proc. accesibles por el responsable de desarrollo (Cl/RD). ..................... 226 Figura 4.60. Proc. accesibles por el responsable de seguridad (Cl/RS). ...................... 227 Figura 4.61. Proc. accesibles por el responsable de explotacin (Cl/RE). ................... 228 Figura 4.62. Proc. accesibles por los propietarios de los activos (Cl/PA).................... 228 Figura 4.63. Proc. accesibles por el proveedor de servicios (Cl/PS)............................ 229 Figura 4.64. Proc. accesibles por los usuarios del sistema de inform. (Cl/US)............ 229 Figura 4.65. Proc. accesibles por el gerente del departam. de sistemas (Cl/GDS)....... 230 Figura 4.66. Proc. accesibles por el responsable de marketing (Cl/RM). .................... 230 Figura 4.67. Proc. accesibles por el responsable de RRHH (Cl/RR). .......................... 231 Figura 4.68. Proc. accesibles por los gerentes de los departamentos (Cl/GD)............. 231 Figura 4.69. Proc. accesibles por terceros (Cl/T). ........................................................ 232 Figura 5.1. Arquitectura del modelo de negocio ASP.................................................. 237 Figura 5.2. Esquema de capas de MGSMTOOL........................................................ 238 Figura 5.3. Principales zonas de la aplicacin.............................................................. 240 Figura 5.4. Pantallas de seleccin de esquemas. .......................................................... 241 Figura 5.5. A1.1 Pantalla de seleccin de sectores, perfiles y nivel madurez........... 241 Figura 5.6. A1.1 Pantalla de seleccin de tipos de empresa...................................... 242 Figura 5.7. A1.2 Pantalla de reglas de madurez. ....................................................... 242 Figura 5.8. A1.2 Pantalla de controles. ..................................................................... 243 Figura 5.9. A1.3 Pantalla de artefactos bsicos del AR. ........................................... 244 Figura 5.10. A1.3 Pantalla de matrices del AR. ........................................................ 244 Figura 5.11. A1.4 Pantallas de artefactos del esquema. ............................................ 245 Figura 5.12. A1.4 Pantalla de procedimientos del esquema...................................... 246 Figura 5.13. A1.4 Pantalla de matrices del SGSI. ..................................................... 246 Figura 5.14. Pantalla de generacin de empresa e instancias del SGSI. ...................... 247 Figura 5.15. A2.1 Pantalla asignacin de perfiles x usuarios al SGSI. ..................... 248 Figura 5.16. A2.2 Pantalla de establecimiento del nivel de madurez........................ 249 Figura 5.17. A2.3 Pantalla de realizacin del AR. .................................................... 249 Figura 5.18. A2.4 Pantalla de generacin del SGSI. ................................................. 250 Figura 5.19. A3.1 Pantalla de test de cultura de seguridad. ...................................... 250 Figura 5.20. A3.2 Pantalla de procedimientos del SGSI. .......................................... 251 Figura 5.21. A3.2 Pantalla de procedimiento de denuncia del SGSI. ....................... 252 Figura 5.22. A3.3 Pantalla de cuadro de mandos del SGSI. ..................................... 252 Figura 5.23. Repositorio de esquemas nivel de madurez. ......................................... 254 Figura 5.24. Repositorio de esquemas anlisis de riesgos......................................... 256 Figura 5.25. Repositorio de esquemas biblioteca de objetos del SGSI. .................... 257 Figura 5.26. Repositorio de casos de uso. .................................................................... 259 Figura 6.1. Organigrama de la compaa SNT............................................................. 265 Figura 6.2. Introduccin de una violacin de una norma por un usuario del S.I. ........ 282 Figura 6.3. Validacin y aprobacin de una violacin del S.I por el RS. .................... 282 Figura C.1. DFP para la revisin y evaluacin peridica de la PS (OS/SIPR01). ..... 404 ix
Figura C.2. DFP de revisin del manual de buen uso de los S.I. (OS/UCIIPR01). ... 407 Figura C.3. DFP para asignacin de responsabilidades sobre AI (OS/ISIPR01). ...... 410 Figura C.4. DFP para acceso al S.I. desde instalaciones personales (OS/ISIPR02). . 412 Figura C.5. DFP de riesgos para el acceso a terceros (OS/ATPR01)......................... 414 Figura C.6. DFP Contratacin de servicios (OS/OEPR01). ....................................... 417 Figura C.7. DFP de Contratacin de outsourcing (OS/OEPR02). ............................. 418 Figura C.8. DFP de gestin de inventario de activos (CA/CIPR01). ......................... 422 Figura C.9. DFP de Gestin de inventario de activos alta (CA/CIPR01/1). ........... 423 Figura C.10. DFP de gestin de inventario de activos modific. (CA/CIPR01/2).... 425 Figura C.11. DFP de Gestin de inventario de activos baja (CA/CIPR01/3). ........ 426 Figura C.12. DFP de clasificacin de activos (CA/CIPR02). .................................... 428 Figura C.13. DFP para clasificacin de activos de informacin (CA/CIPR03). ........ 429 Figura C.14. DFP para revisin peridica del anlisis de riesgos (CA/CIPR04)....... 431 Figura C.15. DFP de revisin y clasificacin peridica de activos (CA/CIPR05)..... 432 Figura C.16. DFP de comunicacin de incidentes de seguridad (GI/ISFIPR01). ...... 436 Figura C.17. DFP de comunicacin de incidentes de seguridad (GI/ISFIPR01/1). ... 437 Figura C.18. DFP de comunicacin de incidentes de seguridad (GI/ISFIPR01/2). ... 438 Figura C.19. DFP de comunicacin de incidentes de seguridad (GI/ISFIPR01/3). ... 440 Figura C.20. DFP de comunicacin de incidentes de seguridad (GI/ISFIPR01/4). ... 441 Figura C.21. DFP de medidas disciplinarias (GI/ISFIPR02). .................................... 443 Figura C.22. DFP de medidas disciplinarias (GI/ISFIPR02/1). ................................. 445 Figura C.23. DFP de recuperacin de incidentes de seguridad (GI/PRPR01). .......... 449 Figura C.24. DFP de recuperacin de incidentes de seguridad (GI/PRPR02). .......... 452 Figura C.25. DFP para la contratacin (SP/DPTPR01). ............................................ 455 Figura C.26. DFP durante la contratacin (SP/DPTPR02). ....................................... 457 Figura C.27. DFP para la finalizacin de la contratacin (SP/DPTPR03). ................ 458 Figura C.28. DFP para la formacin del personal en seguridad (SP/FUPR01).......... 461 Figura C.29. DFP para el control de acceso fsico (SF/ASPR01). ............................. 464 Figura C.30. DFP para control de acceso fsico N1 visitantes (SF/ASPR01/1)... 465 Figura C.31. DFP para control de acceso fsico N2 visitantes (SF/ASPR01/2)... 466 Figura C.32. DFP para control de acceso fsico N1 personal (SF/ASPR01/3). ... 467 Figura C.33. DF para el control de acceso fsico N2 personal (SF/ASPR01/4)... 468 Figura C.34. DFP para la instalacin y proteccin de los equipos (SF/SEPR01). ..... 472 Figura C.35. DFP para el mantenimiento de los equipos (SF/SEPR02). ................... 474 Figura C.36. DFP para la seguridad fuera de la organizacin (SF/SEPR04). ............ 475 Figura C.37. DFP para baja segura o reutilizacin de equipos (SF/SEPR04)............ 477 Figura C.38. DFP de segregacin de funciones en oper. sistema (CO/PORPR01).... 481 Figura C.39. DFP de segregacin de funciones entornos oper. (CO/PORPR02).... 483 Figura C.40. DFP de planificacin de capacidad de sistemas (CO/PORPR03). ........ 485 Figura C.41. DFP de controles de proteccin soft. malicioso (CO/PSMPR01)...... 489 Figura C.42. DFP de revisin peridica de controles de red (CO/GRPR01). ............ 492 Figura C.43. DFP de revisin de controles del correo electrnico (CO/GRPR02). ... 493 Figura C.44. DFP para la gestin de acceso de usuarios (AG/GAUPR01)................ 496 Figura C.45. DFP de gestin de accesos de usuarios alta (AC/GAUPR01/1)......... 497 Figura C.46. DFP de gestin de accesos de usuarios modif. (AC/GAUPR01/2).... 498 Figura C.47. DFP de gestin de accesos de usuarios baja (AC/GAUPR01/3)........ 499 Figura C.48. DFP de gestin de contraseas (AC/GAUPR02). ................................. 500 x
Figura C.49. DFP de gestin de privilegios de usuarios (AC/GAUPR03). ............... 501 Figura C.50. DFP de gestin de privilegios de usuarios alta (AC/GAUPR03/1).... 502 Figura C.51. DFP de gestin de privileg. de usuarios modif. (AC/GAUPR03/2). . 503 Figura C.52. DFP de gestin de privilegios de usuarios baja (AC/GAUPR03/3)... 504 Figura C.53. DFP de gestin de utilidades del sistema (AC/ASOPR01). .................. 508 Figura C.54. DFP de controles para la gestin de acceso (AC/RNCAPR01). ........... 511 Figura C.55. DFP de controles para monitorizacin de accesos (AC/RNCAPR02).. 513 Figura C.56. DFP de acceso remoto al sistema de informacin (AC/RNCAPR03). . 515 Figura C.57. DFP de relacin de copias de seguridad (TI/CSPR01). ........................ 519 Figura C.58. DFP de restauracin de copias de seguridad (TI/CSPR02)................... 520 Figura C.59. DFP de revisin de copias de seguridad (TI/CSPR03). ........................ 522 Figura C.60. DFP de gestin de informacin del S.I. (TI/IISPR01). ......................... 525 Figura C.61. DFP de gestin de informacin del S.I. alta (TI/IISPR01/1). ............ 526 Figura C.62. DFP de gestin de informacin del S.I. modif. (TI/IISPR01/2)......... 528 Figura C.63. DFP de gestin de informacin del S.I. baja (TI/IISPR01/3)............. 530 Figura C.64. DFP de marcado y tratamiento de la informacin (TI/IISPR02). ......... 531 Figura C.65. DFP de marcado y tratamiento de la inform. alta (TI/IISPR02/1). .... 532 Figura C.66. DFP de tratamiento de la infor. modif. (TI/IISPR02/2). .................... 533 Figura C.67. DFP de marcado y tratamiento de la inform. baja (TI/IISPR02/3). ... 534 Figura C.68. DFP de gestin de traslado y salida de informacin (TI/IISPR03). ...... 535 Figura C.69. DFP de intercambio fsico de informacin (TI/IISPR03/1). ................. 536 Figura C.70. DFP de intercambio lgico de informacin (TI/IISPR03/2). ................ 538 Figura C.71. DFP de autorizacin de salida de informacin (TI/IISPR03/3). ........... 539 Figura C.72. DFP de gestin de ficheros de LOPD (CL/LOPDPR01). ..................... 544 Figura C.73. DFP de gestin de ficheros de LOPD alta (CL/LOPDPR01/1). ........ 544 Figura C.74. DFP de gestin de ficheros de LOPD modif. (CL/LOPDPR01/2)..... 546 Figura C.75. DFP de gestin de ficheros de LOPD baja (CL/LOPDPR01/3)......... 547 Figura C.76. DFP de revisin documento de seguridad (CL/LOPDPR02)................ 548 Figura C.77. DFP de gestin de licencias de software (CL/LPIPR01). ..................... 551 Figura C.78. DFP de gestin de licencias de software alta (CL/LPIPR01/1). ........ 551 Figura C.79. DFP de gestin de licencias de software modif. (CL/LPIPR01/2)..... 552 Figura C.80. DFP de gestin de licencias de software baja (CL/LPIPR01/3)......... 552 Figura C.81. DFP de revisin peridicas de licencias de Sw (CL/LPIPR02). ........... 553 Figura C.82. DFP de solicitud de licencias de software (CL/LPIPR03). ................... 555 Figura C.83. DFP de gestin de licencias de soft. en terminales (CL/LPIPR04)....... 556 Figura C.84. DFP para instalacin de licencias en equipos (CL/LPIPR04/1)............ 557 Figura C.85. DFP para eliminar licencias de los equipos (CL/LPIPR04/2)............... 557 Figura E.1. Nivel de cumplimiento medio de dominios de ISO/IEC17799:2000........ 643 Figura E.2. Nivel de cumplimiento medio de los dominios de la ISO/IEC27002 ....... 644 Figura E.3. Comparativa de casos entre la ISO/IEC17799:2000 y la ISO/IEC27002 . 644
xi
ndice de tablas
Tabla 1.1. Listado de compaas analizadas en TampereFinlandia (Llvonen, 2006). . 22 Tabla 1.2. Proyectos y redes que soportan esta tesis doctoral........................................ 32 Tabla 3.1. reas de procesos de SSECMM. ................................................................ 66 Tabla 3.2. Relacin entre SSE-CMM y la ISO/IEC27002. ............................................ 68 Tabla 3.3. Relacin entre el CC y SSECMM ............................................................... 69 Tabla 3.4. Compatibilidad entre CC y SSE-CMM......................................................... 70 Tabla 3.5. Resumen lgico de la metodologa COBIT (COBITv4.0, 2006).................. 77 Tabla 3.6. Comparacin entre COBIT y la ISO/IEC27002............................................ 78 Tabla 3.7. Asociacin de los procesos de ISM3 a sus niveles de madurez. ................... 80 Tabla 3.8. Relacin entre propuesta Eloff e ISO/IEC27002. ......................................... 81 Tabla 3.9. Relacin entre propuesta Areiza e ISO/IEC27002........................................ 82 Tabla 3.10. Divisin en niveles de madurez de la ISO/IEC17799 por ISF.................... 88 Tabla 3.11. Elementos de la definicin raz (Tawileh, et al., 2007)............................... 91 Tabla 3.12. Comparativa de metodologas de gestin de seguridad. ............................. 98 Tabla 3.13. Asociacin de metodologas con las actividades de MGSMPYME. ........ 99 Tabla 4.1. Resumen de subprocesos, actividades y tareas de MGSMPYME. ........... 120 Tabla 4.2. Intervencin de los actores en el subproceso GEGS ................................... 125 Tabla 4.3. Tarea T1.1.1 Establecimiento de los roles del esquema........................... 127 Tabla 4.4. Tarea T1.1.2 Establecimiento de los sectores empresariales. .................. 128 Tabla 4.5. Tarea T1.1.3 Establecimiento de los niveles de madurez. ....................... 129 Tabla 4.6. Tarea T1.2.1 Establecimiento de las reglas de madurez. ......................... 131 Tabla 4.7. Tarea T1.2.2 Establecimiento de los controles......................................... 132 Tabla 4.8. Tarea T1.3.1 Seleccin de tipos de activos. ............................................. 135 Tabla 4.9. Tarea T1.3.2 Seleccin de tipos de amenazas. ......................................... 136 Tabla 4.10. Tarea T1.3.3 Seleccin de tipos de vulnerabilidades. ............................ 137 Tabla 4.11. Tarea T1.3.4 Seleccin de criterios de riesgo......................................... 138 Tabla 4.12. Tarea T1.3.5 Establecim. de relaciones entre t.activosvulnerabilid. .... 139 Tabla 4.13. Tarea T1.3.6 Establec. de relaciones entre amenazasvulnerabilid. ...... 140 Tabla 4.14. Tarea T1.3.7 Establecimiento de relaciones entre amenazascontroles. 141 Tabla 4.15. Tarea T1.3.8 Establec. de relaciones entre activ.vulner.c.riesgo. ...... 142 Tabla 4.16. Tarea T1.4.3 Seleccin de reglamentos.................................................. 145 Tabla 4.17. Tarea T1.4.1 Seleccin de procedimientos............................................. 146 Tabla 4.18. Tarea T1.4.5 Seleccin de registros. ...................................................... 148 Tabla 4.19. Tarea T1.4.4 Seleccin de plantillas....................................................... 149 Tabla 4.20. Tarea T1.4.2 Seleccin de instrucciones tcnicas. ................................. 150 Tabla 4.21. Tarea T1.4.6 Seleccin de mtricas........................................................ 151 Tabla 4.22. Ejemplo de indicador de seguridad. .......................................................... 152 xiii
Tabla 4.23. Tarea T1.4.7 Establec. de relaciones entre reglament.document. ........ 153 Tabla 4.24. Matriz de asociacin entre el reglamento y los artefactos......................... 153 Tabla 4.25. Tarea T1.4.8 Establec. de relaciones entre reglament.controles. ......... 154 Tabla 4.26. Matriz de asociacin entre el reglamento y los controles.......................... 154 Tabla 4.27. Tarea T1.4.9 Establec. de relaciones entre artefactos y controles.......... 155 Tabla 4.28. Matriz de asociacin entre los artefactos y los controles. ......................... 156 Tabla 4.29. Tarea T1.4.10 Establec. de relaciones entre procedim.artefactos. ....... 156 Tabla 4.30. Matriz de asociacin entre los procedimientos y los artefactos. ............... 157 Tabla 4.31. Intervencin de los actores en el subproceso GSGS ................................. 161 Tabla 4.32. Tarea T2.1.1 Solicitud de interlocutor vlido......................................... 164 Tabla 4.33. Tarea T2.1.2 Solicitud de organigrama de la compaa......................... 165 Tabla 4.34. Tarea T2.1.3 Obtencin de lista de usuarios del S.I. y sus roles. ........... 165 Tabla 4.35. Tarea T2.2.1 Lista de verificacin del perfil de la empresa. .................. 168 Tabla 4.36. Reglas para determinar el nivel de madurez deseable para la PYME....... 169 Tabla 4.37. Tarea T2.2.2 Lista de verificacin de controles. .................................... 170 Tabla 4.38. Tarea T2.2.3 Obtencin del nivel de madurez de la seguridad. ............. 171 Tabla 4.39. Ejemplo de pesos asociados a las reglas.................................................... 172 Tabla 4.40. Ejemplo 1 para determinar el nivel de madurez de la PYME. .................. 172 Tabla 4.41. Ejemplo 2 para determinar el nivel de madurez de la PYME. .................. 173 Tabla 4.42. Ejemplo 3 para determinar el nivel de madurez de la PYME. .................. 173 Tabla 4.43. Pseudocdigo del algoritmo del nivel de madurez recomendado. ............ 174 Tabla 4.44. Pseudocdigo del algoritmo del nivel de madurez actual. ........................ 175 Tabla 4.45. Tarea T2.3.1 Identificacin de activos. .................................................. 178 Tabla 4.46. Tarea T2.3.2 Generacin de la matriz de riesgos y plan de mejora. ...... 179 Tabla 4.47. Algoritmo para determinar el nivel de riesgo............................................ 181 Tabla 4.48. Pseudocdigo del algoritmo de matriz de riesgos. .................................... 182 Tabla 4.49. Pseudocdigo del algoritmo del plan de mejora. ...................................... 183 Tabla 4.50. Ejemplo de plan de mejora. ....................................................................... 183 Tabla 4.51. Tarea T2.4.1 Generacin de los objetos del SGSI.................................. 186 Tabla 4.52. Pseudocdigo del algoritmo de generacin del SGSI. .............................. 187 Tabla 4.53. Activacin de procedim. del MGSMPYME segn el nivel de madurez. 188 Tabla 4.54. Tarea T2.4.2 Presentacin de resultados al interlocutor......................... 189 Tabla 4.55. Intervencin de los actores en el subproceso MSGS................................. 194 Tabla 4.56. Tarea T3.1.1 Realizacin del test de cultura de seguridad. .................... 197 Tabla 4.57. Tarea T3.2.1 Activar procedimiento general.......................................... 203 Tabla 4.58. Tarea T3.4.1 Activar procedimiento de denuncia. ................................. 204 Tabla 4.59. Cuadro resumen de mtricas de autorregulacin del nivel de seguridad. . 209 Tabla 4.60. Tarea T3.3.1 Gestionar el cuadro de mandos de seguridad.................... 210 Tabla 4.61. Tarea T3.3.2 Gestionar la periodicidad de los procedimientos. ............. 211 Tabla 4.62. Tarea T3.3.3 Gestionar las violaciones de seguridad. ............................ 212 Tabla 4.63. Tarea T3.3.4 Gestionar los certificados de cultura de la seguridad........ 213 Tabla 4.64. Tarea T3.3.5 Realizacin de auditoras peridicas................................. 215 Tabla 4.65. Tarea T3.3.6 Realizacin de mtricas generales. ................................... 217 Tabla 4.66. Tarea T3.3.7 Gestionando el sistema de alertas. .................................... 217 Tabla 4.67. Comparativa entre diferentes modelo de madurez de seguridad............... 222 Tabla 4.68. Relacin entre CNAE, tamao de la compaa y el control 6.2.3............. 224 Tabla 4.69. Valores para el control 6.2.3 por CNAE y tamao de empresa. ............... 224 xiv
Tabla 4.70. Tabla resumen de la asociacin entre perfiles y procedimientos. ............. 232 Tabla 6.1. Perfiles del esquema. ................................................................................... 267 Tabla 6.2. Sectores empresariales................................................................................. 267 Tabla 6.3. Niveles de madurez del esquema. ............................................................... 268 Tabla 6.4. Lista de trabajadores de SNT y roles asociado al S.I. ................................. 272 Tabla 6.5. Reglas para establecer el nivel de seguridad deseable para la compaa. ... 273 Tabla 6.6. Ejemplo del resultado de la lista de verificacin tcnica de SNT. .............. 273 Tabla 6.7. Resultados por dominio y nivel de madurez para SNT ISO/IEC27002... 274 Tabla 6.8. Lista de activos de SNT............................................................................... 275 Tabla 6.9. Matriz de riesgos para SNT......................................................................... 276 Tabla 6.10. Plan de mejora para SNT........................................................................... 277 Tabla 6.11. Generacin del SGSI para SNT................................................................. 278 Tabla 6.12. Examen de obtencin del certificado de c.seguridad. ............................... 280 Tabla 6.13. Resultado del examen de certificado de seguridad.................................... 280 Tabla 6.14. Ejemplo de procedimiento general............................................................ 281 Tabla 6.15. Ejemplo de mtricas generales. ................................................................. 283 Tabla 6.16. Ejemplo de mtricas de periodicidad de procedimientos. ......................... 283 Tabla 6.17. Ejemplo de penalizacin de controles por examen de CS......................... 285 Tabla 6.18. Ejemplo de mtricas generales. ................................................................. 286 Tabla 6.19. Ejemplo de mtricas generales. ................................................................. 287 Tabla 6.20. Alerta de seguridad.................................................................................... 287 Tabla 6.21. Tiempo medio de implantacin de un SGSI con MGSMPYME ............ 288 Tabla 7.1. Estadstica de las publicaciones................................................................... 295 Tabla 7.2. Lista de publicaciones clasificadas por temas. ............................................ 295 Tabla A.1. Acrnimos generales. ................................................................................. 326 Tabla A.2. Acrnimos del modelo MGSMPYME. .................................................... 329 Tabla B.1. Perfiles del esquema. .................................................................................. 330 Tabla B.2. Sectores empresariales................................................................................ 332 Tabla B.3. Niveles de madurez del esquema................................................................ 332 Tabla B.4. Reglas de madurez del esquema. ................................................................ 333 Tabla B.5. Controles del esquema Dominio5............................................................ 334 Tabla B.6. Controles del esquema Dominio6............................................................ 336 Tabla B.7. Controles del esquema Dominio7............................................................ 337 Tabla B.8. Controles del esquema Dominio8............................................................ 339 Tabla B.9. Controles del esquema Dominio9............................................................ 342 Tabla B.10. Controles del esquema Dominio10........................................................ 354 Tabla B.11. Controles del esquema Dominio11........................................................ 360 Tabla B.12. Controles del esquema Dominio12........................................................ 364 Tabla B.13. Controles del esquema Dominio13........................................................ 366 Tabla B.14. Controles del esquema Dominio14........................................................ 368 Tabla B.15. Controles del esquema Dominio15........................................................ 370 Tabla B.16. Tipos de activos del esquema. .................................................................. 371 Tabla B.17. Amenazas del esquema............................................................................. 372 Tabla B.18. Vulnerabilidades del esquema. ................................................................. 373 Tabla B.19. Criterios de riesgo del esquema. ............................................................... 373 Tabla B.20. Relacin entre tipos de activos y vulnerabilidades del esquema. ............. 377 Tabla B.21. Relacin entre tipos de amenazas y vulnerabilidades del esquema.......... 380 xv
Tabla B.22. Relacin entre tipos de amenazas y controles del esquema...................... 383 Tabla B.23. Relacin entre tipos de activos, amenazas y c.riesgo del esquema. ......... 387 Tabla B.24. Reglamentos del esquema......................................................................... 388 Tabla B.25. Procedimientos del esquema..................................................................... 389 Tabla B.26. Registros del esquema. ............................................................................. 390 Tabla B.27. Plantillas del esquema............................................................................... 390 Tabla B.28. Instrucciones tcnicas del esquema. ......................................................... 390 Tabla B.29. Mtricas del esquema................................................................................ 391 Tabla B.30. Relaciones entre los artefactos y reglamentos del esquema. .................... 395 Tabla B.31. Relaciones entre los reglamentos y controles del esquema. ..................... 398 Tabla B.32. Relaciones entre los artefactos y controles del esquema. ......................... 400 Tabla B.33. Relaciones entre los procedimientos y artefactos del esquema. ............... 402 Tabla C.1. Reglamento para gestin de la seguridad (OS/SIN01). ............................ 403 Tabla C.2. Propiedades: Revisin de la poltica de seguridad (OS/SIPR01). ............ 405 Tabla C.3. Otros objetos para la gestin de la seguridad (OS/SI). ............................... 406 Tabla C.4. Reglamento para gestin de la seguridad (OS/UCIIN01). ....................... 406 Tabla C.5. Propiedades: Manual de buen uso de los S.I. (OS/UCIIPR01). ............... 408 Tabla C.6. Otros objetos para la gestin de la seguridad (OS/UCII). .......................... 408 Tabla C.7. Reglamento para gestin de la seguridad (OS/ISIN01)............................ 409 Tabla C.8. Propiedades: Responsabilidades sobre activos (OS/ISIPR01). ................ 409 Tabla C.9. Propiedades: Acceso al S.I. desde remoto (OS/ISIPR02). ....................... 411 Tabla C.10. Otros objetos para la gestin de la seguridad (OS/ISI)............................. 413 Tabla C.11. Reglamento para gestin de la seguridad (OS/ATN01). ........................ 413 Tabla C.12. Propiedades: Riesgos para el acceso a terceros (OS/ATPR01). ............. 415 Tabla C.13. Reglamento para gestin de la seguridad (OS/OEN01). ........................ 416 Tabla C.14. Propiedades: Contratacin de servicios (OS/OEPR01). ......................... 416 Tabla C.15. Propiedades: Contratacin de outsourcing (OS/OEPR02). .................... 419 Tabla C.16. Otros objetos para la gestin de la seguridad (OS/OE). ........................... 420 Tabla C.17. Reglamento para gestin de la seguridad (CA/CIN01). ......................... 421 Tabla C.18. Propiedades: Gestin de inventario de activos (CA/CIPR01). ............... 422 Tabla C.19. Propiedades: Clasificacin de activos (CA/CIPR02). ............................ 427 Tabla C.20. Propiedades: Clasificacin de activos de informacin (CA/CIPR03). ... 429 Tabla C.21. Propiedades: Revisin del anlisis de riesgos (CA/CIPR04). ................ 430 Tabla C.22. Propiedades: Revisin y clasificacin de activos (CA/CIPR05). ........... 432 Tabla C.23. Otros objetos para la gestin de la seguridad (CA/CI). ............................ 434 Tabla C.24. Reglamento para gestin de la seguridad (GI/ISFIN01). ....................... 435 Tabla C.25. Propiedades: Comunicacin de incidentes de segurid. (GI/ISFIPR01).. 436 Tabla C.26. Propiedades: Medidas disciplinarias (GI/ISFIPR02).............................. 442 Tabla C.27. Otros objetos para la gestin de la seguridad (GI/ISFI). .......................... 447 Tabla C.28. Reglamento para gestin de la seguridad (GI/PRN01)........................... 447 Tabla C.29. Propiedades: Recuperacin de incidentes de seguridad (GI/PRPR01)... 448 Tabla C.30. Propiedades: Recuperacin de incidentes de seguridad (GI/PRPR02)... 451 Tabla C.31. Otros objetos para la gestin de la seguridad (GI/PR).............................. 453 Tabla C.32. Reglamento para gestin de la seguridad (SP/DPTN01)........................ 454 Tabla C.33. Propiedades: Para la contratacin (SP/DPTPR01). ................................ 454 Tabla C.34. Propiedades: Durante la contratacin (SP/DPTPR02). .......................... 456 Tabla C.35. Propiedades: Finalizacin de la contratacin (SP/DPTPR03)................ 458 xvi
Tabla C.36. Otros objetos para la gestin de la seguridad (SP/DPT)........................... 460 Tabla C.37. Reglamento para gestin de la seguridad (SP/FUN01). ......................... 460 Tabla C.38. Propiedades: Formacin del personal en seguridad (SP/FUPR01). ....... 461 Tabla C.39. Reglamento para gestin de la seguridad (SF/ASN01). ......................... 462 Tabla C.40. Propiedades: Control de acceso fsico (SF/ASPR01). ............................ 463 Tabla C.41. Otros objetos para la gestin de la seguridad (SF/AS). ............................ 469 Tabla C.42. Reglamento para gestin de la seguridad (SF/SEN01)........................... 470 Tabla C.43. Propiedades: Instalacin y proteccin de los equipos (SF/SEPR01)...... 471 Tabla C.44. Propiedades: Mantenimiento de los equipos (SF/SEPR02).................... 473 Tabla C.45. Propiedades: Seguridad de los equipos externos (SF/SEPR04). ............ 474 Tabla C.46. Propiedades: Baja segura o reutilizacin de equipos (SF/SEPR04). ...... 476 Tabla C.47. Otros objetos para la gestin de la seguridad (SF/SE).............................. 478 Tabla C.48. Reglamento para gestin de la seguridad (CO/PORN01). ..................... 479 Tabla C.49. Propiedades: Segregacin en operaciones del S.I. (CO/PORPR01)....... 480 Tabla C.50. Propiedades: Segregacin en entornos operativos (CO/PORPR02)....... 482 Tabla C.51. Propiedades: Planificacin de la capacidad (CO/PORPR03). ................ 484 Tabla C.52. Otros objetos para la gestin de la seguridad (CO/POR). ........................ 487 Tabla C.53. Reglamento para gestin de la seguridad (CO/PSMN01). ..................... 488 Tabla C.54. Propiedades: Controles de protecc. soft. malicioso (CO/PSMPR01).. 489 Tabla C.55. Otros objetos para la gestin de la seguridad (CO/PSM). ........................ 490 Tabla C.56. Reglamento para gestin de la seguridad (CO/GRN01)......................... 491 Tabla C.57. Propiedades: Revisin peridica de controles de red (CO/GRPR01). ... 491 Tabla C.58. Propiedades: Controles del correo electrnico (CO/GRPR02). ............. 493 Tabla C.59. Otros objetos para la gestin de la seguridad (CO/GR)............................ 494 Tabla C.60. Reglamento para gestin de la seguridad (AC/GAUN01)...................... 495 Tabla C.61. Propiedades: Gestin de acceso de usuarios (AG/GAUPR01)............... 496 Tabla C.62. Propiedades: Gestin de contraseas (AC/GAUPR02). ......................... 499 Tabla C.63. Propiedades: Gestin de privilegios de usuarios (AC/GAUPR03). ....... 500 Tabla C.64. Otros objetos para la gestin de la seguridad (AC/GAU). ....................... 505 Tabla C.65. Reglamento para gestin de la seguridad (AC/ASON01). ..................... 506 Tabla C.66. Propiedades: Gestin de utilidades del sistema (AC/ASOPR01)........... 507 Tabla C.67. Otros objetos para la gestin de la seguridad (AC/ASO). ........................ 509 Tabla C.68. Reglamento para gestin de la seguridad (AC/RNCAN01). .................. 509 Tabla C.69. Propiedades: Controles para la gestin de acceso (AC/RNCAPR01). ... 510 Tabla C.70. Propiedades: Controles para monitoriz. de accesos (AC/RNCAPR02). 512 Tabla C.71. Propiedades: Acceso remoto al S.I. (AC/RNCAPR03).......................... 514 Tabla C.72. Otros objetos para la gestin de la seguridad (AC/RNCA). ..................... 516 Tabla C.73. Reglamento para gestin de la seguridad (AC/CARN01). ..................... 516 Tabla C.74. Reglamento para gestin de la seguridad (AC/RUN01)......................... 517 Tabla C.75. Reglamento para gestin de la seguridad (TI/CSN01). .......................... 518 Tabla C.76. Propiedades: Relacin de copias de seguridad (TI/CSPR01)................. 518 Tabla C.77. Propiedades: Restauracin de copias de seguridad (TI/CSPR02). ......... 520 Tabla C.78. Propiedades: Revisin de copias de seguridad (TI/CSPR03)................. 521 Tabla C.79. Otros objetos para la gestin de la seguridad (TI/CS). ............................. 523 Tabla C.80. Reglamento para gestin de la seguridad (TI/IISN01). .......................... 523 Tabla C.81. Propiedades: Gestin de informacin del S.I. (TI/IISPR01). ................. 524 Tabla C.82. Propiedades: Marcado y tratamiento de la informacin (TI/IISPR02)... 531 xvii
Tabla C.83. Propiedades: Traslado y salida de informacin (TI/IISPR03)................ 535 Tabla C.84. Otros objetos para la gestin de la seguridad (TI/IIS). ............................. 540 Tabla C.85. Reglamento para gestin de la seguridad (TI/USN01)........................... 541 Tabla C.86. Reglamento para gestin de la seguridad (CL/LOPDN01). ................... 542 Tabla C.87. Propiedades: Gestin de ficheros de LOPD (CL/LOPDPR01). ............. 543 Tabla C.88. Propiedades: Revisin documento de seguridad (CL/LOPDPR02). ...... 547 Tabla C.89. Otros objetos para la gestin de la seguridad (CL/LOPD). ...................... 549 Tabla C.90. Reglamento para gestin de la seguridad (CL/LPIN01)......................... 550 Tabla C.91. Propiedades: Gestin de licencias de software (CL/LPIPR01). ............. 550 Tabla C.92. Propiedades: Revisin peridicas de licencias de Sw (CL/LPIPR02).... 553 Tabla C.93. Propiedades: Solicitud de licencias de software (CL/LPIPR03). ........... 554 Tabla C.94. Propiedades: Gestin de licencias de software (CL/LPIPR04). ............. 556 Tabla C.95. Otros objetos para la gestin de la seguridad (CL/LPI)............................ 558 Tabla D.1. Resultado de la lista de verificacin tcnica de SNT. ................................ 564 Tabla D.2. Matriz de riesgos para SNT. ....................................................................... 632 Tabla D.3. Plan de mejora para SNT............................................................................ 637 Tabla E.1. Casos de prueba realizados. ........................................................................ 640 Tabla E.2. Niveles de madurez actuales y recomendados de los casos de prueba. ...... 641 Tabla E.3. Niveles de seguridad actual obtenidos de los casos de prueba. .................. 642 Tabla E.4. Resultados de los casos de estudio ISO/IEC17799:2000. ....................... 642 Tabla E.5. Resultados de los casos de estudio ISO/IEC27002.................................. 643 Tabla E.6. Niveles de madurez actuales y recomendados de los casos de prueba. ...... 645 Tabla F.1. Mapa de objetos y perfiles del SGSI........................................................... 651
xviii
ndice de ecuaciones
Ecuacin 4.1. Nivel de madurez recomendado. ........................................................... 171 Ecuacin 4.2. Nivel de cumplimiento de la seguridad de un control para un nivel. .... 174 Ecuacin 4.3. Nivel de cumplimiento de la seguridad de un control. .......................... 174 Ecuacin 4.4. Nivel de cumplimiento de la seguridad para un nivel. .......................... 175 Ecuacin 4.5. Nivel de cumplimiento de la seguridad de la empresa. ......................... 175 Ecuacin 4.6. Nivel de riesgo....................................................................................... 180 Ecuacin 4.7. Nivel de cobertura de un control para el par activoamenaza............... 181 Ecuacin 4.8. Nivel de cobertura de un control para un activo.................................... 181
xix
Resumen
Con la creciente dependencia que la sociedad de la informacin tiene de las Tecnologas de la Informacin y las Comunicaciones (TIC), la necesidad de proteger la informacin tiene cada vez mayor importancia para las empresas. De esta manera, la demanda de productos, sistemas y servicios para gestionar y mantener la informacin es creciente, y no es suficiente con realizar unos controles de seguridad superficiales. Es necesario aplicar un enfoque riguroso para evaluar y mejorar la seguridad de los productos y tambin de los procesos que se llevan a cabo en el contexto de las TIC. En este contexto, surgen los Sistemas de Gestin de la Seguridad de la Informacin (SGSI), que tienen una gran importancia para la estabilidad de los sistemas de informacin de las compaas. El hecho de poder disponer de estos sistemas ha llegado a ser cada vez ms vital para la evolucin de las PYMES. A pesar de que existen varios estndares y recomendaciones que abordan la gestin de la seguridad, as como algn modelo de madurez para la seguridad, en la prctica estos estndares y recomendaciones son muy difciles de implantar, y requieren una inversin demasiado alta, que la mayora de las empresas no puede asumir. Adicionalmente, la aplicacin de normativas de seguridad en las pequeas y medianas empresas cuenta con el problema de no disponer de recursos suficientes para realizar una adecuada gestin. La consecuencia inmediata de estas dificultades es que la cultura de la seguridad es prcticamente nula en las pequeas empresas, y creciente pero todava muy deficiente en las empresas medianas. Todo esto ha ocasionado que la mayor parte de las PYMES carezcan de sistemas de gestin de la seguridad de la informacin adecuados. Sin embargo, una buena estrategia para cambiar esa tendencia es elaborar mecanismos giles, prcticos y econmicos adaptables para las caractersticas particulares de este tipo de empresas. Adems, es necesario tener en cuenta algunos aspectos de seguridad concretos, no recogidos en los estndares internacionales, como por ejemplo todo lo relativo a proteccin de datos de carcter personal, que habitualmente viene legislado dentro del ordenamiento particular de cada pas. Esta tesis doctoral pretende aportar avances en la gestin de la seguridad de las TIC, en particular para el caso de las PYMES. Para ello, en este trabajo se presentan los elementos esenciales que componen una metodologa denominada Metodologa para la Gestin de la Seguridad y su Madurez en las PYMES (MGSMPYME) y un modelo realista, pragmtico y gil que permite evaluar y mejorar la gestin de la seguridad, y el nivel de madurez de sta, en los sistemas de informacin de las pequeas y medianas empresas, basndose en las normas y estndares internacionales ms importantes. El desarrollo de esta metodologa, est basado en un nuevo enfoque de gestin de la seguridad en las pequeas y medianas empresas, adaptado al tamao de la empresa y a su nivel de madurez, utilizando como marco de referencia la norma ISO/IEC27002 (anteriormente ISO/IEC17799) y tomando como punto bsico de la metodologa la adaptacin de los costes a la dimensin de la compaa. La metodologa se ha subdividido en tres subprocesos: Generacin de Esquemas (GEGS), Generacin del SGSI (GSGS) y Mantenimiento del SGSI (MSGS). Adems, y con el objeto de validar y mejorar la metodologa MGSMPYME, se ofrece el resultado de su aplicacin en un caso de estudio de una compaa real. Por ltimo, se presenta una herramienta que permite la generacin de modelos basados en la metodologa, as como la generacin y el mantenimiento de SGSIs para las compaas.
1
Abstract
As a result of the growing dependence of information society on Information and Communication Technologies (ICT), the need to protect information is becoming more and more important for enterprises. In this way, there is a growing demand for products, systems and services to manage and maintain information and the performance of superficial security controls is not enough. It is necessary to apply a rigorous approach to evaluate and improve the security of products and that of the processes that are carried out in the context of ICT. In this context, Information Security Management Systems (ISMS) arise, which have great importance for the stability of the information systems of enterprises. The fact of being able to have these systems available has become more and more vital for the evolution of small and mediumsized enterprises. In spite of the fact that there are several standards and recommendations dealing with security management as well as some security maturity model; in practice, these standards and recommendations are very difficult to implement and require a too high investment that most enterprises cannot make. In addition, the application of security regulations in small and mediumsized enterprises has to face the problem of not having enough resources available to carry out an appropriate management. The immediate consequence of these difficulties is that the security culture in smallsized enterprises is practically null and growing but still very poor in mediumsized enterprises. All these facts have caused that the majority of small and mediumsized enterprises have a lack of adequate information security management systems. Nevertheless, we think that a good strategy to change this tendency consists of elaborating agile, practical and inexpensive mechanisms that can be adapted to the particular characteristics of this kind of enterprises. Furthermore, it is necessary to take into account some concrete security aspects that are not covered by the international standards such as all aspects related to personal data protection that are usually part of the particular regulations of each country. This doctoral thesis has the aim of providing advances in ICT security management, particularly in the case of small and mediumsized enterprises. To do so, in this work, we will present the essential elements composing a methodology called Methodology for Security Management and its maturity in small and mediumsized enterprises (MGSMPYME) along with a realistic, pragmatic and agile model that allows us to evaluate and improve security management and its maturity level in information systems of small and mediumsized enterprises. This model is based on the most important international standards and regulations. The development of this methodology is based on a new approach of security management in small and mediumsized enterprises adapted not only to the size of the enterprise but also to its maturity level, using as a reference framework the ISO/IEC27002 standard (formerly ISO/IEC17799). The basic idea of this methodology is that of the adaptation of the costs to the dimension of the enterprise. The methodology has been divided into three sub processes which are as follows: Schemas generation (GEGS), ISMS generation (GSGS) and ISMS maintenance (MSGS). Moreover and with the purpose of validating and improving the MGSMPYME methodology, we will present the result of its application through a case study carried out in an existing enterprise. At last, a tool that allows the generation of models based on the methodology as well as the ISMS generation and maintenance for enterprises will be presented.
3
C a p t ul o 1 Introduccin
1.- Introduccin
Este captulo introductorio se encuentra organizado de la siguiente manera: en la seccin 1.1 se describe el estado de la seguridad en las organizaciones actuales (en especial las PYMES), los principales problemas que ocasiona la falta de seguridad en subsistemas de informacin, el coste de la falta de seguridad y los problemas para implantar los SGSI en este tipo de compaas. En la seccin 1.2 se presenta el marco en el cual se ha desarrollado esta tesis doctoral. En la seccin 1.3 se plantea la hiptesis de esta tesis doctoral y los objetivos establecidos. Finalmente, en la seccin 1.4 se describe la organizacin general de esta tesis doctoral.
1.1. La seguridad en las organizaciones actuales.

En un entorno empresarial globalizado y competitivo como el existente en la actualidad, las compaas dependen cada vez ms de sus sistemas de informacin, pues se ha demostrado que tienen una enorme influencia para aumentar su nivel de competitividad. Pero sin una adecuada gestin de la seguridad estos sistemas de informacin carecen de valor real, ya que no pueden aportar las suficientes garantas de continuidad a las empresas. Por ello, las compaas empiezan a tener conciencia de la enorme importancia que tiene el poseer unos sistemas de seguridad de la informacin adecuados, as como una correcta gestin de los mismos. De esta forma, pese a que muchas empresas todava asumen el riesgo de prescindir de las medidas de proteccin adecuadas, otras muchas han comprendido que los sistemas de informacin no son tiles sin los sistemas de gestin de seguridad y las medidas de proteccin asociados a ellos. La seguridad en el mundo de la informtica tiene ya ms de 30 aos de antigedad (Lampson, 2004) y, aunque han existido multitud de soluciones de seguridad que han sido globalmente aceptadas (ej.: el modelo de matriz de acceso sujeto/objeto (Lampson, 1974), las listas de control de acceso (Saltzer, 1974), la seguridad multinivel en flujos de informacin (Denning, 1976), la criptografa de clave pblica (Ellison, et al., 1999) o el modelo de control de acceso basado en roles (Sandhu, et al., 1996), por mencionar tan slo algunos ejemplos) todava existe una sensacin generalizada de profunda desconfianza por parte de los millones de usuarios conectados a travs de las redes. En los tiempos actuales, considerados como los de la era de Internet, la seguridad se ha convertido en una preocupacin generalizada y creciente que abarca todos los mbitos de la sociedad: empresarial, domstico, financiero, individual, etc. (Kemmerer, 2003). La sociedad de la informacin depende incrementalmente de un amplio abanico de sistemas software de misin crtica, como por ejemplo los sistemas de control areo, los sistemas financieros o los sistemas de la sanidad pblica. Debido a las potenciales prdidas a las que se enfrentan las empresas que confan en todos estos sistemas, tanto hardware como software, resulta crucial que los sistemas de la informacin sean asegurados apropiadamente desde el principio de su ciclo de vida (Baskerville, 1992, McDermott y Fox, 1999). As mismo, (Anderson, 2006) analiz las PYMES de Europa y EEUU llegando a la conclusin que Internet ha producido una serie de cambios en el marco de colaboracin global, haciendo por un lado que las PYMES crezcan mucho ms rpido mediante la colaboracin con otras compaas, lo que hace ms necesario proteger sus sistemas de informacin, los cuales se estn convirtiendo en el centro neural del crecimiento de la compaa y por otro lado cambiando la manera de comunicarse, hacer negocios y lograr los objetivos, lo que se
8 _________________________________________________________ Introduccin ha producido un aumento de la delincuencia y las amenazas a la seguridad como spam, phishing y virus, socavando la confianza de los usuarios en Internet (Householder, et al., 2002). Gran parte de este cambio de mentalidad en las empresas tiene su origen en el cambio social producido por Internet y la rapidez en el intercambio de informacin, que ha dado lugar a que las empresas empiecen a tomar conciencia del valor que tiene la informacin para sus organizaciones y se preocupen de proteger sus datos. De esta forma, las empresas ya han tomado conciencia de que la informacin y los procesos que apoyan los sistemas y las redes son sus activos ms importantes (Dhillon y Backhouse, 2000, Kluge, 2008). Estos activos estn sometidos a riesgos de una gran variedad, que pueden afectar de forma crtica a la empresa. As, la importancia de la seguridad en los sistemas de informacin viene avalada por numerosos trabajos (Brinkley y Schell, 1995, Chung, et al., 2000, Dhillon, 2001, Jrjens, 2001, Ghosh, et al., 2002, Hall y Chapman, 2002, Masacci, et al., 2005, Walker, 2005), por citar slo algunos. Anteriormente, las compaas que haban decidido proteger sus sistemas de informacin haban afrontado proyectos desde la perspectiva de que la seguridad era algo individual que afectaba a un objeto pero no al conjunto al que perteneca el objeto, es decir, se basaban en la implantacin de medidas de seguridad, pero sin llevar a cabo una adecuada gestin de dichas medidas (Humphrey, 2008). Con el tiempo, al no disponer de una gestin adecuada, los controles implantados dejaban de mantenerse y se convertan en controles pasivos, que en lugar de ayudar a mejorar la seguridad contribuan a desinformar, ofreciendo informacin errnea en muchos casos. As, en (Tsujii, 2004) se destacaba que para la construccin de un sistema de seguridad no bastan los aspectos tecnolgicos, sino que tambin son necesarios los aspectos de gestin, as como los aspectos legales y ticos. Actualmente, los expertos consideran que la seguridad en los sistemas de informacin tiene un carcter bidimensional (Siponen, 2006). La seguridad en los sistemas de informacin ya no se trata como un aspecto exclusivamente tcnico, en el que el uso correcto de ciertos mecanismos de seguridad (ej.: protocolos de seguridad, esquemas de cifrado, etc.) garantiza la seguridad de un sistema en trminos absolutos. Adems, y dada la integracin social de los sistemas software, existe una nueva dimensin que cobra gran relevancia y que debe ser analizada detenidamente. Esta nueva dimensin tiene un carcter eminentemente social y organizativo y est ligada a la cada vez mayor interaccin de los humanos con los sistemas de informacin seguros. Resultados de investigaciones han demostrado que el factor humano posee un impacto significativo en la seguridad (Schumacher, 2003). Por ejemplo, de acuerdo con Anderson (2001), la principal amenaza de los registros mdicos privados es la denominada ingeniera social (Jones, 2002). El problema de la seguridad de la informacin se caracteriza por la complejidad y la interdependencia. La gestin de la seguridad contiene un nmero importante de factores y elementos que se interrelacionan entre s. La presencia del factor humano complica an ms la situacin, ya que los seres humanos tienen libre albedro y siempre actan segn su propio inters (James, 1996). Por otra parte, la creciente dependencia de Internet en casi todas las actividades comerciales hace de la seguridad una de las principales preocupaciones para la creacin de un tejido empresarial sostenible (Papazafeiropoulou y Pouloudi, 2000). Las PYMES en los pases desarrollados suelen tener una dbil comprensin de la seguridad de la informacin, tecnologas de seguridad y medidas de control, y suelen dejar el anlisis de riesgos o el desarrollo de las polticas de seguridad olvidados (Helokunnas y Iivonen, 2003, Dimopoulos, et al., 2004b, Gupta
1.1. La seguridad en las organizaciones actuales. ____________________________ 9 y Hammond, 2005, ISBS, 2006). Esto puede deberse a que las PYMES carecen de los recursos, tiempo y conocimientos especializados para coordinar la seguridad de la informacin u ofrecer informacin adecuada sobre la seguridad, la formacin y la educacin (Furnell, et al., 2000, Dimopoulos, et al., 2004b, Gupta y Hammond, 2005). Sin embargo, la literatura sugiere una explicacin muy diferente. (Johnson y Koch, 2006) dicen que las PYMES no quieren pagar por la seguridad, y que prefieren mantener una seguridad fsica con la que estn familiarizados. (Gupta y Hammond, 2005) sealan que, al carecer de un conocimiento especializado de tecnologas de seguridad, las PYMES suelen mantener la seguridad con las tecnologas con las que ya estn familiarizados. As mismo, las PYMES no ven la seguridad vinculada a la estrategia empresarial, lo que impacta directamente en el cumplimiento de la misma (OHalloran, 2003). De hecho, una investigacin reciente pone de manifiesto la necesidad de vincular la seguridad de la informacin con los sistemas de informacin de planificacin estratgica y, por tanto, con los objetivos de la empresa (Doherty y Fulford, 2006). A pesar de todas estas consideraciones, todava existen muchas organizaciones en la actualidad que tienden a prestar poca atencin a los requisitos de seguridad. Uno de los motivos que algunos autores indican es la carencia generalizada de una clara comprensin por parte de los usuarios de los requisitos de seguridad en s. De hecho, incluso cuando se intentan especificar los requisitos de seguridad, muchos usuarios tienden a describir soluciones en trminos de mecanismos de proteccin en lugar de realizar proposiciones declarativas sobre el grado de proteccin requerido (Firesmith, 2003). Otro motivo por el que se infravaloran los requisitos de seguridad puede tener su origen en la errnea percepcin que los considera un obstculo para alcanzar los hitos de los proyectos. Por ltimo, la literatura de gestin de seguridad existente est orientada a las grandes empresas (Tipton y Krause, 2004, Egan y Mather, 2005, Kairab, 2005). Muchos gobiernos han realizado grandes esfuerzos para intentar mejorar el nivel de seguridad de sus compaas. As, el grupo de polticas de seguridad de la informacin (DTI) (DTI, 2005) del Reino Unido tiene como fin ayudar a las empresas a gestionar eficazmente su seguridad de la informacin y proporcionar un conjunto de documentos que sirvan de punto de partida. "Las guas de la OCDE para la seguridad de los sistemas de informacin y las comunicaciones (OECD, 2002) describen la necesidad de una mayor conciencia y comprensin de las cuestiones de seguridad y la necesidad de desarrollar una "cultura de seguridad". En las siguientes subsecciones se analizarn los resultados de investigaciones realizadas en diferentes pases que validan los problemas existentes en las PYMES en materia de seguridad, el enorme coste que tiene carecer de metodologas adecuadas y la necesidad de stas.
1.1.1. Introduccin a los SGSI.

La mayor parte de las empresas tienen sistemas de seguridad caticos creados sin unas guas adecuadas, sin documentacin y con recursos insuficientes. Los controles clsicos se muestran por s solos insuficientes para dar unas mnimas garantas de seguridad. Las herramientas de seguridad existentes en el mercado ayudan a solucionar parte de los problemas de seguridad, pero nunca afrontan el problema de una manera global e integrada. Por ltimo, la enorme diversidad de estas herramientas y su falta de integracin suponen un enorme coste en recursos para poderlas gestionar.
10 _________________________________________________________ Introduccin La realidad ha demostrado que para que las empresas puedan utilizar las tecnologas de la informacin y las comunicaciones con garantas es necesario disponer de guas, mtricas y herramientas que les permitan conocer en cada momento su nivel de seguridad y las vulnerabilidades que an no han sido cubiertas (Wiander, 2008). En las pequeas y medianas empresas, la aplicacin de normativas de seguridad cuenta con el problema adicional de no tener recursos humanos y econmicos suficientes para realizar una adecuada gestin. As mismo, cualquier empresa tiene la necesidad de cuantificar los distintos aspectos de la seguridad para poder comprender, controlar y mejorar la confianza en su sistema de informacin. Esto es as debido a que si una organizacin no usa mtricas de seguridad para su toma de decisiones, las elecciones estarn motivadas por aspectos subjetivos, presiones externas e inclusive motivaciones puramente comerciales. Esta preocupacin ha impulsado a muchas organizaciones e investigadores a proponer distintas mtricas para evaluar la seguridad de sus sistemas de informacin. En general, existe un consenso en afirmar que la eleccin de estas mtricas depende de las necesidades concretas de seguridad de cada organizacin. La mayora de las propuestas analizadas proponen metodologas para la eleccin de estas mtricas (Nielsen, 2000, Payne, 2001, Bouvier y Longeon, 2003, Swanson, et al., 2003, Vaughn, et al., 2003). En este marco surge el concepto de Sistemas de Gestin de Seguridad de la Informacin (SGSI), que se puede definir como un sistema de gestin usado para establecer y mantener un entorno seguro de la informacin. El SGSI debe tratar la puesta en prctica y el mantenimiento de procesos y de procedimientos para manejar la seguridad de la tecnologa de la informacin (Eloff y Eloff, 2003). Estas acciones incluyen la identificacin de las necesidades de la seguridad de la informacin, la puesta en prctica de las estrategias para satisfacer estas necesidades y medir los resultados, as como la mejora de las estrategias de proteccin. Dentro de estos SGSIs, surgen diversos modelos que gestionan la seguridad partiendo del nivel de madurez que tiene la compaa en ese momento y que intentan cumplir un conjunto de factores que se han considerado crticos para el xito de los SGSI. Son los siguientes: i) enfocar la seguridad hacia el negocio; ii) implementar la seguridad en consonancia con la cultura de la empresa; iii) conseguir el apoyo indiscutible, visible y comprometido de la direccin de la empresa; iv) conseguir entender bien los requisitos de seguridad, de la evaluacin y gestin de los riesgos; v) concienciar tanto a directivos como a empleados de la necesidad de la seguridad; vi) ofrecer formacin y guas sobre polticas y normas a toda la organizacin; vii) definir un sistema de medicin para evaluar el rendimiento de la gestin de la seguridad y sugerir mejoras. Por otro lado, la seguridad de los sistemas de informacin se define como la capacidad de las redes y de los sistemas de informacin para resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles (Lopez, et al., 2005). La seguridad en los sistemas de informacin considera la proteccin de la informacin, y de los sistemas que la gestionan, frente a un amplio abanico de amenazas con el propsito de asegurar la continuidad del negocio, minimizar los riesgos y maximizar el retorno de la inversin y las oportunidades de negocio. La tendencia actual de los sistemas de informacin es presentar una naturaleza distribuida, en la que el modelo tradicional de seguridad de fortaleza, aplicado normalmente en dominios
1.1. La seguridad en las organizaciones actuales. ____________________________ 11 independientes y centralizados, se ve complementado por un modelo mixto de patrullaje en las zonas perimetrales combinado con un modelo de autodefensa incrustado en los propios sistemas (Velsquez y Estayno, 2007). Estos dominios distribuidos obstaculizan la gestin de su seguridad provocando que los sistemas de informacin sean vulnerables a un nmero creciente, en cuanto a tipologa, volumen y sofisticacin, de nuevas amenazas (Schneier, 2005). Ejemplos claros de esta generalizada diversidad y presencia de las amenazas son los virus que se propagan a travs de Internet (CSI/FBI, 2005), el uso inadecuado de los recursos de la organizacin por parte de sus empleados (Dojkovski, et al., 2005, Dojkovski, et al., 2006) o los tan actuales ataques por phising (Dhamija, et al., 2006). Adems, la aceptacin generalizada del comercio electrnico y la firma digital para realizar transacciones administrativas y comerciales implica que la seguridad de los sistemas de informacin que dan soporte a estos procesos deba estar mnimamente garantizada. Este entorno seguro debera considerar un conjunto de elementos que, de manera integrada, participaran en el sistema de gestin de seguridad de la informacin. Los estndares pueden incluir aspectos tcnicos, como seguridad en redes, firma digital, control de acceso, no repudio, gestin de claves, etc. Los procedimientos pueden ser operacionales, tcnicos y de gestin. La auditora, certificacin y acreditacin del sistema de gestin es importante para proporcionar credibilidad al entorno de seguridad. Evidentemente, un cdigo de buenas prcticas como la norma ISO/IEC27002 (ISO/IEC27002, 2007), es necesario para proporcionar los controles de seguridad a implantar y a gestionar. El sistema de gestin estar formado por un conjunto de procesos que dar lugar a un conjunto de productos. Estos ayudarn a asegurar un nivel de seguridad adecuado, que depender de las necesidades particulares de seguridad. Todo este enfoque tendr en cuenta aspectos legales, sociales, ticos y culturales propios del entorno en el que se encuentre la empresa. En (Barlette y Vladislav, 2008) se analiza la adecuacin de las normas de seguridad del sistema de informacin a las necesidades de las PYMES, llegando a la conclusin de que a partir de la revisin de la literatura actual, existe una crtica general a las normas de seguridad. (Wiander y Holappa, 2006) en sus investigaciones comentan que la implantacin de SGSI complejos en las PYMES es inviable. Segn (Savola, et al., 2005), la definicin de procesos estndar y medidas legales dimensionadas al nivel de las PYMES ayuda a encajar los requerimientos legales y regulatorios existentes. (Volonino y Robinson, 2004) sugieren la realizacin de un anlisis de riesgos como parte fundamental en la PYME. Segn (Michalson, 2003) las PYMES deben tener en cuenta que el valor y la sancin de los datos robados o filtrados en una pequea organizacin es el mismo que para una grande. (Chapman y Smalov, 2004) desarrollaron un mapa de seguridad orientado a facilitar la securizacin de entornos Web a las PYMES. (Upfold y Sewry, 2005) llegaron a la conclusin de que la gestin de la seguridad en las PYMES objeto de sus estudios era improvisada, y que aunque existan normativas como la SABS ISO/IEC17799 (SABS-ISO/IEC17799, 2000) stas eran complejas para las PYMES, concluyendo en la necesidad de simplificar dicha normativa para adecuarla a la PYME. (Coles-Kemp y Overill, 2007) analizaron cmo vean las PYMES la certificacin de los sistemas de gestin de seguridad de la informacin con la norma ISO/IEC27001, determinando que la consideraban un proceso excesivamente burocrtico y con un elevado coste que no encontraban justificado. Por otro lado, existen indicadores que demuestran que cuanto mayor es el tamao de una organizacin, mayor es la probabilidad de implantar un SGSI con xito (Chang y Ho, 2006, Hong, et al., 2006). De este trabajo se puede asumir que las
11
12 _________________________________________________________ Introduccin PYMES tienen menos probabilidades de implantar un SGSI con xito. El sector de la industria es tambin un factor determinante en la puesta en marcha de un SGSI. Para sectores como la banca tiene una importancia alta tener implantados SGSIs, por lo que un alto porcentaje de instituciones financieras han acometido este tipo de proyectos (Chang y Ho, 2006, Hong, et al., 2006). En (Wiander, 2008) se muestran las experiencias sobre la aplicacin prctica del estndar ISO/IEC17799 (ISO/IEC17799, 2000). La temprana fase de ejecucin demostr que hubo resistencia al cambio. El estudio revel que la falta de informacin fue la causa fundamental en este sentido. La solucin para este problema es ser pro activo en las comunicaciones. Todos los entrevistados comparten la opinin de que la ISO/IEC17799 (ISO/IEC17799, 2000) encaja muy bien con la actual cultura de organizacin, e incluso ha permitido una mayor consistencia de la seguridad. Despus de la fase de ejecucin, la carga de trabajo se redujo y la fase de mantenimiento tena un coste razonable. Por otro lado, (Spinellis y Gritzalis, 1999) propusieron un nuevo modelo de anlisis de riesgos (AR) orientado a las PYMES. Considerando que el uso de tcnicas de anlisis y gestin de riesgos, as como el papel de terceros, es necesario para poder garantizar la seguridad del sistema de informacin de las PYMES. Adems, en una revisin de la literatura basada en el estudio de los desafos que a los que se enfrentan las PYMES en el uso de las TIC (Chesher y Skok, 2000) indicaron que las organizaciones progresan a travs de una serie de fases evolutivas de las tecnologas de la informacin. Estas fases son: i) inactivos (sin uso actual de las TIC); ii) bsico (uso de procesadores de texto y paquetes de escritorio); iii) sustancial (con ordenadores conectados en red y el uso de varias aplicaciones); y iv) sofisticados (la integracin de aplicaciones y la explotacin de las TIC para lograr los diferentes servicios). En cambio, segn (Chesher y Skok, 2000) el desarrollo de estrategias efectivas de TIC para las PYMES no es sencillo, debido principalmente a que las PYMES no son un grupo homogneo. (Kuusisto y Ilvonen, 2003) realizaron un estudio sobre 11 PYMES de la regin de Tampere (Finlandia). Las evaluaciones se llevaron a cabo sobre entrevistas semi estructuradas basadas en las normas ISO/IEC17799 (ISO/IEC17799, 2000) y BS77992 (BS7799, 2002). Los resultados demostraron como incluso empresas de 30 empleados no consideraban necesaria la poltica de seguridad de la compaa y determinaron que las PYMES tenan estructuras y procedimientos muy diferentes entre s, dependiendo de si haban realizado algn tipo de inversin previa en gestin de la seguridad o no. La Figura 1.1 ilustra la seguridad de la informacin en dos empresas con 9 y 20 empleados. Ambas empresas han implementado de forma correcta sus sistemas tcnicos, pero mientras que en la organizacin A toda la responsabilidad recae sobre el CEO, en la organizacin B han podido realizar una estructura y un reparto de tareas ms robusto. En general, en casi todas las PYMES analizadas los procesos de formacin y capacitacin se realizaron de forma irregular. Para (Kuusisto y Ilvonen, 2003) el primer paso que debe dar una PYME es establecer su poltica de seguridad de la informacin. La documentacin aporta los siguientes beneficios: - Una comprensin unificada de los procedimientos de seguridad de la informacin. - Es ms fcil la formacin de nuevos empleados.
1.1. La seguridad en las organizaciones actuales. ____________________________ 13 Una herramienta para mejorar la seguridad de la informacin. Instrucciones claras ante situaciones de crisis.
Figura 1.1. SGSI en dos de las empresas evaluadas (Kuusisto y Ilvonen, 2003). El proceso de documentacin se puede hacer en ambos sentidos: en primer lugar crear una poltica de seguridad de la informacin, y sobre la base de ese documento de poltica se pueden incorporar las instrucciones para garantizar los procedimientos, o viceversa. Al construir la seguridad de la informacin dentro de una empresa, los documentos son el primer paso. A continuacin, el personal tiene que estar capacitado para utilizar los documentos y actualizarlos peridicamente. Segn (Kuusisto y Ilvonen, 2003) las PYMES deben incorporar documentacin sobre los procedimientos de clasificacin de la informacin (pblicos, confidenciales y clasificados). Adems, deben contener directrices de cmo compartir, almacenar y disponer de informacin dentro de esas categoras. El personal debe ser consciente de que en la empresa hay mucha informacin que debe permanecer dentro de la empresa y no deben ser almacenada en ordenadores personales donde sea vulnerable. (Kuusisto y Ilvonen, 2003) analizaron el efecto de cambiar a alguna de las personas con responsabilidades en el sistema de informacin, detectando que haba seras deficiencias al ser sustituido. (Kuusisto y Ilvonen, 2003) recomiendan tomar las siguientes medidas ante una sustitucin: i) los puestos claves deben tener un plan de sustitucin; ii) debe existir un grfico que ilustre los acuerdos de sustitucin; y iii) el responsable de seguridad tiene el deber de actualizar la tabla cuando se realicen cambios en el organigrama de la organizacin.
1.1.2. Estado de la seguridad en las PYMES.

Segn los datos publicados en el Instituto Nacional de Estadstica (INE) en Octubre de 2008, Espaa cuenta con un total de 3.696.585 empresas. De este porcentaje el 99% son MicroPYMES (empresas con menos de 10 trabajadores) y PYMES (225.212 empresas en Espaa), y menos del 1% son grandes empresas (5.668 en el caso de Espaa).
13
14 _________________________________________________________ Introduccin Las metodologas de gestin de la seguridad existentes en la actualidad se centran en ese 1% de grandes compaas, mientras que la metodologa desarrollada en la presente tesis doctoral est orientada al 99% de compaas para las que las metodologas actuales no se han mostrado muy adecuadas. La importancia de tratar con especial atencin la seguridad de las PYMES radica en varios aspectos: Por un lado, son las empresas que han sido capaces de evolucionar desde el status de MicroPYMES, demostrando una intencin de continuidad y seriedad As mismo, este tipo de empresas acaparan la mayor parte del trabajo de las grandes empresas mediante subcontratas, por lo que las carencias de seguridad se trasladan a las grandes compaas.
Por ltimo, un porcentaje pequeo de este tipo de compaas son las que en el futuro evolucionarn al nivel de grandes compaas, y gran parte de la responsabilidad de esta evolucin recae sobre la seguridad y estabilidad de su sistema de informacin. Como se ver a lo largo de esta seccin, actualmente las normativas de seguridad existentes son aplicables principalmente a las grandes empresas. Esto no es algo que slo afecte a Espaa, sino que se repite de forma generalizada en el resto de pases. Actualmente, segn el registro internacional de certificaciones de SGSI, el nmero de empresas que han conseguido la ISO/IEC27001 (ISO/IEC27001, 2005) hasta noviembre del 2008 son 5.109, incluyendo 2.994 en Japn. En el caso de Espaa tan slo existen 27 compaas certificadas y ninguna de ellas es PYME. As, en (Bohemer, 2008, Fomin y Vries, 2008) se analizaron las causas de la baja implantacin de esta norma y se lleg a la conclusin de que el bajo inters mostrado por el mundo acadmico (menor que en otras normas) y su complejidad estaba impidiendo su proliferacin. Este fracaso a la hora de implantar los SGSIs es ms grave si se tiene en cuenta que la dependencia de los sistemas de la informacin es cada vez mayor en las empresas. As, segn (Dimopoulos, et al., 2004b) las organizaciones, sin importar su tamao, son ahora mucho ms dependientes de la tecnologa de la informacin y las redes para el funcionamiento de sus actividades comerciales. Lamentablemente, hay pruebas que sugieren que las prcticas de seguridad no estn siendo implantas con xito en las PYMES (ver subseccin 1.1.5). En (Dimopoulos, et al., 2004b) se muestra un estudio especfico de prcticas de seguridad dentro de estas organizaciones en Europa y los EE.UU en el que se dedica especial atencin a la evaluacin del riesgo. La encuesta revela que las PYMES se caracterizan por la falta de la dedicacin necesaria a la seguridad de TI, debido principalmente a la asignacin de responsabilidades a personal sin la debida formacin. As mismo, la mayora de las organizaciones carecen de polticas de seguridad y sistemas de evaluacin del riesgo, siendo las siguientes, dos de las principales causas de que el anlisis de riesgos no sea especialmente popular entre las PYMES: Puede perturbar la gestin de actividades y empleados a lo largo de su elaboracin. Este trastorno se convierte en un problema ms significativo si el anlisis seala las deficiencias que se tienen que resolver.
1.1. La seguridad en las organizaciones actuales. ____________________________ 15 No existen modelos econmicos para evaluar los beneficios de reducir los riesgos frente a la inversin en tecnologa de seguridad y gestin, es decir, hay una carencia de estndares de medicin industrial que permitan a los administradores juzgar la importancia y los efectos de las amenazas (Robins, 2001). A partir de los resultados de las investigaciones de (Dimopoulos, et al., 2004b), (Jennex y Addo, 2004) realiz un estudio para investigar la forma en que actualmente afecta a las PYMES la implantacin de los SGSI, llegando a la conclusin de que las metodologas, guas y normas existentes en la actualidad no son adecuadas para ellas. (Holappa y Wiander, 2006) llevaron a cabo una encuesta de seguridad en las PYMES, tanto en Europa (principalmente el Reino Unido) como en los EE.UU., con el objetivo de comparar la actitud de las PYMES frente a la gestin de la seguridad. Se consideraron ambas zonas geogrficas por independiente, ya que la seguridad y la legislacin sobre proteccin de datos eran diferentes en cada zona. Los resultados se basaron en 40 organizaciones de Europa y en 81 de los EE.UU. A pesar de la diferente legislacin y los requisitos, los encuestados en ambos continentes tenan una actitud similar hacia la seguridad y, aunque hay diferencias en algunos aspectos (por ejemplo, las compaas Europeas parecen ser mejores a la hora de aplicar los parches del sistema operativo, mientras que las que estn en los EE.UU son mejores con la aplicacin de la poltica de contraseas), el cuadro general sugiere la existencia de carencias importantes en materia de seguridad en ambos continentes (ver Figura 1.2 y Figura 1.3). Las conclusiones ms importantes obtenidas fueron:
Figura 1.2. Controles en las PYMES de Europa (Dimopoulos, et al., 2004b)
15
16 _________________________________________________________ Introduccin
Figura 1.3. Controles de segurid. en las PYMES de USA (Dimopoulos, et al., 2004b) Medidas de seguridad insuficientes: La mayor parte de las PYMES prescinda de la evaluacin de riesgos, y sus medidas de seguridad se concentraran en el despliegue de software antivirus y en el mantenimiento de sus sistemas operativos. (Chapman y Smalov, 2004) indican que en una encuesta realizada a 500 altos directivos se afirma que el 61% de las PYMES no tenan firewall, el 76% tena alguna proteccin antivirus instalada, el 41% de los altos directivos no eran conscientes de sus responsabilidades legales con respecto a Internet y su negocio, slo el 12% de las PYMES consideraba el email como jurdicamente vinculante y slo el 10% estaban preocupadas por el mal uso que los empleados pudieran hacer del sistema de informacin. Sin embargo, mientras que los virus son, en efecto, la mayor preocupacin de seguridad, los mismos estudios tambin sugieren que el uso indebido de informacin privilegiada es el causante de algunas de las ms grandes prdidas. Los resultados obtenidos concluyen que la mitad de las PYMES no toman ninguna medida para evitar los riesgos de seguridad. Presupuestos insuficientes: Uno de los mayores problemas de las PYMES a la hora de afrontar la seguridad, es la limitacin de recursos y el intentar afrontar soluciones de seguridad demasiado complejas para el tamao de la compaa (Brake, 2003). Encuestas de la industria, como por ejemplo la ISM 2002 (Briney y Prince, 2002), sugieren que con frecuencia el tamao de una organizacin tiene una influencia significativa en su gasto en TI, de forma que slo el 15% de las PYMES estudiadas tena un presupuesto dedicado a la seguridad. Segn los estudios realizados por (Hallett, 2004), en el 31% de las PYMES de Australia es el propietario del negocio quien toma directamente la decisin para la compra de las tecnologas de la informacin (TI), pero gastan menos del 10% del presupuesto de TI en seguridad. En el caso de Australia, la coordinacin de programas especiales para la gestin de la
1.1. La seguridad en las organizaciones actuales. ____________________________ 17 seguridad de la informacin se ha deteriorado con la desaparicin de la Organizacin Nacional de la Economa de la Informacin (NOIE) (Warren, 2003). Un estudio de la banca por Internet en Australia revel que sta tena importantes riesgos de seguridad (Lichtenstein y Williamson, 2006), y que los riesgos potenciales no haban sido valorados. Falta de personal con experiencia: Otro aspecto importante es que las PYMES se caracterizan por la falta de personal con experiencia en seguridad de TI (Blakely, 2002), la dependencia de los proveedores y consultores para almacenar el conocimiento y la experiencia (Suppiah-Shandre, 2002), o la dependencia de un solo administrador de sistemas (Donovan, 2003). En la encuesta realizada por (Holappa y Wiander, 2006) a las PYMES de EE.UU, se analiz el porcentaje de organizaciones que emplean a una persona que es responsable de la seguridad de la organizacin. Como ilustra la Figura 1.4, la mayora de las organizaciones asignan dicha tarea a un usuario de la organizacin. Sin embargo, an hay un porcentaje significativo de casos en los que la responsabilidad no est asignada, y las organizaciones podran enfrentarse a serias dificultades si se produjera un incidente, al no existir una persona dedicada a tomar decisiones. Aunque la designacin de responsabilidad es un buen comienzo, el verdadero problema es que, al profundizar ms en los datos, se puede ver cmo esa asignacin de responsabilidad suele recaer en personas contratadas para otros perfiles y no en una persona con la formacin especfica de Responsable de Seguridad. En Europa y EEUU, (Holappa y Wiander, 2006) analizaron la carga de trabajo del responsable de seguridad.
Existe una persona especfica responsable de la seguridad en la empresa?

100,00% 90,00% 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% <5 5-20 20-250 Total Tamao de la compaia 10% 5% 16% 50% 40% 37% 29% 22% 14% 58% 63% 57%
Si
No
No Sabe
Figura 1.4. Existencia de un RS en las PYMES (Dimopoulos, et al., 2004b)
17
18 _________________________________________________________ Introduccin Los resultados mostrados en la Figura 1.5 demuestran cmo las PYMES que contrataron en exclusividad a un responsable de seguridad son insignificantes. Normalmente esta atribucin recae en el director de sistemas, o incluso en otras personas si la organizacin es ms pequea, debido a que el nmero de empleados es muy pequeo.
Quin es el responsable de la seguridad del sistema de informacin de la compaa?

100,00% 90,00% 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% 0% <5 0% 5-20 20-250 9% 3% Total 38% 27% 63% 53% 47% 64% 50% 48%
Tamao de la compaia
Responsable de Seguridad
Director de Sistemas
Otros
Figura 1.5. Antecedentes del RS en las PYMES (Dimopoulos, et al., 2004b) Solo el 25% de los responsables de seguridad tena formacin adecuada, y un gran porcentaje de compaas tenda a subcontratar este servicio, lo que supona un aumento en los costes. Las conclusiones generales indican una carencia importante de personal con experiencia dentro de las PYMES, lo que limita su capacidad para abordar de manera adecuada su propia seguridad. Carencia de anlisis de riesgos: Respecto a la evaluacin de riesgos, al profundizar en los resultados de las PYMES de Reino Unido (Figura 1.6) se obtuvieron conclusiones preocupantes. El 73% de los encuestados dijo realizar en su casa la evaluacin de riesgos. Menos del 10% de los encuestados afirm usar una herramienta de anlisis de riesgos, y ninguno utiliz una gua de referencia como poda ser la ISO/IEC17799 (ISO/IEC17799, 2000). Esto, junto con la escasa proporcin de organizaciones que realmente emplea especialista en seguridad, plantea dudas sobre la manera exhaustiva o eficaz en que pueden haberse realizado dichos anlisis.
1.1. La seguridad en las organizaciones actuales. ____________________________ 19
El Departamento de Sistemas cuenta con un sistema de evaluacin de riesgos?

100,00% 90,00% 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% <5 5-20 20-250 Total 43% 30% 57% 45% 40% 70% 60% 55%
Tamao de la compaia
Si No
Figura 1.6. Existe un sistema de anlisis de riesgos (Dimopoulos, et al., 2004b) Al analizar las causas por las que no se haba realizado el anlisis de riesgos (Figura 1.7) se lleg a la conclusin de que dado que el anlisis de riesgos es a menudo complejo y requiere conocimientos especializados (Shaw, 2002), y que una evaluacin de la situacin actual requiere de herramientas de anlisis de riesgo (Dimopoulos, et al., 2004) comerciales, las cuales no son fciles de usar sin conocimientos tcnicos adecuados, es evidente que muchas PYMES no estn preparadas para evaluarse los riesgos a s mismas. Aunque algunas PYMES ya haban tomado la determinacin de externalizar dicho servicio, en general la mayora no haba realizado dicha evaluacin por la falta de concienciacin de su importancia. Esta situacin se ilustra en la Figura 1.7, sobre la base de los resultados de las PYMES encuestadas en Reino Unido. Una razn obvia para esta falta de conciencia es la mencionada falta de expertos en seguridad para actuar como supervisores dentro de las PYMES. Otra razn es que, incluso en algunas grandes organizaciones, rara vez los incidentes de seguridad llegan hasta la direccin. Carencia de polticas de seguridad: Otra conclusin fue que las PYMES carecen de polticas de seguridad documentadas. Sin haber definido esos objetivos, una organizacin no puede proceder a una evaluacin completa del riesgo.
19
20 _________________________________________________________ Introduccin
Razones de las PYMES para no realizar Anlisis de Riesgos?

40,00% 35,00% 30,00% 25,00% 20,00% 15,00% 10,00% 5,00% 0,00% Falta de presupuesto Falta de experiencia Falta de conciencia Interrupcin Otros 7% 17% 17% 31%
29%
Tamao de la compaia
Figura 1.7. Razones para no realizar el anlisis de riesgos (Dimopoulos, et al., 2004b) Carencia de controles de seguridad: Otro de los resultados de la investigacin fue que existe un nmero elevado de PYMES que carecen de controles de seguridad.
Controles de Seguridad en las PYMES (Europa)

80,00% 69% 70,00% 76% 69%
60,00% 50% 40% 40,00% 31% 30,00% 50% 50%
56%
50,00%
47% 41% 32%
44% 39%
21% 20,00% 10% 10,00% 0% 0,00% <5 20-250 <5 20-250 5-20 Total 5-20 0% 3% 13% 11%
19% 16% 12%
UK
USA
Si
No
No Sabe
Figura 1.8. Controles de seguridad PYMES de Europa (Dimopoulos, et al., 2004b)
Total
Falta de concienciacin de los usuarios: Segn (Besnard y Arief, 2004) los empleados incurren en grandes riesgos para la informacin, pero estos riesgos se desestiman dando mayor prioridad a la facilidad de uso. Segn (Klopper, 2003), los cuatro peores errores cometidos por los usuarios del sistema de informacin en las PYMES son: i) abrir archivos adjuntos de correo electrnico de fuentes no verificadas; ii) no instalar parches de seguridad en las aplicaciones; iii) descarga e instalacin de juegos y protectores de pantalla de fuentes desconocidas; iv) no realizar peridicamente copias de seguridad y no verificar la integridad de las mismas. En una encuesta reciente, (McAfee, 2005) arroj las siguientes cifras sobre el uso indebido realizado por los usuarios de las compaas: i) el 21% de los trabajadores permiti que familiares accedieran a Internet desde los ordenadores de la empresa; ii) el 51% se conect a recursos de la compaa desde ordenadores propios; iii) el 60% de los trabajadores almacenaron datos de carcter personal en los ordenadores de la empresa; iv) el 10% de los trabajadores descargaron material prohibido de la red; v) el 60% de los trabajadores almacenaron datos de carcter personal en los ordenadores de la empresa.
Otras investigaciones complementan estos resultados. As, (Upfold y Sewry, 2005) realizaron un estudio sobre 34 PYMES del Cabo Oriental (Sudfrica) orientado a obtener informacin sobre el nivel de seguridad con respecto a la SABS ISO/IEC17799 (SABS-ISO/IEC17799, 2000), tomando como base una serie de cuestionarios que seguan la estructura de los 10 dominios que componen la gua de buenas prcticas. Los resultados de la encuesta revelaron que aunque una minora de las PYMES han adoptado marcos de seguridad como SABS ISO/IEC17799 (SABS-ISO/IEC17799, 2000) o BS77992 (BS7799, 2002), la mayora de las PYMES no han odo hablar de las normas de seguridad, y ven la seguridad de la informacin como una tcnica de intervencin diseada para hacer frente a las amenazas de virus y realizar copias de seguridad (Upfold y Sewry, 2005). A continuacin se muestran los resultados ms relevantes de la investigacin: Poltica de seguridad: El 82% de las PYMES careca de polticas de seguridad. La mayora de los encuestados reducan la poltica de seguridad a las copias de seguridad o algunas directrices bsicas de utilizacin de los sistemas de informacin. El 57% de las PYMES no ofreca ningn tipo de formacin sobre seguridad a sus trabajadores. Las funciones de copias de seguridad se realizaban de forma irregular. An as, la mayor parte de los encuestados tena una sensacin de que sus sistemas eran seguros. Clasificacin y control de activos: El 38% de las PYMES no conoca los procedimientos de almacenamiento, uso y destruccin de los datos. Entre el 19% y el 25% de las PYMES careca de copias de seguridad y sistemas de almacenamiento de datos. El 26% de las PYMES no estaban seguras de poder restaurar los archivos despus de recibir un email con virus Seguridad del personal: El 37% de los encuestados no bloqueaba sus terminales al abandonar el puesto de trabajo. El 55% de las PYMES no tena medidas disciplinarias para el personal que pasara por alto los procesos de seguridad.
21
22 _________________________________________________________ Introduccin Comunicacin y gestin de operaciones: El 47% de las PYMES no tena procedimientos de recuperacin de sus sistemas, y en su mayora no aplicaban o mantenan actualizados los parches del software. Control de acceso: Solo el 52% de las PYMES tena cuentas de usuario personalizadas y contraseas para los usuarios. Gestin de la continuidad del negocio: El 59% de las PYMES deca tener planes de continuidad de negocio, aunque en su mayora no haban sido revisados en aos. El 25% de las PYMES haba sufrido fallos de seguridad importantes que haban llevado a fracasar algunos proyectos o a tener datos corruptos.
Incidentes de seguridad: Durante el 2002 y 2003, menos del 50% de las PYMES haban tenido incidentes de seguridad, mientras que en el 2004 tuvieron incidentes el 66% de las PYMES. (Llvonen, 2006) realiz un estudio emprico en la regin de Tampere (Finlandia) sobre 16 PYMES de diversos sectores (ver Tabla 1.1), con el objetivo de averiguar la situacin de la seguridad de la informacin en las PYMES, respondiendo a las siguientes preguntas: i) Cmo debe evaluarse la seguridad de la informacin en el caso de las PYMES?; ii) Cmo es la seguridad de la informacin en las empresas analizadas?; iii) Cules son los principales problemas en la gestin de la seguridad de la informacin y los motivos de ellos?; iv) Cmo podra mejorar la seguridad de la informacin en las empresas?
Industria Software Servicios de consultora Servicios sanitarios y productos Contabilidad y servicios de marketing Compaas 4 5 4 3
Tabla 1.1. Listado de compaas analizadas en TampereFinlandia (Llvonen, 2006). En el enfoque propuesto por (Llvonen, 2006) para gestionar la seguridad de la informacin (Figura 1.9), las empresas estudiadas tenan alta dependencia de su sistema de informacin y del conocimiento. (Alvesson, 2004) define siete caractersticas para este tipo de compaas: i) personas altamente cualificadas, cuyo trabajo est basado en el conocimiento; ii) elevado grado de autonoma, y menor papel de la jerarqua organizacional; iii) alta capacidad de adaptacin; iv) necesidad de una amplia comunicacin y coordinacin para la solucin de problemas; v) servicio de atencin al cliente especializado; vi) informacin y asimetra de poder entre el profesional y el cliente; vii) evaluacin de calidad subjetivo. El anlisis llevado a cabo por (Llvonen, 2006) se realiz con entrevistas que tenan preestablecida una serie de preguntas con un nmero limitado de categoras de respuesta (Fontana y Frey, 2005). La entrevista realizada por (Llvonen, 2006) se bas en los siguientes dominios: i) gobierno de la seguridad de la informacin; ii) personal de seguridad; iii) seguridad fsica; iv) dispositivos de software, comunicaciones y seguridad de Internet; v) operaciones de seguridad y clasificacin de datos; vi) continuidad de las actividades y gestin de riesgos.
Figura 1.9. Programa de seguridad de la informacin (Llvonen, 2006) Los resultados obtenidos del estudio de (Llvonen, 2006) fueron: 5 de las 16 PYMES estudiadas tenan polticas de seguridad, mientras que 8 empresas tenan algunos principios bsicos que fueron bien documentados (Figura 1.10). Exista una confianza general entre los gerentes de que sus empleados cumplan las polticas, pero no existan medidas para valorar el cumplimiento de estas polticas de forma adecuada.
3; 19% 5; 31%
8; 50%
Documentado
Parcialmente documentado
No documentado
Figura 1.10. Existencia de documentacin de poltica de seguridad (Llvonen, 2006) La seguridad del personal incluye la formacin de los empleados (Fenton y Wolfe, 2004). En general, se detect una falta de recepcin de los empleados hacia los problemas de seguridad. En el caso de Finlandia, la normativa existente obliga a los empleados con la firma del contrato a los empleados a proteger los secretos comerciales de la
23
24 _________________________________________________________ Introduccin empresa, pero no as el resto de informacin, lo que obliga a poner clusulas complementarias, que en muchos casos son difciles de cumplir. Las cuestiones tcnicas solan estar conforme a lo esperado, con antivirus y firewall instalados.
Segn (Llvonen, 2006), en caso de existir, los sistemas de clasificacin de la informacin eran simples, dividiendo los documentos en Confidenciales y Pblicos. As mismo, mientras que el sistema de gestin de permisos para los datos almacenados electrnicamente se respetaba en la mayor parte de los casos, no ocurra lo mismo con los datos en papel, a los que casi todo el mundo tena acceso. Al comparar las investigaciones de (Llvonen, 2006) con las realizadas tres aos antes en (Kuusisto y Ilvonen, 2003) se ve como, en general, se ha producido una mejora de cuestiones tcnicas y las polticas de seguridad empiezan a hacerse ms comunes en las compaas. Sin embargo, los esfuerzos parecen no estar dando sus frutos, si se tiene en cuenta el nmero de vulnerabilidades relacionadas con la seguridad reportadas por el CERT (CERT, 2008) en los ltimos diez aos. Este nmero ha aumentado drsticamente pasando de 171 en el ao 1995 a las ms de 8.000 del ao 2008 (Figura 1.11). La justificacin fundamental que se esconde detrs de estas estadsticas es la incorporacin de forma generalizada en la sociedad actual de las nuevas tecnologas como Internet y a que los sistemas software son cada vez ms ubicuos, heterogneos y crticos en sus objetivos y vulnerabilidades (Devanbu y Stubblebine, 2000).
Vulnerabilidades reportadas por el CERT entre 1995 - 2008
9000 8000 7000
Vulnerabilidades
6000 5000 4000 3000 2000 1000 0 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
Aos
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 171 345 311 262 417 1090 2437 4129 3784 3780 5990 8064 7236 2008 8077
Figura 1.11. Vulnerabilidades de seguridad reportadas por el CERT (19952008).
1.1. La seguridad en las organizaciones actuales. ____________________________ 25 La informacin y las infraestructuras de comunicaciones dentro de las PYMES siguen siendo muy vulnerables y no garantizadas (ABS, 2003). Las amenazas y los ataques pueden venir de cualquier lugar, sin estar sujetas a las zonas geogrficas donde opera la organizacin (Yegneswaran, et al., 2003). Las investigaciones recientes han encontrado en las PYMES en Australia (Dojkovski, et al., 2006, Hutchinson y Warren, 2006), los Estados Unidos y Europa (Dimopoulos, et al., 2004b), Gales (Burns, et al., 2006), Finlandia (Llvonen, 2006) y Sudfrica (Upfold y Sewry, 2005) problemas significativos de cultura de la seguridad de la informacin, y carencias en el uso de las polticas de seguridad de la informacin. El problema segn (Tawileh, et al., 2007) es que en un mundo en que todas las compaas estn interconectadas, la falta de seguridad de las PYMES se traduce en falta de seguridad de las grandes compaas que les subcontratan los servicios. Segn (Whitman y Mattord, 2003) es imperativo que los lderes empresariales lleguen a comprender el valor de la informacin contenida en sus sistemas de negocio y tener un marco para evaluar y aplicar la seguridad de la informacin. Los resultados de las investigaciones mostrados en este apartado han aportado pruebas de los importantes problemas de seguridad a los que se enfrentan las PYMES de todo el mundo, que pueden ocasionar graves problema de seguridad como consecuencia de carecer de anlisis de riesgos y controles de seguridad adecuados. En cuanto a las organizaciones cuyos activos de informacin estn menos protegidos, los expertos sugieren que las PYMES estn en situacin particularmente desventajosa a la hora de mejorar el compromiso de los usuarios con respecto a la seguridad del sistema de informacin (Furnell, et al., 2000, Helokunnas y Iivonen, 2003, Taylor y Murphy, 2004, Dimopoulos, et al., 2004b). Como conclusiones se puede destacar: En vista de los datos mencionados, y despus de enormes esfuerzos de concienciacin por parte de las instituciones, las empresas comienzan a tener una concienciacin mnima en materia de seguridad, pero se encuentran con el problema de que no saben cmo hacer ms seguros sus sistemas de informacin.
Con las limitaciones reconocidas en trminos de conocimientos, sensibilizacin y presupuesto es difcil ver cmo la situacin de las PYMES con respecto a la gestin de la seguridad puede mejorar sin realizar profundos cambios estructurales en los estndares existentes. Como tal, una de las cuestiones derivadas de las conclusiones es la necesidad de obtener nuevas metodologas y modelos que permitan adaptarse a este tipo de sociedades, con el objetivo de eliminar (o al menos reducir) los inconvenientes y ayudar a las PYMES a evaluar los riesgos a los que sus activos estn expuestos y a establecer los controles de seguridad adecuados.
1.1.3. El coste de la falta de seguridad.

En sta subseccin se muestran algunas cifras que demuestran el enorme coste que tiene para las compaas la falta de controles adecuados para gestionar la seguridad de sus sistemas de informacin. Un elemento importante de cualquier sistema de seguridad de la informacin es el coste asociado a su diseo, desarrollo, ejecucin y desmantelamiento (Anderson, 2001b). An cuando sean conscientes de los riesgos asumidos, muchas organizaciones
25
26 _________________________________________________________ Introduccin consideran difcilmente justificable el esfuerzo que requiere mantener la seguridad (Lampson, 2000). A esto se une la grave escasez de profesionales en materia de seguridad, lo que hace que las compaas perciban la seguridad como un alto coste que debe justificarse lo suficientemente bien como para ser aprobado (Labuschagne y Eloff, 2000). Numerosos estudios han puesto de relieve la importancia de las amenazas de la seguridad de la informacin (Neumann, 1999, Dhillon, 2001b, Lichtenstein y Swatman, 2001b, Magklaras y Furnell, 2004, CSI/FBI, 2005) para la informacin confidencial. Las mayores prdidas derivadas de fallos de seguridad son ocasionados por la prdida de productividad, prdida de negocios y daos a la marca de la organizacin (Ashish, et al., 2003, Cavusoglu, et al., 2004). Segn un estudio realizado por (CSI/FBI, 2005), se producen tanto fallos de seguridad por agentes externos como por agentes internos, y son el resultado de la ignorancia y la mala fe. Segn (Computerworld, 2005), el 23% de los usuarios de empresas de EEUU que respondieron a una encuesta haban descargado virus con conocimiento de los riesgos que ello implicaba. Existen multitud de cifras que muestran la magnitud de los problemas ocasionados por la falta de unas medidas de seguridad adecuadas (Wood, 2000, CSI, 2002, Biever, 2005, Telang y Wattal, 2005, Goldfarb, 2006). Por ejemplo, en (CSI, 2002), indicando que sobre una muestra de 257 empresas, el 90% detect fallos de seguridad (de los cuales el 70% fueron fallos graves de seguridad robo de porttiles, robo de informacin, fraude financiero, acceso al sistema por intrusos, sabotaje de datos o redes) y el 74% reconocieron prdidas financieras debido a fallos de la seguridad. Otros informes aseguran que las prdidas totales en los Estados Unidos en 2004 como resultado de fallos de seguridad en los sistemas de informacin alcanzaron los $141.496.560. Segn (Mercuri, 2003), las prdidas producidas solamente por cdigo malicioso sobrepasaron los trece mil millones de dlares en 2001, y el gasto en seguridad para 2004 supero los tres mil millones de dlares. En otros estudios (Telang y Wattal, 2005) se analiz el impacto econmico que suponan las vulnerabilidades en 18 proveedores de software, entre los que estaban ilustres conocidos como Microsoft, IBM o Red Hat. Entre sus conclusiones destaca que el simple hecho de anunciar una vulnerabilidad en alguno de los productos de estas compaas supona en torno a un 0,6% de cada en la cotizacin de sus acciones. Otro experimento que aporta ms datos sobre el coste de la falta de seguridad se realiz a comienzos del ao 2000. Se monitoriz a 2.700 voluntarios que empleaban conexiones de la Red de Telefona Bsica (RTB). De un modo paralelo, un atacante organiz un gran ataque de denegacin de servicio contra Yahoo! durante un perodo de ms de tres horas. Esto hizo que, ineludiblemente, muchos de los 2.700 voluntarios que empleaban los servicios de Yahoo! hicieran uso de los servicios de la competencia, como por ejemplo Excite, Altavista o MSN. A raz de los datos obtenidos se estima que se perdieron en torno a 6 millones de visitas en el perodo del ataque, y que Yahoo! dej de ingresar por sus servicios en torno a 250.000$. A esto se aade el hecho de que la no disponibilidad de un servicio como el que ofrece un gran proveedor siempre acarrea bajas en la fidelidad del pblico que lo frecuenta, lo cual implica no slo un coste econmico directo importante, sino tambin una prdida de cuota de mercado (Goldfarb, 2006). El informe encargado por McAfee del 5 de julio de 2005 (Charles y Lakin, 2005) establece un panorama claro de las crecientes amenazas y delitos que se cometen mediante Internet y analiza las amenazas futuras que esta actividad puede significar para las computadoras domsticas, las redes computacionales de las organizaciones
1.1. La seguridad en las organizaciones actuales. ____________________________ 27 gubernamentales y los sistemas computacionales del sector empresarial. Los aspectos ms destacados del informe indican: El FBI estima que el crimen ciberntico cost aproximadamente US$400 mil millones en el ao 2004. En una investigacin denominada operation firewall, las autoridades estadounidenses y canadienses anunciaron el arresto de 28 personas de seis pases que estaban involucradas en una red mundial de crimen ciberntico organizado.
Segn estimaciones, probablemente slo el 5% de los criminales cibernticos son capturados y procesados. Por lo tanto, podemos observar cmo la falta de mecanismos adecuados para gestionar la seguridad de las empresas, se traducen en enormes perdidas, que afectan de forma significativa a la evolucin de sus negocios.
1.1.4. Marcos de trabajo de seguridad.

Con el propsito de reducir las carencias mostradas en subseccin 1.1.1 y reducir las perdidas que stas ocasionan (subseccin 1.1.2), ha aparecido un gran nmero de procesos, marcos de trabajo y mtodos de la seguridad de la informacin cuya necesidad de implantacin est siendo cada vez ms reconocida y considerada por las organizaciones, pero que como se ha mostrado, son ineficientes para el caso de las PYMES. Es habitual que los modelos de mejora y gestin (como es la gestin de la seguridad) se acompaen de modelos de madurez que permiten una mejora basada en un conjunto de niveles. Al proponer un modelo de gestin de la seguridad y su madurez (Eloff y Eloff, 2003, Lee, et al., 2003, Areiza, et al., 2005a, COBITv4.0, 2006, ISM3, 2007), se pretende establecer una valoracin estandarizada, con la cual se pueda determinar el estado de la seguridad de la informacin en una organizacin, as como el camino que se tiene que recorrer para alcanzar el adecuado nivel de seguridad en esa compaa. La seguridad de la informacin implementada aumenta conforme se incrementa el nivel de madurez de un proceso. As mismo, el riesgo de errores que puede tener asociado un proceso se reduce conforme aumenta el nivel de madurez. Los niveles de madurez son un mecanismo muy adecuado para conocer la seguridad de la compaa que se quiere estudiar y de terceras compaas con las que sta tenga que interactuar. Algunos autores insisten en utilizar la ISO/IEC17799 (ISO/IEC17799, 2000) en modelos de gestin de seguridad, pero siempre hacindolo de manera incremental, considerando las necesidades particulares de seguridad (Von Solms y Von Solms, 2001), usando para ello los modelos de madurez. Actualmente, la comunidad cientfica ha desarrollado toda una serie de modelos y estndares para promover la aplicacin de la gestin de la seguridad en las organizaciones. Entre estos modelos y estndares cabe destacar CMM (CMM, 1995), CMMI (CMMI, 2006) y sus mtodos de evaluacin y mejora asociados, ISO/IEC 15504 (ISO/IEC15504-1, 2006, ISO/IEC15504-2, 2006, ISO/IEC15504-3, 2006, ISO/IEC15504-4, 2006, ISO/IEC15504-5, 2006) y la familia de normas (ISO/IEC9000, 2000, ISO/IEC27004, 2006). Siguiendo esta filosofa tambin se han propuesto otros muchos modelos de madurez ms especficos: para pruebas (Krause, 1994, Olsen y Staal, 1998), gestin de proyectos (Ibbs y Kwak, 2000, Crawford, 2002, McBride, et al.,
27
28 _________________________________________________________ Introduccin 2004, PMI, 2004), ingeniera de requisitos (Sommerville y Ransom, 2005), desarrollo distribuido (Ramasubbu, et al., 2005), mantenimiento (April, et al., 2005), usabilidad (Earthy, 1997, Bevans, 2000), outsourcing (Raffoul, 2002, KcKinney, 2005), arquitecturas (Luftman, 2000, Burke, 2002, Gartner, 2002, ACMM, 2003, NASCIO, 2003, Schekkerman, 2003, OMB, 2004, Van der Raadt, et al., 2005), seguridad (SSECMM, 2003), reutilizacin (Topaloglu, 1998), proveedores de servicios de tecnologas de la informacin (Niessink, et al., 2002), datos (Mullins, 2002), servicios e Government (Widdows y Duijnhouwer, 2003), etc. El modelo propuesto por el Instituto de seguridad de la informacin de Sudfrica (ISIZA) (Von Solms y Von Solms, 2001) plantea tambin un incremento progresivo de la seguridad. El nivel 1 de ISIZA consiste en la seleccin de un nivel bsico de un pequeo subconjunto de controles de la ISO/IEC17799 (ISO/IEC17799, 2000) relacionados con la poltica de seguridad, control de virus y seguridad del personal. Siguiendo el modelo propuesto por ISIZA se han conseguido reducciones de tiempo a la hora de certificar a las compaas con la norma BS7799. La universidad de Pittsburgh acometi el desarrollo y la puesta en prctica de un estndar comprensivo de la seguridad basado en las guas proporcionadas por el estndar de la seguridad de la ISO/IEC17799 (Walton, 2002). Aunque, como se indica en (Eloff y Eloff, 2003), se sugiere ir realizando una implantacin progresiva de controles que permita que la empresa pueda irse adaptando a la evolucin de la seguridad de una forma no traumtica. Otros estudios consideran importante la norma pero la complementan de alguna forma con otros aspectos, como es el caso de (Geffert, 2004), que incorpora los requisitos de la HIPAA (HIPAA, 1996) norteamericana a un programa de seguridad complementando la ISO/IEC17799 (ISO/IEC17799, 2000); (Von Solms, 2005), que considera una aplicacin conjunta y complementaria de los COBIT (COBITv4.0, 2006) y la norma; o incluso (Masacci, et al., 2005), que adems de la norma considera controles relativos al cumplimiento de la legislacin italiana en materia de proteccin de datos y privacidad. Otros insisten en utilizar la ISO/IEC17799 (ISO/IEC17799, 2005) en modelos de gestin de seguridad, pero siempre hacindolo de manera incremental, considerando las necesidades particulares de seguridad de cada organizacin (Von Solms y Von Solms, 2001). Por lo tanto, aunque la norma no sea un sistema de gestin de la seguridad propiamente dicho, hay muchos autores que manifiestan su inters en desarrollar sistemas de gestin de la seguridad basados en ella. Pero no es suficiente con aplicar un enfoque basado en anlisis y gestin de riesgos (Siegel, et al., 2002) sino que, adems de identificar y eliminar riesgos, tambin esta actividad se ha de realizar de manera eficiente, ahorrando dinero, consecuencia directa de una correcta gestin de la seguridad (Garigue y Stefaniu, 2003). Otro de los aspectos que se estn estudiando para su aplicacin a los modelos de gestin de la seguridad y su madurez es el control de los costes asociados a la misma, ya que estos pueden influir en el dimensionamiento del modelo de gestin de la seguridad. De esta forma, en (Mercuri, 2003) se propone asociar como parte fundamental del desarrollo de los SGSI los anlisis de costebeneficio (CBA) en la fase del anlisis de riesgos. Otros estudios se centran en el estudio de los controles necesarios para mitigar los riesgos asociados con Internet, basndose para ello en la ISO/IEC17799 (ISO/IEC17799, 2005), y proponen que todas las nuevas tecnologas deberan llevar asociadas su coste de gestin y las amenazas asociadas, as como los controles, procedimientos, etc. necesarios para mitigarlas. (Kim y Choi, 2005) analizan una metodologa orientada a modelos de procesos y criterios de anlisis de factores de coste y beneficio que soporten la justificacin econmica de la inversin en seguridad, y
1.1. La seguridad en las organizaciones actuales. ____________________________ 29 (Pertier, 2003) plantea que los controles deben ser seleccionados en base al coste efectividad en relacin con el riesgo que reducen y las prdidas potenciales que las brechas de seguridad puedan ocasionar. ISO/IEC17799 (ISO/IEC17799, 2005) provee de unas guas bsicas para ayudar en el desarrollo eficiente de las prcticas para la seguridad de los sistemas de informacin y proveer de controles para el negocio y sus relaciones externas. Los mecanismos de outsourcing son otro de los factores que estn influyendo de forma decisiva en la alteracin de los SGSI y en la definicin de los modelos de madurez. Uno de los aspectos ms relevantes en la norma ISO/IEC17799 (ISO/IEC17799, 2005) ha sido su aportacin para controlar los mecanismos de outsourcing de los servicios de los sistemas de informacin de las empresas (Power y Trope, 2005), ya que este proceso de externalizacin est empezando a ser utilizado de forma masiva por todas las compaas para minimizar costes, sin tener en cuenta que puede suponer nuevos riesgos en la seguridad, ya que normalmente se desconocen los niveles de seguridad que tienen las compaas con las que se externalizan los servicios. En (Power y Trope, 2005) se afronta el outsourcing de la seguridad enfocndolo desde el punto de vista legalidad vs plan de contingencia. La cultura de la seguridad debe incluir a las empresas que realizan el outsourcing y a los empleados de stas. En (Endorf, 2004) se estudia en profundidad la necesidad de gestionar la seguridad en los procesos de outsourcing desde el punto de vista de la necesidad, el riesgo, los proveedores y los procesos. El principal factor para el outsourcing es que no todas las organizaciones tienen la masa crtica suficiente para poder afrontar por s solas los procesos necesarios para los sistemas de informacin. Los costes aadidos para mantener la seguridad (confidencialidad, integridad y disponibilidad de los datos) hacen inviable el ratio coste/recursos en la mayor parte de las organizaciones, las cuales se ven obligadas a externalizar sus servicios. Uno de los principales problemas asociados al outsourcing es decidir qu se debe externalizar, ya que para ello se debe realizar un adecuado estudio sobre los riesgos y costes derivados de esta externalizacin. Otro de los factores que ms relevancia est teniendo en los SGSI es la legislacin. En (Lobree, 2002) se analiza el impacto que ha tenido la legislacin en la gestin de la seguridad de los sistemas de informacin y la importancia vital que tiene dentro de los SGSI. En (Iachello, 2003) se analiza cmo la ISO/IEC17799 (ISO/IEC17799, 2005) deja muchos puntos sin tratar en aspectos como la gestin de los datos personales. Otras propuestas toman como punto central del SGSI el anlisis de riesgos. Entre ellas se puede destacar la propuesta de Barrientos (Barrientos y Areiza, 2005) y UE CORAS (IST200025031) (Fredriksen, et al., 2002, Lund, et al., 2003). La propuesta de Barrientos (Barrientos y Areiza, 2005) est basada en llevar a cabo un anlisis relativo a la seguridad informtica para identificar el grado de vulnerabilidad y determinar los aspectos de mejora a ser llevados a cabo en la organizacin con el objeto de reducir el riesgo. Por otro lado, UE CORAS (IST200025031) (Fredriksen, et al., 2002, Lund, et al., 2003) est desarrollando un marco para el anlisis de riesgos de seguridad que utiliza UML2, AS/NZS 4360, ISO/IEC17799, RMODP6, UP7 y XML8. Siegel (Siegel, et al., 2002) seala que los modelos de seguridad informtica que se centran exclusivamente en modelos de eliminacin de riesgos no son suficientes, y por otro lado Garigue (Garigue y Stefaniu, 2003) remarca que actualmente los gerentes no desean saber slo qu se ha realizado para mitigar los riesgos, tambin se debe poder dar a conocer eficazmente que se ha realizado esta tarea y si se ha conseguido ahorrar dinero.
29
30 _________________________________________________________ Introduccin Se debe tener en cuenta que el anlisis de riesgos es un proceso costoso que no se puede repetir cada vez que se realiza una modificacin. Por eso es importante desarrollar metodologas especficas que permitan mantener los resultados del anlisis de riesgos. El proyecto de la UE Coras (Fredriksen, et al., 2002, Lund, et al., 2003) hace de este mantenimiento del anlisis de riesgo el punto principal de su modelo. Las principales conclusiones obtenidas es que los modelos de la gestin de la seguridad existentes deben ser completados con otros modelos desarrollados para aspectos ms especficos. Casi todos los modelos de madurez definidos tienen dominios en comn, y se han desarrollado matrices (Eloff y Eloff, 2003, Jimmy Heschl, 2006) que permiten interconectar y relacionar unos modelos de madurez con otros de forma que se puedan comparar unos modelos con otros. Por otra parte la mayor parte de las compaas han encontrado muchos problemas a la hora de implantar sistemas como la certificacin BS77992 (BS7799, 2002) y las UNE71502 (UNE71502, 2004), ya que son certificaciones totales, lo que impide a la compaa tener puntos intermedios en los que centrar el alcance de sus objetivos, y a los departamentos de sistemas obtener xitos intermedios que le permitan obtener el apoyo de la direccin.
1.1.5. Conclusiones.
A pesar de que existen numerosos estndares de seguridad en las TIC, como el cdigo de buenas prcticas (ISO/IEC17799, 2005), metodologas para la gestin de la seguridad como COBIT (COBITv4.0, 2006), o para el anlisis y la gestin de riesgos como Magerit (MageritV2, 2005), e incluso modelos de madurez para la gestin de la seguridad de los sistemas de informacin como SSECMM (SSE-CMM, 2003), stos suelen estar diseados para grandes corporaciones, son muy rgidos y su aplicacin prctica en pequeas y medianas empresas requiere de mucho tiempo y suele ser muy costosa. Estos motivos hacen que muchas compaas ofrezcan resistencia a la implantacin de tcnicas de gestin de seguridad adecuadas, asumiendo de este modo unos riesgos de seguridad, y por tanto de prdida de competitividad, que resultan inaceptables en la empresa moderna. En el caso de Espaa, la mayora de las empresas son incapaces de responder a las preguntas ms bsicas de seguridad, ya que no existen controles funcionales sobre la informacin. Los nicos controles existentes de forma generalizada en las empresas actuales son los principios de buena fe y suerte, es decir, ante la incapacidad de controlar la seguridad de la informacin se decide asumir el riesgo. Actualmente, ms del 90% de las empresas son incapaces de detectar si estn sufriendo fugas de informacin o de identificar sus activos, y menos del 1% poseen sistemas de informacin certificados con normativas de seguridad como la UNE71502 (UNE71502, 2004) o la ISO/IEC27000 (ISO/IEC27001, 2005, ISO/IEC27002, 2007, ISO/IEC27003, 2009, ISO/IEC27004, 2009). Como resultado de lo anteriormente expuesto se puede concluir que los controles clsicos se muestran por s solos insuficientes para dar unas mnimas garantas de seguridad en el caso de las PYMES. Las herramientas de seguridad existentes en el mercado ayudan a solucionar parte de los problemas de seguridad, pero nunca afrontan el problema de una manera global e integrada. Por ltimo, la enorme diversidad de estas herramientas y su falta de integracin suponen demasiado coste en recursos para poderlas gestionar.
1.1. La seguridad en las organizaciones actuales. ____________________________ 31 Actualmente es muy complejo para una pequea o mediana empresa abordar la implantacin de un sistema de gestin de seguridad. La tendencia en materia de seguridad de las empresas es ir migrando poco a poco su cultura hacia la creacin de un sistema de gestin de seguridad (SGSI), aunque esta progresin es muy lenta. El mercado demanda actualmente a las empresas que sean capaces de garantizar que las tecnologas para los activos informticos y de informacin sean seguras, rpidas y de fcil interaccin. Pero para cumplir estos objetivos, los gerentes de sistemas se han encontrado con dos problemas para los que no existe una solucin satisfactoria: la falta de herramientas que permitan afrontar la gestin de la seguridad de los sistemas de informacin de una forma centralizada, sencilla y dimensionada al tamao de las compaas, y la falta de guas de seguridad de la informacin, que permitan responder a las preguntas de dnde tengo que buscar?, qu tengo que controlar? y cmo tengo que controlarlo?. El primer problema sigue sin resolverse, pero podr ser resuelto cuando se d solucin al segundo. Con respecto al segundo problema, las organizaciones tanto nacionales como internacionales se han preocupado por elaborar un conjunto de normas y especificaciones relativas a la seguridad en las tecnologas de la informacin y las comunicaciones. stas se centran sobre todo en la definicin de controles de seguridad mediante cdigos de buenas prcticas, normas que definen sistemas de gestin de seguridad y normas con criterios para certificar la seguridad. No obstante, el panorama es complejo y, para una pequea o mediana empresa, abordar la implantacin de un sistema de gestin de seguridad, con la posibilidad de tener varios niveles de exigencia y con unos recursos limitados, se convierte en una tarea muy compleja. Adems, el proceso casi siempre termina derivando en que la empresa asuma el riesgo de carecer de un sistema de gestin de la seguridad ante la incapacidad de implantarlo, lo que implica ser incapaz de garantizar la estabilidad de su sistema de informacin y desconocer en todo momento el estado de ste con respecto a la seguridad. Por ltimo, las PYMES representan una gran mayora de empresas tanto a nivel nacional como internacional, y son muy importantes para el tejido empresarial de cualquier pas, lo que justifica que se definan mtodos especficos de gestin de seguridad para este tipo de empresas, ya que los mtodos actuales estn orientados a grandes empresas y no se han mostrado tiles para este tipo de compaas. Por lo tanto, en esta tesis doctoral se ha elaborado una metodologa para la gestin de la seguridad y el establecimiento del nivel de madurez de los sistemas de informacin de las PYMES, incluyendo un modelo realista, pragmtico y gil para evaluar y mejorar esta nueva metodologa, cuyo principal objetivo es resolver los problemas detectados con los mtodos clsicos en las PYMES. En el transcurso de la investigacin, la metodologa y el modelo se han aplicado directamente en casos reales, lo que ha permitido validarlo y refinarlo hasta conseguir que sea aplicable en la prctica con garantas, lo que ha contribuido a mejorar la seguridad en las empresas donde ha sido aplicado.
31
32 _________________________________________________________ Introduccin
1.2. Marco de la tesis doctoral.

La realizacin de esta tesis doctoral se enmarca en los proyectos MISTICO y SCMM PYME y en la red RETISTRUST. Un resumen con los datos ms importantes de estos proyectos se muestra en la Tabla 1.2.
Proyecto/Red
MISTICO (PCB060082)
Descripcin
Responsable
Periodo
Definicin de un modelo de madurez integrado de seguridad de las tecnologas de la Eduardo FernndezMedina informacin y las comunicaciones para pequeas y medianas empresas. Desarrollo de una metodologa de gestin de la seguridad y una Luis Enrique Snchez herramienta que permita Eduardo FernndezMedina validarla. Red temtica de investigacin en el campo de la seguridad y confianza para los sistemas de Eduardo FernndezMedina informacin en una sociedad conectada.
Ene2006 Dic2008
SCMMPYME (FIT360000200673)
Jul2006 Jul2008
RETISTRUST (TIN200626885E)
Oct2006 Oct2007
Tabla 1.2. Proyectos y redes que soportan esta tesis doctoral. La descripcin detallada de los mismos se presenta a continuacin: MISTICO (PBC060082) (Definicin de un modelo de madurez integrado de seguridad de las tecnologas de la informacin y las comunicaciones para pequeas y medianas empresas). Este proyecto est financiado por fondos FEDER y por la consejera de educacin y Ciencia de la Junta de Comunidades de CastillaLa Mancha. Este proyecto ha estado coordinado con la universidad de Mlaga y con participacin industrial de Sicaman Nuevas Tecnologas (SNT). En este proyecto se ha desarrollado un modelo realista, pragmtico y gil para evaluar y mejorar la seguridad de los productos y procesos software para pequeas y medianas empresas (el 99% de las empresas espaolas son PYME), basndose en las normas y estndares internacionales ms importantes. Los objetivos del proyecto se pueden resumir en los siguientes puntos (siempre manteniendo la idea de contextualizar el trabajo para pequeas y medianas empresas): 1. Definir una notacin (o extender alguna de las existentes) para representar aspectos de seguridad en los modelos de procesos software y de negocio. Se evaluarn lenguajes de modelado propuestos en la bibliografa como SPEM (Software Process Engineering Metamodel) para el modelado de procesos software, y BPMN (Business Process Modeling Notation) y UML 2.0 para el modelado de procesos de negocio. Estas notaciones sern validadas empricamente. 2. Definicin de un conjunto de mtricas e indicadores de seguridad que permitan evaluar los procesos y productos software. Se partir de aquellos controles definidos en alguna de las normas internacionales ms importantes (como ISO/IEC17799 (ISO/IEC17799, 2000), COBIT (COBITv4.0, 2006) y la ISO/IEC 27004 (ISO/IEC27004, 2009)), y se definirn nuevas mtricas que 32
1.2. Marco de la tesis doctoral. _________________________________________ 33 complementen estas normas. Estas mtricas e indicadores tambin sern validadas empricamente. 3. Definicin de un proceso de gestin de la seguridad que permita, de una manera controlada, introducir, hacer permanecer y consolidar la seguridad y el anlisis de riesgos en las empresas. Para ello se tomar como base alguna de las normas y documentos tanto nacionales como internacionales ms adecuados (como las guas para la gestin de seguridad ISO/IEC 13335 (ISO/IEC13335-3, 1998, ISO/IEC13335-4, 2000, ISO/IEC13335-5, 2001) y la metodologa de anlisis y gestin de riesgos Magerit (MageritV2, 2005)). 4. Definicin de un modelo de madurez de la seguridad en las tecnologas de la informacin y las comunicaciones para PYMES. Haciendo uso de los resultados fruto de los objetivos anteriores, se construira un modelo de madurez de la seguridad (a modo de otros muchos modelos de madurez, como CMM (CMM, 1995), CMMI (CMMI, 2006), SSECMM (SSE-CMM, 2003), etc) que permitan en primer lugar, evaluar la madurez de la seguridad en los procesos y productos software dentro de una organizacin, y adems, proponer un plan de mejora de la seguridad de dichos procesos de desarrollo y productos software de acuerdo a una serie de niveles que permitan plantear una mejora razonable y escalonada. Esta Tesis doctoral se enmarca principalmente en el tercer y cuarto objetivos. SCMMPYME (FIT360000200673) (Desarrollo de una metodologa de gestin de la seguridad y una herramienta que permita validarla). Este proyecto es de tipo PROFIT y ha sido financiado por el Ministerio de Industria, Turismo y Comercio (Secretara de estado de telecomunicaciones y para la sociedad de la informacin. Direccin general para el desarrollo de la sociedad de la informacin). Es un proyecto desarrollado por la empresa SNT en colaboracin con el grupo Alarcos de la UCLM. El objetivo general del proyecto es elaborar una metodologa para gestionar la seguridad en las PYMES, desarrollando una herramienta que soporte dicha metodologa. Los objetivos del proyecto se pueden resumir en los siguientes puntos (siempre manteniendo la idea de contextualizar el trabajo para pequeas y medianas empresas): 1. Definicin de una metodologa de gestin de la seguridad que permita, de una forma econmica, introducir, hacer permanecer y consolidar la seguridad y el anlisis de riesgos en las empresas. Basada en algunas de las normas y documentos tanto nacionales como internacionales ms adecuados (como las guas para la gestin de seguridad ISO/IEC27002 (ISO/IEC27002, 2007) y la metodologa de anlisis y gestin de riesgos Magerit (MageritV2, 2005)). 2. Definicin de un modelo de gestin de seguridad para las PYMES, utilizando la metodologa del objetivo anterior. 3. Desarrollar una herramienta que incluya: i) un generador de modelos de gestin de seguridad basados en la metodologa del objetivo primero; ii) un generador de SGSIs basado en los modelos generados; iii) un conjunto de aplicativos para mantener los SGSIs generados; iv) un conjunto de mtricas que permita mantener actualizado dicho sistema.
33
34 _________________________________________________________ Introduccin El alcance de esta Tesis doctoral incluye los tres puntos. RETISTRUST (TIN200626885E) (Red temtica de investigacin en el campo de la seguridad y confianza para los sistemas de informacin en una sociedad conectada). Es una red financiada dentro del Programa Nacional del Plan de Investigacin Cientfica, Desarrollo e Innovacin Tecnolgica 20042007. Esta tesis doctoral se enmarca en el objetivo parcial de ayudar a consolidar, unificar y divulgar conocimiento sobre la seguridad de los sistemas de informacin, enfocndolo desde el punto de vista riguroso, metdico y terico de las universidades y desde el punto de vista ms pragmtico de las empresas, centrndose particularmente en los problemas con los que se encuentran las PYMES al intentar implantar este tipo de sistemas. Sus objetivos parciales son: 1. Ayudar a consolidar, unificar y divulgar conocimiento sobre la seguridad de los sistemas de informacin, enfocndolo desde el punto de vista riguroso, metdico y terico de las universidades y desde el punto de vista ms pragmtico de las empresas. 2. Fomentar el desarrollo y uso de nuevas tcnicas y metodologas que garanticen una correcta seguridad en muchos de los aspectos incluidos en las TIC, dentro de los cuales se encuentran entre otros, los servicios Web, los sistemas operativos, los procesos de negocio, las bases de datos, los almacenes de datos, el desarrollo de sistemas de informacin, etc. 3. Conseguir estrechar lazos entre las diversas organizaciones que integran la red temtica, as como con otras organizaciones pblicas o privadas, nacionales o internacionales, para colaborar en el desarrollo de publicaciones, proyectos, conferencias, etc. Esta tesis doctoral se enmarca, principalmente, en el segundo objetivo.
1.3. Hiptesis y objetivos

El objetivo fundamental de esta tesis doctoral queda expresado como: Definir una metodologa y un modelo que haga viable la implantacin y el mantenimiento de sistemas de gestin de la seguridad en las PYMES En funcin de este objetivo principal se plantean los siguientes objetivos parciales: 1) Estudiar los distintos modelos para la gestin de la seguridad en las empresas, as como los modelos de madurez de la seguridad en las TIC y normativas y estndares destacables en esas materias, y analizar su adecuacin para las PYMES. 2) Definicin de una metodologa y un modelo de gestin de la seguridad especialmente adaptado a las caractersticas de las PYMES, y basado en estndares y modelos de gestin de la seguridad existentes. La metodologa y el modelo desarrollado sobre ella, permitir conocer la "madurez de seguridad de las empresas, y ofrecer guas de seguridad para alcanzar y mantener la seguridad deseable, utilizando para ello unos recursos razonables, dimensionados para este tipo de compaas.
1.4. Organizacin de la tesis doctoral.____________________________________ 35 3) Validar la metodologa y el modelo construido con casos de estudio reales. Esto permitir, mediante el mtodo de investigacin "Investigacin en accin" refinar el modelo y hacerlo utilizable en la prctica. 4) Construccin de una herramienta que d soporte automatizado a la utilizacin del modelo construido. Esta herramienta permitir desarrollar un plan director de seguridad para una PYME en un tiempo y costes mnimos. As mismo, permitir que la compaa pueda mantener este sistema con unos recursos adecuados al tamao de la misma. Por lo tanto, la principal hiptesis de la tesis doctoral es la siguiente: Es factible desarrollar una metodologa y un modelo de gestin de la seguridad para las PYMES que les permita conocer la situacin real de seguridad en las TICs y definir una estrategia para alcanzar y mantener la seguridad adecuada
1.4. Organizacin de la tesis doctoral

El resto de la tesis doctoral se estructura en los siguientes captulos1: Captulo 2. Mtodo de trabajo. En este captulo se presenta el mtodo de trabajo que se ha usado para la consecucin de los objetivos planteados. Captulo 3. Estado del arte. En el captulo tres se analiza la arquitectura seguida por los modelos clsicos en relacin al diseo e implantacin de sistemas de gestin de seguridad. Se resumen los principales estndares, metodologas, y modelos de madurez y de gestin de la seguridad que existen actualmente y las principales herramientas existentes en el mercado. Del mismo modo, se analizan las diferentes propuestas de metodologas y modelos de gestin de seguridad orientadas a PYMES que actualmente estn implantndose o en proceso de investigacin. Captulo 4. MGSMPYME: Metodologa para la gestin de la seguridad y su madurez en las PYMES. En este captulo se presenta la propuesta de una metodologa y un modelo de gestin de la seguridad que se ha desarrollado mediante el mtodo de investigacin en accin. Se presentan los diferentes subprocesos que componen la metodologa y el objetivo de cada uno de ellos. Captulo 5. MGSMTOOL: Herramienta para gestionar la seguridad en las PYMES. En el captulo cinco se presenta la aplicacin desarrollada para poner en prctica el modelo de gestin de la seguridad basado en la metodologa MGSMPYME, mostrando
1
Debido a su tamao, los anexos B, C, D, E y F no se han incluido en la versin impresa. Sin embargo, se pueden consultar en la versin digital de la Tesis doctoral, incluida en el DVD adjunto.
35
36 _________________________________________________________ Introduccin las principales ventajas que aporta y que hacen que el modelo propuesto sea viable y adecuado para las PYMES. Captulo 6. Caso de estudio. En este captulo se presenta el desarrollo de un caso de estudio en el cual se han podido aplicar todos los subprocesos de la metodologa desarrollada. Junto con ello, el caso de estudio ha servido para validar el mtodo y obtener un conjunto de recomendaciones que han permitido mejorar la propuesta original. Captulo 7. Conclusiones. En el ltimo captulo se presentan las conclusiones de esta tesis doctoral, un anlisis del cumplimiento de los objetivos propuestos, el contraste de resultados y las lneas de trabajo futuro. Anexo A. Acrnimos En este anexo se muestra un diccionario de acrnimos generales de seguridad utilizados en la tesis doctoral y otro con acrnimos especficos de la metodologa desarrollada. Anexo B. Esquema base. En este anexo se muestra en detalle la configuracin de los diferentes elementos que componen el esquema del modelo construido para validar la metodologa desarrollada. Anexo C. Dominios del esquema En este anexo se muestra en detalle la configuracin de los diferentes artefactos que componen la actividad A1.4 del esquema asociado al modelo construido para validar la metodologa desarrollada. Se ha separado del anexo B debido a la extensin del mismo. Anexo D. Resultados detallados del subproceso sP2 para SNT. En este anexo se muestran en detalle algunos de los resultados obtenidos durante la aplicacin del modelo obtenido a partir de la metodologa a un grupo de compaas. Anexo E. Anlisis de resultados de la actividad 2.2 En este anexo se muestran en detalle las cuestiones que componen las entrevistas de la actividad A2.2 del esquema asociado al modelo construido para validar la nueva metodologa. Se ha separado del anexo B debido a la extensin del mismo. Anexo F. Mapa del SGSI. En este anexo se muestra un mapa de los diferentes elementos que componen el esquema base (EB) del modelo generado.
C a p t ul o 2 Mtodo de trabajo
2.- Mtodo de trabajo

En este captulo se presenta el mtodo de trabajo que se ha utilizado para conseguir los objetivos planteados para esta tesis doctoral. Se ha considerado el uso del mtodo investigacinaccin (Action Research) por ser ste uno de los principales mtodos de investigacin cualitativa en el campo de los sistemas de informacin (Ruiz, et al., 2002).
2.1. Investigacin cualitativa: Investigacinaccin.

Entre los diversos mtodos de investigacin cualitativa propuestos en la bibliografa (la mayora provenientes del campo de las ciencias sociales), el ms utilizado en sistemas de informacin e ingeniera del software es investigacinaccin. El trmino InvestigacinAccin (IA) fue acuado por Kurt Lewin en su trabajo titulado Action research and minority problems del ao 1946. El mtodo IA se caracteriz como una investigacin comparativa sobre las condiciones y efectos de varias formas de investigacin y accin social, en que destaca la accin social usando un proceso en espiral de varios pasos, cada uno de los cuales est compuesto por varios ciclos: planificacin, accin y bsqueda de hechos acerca de los resultados de la accin (OBrien, 1998, Dick, 2000). En los ltimos aos los mtodos de investigacin cualitativos, en especial IA, han merecido la atencin y aceptacin de la comunidad cientfica relacionada con sistemas de informacin (Avison, et al., 1999, Seaman, 1999). InvestigacinAccin no se refiere a un mtodo de investigacin concreto, sino a una clase de mtodos que tienen en comn las siguientes caractersticas de acuerdo con (Baskerville, 1999, Ruiz, et al., 2002): i) orientacin a la accin y al cambio; ii) focalizacin en un problema; iii) un modelo de proceso orgnico que engloba etapas sistemticas y algunas veces iterativas; iv) y colaboracin entre los participantes.
2.1.1. Definiciones.
Existen diversas definiciones de investigacinaccin. Algunas de las ms significativas son las siguientes: Para (McTaggart, 1991) es la forma que tienen los grupos de personas de preparar las condiciones necesarias para aprender de sus propias experiencias, y hacer estas experiencias accesibles a otros. Para (French y Bell, 1996) es "el proceso de recopilar de forma sistemtica datos de la investigacin acerca de un sistema actual en relacin con algn objetivo, meta o necesidad de ese sistema; de alimentar de nuevo con esos datos al sistema; de emprender acciones por medio de variables alternativas seleccionadas dentro del sistema, basndose tanto en los datos como en las hiptesis; y de evaluar los resultados de las acciones, recopilando datos adicionales".
Para (Wadsworth, 1998) consiste en la participacin de "todas las partes involucradas en la investigacin, examinando la situacin existente (que sienten como problemtica), con los objetivos de cambiarla y mejorarla. De las definiciones anteriores se puede deducir que investigacinaccin tiene una doble finalidad: generar un beneficio al cliente de la investigacin y, al mismo tiempo, generar conocimiento de investigacin relevante (Kock, 2004). Por tanto,
39 39
40 ____________________________________________________ Mtodo de trabajo investigacinaccin es una forma de investigar de carcter colaborativo que busca unir teora y prctica entre investigadores y practicantes mediante un proceso de naturaleza cclica. Investigacinaccin est orientado a la produccin de nuevo conocimiento til en la prctica, que se obtiene mediante el cambio y/o bsqueda de soluciones a situaciones reales que le ocurren a un grupo de practicantes (Avison, et al., 1999). Esto se consigue gracias a la intervencin de un investigador en la realidad del mencionado grupo. Los resultados de esta experiencia deben ser beneficiosos tanto para el investigador como para los practicantes. Una premisa fundamental en esta forma de investigar es que los procesos sociales complejos (y el uso de tecnologas de la informacin en organizaciones es de este tipo) pueden ser estudiados mejor introduciendo cambios en dichos procesos y observando los efectos de dichos cambios (Baskerville, 1999). En el campo de los sistemas de informacin, el cliente de una investigacin es normalmente una organizacin a la cual el investigador suministra servicios tales como consultora, ayuda para cambiar o desarrollo de software, a cambio de tener acceso a datos de inters para la investigacin y, en muchos casos, de recibir financiacin (Kock, 2004). En cualquier caso, el investigador que utiliza InvestigacinAccin en Sistemas de Informacin (IASI) sirve a dos entidades diferentes: el cliente de la investigacin y la comunidad cientfica de sistemas de informacin. Las necesidades de ambos suelen ser muy diferentes y, a veces, opuestas entre s. Intentar satisfacer ambas demandas es el principal desafo que todos los investigadores de IASI tienen que enfrentar. Sirviendo tanto las necesidades de los practicantes como las del conocimiento cientfico, se aaden nuevos elementos a la investigacin que hacen que sea ms deseable.
2.1.2. Roles y modalidades en la investigacinaccin.

En un anlisis ms formal de los participantes en investigacinaccin, (Wadsworth, 1998) identifica los siguientes cuatro tipos de roles en este mtodo (en algunas ocasiones la misma persona o equipo puede desempear ms de un rol): El investigador, el individuo o grupo que lleva a cabo de forma activa el proceso investigador. El objeto investigado, es decir, el problema a resolver. El grupo crtico de referencia, aqul para quien se investiga, en el sentido de que tiene un problema que necesita ser resuelto y que tambin participa en el proceso de investigacin (aunque menos activamente que el investigador). En l hay tanto personas que saben que estn participando en la investigacin como otras que participan sin saberlo.
El beneficiario (stakeholder), aqul para quien se investiga, en el sentido de que puede beneficiarse del resultado de la investigacin aunque no participa directamente en el proceso. Puede ser el receptor de documentos, informes, etc. En este grupo, por ejemplo, caben tanto las empresas que se benefician de un nuevo mtodo para resolver problemas en tecnologas de la informacin como los tcnicos que aplican dicha metodologa. Desde sus orgenes se han distinguido formas diferentes de aplicar investigacinaccin (Chein, et al., 1948). (French y Bell, 1996) proponen cuatro variantes que dependen principalmente de las caractersticas de la tesis doctoral:
40
2.1. Investigacin cualitativa: investigacinaccin. _______________________________ 41
De diagnstico: el investigador se adentra en una situacin problemtica, la diagnostica y realiza recomendaciones al grupo crtico de referencia, pero sin que haya un control posterior de sus efectos. Participativa: el grupo crtico de referencia pone en prctica las recomendaciones realizadas por el investigador, compartiendo con l sus efectos y resultados. Emprica: el grupo crtico de referencia realiza un registro amplio y sistemtico de sus acciones y sus efectos. Esta caracterstica hace que esta variante sea difcilmente aplicable. Experimental: consiste en evaluar las diferentes opciones que existen para conseguir un objetivo. El principal inconveniente de esta variante reside en la dificultad de poder medir objetivamente las diversas opciones, ya que por lo general sern o bien aplicadas en distintas organizaciones con distintas caractersticas que enturbian los resultados de la investigacin, o bien en una sola organizacin pero en distintos momentos, con lo que el entorno experimental habr variado.
2.1.3. Etapas de la investigacinaccin.

Un proceso de investigacin que emplea investigacinaccin se halla compuesto de grupos de actividades organizadas formando un ciclo caracterstico. (Padak y Padak, 1994) identifican los siguientes pasos, que deben seguirse en las investigaciones que utilicen este mtodo (ver Figura 2.1 y Figura 2.2): Planificacin: Identificar las cuestiones relevantes que guiarn la investigacin, que deben estar directamente relacionadas con el objeto que se est investigando y ser susceptibles de encontrarles respuesta. En esta actividad se buscan caminos alternativos, lneas a seguir o reforzar algo existente. El resultado es que se definen claramente otros problemas o situaciones a tratar. Algunos autores (Baskerville, 1999) distinguen entre diagnstico (identificar los problemas iniciales) y planificacin (especificar acciones para resolver dichos problemas). Accin: Variacin de la prctica, cuidadosa, deliberada y controlada. Se efecta una simulacin o prueba de la solucin. Es cuando el investigador interviene sobre la realidad. Observacin: Recoger informacin, tomar datos, documentar lo que ocurre. Esta informacin puede proceder prcticamente de cualquier sitio (bibliografa, medidas, resultados de pruebas, observaciones, entrevistas, documentos, etc). Tambin se conoce como evaluacin. Reflexin: Compartir y analizar los resultados con el resto de interesados, de tal manera que se invite al planteamiento de nuevas cuestiones relevantes y, como aade (Wadsworth, 1998), a profundizar en la materia que se est investigando para proporcionar conocimientos nuevos que puedan mejorar las prcticas, modificando stas como parte del propio proceso investigador, para luego volver a investigar sobre estas prcticas una vez modificadas. Tambin se conoce como especificacin del aprendizaje. En algunas variantes de investigacin accin no es una etapa realmente, sino un proceso contino que ocurre durante todo el tiempo.
41
42 ____________________________________________________ Mtodo de trabajo
Soluciones refinadas Identificar cuestiones relevantes que guen la investigacin
Compartir y analizar los resultados, planteando nuevas cuestiones relevantes
Variacin de la prctica mediante una simulacin o prueba de la solucin
Recoger informacin, tomar datos, documentar lo que ocurre
Figura 2.1. Carcter cclico de investigacinaccin. Con estas caractersticas, el proceso definido por investigacinaccin es iterativo, de forma que se va avanzando en soluciones cada vez ms refinadas mediante la realizacin de ciclos, en cada uno de los cules se ponen en marcha nuevas ideas, que son puestas en prctica y comprobadas en el ciclo siguiente, tal como se muestra en la Figura 2.2. Este ciclo caracteriza investigacinaccin como un proceso reflexivo de aprendizaje y bsqueda de soluciones. El carcter cclico supone volver a reevaluar o replantear las acciones o caminos a seguir ponderando diagnstico y reflexin.
Figura 2.2. Carcter iterativo de la IA, adaptado de (Kock, 2004)
42
2.1. Investigacin cualitativa: investigacinaccin. _______________________________ 43
2.1.4. Problemas de la investigacinaccin y alternativas.

En los ltimos aos, investigacinaccin ha sido reconocido como uno de los mtodos de investigacin (cualitativa) ms potentes en el mbito de los sistemas de informacin. Ahora bien, la comunidad de especialistas ha detectado diversos problemas en su aplicacin que tienen tres causas fundamentales: La falta de mtodo con que los investigadores y practicantes utilizan IASI. El contexto de consultora utilizado, que impone una perspectiva demasiado restrictiva al implicar responsabilidades contractuales e intereses organizacionales que pueden ir en contra de lo propuesto por investigacin accin.
La ausencia de un modelo de proceso de investigacin definido que indique los pasos a seguir en IASI. Todo lo anterior puede tener como consecuencia una falta de rigurosidad del proceso de investigacin. Para solventar estos problemas se han propuesto, entre otras, las siguientes alternativas: Conducir la investigacin usando una perspectiva de gestin de proyectos. Incluir criterios de calidad especialmente concebidos. Analizar los factores que inciden en la formalizacin del proceso.
Organizar el proceso con una estructura de proyecto. Combinando varias de estas ideas, (Estay y Pastor, 2000) y (Estay y Pastor, 2000) han propuesto usar gestin de proyectos para mejorar el rigor de un proyecto de IASI, lo cual se ha traducido en generar una estructura de proyecto que contenga los principales elementos de IASI. Para lograr lo anterior, estos autores plantean la necesidad de adoptar prcticas de gestin, adecuadas a IASI, basadas en el PMBOK (Guide to the Project Management Body of Knowledge), el modelo de gestin de proyectos ms difundido a nivel internacional propuesto por el Project Management Institute (PMI, 2004). Para (Estay y Pastor, 2000), investigacinaccin y proyecto son conceptos equivalentes, ya que ambos son experiencias de trabajo nicas con resultados finales igualmente nicos y, adems, comparten la idea de intervencin, es decir, ambos suponen una alteracin voluntaria de la realidad. Aunque la intervencin en investigacinaccin produce alteraciones en una prctica de trabajo, tambin es una forma de obtener datos de la experiencia real que son necesarios para el proceso de investigacin. Los mismos autores tambin han propuesto un modelo de madurez basado en CMM (CMM, 1995) (Paulk, et al., 1985), aplicando prcticas de gestin de proyectos de forma incremental con objeto de garantizar una mejora del rigor y calidad del uso de investigacinaccin en sistemas de informacin (Estay y Pastor, 2001).
2.1.5. Ciclos en la investigacinaccin.

En el contexto de la investigacin cualitativa en sistemas de informacin se puede considerar que existen dos realidades (cientfica/acadmica y prctica) que interactan pero que se mueven en planos diferentes. IASI opera sobre esta realidad dual, que se concreta en dos tipos de ciclos de investigacinaccin para dos tipos de proyectos: Ciclos orientados a resolver problemas dentro de proyectos de sistemas de informacin. Estos proyectos consisten en el desarrollo de una solucin informtica (son proyectos informticos, de desarrollo de software, de
43
44 ____________________________________________________ Mtodo de trabajo implantacin y/o mantenimiento de sistemas informticos, etc). En este caso, el investigador se encarga de resolver un problema de investigacinaccin aparece como una herramienta adicional para el desarrollo de sistemas de informacin. Ciclos orientados a investigar dentro de proyectos de investigacin. Estos proyectos son esfuerzos intencionados buscando un resultado. En este caso, investigacinaccin ofrece un mtodo de trabajo y una justificacin para acercarse a una determinada realidad con el fin de probar una teora o hiptesis. Por otro lado, la estructura de proyecto de IASI propuesta en (Estay y Pastor, 2000) define dos ciclos caractersticos: Ciclo orientado a construir una solucin para generar nuevo conocimiento til a profesionales y mejorar su prctica. El investigador se conecta con la realidad mediante una intervencin. La investigacin se utiliza para construir modelos, teoras o conocimiento de manera informada e influida por la realidad. En este ciclo, es el inters por resolver un problema lo que origina el inters por la investigacin.
Ciclo orientado a gestionar la investigacin para producir nuevo conocimiento orientado a mejorar la disciplina de los sistemas de informacin y la prctica de los investigadores. En este ciclo es el inters por la investigacin el que origina inters por resolver ciertos problemas. En resumen, IASI se puede analizar desde dos dimensiones complementarias (ver Figura 2.3): Una dimensin vertical en funcin del tipo de proyecto. Una dimensin horizontal en funcin del biciclo tpico de la estructura de un proyecto de IASI.
Gestin
I Gestin de proyecto de sistemas de informacin
II Gestin de proyecto de investigacin
Construccin
III Construccin proyecto sistemas de informacin
IV Construccin proyecto de investigacin
Proyecto de sistemas de informacin
Proyecto de investigacin
Figura 2.3. Dos dimensiones en investigacinaccin en sistemas de informacin
44
2.2. Aplicacin del mtodo de investigacin en este trabajo. _________________________ 45
En (Lau, 1997) se puede encontrar un resumen del uso de IASI, comentando diversos ejemplos publicados por diferentes autores referidos a la construccin y desarrollo de sistemas de informacin y, ms especialmente, al anlisis, diseo, desarrollo e implementacin de software y a los procesos asociados. En (Baskerville, 1999) se hace una introduccin al uso de IASI indicando diez formas de utilizacin y cuatro caractersticas que determinan dicha forma de uso: modelo de proceso (iterativo, reflexivo, lineal); estructura (rigurosa, fluida); rol de investigador (colaborador, facilitador, experto); y objetivos principales (desarrollo organizacional, diseo de sistemas, conocimiento cientfico, entrenamiento). En (Baskerville y Wood-Harper, 1996), los autores sealan siete estrategias bsicas para llevar a cabo IASI: utilizar el paradigma del cambio, establecer un acuerdo o contrato formal de investigacin, proporcionar un marco de trabajo terico, planificar los mtodos de captura de datos, mantener la colaboracin y el aprendizaje mutuo entre investigador y grupo crtico de referencia, incentivar las iteraciones del ciclo tpico y buscar la generalizacin de las soluciones.
2.2. Aplicacin del mtodo de investigacin en este trabajo.

Para el desarrollo de esta tesis doctoral, se ha utilizado el mtodo de investigacin accin. La aplicacin de este mtodo se relaciona en forma directa con el objetivo perseguido en esta investigacin: Definir una metodologa y un modelo de gestin de la seguridad para las PYMES. El mtodo investigacinaccin (Figura 2.1) ha sido aplicado en su variante participativa, es decir, aqulla en la que el grupo crtico de referencia pone en prctica las recomendaciones realizadas por el investigador, compartiendo con l sus efectos y resultados. Para ello se han definido los siguientes participantes: El investigador: en este caso corresponde al grupo Alarcos, formado por profesores de la Escuela Superior de Informtica de la Universidad de CastillaLa Mancha en Ciudad Real, Espaa. El autor de esta tesis doctoral forma parte del equipo de investigadores del grupo Alarcos. El objeto investigado es decir, el problema a resolver: En este caso corresponde a la mejora de la gestin de la seguridad de las tecnologas de la informacin. El grupo crtico de referencia (GCR): aqul para el que se investiga y, adems, participa en el proceso de investigacin. Est compuesto por la empresa SNT (ver captulo 6), sus clientes, y por los participantes de los proyectos MISTICO y SCMMPYME y la red RETISTRUST. El cuarto participante, el beneficiario, est constituido por aquellas organizaciones que pueden ser beneficiadas por los resultados del trabajo, es decir, todas aquellas pequeas y medianas empresas que desean aplicar mtodos avanzados de gestin de seguridad de la informacin en sus sistemas de informacin para mejorar de una manera controlada y metdica la seguridad en sus procesos y productos de tecnologas de la informacin. El resultado de esta tesis doctoral mejorar la eficiencia del proceso de implantacin y mantenimiento de los sistemas de gestin de la seguridad de
46 ____________________________________________________ Mtodo de trabajo la informacin. Por lo tanto los principales beneficiarios sern todas las empresas vinculadas al grupo crtico de referencia. Las etapas que se identifican para demostrar el carcter cclico de la investigacinaccin (ver Figura 2.2) han sido aplicadas en esta tesis doctoral de la siguiente manera: Planificacin: Conocida la problemtica relacionada con la incorporacin de sistemas de gestin de seguridad en las PYMES, se planifica desarrollar una metodologa que permita generar un SGSI con el menor nmero de recursos posibles y que se adapte al tamao y la madurez de la compaa. Accin: Una vez que se han definido los principales elementos involucrados en el proceso de creacin de un SGSI, se procede a la creacin de un modelo y su aplicacin en determinados casos de estudio. Del mismo modo, los elementos que sern utilizados para construir el SGSI final son aplicados en casos de estudio. Observacin: Una vez que se han aplicado los elementos y generado el SGSI se ha procedido a la evaluacin de los resultados obtenidos. Esto ha permitido mejorar las propuestas originales. Finalmente, se ha logrado definir una metodologa que sistematiza la creacin de un SGSI para una compaa y su evolucin, y un modelo que permite validarla. Todo este mtodo es apoyado por un prototipo que permite generar de forma sencilla los SGSI y trabajar con ellos para analizar su evolucin en el tiempo.
Reflexin: Atendiendo al carcter cclico de la investigacinaccin, se han obtenido resultados que son el producto de sucesivas iteraciones. Los resultados obtenidos han sido compartidos y contrastados con el equipo de investigacin, en foros nacionales e internacionales de comunidades cientficas afines a los temas que se abordan en esta tesis doctoral. Un esquema de los participantes y los ciclos resultantes de la aplicacin del mtodo investigacinaccin en esta tesis doctoral se muestra en la Figura 2.4.
Resultados de la investigacin
PYMES (Beneficiarios Stakeholders) Resultados de la aplicacin
Resultados refinados Propuestas Responsable de SNT (Grupo critico de referencia) Doctorando Grupo Alarcos (UCLM) (Investigador)
Mejora de la seguridad en las tecnologas de la informacin (Objeto Investigado)
Figura 2.4. Aplicacin de IA en la tesis doctoral.

46
2.2. Aplicacin del mtodo de investigacin en este trabajo. _________________________ 47
En resumen, los resultados conseguidos con la aplicacin del mtodo fueron: Una metodologa adecuada para gestionar la seguridad y su nivel de madurez en los sistemas de informacin de las PYMES. Un modelo de madurez y gestin de la seguridad adecuado a los recursos de las PYMES basado en la metodologa desarrollada y denominado esquema base (EB). El resultado fue aceptado por el grupo crtico de referencia. Beneficios para los participantes: cientficos para el investigador y prcticos para los beneficiarios. El conocimiento obtenido pudo ser aplicado inmediatamente. La investigacin se desarroll en un proceso tpico cclico e iterativo combinando teora y prctica.
47
C a p t ul o 3 Estado del arte
3.- Estado del arte

Una vez que se ha detectado la problemtica existente en las PYMES para implantar y mantener sistemas de gestin de seguridad en sus sistemas de informacin y las graves consecuencias que puede acarrear la ausencia de stos, es necesario realizar un anlisis de las principales propuestas relacionadas con la implantacin y el mantenimiento de un SGSI en las PYMES, con el objeto de comprobar si se trata de un problema resuelto o si, como es el caso, es todava un problema abierto. Este captulo est organizado de la siguiente manera: en la seccin 3.1 se muestra una definicin de los sistemas de gestin de seguridad de la informacin (SGSI), describiendo los diferentes elementos y fases de que se componen y su relacin con la cultura de la seguridad. En la seccin 3.2 se muestran los principales modelos de gestin de la seguridad existentes. En la seccin 3.3 se muestran las propuestas de investigacin de modelos de gestin de seguridad orientados a PYMES ms prometedoras. En la seccin 3.4 se analizan algunas de las herramientas ms destacables existentes en el mercado asociadas a la construccin de los SGSIs. Finalmente, en la seccin 3.5 se muestran las principales conclusiones obtenidas del estudio de los puntos anteriores.
3.1. SGSIs: Aspectos tcnicos y culturales.

Un sistema de gestin de la seguridad de la informacin (SGSI) se puede definir como un sistema de gestin usado para establecer y mantener un entorno seguro de la informacin. El objetivo principal de los SGSIs es afrontar, la puesta en prctica y el mantenimiento de los procesos y los procedimientos necesarios para manejar la seguridad de las tecnologas de la informacin (Eloff y Eloff, 2003). (Dhillon, 1997) afirma que los SGSIs no se ocupan slo de la seguridad de la informacin, sino que incluyen tambin la gestin de los aspectos formales e informales dentro de la organizacin. Estas acciones incluyen la identificacin de las necesidades de la seguridad de la informacin y la puesta en prctica de las estrategias para satisfacer estas necesidades, medir los resultados, y mejorar las estrategias de proteccin. Por otro lado, a la hora de implantar los SGSIs la mayor parte de los modelos se han centrado en aspectos tcnicos y de gestin, dejando de lado un tercer aspecto que es el institucional, y que ha tomado una especial relevancia en los ltimos aos. As (Von Solms, 2000) describe que la seguridad de la informacin no debe centrarse slo en estas dos orientaciones (orientacin tcnica y de gestin), sino que tiene que verse completada con una tercera orientacin (orientacin institucional o de cultura de la seguridad). De esta forma, la funcin principal de cada una sera: Orientacin tcnica: Se ocupa de las direcciones tcnicas de seguridad de la informacin mediante el uso de las instalaciones de los sistemas informticos, como autenticacin y servicios de control de acceso. Orientacin a la gestin: Comenz cuando la alta direccin se involucr en la seguridad de la informacin con la evolucin de la Internet y actividades de negocio electrnico, e incluye las tareas de preparacin de seguridad de la informacin, polticas, procedimientos y mtodos, as como la designacin del responsable de seguridad. Tendencia institucional: De forma paralela a la primera y la segunda orientacin, incluye la creacin de una cultura corporativa de la seguridad,
51 51
52 _____________________________________________________________ Estado del arte abarcando la normalizacin, certificacin, medicin y preocupacin del aspecto humano en la seguridad de la informacin. El objetivo de la institucionalizacin es construir una cultura de seguridad de la informacin, de tal manera que la seguridad de la informacin se convierta en un aspecto natural de las actividades cotidianas de todos los empleados de la organizacin (Von Solms, 2000). El desarrollo de la cultura de seguridad de la informacin pretende controlar el uso indebido de informacin por parte de los usuarios del sistema de informacin (Dhillon y Backhouse, 2001c, Magklaras y Furnell, 2004). En una cultura de la seguridad de la informacin el comportamiento del empleado contribuye a la proteccin de los datos, informacin y conocimientos (Dhillon y Backhouse, 2001c), y la seguridad de la informacin se convierte en una parte natural de la actividad diaria del empleado (Schlienger y Teufel, 2003). El valor potencial de la adopcin de una cultura de la gestin de la seguridad de la informacin tambin fue demostrado por (Galletta y Polak, 2003), mostrando que entre el 2050% de los empleados revelan informacin de la compaa o hacen un uso inadecuado del sistema de informacin (AusCERT, 2005, CSI/FBI, 2005, ISBS, 2006). Segn (Ernst&Young, 2006), en los ltimos aos se ha realizado un avance importante en el establecimiento de la cultura de la seguridad, pero todava queda mucho trabajo por realizar. En las siguientes subsecciones se mostrarn las principales fases de implantacin de un SGSI, los elementos que lo forman y los principales pasos para crear una cultura de seguridad en el sistema de informacin de la compaa, dado que este aspecto se ha mostrado fundamental para xito de los SGSIs.
3.1.1. Implantacin del sistema de gestin de seguridad.

La gestin de la seguridad de la informacin puede ser implantada desde varias perspectivas (Eloff y Eloff, 2003): i) desde una perspectiva estratgica, afrontndola mediante el gobierno corporativo y las polticas de seguridad; ii) desde el punto de vista humano, intentando implantar una cultura de la seguridad, formacin, aspectos ticos, etc. Ambas visiones se complementan y refuerzan. Para llegar a definir el SGSI de una compaa se requiere de un proceso previo de definicin e implantacin (Figura 3.1). A continuacin se describen de forma resumida los cuatro subprocesos en que se divide la implantacin de un SGSI clsico:
Figura 3.1. Fases en la implantacin de un SGSI
52
3.1. SGSIs: Aspectos tcnicos y culturales. _______________________________________ 53
Auditora inicial: En un SGSI, lo primero que se debe hacer es conocer la situacin actual de la empresa con respecto a la seguridad y conocer a la empresa como organizacin. Esta fase implica establecer el estado actual de las capacidades de la seguridad de la informacin en la empresa. Las entrevistas, el anlisis de la documentacin, las discusiones abiertas con los principales interesados y las herramientas adecuadas sern utilizados para producir una foto del estado actual de la empresa. Anlisis de procesos y flujos: A partir del anlisis previo del nivel de seguridad se podr llegar a realizar un anlisis de los procesos y flujos necesarios para alcanzar el nivel de seguridad adecuado. Los entregables de esta fase incluyen los estndares especficos basados en los conceptos de disponibilidad, integridad y confidencialidad de la informacin. Al finalizar esta fase, se conocer el estado actual de los controles de seguridad de la empresa. Anlisis y gestin del riesgo: Esta es una de las fases ms importantes y sobre la que ms propuestas se estn desarrollando, entre las que podemos destacar MAGERIT (MageritV2, 2005), OCTAVE (Alberts y Dorofee, 2002) o CRAMM (CRAMMv5.0, 2003). A pesar de ello, esta fase no puede limitarse al anlisis y la gestin del riesgo (Siegel, et al., 2002), sino que adems de identificar y eliminar riesgos se ha de realizar de manera eficiente, obteniendo la compaa grandes ahorros de costes como consecuencia directa de una mejor gestin de la seguridad (Garigue y Stefaniu, 2003). Gracias al anlisis de riesgos se podrn identificar los activos y conocer el nivel de seguridad que se debe aplicar. Los expertos tambin han propuesto recientemente realizar un anlisis de riesgos para poder alinear las estrategias de la empresa y de la seguridad (Gerber y Von Solms, 2005), ya que esto hace que la empresa pase de tomar una posicin reactiva ante la seguridad a una proactiva. Desarrollo del SGSI: Una vez conocida la situacin actual real en cuanto a seguridad de la informacin se elabora el sistema de gestin de seguridad de la informacin, definiendo un conjunto de controles de seguridad obtenidos de la norma ISO/IEC27002 (ISO/IEC27002, 2007), teniendo en cuenta las particularidades de la empresa y los sistemas (que vendrn descritas en el marco o entorno del SGSI y en las polticas de la empresa). Esta fase del SGSI es la ms importante porque implica todo el desarrollo del ciclo de vida del sistema de gestin de seguridad, incluyendo la implantacin, el mantenimiento, y la generacin de los elementos del SGSI.
3.1.2. Composicin del sistema de gestin de seguridad.

Los SGSI clsicos se componen de una serie de elementos bsicos (Figura 3.2) orientados a conseguir que el entorno sea seguro y que participan en el sistema de gestin de seguridad de la informacin de manera integrada. Estos elementos son los siguientes: Marco del SGSI: Es la arquitectura o modelo seguido para la construccin del SGSI, que define los elementos que formarn el SGSI y cmo interactan entre ellos.
53
54 _____________________________________________________________ Estado del arte Polticas y normas: Son el conjunto de reglamentos que los usuarios del sistema de informacin de la compaa tienen que seguir para que el sistema pueda estar sometido a una gestin de la seguridad correcta. Suelen estar basados en aspectos ticos, legales y sociales que permiten definir la cultura de la seguridad de la compaa. Controles y guas de buenas prcticas: Evidentemente, una gua de buenas prcticas como la norma ISO/IEC27002 (ISO/IEC27002, 2007) es necesaria para proporcionar los controles de seguridad a implantar y a gestionar. Aunque no todos los controles que se pueden encontrar en la norma son aplicables en todas las empresas, es recomendable que las organizaciones la tomen como punto de partida (Pertier, 2003). Uno de los aspectos ms relevantes de esta gua es su aportacin para controlar los mecanismos de outsourcing de los servicios de los sistemas de informacin en las empresas (Endorf, 2004, Power y Trope, 2005), ya que este proceso de externalizacin est empezando a ser utilizado de forma generalizada por todas las compaas para minimizar costes sin tener en cuenta que puede suponer nuevos riesgos en la seguridad, ya que normalmente se desconocen los niveles de seguridad que tienen las compaas con las que se externalizan los servicios. Otros trabajos afirman que las organizaciones pueden mejorar sus experiencias de externalizacin desarrollando un proceso de gestin del conocimiento basado en mtricas (Power y Desouza, 2005). Procedimientos: Definen cmo deben los usuarios interactuar con el sistema de informacin y con los activos de valor contenidos en ste para que el sistema de informacin este sometido a una correcta gestin de la seguridad. Indicadores: Son las mtricas que nos permitirn determinar la evolucin en el nivel de cumplimiento de los controles de seguridad que forman parte del SGSI. Las mtricas son fundamentales para poder conocer el estado de la gestin de la seguridad del SGSI en cada momento y poder realizar planes de actuacin para solucionar los problemas detectados. Auditoras: Todo SGSI debe contar con una serie de mecanismos para llevar a cabo las auditoras, certificacin y acreditacin del sistema de gestin, con la finalidad de proporcionar credibilidad al entorno de seguridad. Estos mecanismos sirven tambin para determinar el estado de la seguridad actual del SGSI.
Figura 3.2. Elementos bsicos de un SGSI (Eloff y Eloff, 2003) Existen cientos de variaciones entre unos SGSIs y otros. Aqu tan slo se han querido representar algunos de los elementos que suelen tener en comn todos los SGSIs y que se consideran fundamentales para un correcto funcionamiento del mismo.
54
3.1.3. Cultura de la seguridad de la informacin.

Para ayudar a las empresas en la creacin de una cultura de seguridad de la informacin, los expertos han identificado diversos enfoques basados en polticas, la sensibilizacin, formacin y educacin (Furnell, et al., 2000, Lichtenstein y Swatman, 2001b, Schlienger y Teufel, 2003). Sin embargo, las iniciativas de gestin por s solas no influirn significativamente en el comportamiento de los empleados (Rosanas y Velilla, 2005). Segn (Schultz, 2005) es necesario prestar especial atencin al factor humano. La mayora de las recientes investigaciones sobre la cultura de la seguridad de la informacin (Schein, 1992, Nosworthy, 2000, Schlienger y Teufel, 2002, Chia, et al., 2002b, Martins y Eloff, 2003, Zakaria y Gani, 2003, Zakaria, et al., 2003b) destacan que una cultura corporativa que incluya una cultura de seguridad de la informacin es un fenmeno colectivo transcendente y que puede ser diseado por la propia direccin de una organizacin. (Nosworthy, 2000) hace hincapi en que la cultura organizacional desempea un papel importante en la seguridad de la informacin, ya que permite que la organizacin pueda resistir los cambios que sufre su sistema. Aunque la mayora de las investigaciones coinciden en la importancia de la cultura de la seguridad para los SGSI (Nosworthy, 2000), no se ha llegado a una definicin clara del concepto de "cultura de la seguridad" (Chia, et al., 2002b), existiendo diferentes visiones: (Siponen, 2000) describe que "la conciencia de seguridad de la informacin" es un estado donde los usuarios en una organizacin son conscientes de su misin en seguridad, dividindola en dos categoras: i) marco de aplicacin (la normalizacin, certificacin y medicin de las actividades de la institucionalizacin); y ii) el contenido (el aspecto humano). Por otro lado (Von Solms y Von Solms, 2001, Vroom y Von Solms, 2004) sugieren el establecimiento de una cultura de formacin y cooperacin con los empleados, basada en una progresiva adaptacin de la gestin de seguridad de la organizacin y los valores individuales y de comportamiento de los usuarios. (Dhillon, 1997) tiene una visin amplia del trmino "cultura de seguridad", definindola como el comportamiento de los usuarios de una organizacin que contribuye a la proteccin de datos, informacin y conocimientos. (Martins y Eloff, 2003) define la cultura de la seguridad de la informacin como un conjunto de caractersticas de seguridad de la informacin, tales como la integridad y la disponibilidad de la informacin. Para (Chia, et al., 2002) la cultura de la seguridad de la informacin es un aspecto fundamental, y define un conjunto de dimensiones que son importantes para medir la eficacia de la cultura de la seguridad de la informacin: i) la creencia en la importancia de la seguridad de la informacin; ii) equilibrio de largo y corto plazo, metas, polticas, procedimientos y procesos de mejora continua; iii) cooperacin y colaboracin; iv) atencin a los objetivos de auditora y cumplimiento. Sin embargo, esta lista ha sido recientemente criticada por (Helokunnas y Kuusisto, 2003b), que hacen especial hincapi en los aspectos humanos de la seguridad de la informacin. (Straub, et al., 2002) sostiene que en los sistemas de informacin casi siempre se asume que una persona pertenece a una sola cultura, y por tanto proponen la teora de identidad social para ser usada como base para la investigacin de la cultura del sistema de informacin. La cultura de la identidad social sugiere que cada individuo est influido por multitud de culturas. Segn (Straub, et al.,
55
56 _____________________________________________________________ Estado del arte 2002), al aplicar la cultura de la seguridad los usuarios se vern influidos por aspectos ticos, de la legislacin de cada pas, y de organizacin de la seguridad. Esta cultura tiene un efecto sobre la forma en que el individuo interpreta el significado y la importancia de la seguridad de la informacin. (Kuusisto y Ilvonen, 2003) propone un sistema en que la cultura de la seguridad de la informacin se crea a partir de la interaccin del marco de referencia y los componentes (Figura 3.3).
Figura 3.3. Marco de establecimiento de la cultura de seguridad. Por ltimo, (Detert, et al., 2000) considera la cultura de la seguridad como un aspecto clave dentro de los SGSI y desarrolla un marco general para la seguridad de la informacin basado en ocho dimensiones. (Chia, et al., 2002b) aplic esas ocho dimensiones a las zonas de seguridad de la informacin e identific los principales factores de seguridad de la informacin de cada dimensin (Figura 3.4).
Autenticacin Servicios de control de acceso
Politicas Procedimientos Mtodos Seleccin R.Seguridad
Normalizacin
Certificacin
Medicin
Aspecto Humano
Figura 3.4. Orientaciones de seguridad (Chia, et al., 2002b).
56
Aunque estudios recientes demuestran la preocupacin de las PYMES en relacin con las dificultades de desarrollar una cultura de seguridad de la informacin (Taylor y Murphy, 2004), lo cierto es que la cultura de la seguridad tiene una serie de problemas adicionales a la hora de implantarse en las PYMES. Segn (Dojkovski, et al., 2006, Hutchinson y Warren, 2006c), las PYMES se ven especialmente perjudicadas en comparacin con las grandes organizaciones en la bsqueda de una cultura de seguridad de la informacin, por varios motivos: Las PYMES carecen de los fondos, tiempo y conocimientos necesarios para coordinar la seguridad de la informacin, o de forma eficaz imponer una cultura de seguridad de la informacin (Furnell, et al., 2000, Dimopoulos, et al., 2004b). Las PYMES no suelen disponer de polticas y procedimientos, ni han definido las responsabilidades de los usuarios del sistema de informacin (Helokunnas y Iivonen, 2003).
Las PYMES son ms susceptibles que las grandes compaas a influencias nacionales, como cambios en la legislacin (Warren, 2003). Como conclusin, podemos destacar que se han desarrollado diversos marcos de gestin de la seguridad orientados al desarrollo de una cultura de seguridad de la informacin (Von Solms, 2000, Martins y Eloff, 2003, Schlienger y Teufel, 2003, Van Niekerk y Von Solms, 2003, Zakaria y Gani, 2003, Helokunnas y Kuusisto, 2003b, Von Solms y Von Solms, 2004, Vroom y Von Solms, 2004, Furnell y Clarke, 2005), pero suelen estar orientados hacia las grandes organizaciones. En cambio, segn (Hutchinson y Warren, 2003, Dojkovski, et al., 2006) los marcos para las PYMES deberan estar basados en un estudio de las necesidades reales de stas, identificando y desarrollando un marco especifico para ellas. Los expertos han propuesto diferentes marcos conceptuales para que la gestin de la seguridad de la informacin incluya la cultura de la seguridad de la informacin sobre la base de iniciativas de gestin de polticas, sensibilizacin, capacitacin y educacin (Lichtenstein, 2001, Knapp, et al., 2006). Sin embargo, esos marcos pueden ser ms adecuados para medianas y grandes organizaciones debido a los recursos necesarios. En los ltimos aos han aparecidos varios marcos de trabajo para el establecimiento de la cultura de la seguridad sobre la base de: cultura organizacional y medicin de la cultura de seguridad de la informacin (Schlienger y Teufel, 2002, Schlienger y Teufel, 2003); valores compartidos (Helokunnas y Iivonen, 2003): fases de seguridad de la informacin, niveles de madurez (Von Solms, 2000); medidas relacionadas con el desarrollo del individuo, grupo y organizacin que permitan conocer sus deficiencias en materia de seguridad (Martins y Eloff, 2003); nivel socio tecnolgico sobre la seguridad de la informacin (Stanton, et al., 2004); medidas basadas en la moral y tica de los usuarios (Siponen, 2000); mtodos informales de concienciacin (Vroom y Von Solms, 2004); conceptos clave de la cultura organizativa (Zakaria y Gani, 2003); capacidades del personal (Furnell y Clarke, 2005); aprendizaje organizativo (Van Niekerk y Von Solms, 2003); y un enfoque multifactico (Chia, et al., 2002). Si bien esos marcos son claramente valiosos se centran en fragmentos del campo terico, sin integrarse en un marco comn y completo. Adems, no abordan los requerimientos especiales de las PYMES. As, (Kuusisto y Ilvonen, 2003) llegan a la conclusin de que no existe ninguna normativa adecuada para gestionar la seguridad en las PYMES, y que principalmente se necesita de modelos que sean vlidos y que permitan aumentar la cultura de la seguridad en las PYMES.
57
58 _____________________________________________________________ Estado del arte
3.2. Marcos y estndares generales para la gestin de la seguridad.

Actualmente, existen varias iniciativas para establecer sistemas de gestin y madurez de la seguridad de los sistemas de la informacin (Areiza, et al., 2005a). Entre ellas destaca el modelo presentado en la ISO/IEC27001 (ISO/IEC27001, 2005), el de COBIT (COBITv4.0, 2006), el modelo de madurez de la gestin de la seguridad de la informacin (ISM3, 2007) y los modelos de madurez basados en CMMI (CMMI, 2006). (Von Solms, 2005) y (Pertier, 2003) investigan la coexistencia y uso complementario de COBIT (COBITv4.0, 2006) y la ISO/IEC17799 (ISO/IEC17799, 2005) desarrollando un mapa para la sincronizacin de ambos marcos de referencia. Algunos de los detractores de la ISO/IEC17799 (ISO/IEC17799, 2005) presentan como desventaja que es una gua de soporte, pero que no alcanza todo el marco necesario para el gobierno de las tecnologas de la informacin. Su principal ventaja frente a COBIT (COBITv4.0, 2006) es que es ms detallada y tiene ms guas orientadas a cmo deben hacerse las cosas. Un reciente informe del Instituto para el gobierno de la tecnologa de la informacin (ITGI) soluciona el problema de sincronizacin desarrollando el mapa entre COBIT (COBITv4.0, 2006) y la ISO/IEC17799 (ISO/IEC17799, 2005). Existen multitud de escenarios (Von Solms y Von Solms, 2001) en que se puede ver cmo se complementan ISO/IEC17799 (ISO/IEC17799, 2005) y COBIT (COBITv4.0, 2006). A continuacin se muestra una descripcin breve de los principales modelos de gestin de la seguridad y su madurez existentes en la actualidad.
3.2.1. Familia de estndares de la 27000.

La serie 27000 es un conjunto de estndares desarrollados o en fase de desarrollo por ISO (Organizacin internacional de estandarizacin) e IEC (Comisin electrotcnica internacional), que proporcionan un marco de gestin de la seguridad de la informacin. En esta subseccin se resumen las distintas normas que componen la serie 27000: ISO/IEC FDIS 27000 (ISO/IEC27000, 2009): Actualmente se encuentra en fase de desarrollo. Contendr trminos y definiciones que se emplearn en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin. ISO/IEC27001 (ISO/IEC27001, 2005): Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 77992 (BS7799, 2002) y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS77992 (BS7799, 2002), habindose establecido unas condiciones de transicin para aquellas empresas certificadas en esta ltima. En su anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO/IEC27002 (ISO/IEC27002, 2007) para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. A pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados.
58
3.2. Marcos y estndares generales para la gestin de la seguridad. __________________ 59
ISO/IEC27002 (ISO/IEC27002, 2007): Desde el 1 de Julio de 2007, es el nuevo nombre de ISO/IEC17799 (ISO/IEC17799, 2005), manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO/IEC27001 (ISO/IEC27001, 2005) contiene un anexo que resume los controles de ISO/IEC27002 (ISO/IEC27002, 2007). ISO/IEC FCD 27003 (ISO/IEC27003, 2009): En fase de desarrollo. Consistir en una gua de implementacin de SGSIs e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases (ver Figura 3.5). Tiene su origen en el anexo B de la norma BS77992 (BS7799, 2002) y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO/IEC FCD 27004 (ISO/IEC27004, 2009): En fase de desarrollo. Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA. ISO/IEC27005 (ISO/IEC27005, 2008): Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC27001 (ISO/IEC27001, 2005) y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC27001 (ISO/IEC27001, 2005) e ISO/IEC27002 (ISO/IEC27002, 2007) es importante para un completo entendimiento de la norma ISO/IEC 27005 (ISO/IEC27005, 2008), que es aplicable a organizaciones que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin. Su publicacin revisa y retira las normas ISO/IEC TR 133353 (ISO/IEC13335-3, 1998) y ISO/IEC TR 133354 (ISO/IEC13335-4, 2000). ISO/IEC27006 (ISO/IEC27006, 2007): Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA7/03 (EA7/03, 2000) (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (ISO/IEC17021, 2006) (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO/IEC27001 (ISO/IEC27001, 2005) y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 (ISO/IEC17021, 2006) cuando se aplican a entidades de certificacin de ISO/IEC27001 (ISO/IEC27001, 2005), pero no es una norma de acreditacin por s misma. ISO/IEC WD 27007 (ISO/IEC27007, 2009): En fase de desarrollo. Consistir en una gua de auditora de un SGSI. ISO/IEC FDIS 27011 (ISO/IEC27011, 2009): En fase de desarrollo. Consistir en una gua de gestin de seguridad de la informacin especfica
59
60 _____________________________________________________________ Estado del arte para telecomunicaciones, elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones). ISO/IEC NP 27012 (ISO/IEC27012, 2009): En fase de desarrollo. Consistir en una gua de gestin de seguridad de la informacin especfica para gobierno de la seguridad. ISO/IEC NP 27031 (ISO/IEC27031, 2009): En fase de desarrollo. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO/IEC NP 27032 (ISO/IEC27032, 2009): En fase de desarrollo. Consistir en una gua relativa a la ciberseguridad. ISO/IEC NP 27033 (ISO/IEC27033, 2009): En fase de desarrollo. Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. Provendr de la revisin, ampliacin y renumeracin de ISO/IEC 18028 (ISO/IEC18028-3, 2005, ISO/IEC180284, 2005, ISO/IEC18028-1, 2006, ISO/IEC18028-2, 2006, ISO/IEC18028-5, 2006). ISO/IEC NP 27034 (ISO/IEC27034, 2009): En fase de desarrollo. Consistir en una gua de seguridad en aplicaciones.
ISO/IEC27799 (ISO/IEC27799, 2008): Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO/IEC27002 (ISO/IEC27002, 2007). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. ISO/IEC 27799 (ISO/IEC27799, 2008) define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO/IEC27002 (ISO/IEC27002, 2007) y es un complemento de esa norma. ISO/IEC 27799 (ISO/IEC27799, 2008) especifica un conjunto detallado de controles y directrices de buenas prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios de la informacin sanitaria, en base a garantizar un mnimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de informacin personal de salud. ISO/IEC 27799 (ISO/IEC27799, 2008) se aplica a la informacin en salud en todos sus aspectos y en cualquiera de sus formas, toma la informacin (palabras y nmeros, grabaciones sonoras, dibujos, vdeos e imgenes mdicas), sea cual fuere el medio utilizado para almacenar (impresin o escritura en papel, o electrnicos de almacenamiento) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informticas o por correo), ya que la informacin siempre debe estar adecuadamente protegida. Dentro de este conjunto de estndares, las normas ISO/IEC27001 e ISO/IEC27002 tienen una importancia especial para el desarrollo de la tesis doctoral, por lo que se analizan ms en detalle en las subsecciones siguientes.
60
3.2.1.1. ISO/IEC27001 (ISO/IEC27001, 2005). Este estndar fue confeccionado para proveer un modelo para el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI. La adopcin del SGSI debe ser una decisin estratgica de la organizacin, pues el mismo est influenciado por las necesidades y objetivos de la compaa, los requerimientos de seguridad, los procesos, el tamao y la estructura de la empresa. La ISO/IEC27001 adopta el modelo Plan-Do-Check-Act (PDCA) que se puede ver en la Figura 3.5, el cual es aplicado a toda la estructura de procesos del SGSI. A continuacin se describe cada una de las fases del modelo: Plan (Establecer el SGSI): Implica establecer la poltica del SGSI, sus objetivos, procesos, procedimientos relevantes para la administracin de riesgos y mejoras para la seguridad de la informacin, entregando resultados acordes a las polticas y objetivos de toda la organizacin. Do (Implementar y operar el SGSI): Representa la forma en que se deben operar e implementar la poltica, controles, procesos y procedimientos. Check (Monitorizar y revisar el SGSI): Analizar y medir dnde es aplicable, los procesos ejecutados con relacin a la poltica del SGSI, evaluar objetivos, experiencias e informar de los resultados a la administracin para su revisin. Act (Mantener y mejorar el SGSI): Realizar las acciones preventivas y correctivas, basadas en las auditoras internas y revisiones del SGSI o cualquier otra informacin relevante para permitir la continua mejora del mismo.
Figura 3.5. Procesos de la ISO/IEC27001 (ISO/IEC27001, 2005).
61
62 _____________________________________________________________ Estado del arte Los requerimientos de este estndar internacional son genricos y aplicables a la totalidad de las organizaciones, pero existe una serie de requerimientos base de obligado cumplimiento para que una organizacin obtenga la conformidad con esta norma: SGSI: La organizacin establecer, implementar, operar, monitorizar, revisar, mantendr y mejorar un documentado SGSI en el contexto de su propia organizacin para las actividades globales de su negocio y de cara a los riesgos. Para este propsito el proceso de esta norma, est basado en el modelo PDCA. Adems, deber controlar y mantener todos los documentos requeridos por el SGSI. Responsabilidades de la administracin: La administracin proveer evidencias de sus compromisos para el establecimiento, implementacin, operacin, monitorizacin, mantenimiento y mejora del SGSI y asegurar que todo el personal a quien sean asignadas responsabilidades definidas en el SGSI sea competente y est en capacidad de ejecutar las tareas requeridas. Para ello deber proveer las herramientas y capacitacin necesaria. Auditora interna del SGSI: La organizacin realizar auditoras internas al SGSI a intervalos planeados para determinar si los controles, objetivos, procesos y procedimientos continan de conformidad a esta norma y para analizar y planificar acciones de mejora. Ninguna persona podr auditar su propio trabajo ni cualquier otro que guarde relacin con l. Administracin de las revisiones del SGSI: Las revisiones mencionadas en el punto anterior debern llevarse a cabo al menos una vez al ao para asegurar su vigencia, adecuacin y efectividad. Estas revisiones incluirn valoracin de oportunidades para mejorar o cambiar el SGSI incluyendo la poltica de seguridad de la informacin y sus objetivos.
Mejoras del SGSI: La organizacin deber mejorar continuamente la eficiencia del SGSI a travs del empleo de la poltica de seguridad de la informacin, sus objetivos, el resultado de las auditoras, el anlisis y monitorizacin de eventos, las acciones preventivas y correctivas y las revisiones de la administracin. Cuando se examina en detalle la ISO/IEC27001, se puede apreciar que los dos aspectos ms fuertes que ofrece son la descripcin detallada de los controles y el mtodo PDCA para aplicarlos, dejando total libertad en los criterios para establecer el proceso global de seguridad y elegir el mtodo para analizar, evaluar y gestionar los riesgos. En un proyecto de SGSI, esta libertad tambin puede convertirse en una deficiencia, pues en cierta forma est ligando estos proyectos a la propia experiencia de diseo de procesos de seguridad de los ejecutores del mismo. 3.2.1.2. ISO/IEC27002 (ISO/IEC27002, 2007). La ISO/IEC27002 es una gua de buenas prcticas sobre las medidas de seguridad con las que una organizacin debera contar en su sistema de informacin. Contiene una lista de las medidas de seguridad que las organizaciones deben tener, pero no especifica cmo ponerlas en ejecucin. Fija simplemente la expectativa y los procesos para proteger la informacin contra las posibles amenazas de seguridad. Se organiza en doce secciones (Figura 3.6), que se encargan de cubrir los principales aspectos relacionados con la seguridad: gestin de riegos, aspectos organizativos, aspectos tecnolgicos, aspectos fsicos y aspectos legales.
62
Cada organizacin implanta slo los controles que considera necesarios. Su principal ventaja es que la norma es neutra con respecto a la tecnologa, lo que le permite su adaptacin a diferentes entornos, aunque esto se convierte en una desventaja dado que es muy generalista, indicando qu se debe hacer de forma general pero no entrando en cmo afrontar la implantacin.
Seguridad fsica
(3 Objetivos, 9 Controles) (2 Objetivos, 13 Controles) Gestin de incidentes de seguridad (2 Objetivos, 5 Controles) Plan de continuidad de negocio (1 Objetivo, 5 Controles)
Organizacin de la seguridad
(3 Objetivos, 9 Controles)
Gestin de activos
(6 Objetivos, 16 Controles) Organizacin Legal Fsica Tecnologa Riesgos
Implica a:
Figura 3.6. Dominios de la ISO/IEC20072 (ISO/IEC27002, 2007).
3.2.2. ISO/IEC15408/Common Criteria (ISO/IEC-CCv3.1, 2007).

Common Criteria (CC) es un estndar que proporciona un conjunto de requisitos de seguridad para los sistemas de TI. Common Evaluation Method (ISO/IEC-CEMv3.1, 2007) es una metodologa diseada para dar soporte a Common Criteria. La metodologa es un enfoque sistemtico para evaluar la seguridad de los sistemas de TI en una organizacin. (ISO/IEC-CEMv3.1, 2007) es comnmente utilizado como base para la certificacin, y es un gran enfoque para mejorar los sistemas de seguridad. Aunque CC no es un estndar para la gestin de la seguridad, se ha incluido en esta seccin debido a que algunos modelos de madurez y gestin de la seguridad lo han utilizado para complementar sus modelos (Lee, et al., 2003). Los principales objetivos perseguidos por el marco de referencia de CC son: Servir de medio para alinear los criterios de evaluacin de las propiedades de la seguridad de los productos asociados a los sistemas de tecnologas de la informacin, expresadas en: ITSEC (Europa), CTCPEC (Canad) y TCSEC (Estados Unidos) armonizndolos en un nuevo conjunto de criterios de evaluacin. Canalizar las actividades orientadas a la elaboracin y adopcin de normas internacionales para la evaluacin de la seguridad en la TI.
63
64 _____________________________________________________________ Estado del arte Proteger la inversin de los desarrolladores y usuarios mediante la adopcin de un estndar internacional unificado basado en CC.
Facilitar el desarrollo de un mercado internacional de productos de seguridad de TI mediante el reconocimiento mutuo de los requisitos y evaluaciones. El alcance de CC incluye, pero no est limitado, a la proteccin de la informacin en los aspectos de confidencialidad, integridad y disponibilidad. Por otro lado, el CC contiene criterios tcnicos de evaluacin nicamente y no proporciona ninguna orientacin sobre el marco organizativo y legal bajo el cual el CC debe ser aplicado, al contrario de lo que hace la ISO/IEC27002, que incluye controles para estos aspectos. Los resultados con CC se alcanzan mediante la aplicacin de criterios que contienen elementos objetivos y subjetivos. Por ello, disponer de ndices o parmetros precisos y universales para la seguridad en TI no es posible. Los aspectos ms relevantes en los que se basa Common Criteria son: Considera que las acciones dirigidas a aportar seguridad a los productos o sistemas de TI deben tener lugar en todos los procesos del ciclo: desarrollo, evaluacin y operacin.
Considera los dos siguientes grupos de requisitos de seguridad: o Requisitos Funcionales: Definen el comportamiento de seguridad deseado frente a las amenazas que estn presentes en el entorno de operacin del TOE (CC parte 2). o Requisitos para una certeza razonable sobre la seguridad: Son las propiedades que dan la confianza de que la seguridad aplicada es efectiva y est implementada correctamente (CC parte 3) Mediante la apropiada combinacin de los componentes de aseguramiento, el CC proporciona una escala de evaluacin de aseguramiento de 7 niveles, siendo el nivel EAL1 el nivel mas bajo de aseguramiento para el cul tiene sentido y est justificado econmicamente realizar la evaluacin, y el nivel EAL7 el que proporciona el grado ms alto de aseguramiento, naturalmente con un mayor coste para el desarrollador y el evaluador. El CC recomienda que la medicin se obtenga mediante la investigacin activa del producto realizada por evaluadores expertos que pongan nfasis en la profundidad del alcance y el rigor. El CC proporciona aseguramiento mediante la investigacin activa del producto. Common Criteria permite a los usuarios tomar decisiones sobre la seguridad de sus sistemas con criterios objetivos y es certificable. Su principal problema es que es muy complejo aplicarlo, y poco viable para pequeas organizaciones. Adems, tiene un marco de proteccin muy limitado, no ofreciendo orientacin sobre el marco organizativo y legal.
3.2.3. ISO/IEC21827/SSECMM (SSE-CMM, 2003).

El modelo de capacidad y madurez en la ingeniera de seguridad de sistemas es un modelo derivado del modelo de madurez del software CMM (CMM, 1995) y orientado hacia procesos. Describe las caractersticas esenciales de los procesos que deben existir en una organizacin para asegurar una buena seguridad en los sistemas.
64
Este es un modelo que pretende servir como: Herramienta para que las organizaciones evalen las prcticas de ingeniera de seguridad y definan mejoras a las mismas. Mecanismo estndar para que las empresas puedan evaluar la capacidad de los proveedores de ingeniera de seguridad.
Base para la creacin de un mecanismo de evaluacin y certificacin. SSE-CMM (norma ISO/IEC 21827) es utilizada para disear e implantar los procesos de seguridad, medir su capacidad y establecer planes de mejora en las reas de proceso de inters para la organizacin. SSE-CMM tiene dos dimensiones, dominio y capacidad. La dimensin del dominio: Comprende las prcticas que de forma colectiva definen la ingeniera de la seguridad. A estas prcticas se las denomina prcticas base. SSE-CMM contiene alrededor de 60 prcticas base de seguridad, organizadas en 11 reas de proceso que cubren todas las reas principales de la ingeniera de la seguridad. Estas prcticas base se establecieron a partir de un amplio rango de materiales, prcticas y experiencias existentes y representan la mejor prctica existente de la comunidad de ingeniera de la seguridad. Cada rea de proceso tiene un conjunto de objetivos que representan el estado esperado de una organizacin que est realizando de forma satisfactoria dicha rea de proceso.
La dimensin de la capacidad: Comprende las prcticas que indican capacidad de gestin y de institucionalizacin del proceso. Se denominan prcticas genricas, ya que se aplican en un amplio rango de dominios. Las prcticas genricas se agrupan en reas lgicas denominadas caractersticas comunes, que estn organizadas en niveles de capacidad, los cuales representan el aumento de la capacidad de la organizacin. Cada uno de estos niveles se puede caracterizar por las frases: o Nivel 1, Realizado informalmente: Tiene que hacerlo antes de poder gestionarlo. o Nivel 2, Planificado y seguido: Comprender lo que est ocurriendo en el proyecto antes de definir los procesos de toda la organizacin. o Nivel 3, Bien definido: Utilice lo mejor de lo que ha aprendido a partir de sus proyectos para crear los procesos de toda la organizacin. o Nivel 4, Controlado cuantitativamente: No puede medirlo hasta que no sepa lo que es y La gestin con medida slo es significativa cuando mide las cosas correctas. o Nivel 5, Mejorando continuamente: Una cultura de mejora continua requiere una base de slida prctica de gestin, procesos definidos y objetivos medibles. En la Tabla 3.1 se muestran las diferentes reas de proceso que componen SSE CMM y el nmero de controles que tiene para cada nivel de capacidad. A diferencia del CMM original, las reas de proceso no estn agrupadas en funcin de los niveles de madurez, sino que definen 22 reas, para cada una de las cuales se puede alcanzar un
65
66 _____________________________________________________________ Estado del arte nivel en funcin del cumplimiento de unas "caractersticas comunes". Existen 11 reas de procesos de ingeniera y otras 11 dedicadas a la gestin de proyectos y organizacin. Cada rea tiene asociadas un conjunto de prcticas que deben cumplirse segn el nivel de madurez. El nmero de prcticas es comn para todas las reas de un nivel, excepto en el nivel base. A diferencia de las prcticas base (N1), las prcticas genricas (N2-N5) estn ordenadas de acuerdo a la madurez. Poniendo las prcticas base (N1) y las prcticas genricas (N2-N5) juntas se proporciona una forma de verificar la capacidad de una organizacin para realizar una actividad particular.
Prcticas genricas Categoras SSECCM: N1 N2 N3 N4 N5 reas de procesos de la ingeniera de seguridad. Procesos de ingeniera. SSEPA01 SSEPA07 SSEPA08 SSEPA09 SSEPA10 Administrar los controles de seguridad. Coordinar la seguridad. Supervisar la postura sobre la seguridad del sistema. Proporcionar entradas de seguridad. Determinar las necesidades de seguridad. Procesos de riesgo. SSEPA02 SSEPA03 SSEPA04 SSEPA05 Determinar el impacto Identificar los riesgos de seguridad. Identificar las amenazas. Identificar las vulnerabilidades. Procesos de aseguramiento. SSEPA06 SSEPA11 Construir la estructura de seguridad. Verificar y validar la seguridad. Procesos y proyectos de la organizacin. SSEP&OPA01 SSEP&OPA02 SSEP&OPA03 SSEP&OPA04 SSEP&OPA05 SSEP&OPA06 SSEP&OPA07 SSEP&OPA08 SSEP&OPA09 SSEP&OPA10 SSEP&OPA11 Control de calidad. Gestionar las configuraciones. Gestionar el riesgo del programa. Esfuerzo tcnico de monitorizacin y control Esfuerzo del plan tcnico Definir la seguridad de la organizacin para la ingeniera de procesos. Gestionar el proceso de ingeniera de la seguridad en la organizacin. Gestionar la evolucin de la lnea de productos de seguridad. Gestionar el entorno de soporte de la ingeniera de la seguridad. Proporcionar las habilidades y el conocimiento en curso. Guas de coordinacin. 7 5 6 6 10 4 4 5 7 8 5 12 8 3 5 5 5 6 6 6 5 4 4 7 6 8 12 8 3 5
Tabla 3.1. reas de procesos de SSECMM.
66
3.2.3.1. Relacin entre SSE-CMM y la ISO/IEC27002. A la hora de implantar un SGSI con la norma SSE-CMM, se puede apreciar que los dos aspectos ms importantes que ofrece son la descripcin de todas las reas de proceso (en total 22), que hay que considerar para analizar, disear e implantar el proceso de seguridad, dejando total libertad para elegir los que se consideren ms adecuados a la organizacin. Esta visin es complementara con la forma de acometer los SGSIs de la ISO/IEC27001, que se centra en los controles y el mtodo PDCA. Por ello se ha buscado un modelo de referencia sencillo que integre ambas visiones, generando un mapa que permita relacionar los controles de la ISO/IEC27002 con las reas de proceso de SSE-CMM (Calvo-Manzano y De las Heras, 2007). Para realizar este modelo de referencia para proyectos de SGSI se han seguido una serie de visiones (Figura 3.7): Visin orientada a disciplinas funcionales: En el modelo se diferencian las seis disciplinas funcionales: i) seguridad fundamental; ii) seguridad ambiental y en infraestructuras; iii) seguridad en los sistemas; iv) seguridad en las comunicaciones y redes; v) seguridad fsica; y vi) seguridad de las personas. Visin orientada a procesos: En el modelo se han identificado ocho subprocesos de seguridad: i) gestin estratgica de la seguridad; ii) cumplimiento legal y de estndares aplicables; iii) identificacin, clasificacin y evaluacin de activos; iv) anlisis y evaluacin de riesgos de seguridad; v) tratamiento y gestin de riesgos de seguridad; vi) gestin de la seguridad operacional; vii) seguridad en las operaciones: condiciones normales; y viii) seguridad en las operaciones: condiciones anormales. El concepto de seguridad fundamental: Es muy importante, ya que incluye un conjunto de controles y subprocesos definidos en ambas normas (SSECMM, ISO/IEC27002) que son imprescindibles para que el proceso de seguridad realmente exista, ms all de la mejora de su capacidad y de las necesidades especficas de seguridad en reas concretas del negocio. Los controles y subprocesos indicados en el rea de seguridad fundamental son comunes para el resto de reas funcionales.
Figura 3.7. Integracin de ISO/IEC27001 y SSE-CMM en el modelo de referencia.
67
68 _____________________________________________________________ Estado del arte
Este modelo en el que se integran ambas visiones de la seguridad se deriva de la base de conocimientos TPKB (Theoretical and Practical Knowledge Base), que desde 2004 est desarrollando el ISSPCS (International Systems Security Professional Certification Scheme) en colaboracin con ISSEA (International Systems Security Engineering Association). En la Tabla 3.2 se puede ver el mapa de integracin entre los controles (identificados con la letra A y el nmero de control) de la ISO/IEC27002 y las reas de proceso (identificados con PA y el nmero de proceso) de SSE-CMM.
Disciplinas funcionales Ambiental y Seguridad Seguridad en Seguridad Seguridad en de los comunicacion de las fisica. infraestruct sistemas. y redes. personas.
A12.1 PA06 PA07 PA09 PA10 PA11 A15.2 A15.3 PA10 PA11 PA01 PA06 PA07 PA 08 PA09 PA10 PA11 PA06 PA07 PA09 PA10 PA11 PA06 PA07 PA09 PA10 PA11
Procesos de seguridad en las organizaciones 1. Gestin estratgica de la seguridad 2. Cumplimiento legal y estandares aplicables 3. Identificacin, clasificacin y evaluacin de activos. 4. Anlisis y evaluacin de riesgos de seguridad 5. Tratamiento y gestin de riesgos de seguridad. 6. Gestin de la seguridad operacional. 7. Seguridad en operaciones: condiciones normales 8. Seguridad en operaciones: condiciones anormales.
Seguridad fundamental
A5 (completo) A6.1 (1,2,3,7) PA02 PA06 A11.1 PA07 PA09 PA06 PA07 PA09 PA10 PA11 PA10 PA11 A15.1 A6.1.5 A6.2.3 A8.1.1.3 A10.8.2 PA10 PA11 A7 (completo) PA02 PA10 PA02 PA10 PA11
PA02 PA10 PA11
PA10 PA11
PA10 PA11
PA02 PA09 PA10
PA02 PA10
PA02 PA10
A9 (completo) PA02 PA10
PA02 PA10
PA02 PA03 A6.2.1 A14.1.2 PA02 PA03 PA04 PA04 PA05 PA09 PA05
PA02 PA03 PA04 PA05
PA02 PA03 PA04 PA05
PA02 PA03 PA04 PA05
A8.1 PA02 PA03 PA04 PA05
A6.1.8 A6.2.2 PA03
PA03 PA09 PA10
A12.2 A12.3 PA03 A11.5 A11.7 A12.4 A12.5 PA01 PA07 PA08 PA11 A12.6 PA07 PA09 PA10
PA03
PA03
A8.2 PA03
A9.1 A10 (1,2,3) A9.02 A11.2 A11.6 PA01 PA07 PA01 PA07 PA08 PA08 PA11 PA11 A6.1 (4,6,7) A10 PA07 PA09 (4,5,6,7,8,9) PA10 PA07 PA09 PA10 A13 (completo) A14 (completo) PA06 PA10
A11.4 PA01 PA07 PA08 PA09 PA10 PA11
PA01 PA07 PA08 PA11
A11.3 PA01 PA07 PA08 PA11 A9.3 PA07 PA09 PA10
A10.10 PA07 PA09 PA10
A6.2 (1,2) PA07 PA09 PA10
PA08 PA07 PA09 PA10
PA06 PA10
PA06 PA07 PA10
PA06 PA10
PA06 PA10
Tabla 3.2. Relacin entre SSE-CMM y la ISO/IEC27002. Las principales ventajas de utilizar la visin integrada en proyectos de SGSI son: Seguridad fundamental: En una organizacin que todava no tenga definido el proceso global de seguridad, la primera etapa debera ser definirlo teniendo en cuenta los subprocesos de seguridad y los controles que se proponen en el modelo de referencia.
68
Proyectos de SGSI en mbitos sectoriales: En organizaciones encuadradas en sectores especficos (desarrollo de software, hospitales, banca, ayuntamientos, etc) con procesos de negocio muy especializados, podran realizarse proyectos de SGSI concretos con el fin de profundizar en las aportaciones de SSE-CMM (ISO/IEC 21827) en estos sectores. Su conocimiento es de gran importancia, tanto para conocer mejor las necesidades de seguridad planteadas en estos sectores como las dificultades propias del sector a tener en cuenta en los proyectos de SGSI a llevar a cabo, facilitando la creacin de patrones para el desarrollo de soluciones de seguridad sectoriales. Nivel de capacidad: En un proyecto de SGSI debera plantearse que el proceso global de seguridad diseado e implantado pueda ser evaluado con un nivel 3 de capacidad bien definido: un SGSI en cuya evaluacin se obtuviera un nivel 1 realizado informalmente tendra deficiencias importantes. El modelo de referencia facilita la consecucin del nivel que se desee alcanzar. mbito legislativo (leyes y reglamentos). Puesto que tanto las leyes como sus reglamentos tienen en cuenta procesos de seguridad de la informacin, podran realizarse proyectos que tuvieran como objetivos revisar las leyes bajo la visin de procesos de seguridad y descubrir las aportaciones que esta norma puede hacer para entender, mejorar y aplicar las mismas.
3.2.3.2. CC_SSECMM (Lee, et al., 2003). Common Criteria (CC) provee slo de estndares para evaluar la informacin de productos o sistemas de seguridad. Por otra parte, SSECMM (SSE-CMM, 2003) provee de estndares de seguridad para la evaluacin de la ingeniera de procesos. En (Lee, et al., 2003) se propone integrar CC (ISO/IEC-CCv3.1, 2007) y SSECMM (SSECMM, 2003) para crear CCmodelo de evaluacin basado en ingeniera de procesos de seguridad (CCSSECMM), que es un modelo de madurez con las ventajas de ambos modelos (Lee, et al., 2003). Este nuevo modelo se divide en procesos, productos y ambiente, y cuenta con 2 ventajas principales: Primero, cuando una organizacin que fue desarrollada con los CC (ISO/IECCCv3.1, 2007) desea ser evaluada con SSECMM (SSE-CMM, 2003) para mejorar su nivel con respecto al proceso de seguridad, este modelo puede ser utilizado con eficacia. En segundo lugar, cuando una organizacin basada en SSECMM (SSECMM, 2003) desea ser evaluada con el CC (ISO/IEC-CCv3.1, 2007), este modelo puede ser aplicado con eficacia (Tabla 3.3).
CC Clase Familia SSECMM rea de proceso Practica base Practica genrica
Tabla 3.3. Relacin entre el CC y SSECMM ISO/IEC 15443 (ISO/IEC15443-1, 2005, ISO/IEC15443-2, 2005, ISO/IEC15443-3, 2007) clasifica los mtodos existentes dependiendo del nivel de
69
70 _____________________________________________________________ Estado del arte seguridad y de la fase del aseguramiento. La evaluacin del aseguramiento se divide en proceso, producto y ambiente, mientras que las fases del anlisis del riesgo son diseo/implementacin, integracin/verificacin, rplica, transicin y operacin. Las fases del anlisis del riesgo para CC (ISO/IEC-CCv3.1, 2007) son diseo/implementacin, integracin/verificacin, transicin, y operacin. Para que exista un mtodo de comn de establecer la seguridad, se deben adaptar las fases del ISO/IEC15443 (ISO/IEC15443-1, 2005, ISO/IEC15443-2, 2005, ISO/IEC15443-3, 2007) con las del CC (ISO/IEC-CCv3.1, 2007). CC_SSECMM consiste en 23 reas de procesos con 5 niveles de madurez. Cada PA (rea de proceso) tiene BP (prcticas base), y los niveles de capacidad tienen GP (prcticas genricas). En la Tabla 3.4 se puede ver cmo se asocian los dos modelos de seguridad.
SSECMM 0 1 0 0 0 0 0 Leyenda: 0 Coinciden 100% 1 Coinciden algo. 2 No coinciden. Gestin de la configuracin Distribucin y operacin Desarrollo Guas de documentacin Ayuda para determinar el alcance Test Riesgo, vulnerabilidad
Tabla 3.4. Compatibilidad entre CC y SSE-CMM.
3.2.4. ISO/IEC20000 (ISO/IEC20000, 2005).

La norma ISO/IEC20000 se concentra en la gestin de problemas de tecnologa de la informacin mediante el uso de un planteamiento de servicio de asistencia. Los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera tambin la capacidad del sistema, los niveles de gestin necesarios cuando cambia el sistema, la asignacin de presupuestos financieros y el control y distribucin del software. La norma ISO/IEC20000 se denomin anteriormente BS15000 y est alineada con el planteamiento del proceso definido por la biblioteca de infraestructuras de tecnologa de la informacin (ITIL). La norma ISO/IEC20000 consta de dos partes: ISO 20000-1 (ISO/IEC20000-1, 2005): La primera parte (especificaciones) define los requerimientos (217) necesarios para realizar una entrega de servicios de TI alineados con las necesidades del negocio, con calidad y valor aadido para los clientes, asegurando una optimizacin de los costes y garantizando la seguridad de la entrega en todo momento. El cumplimiento de esta parte garantiza, adems que se est realizando un ciclo de mejora continuo en la gestin de servicios de TI. La especificacin supone un completo sistema de gestin (organizado segn ISO 9001 (ISO9001, 2000))
70
basado en procesos de gestin de servicio, polticas, objetivos y controles. El marco de procesos diseado se organiza en base a los siguientes bloques: o Grupo de procesos de Provisin del Servicio. o Grupo de procesos de Control. o Grupo de procesos de Entrega. o Grupo de procesos de Resolucin. o Grupo de procesos de Relaciones. ISO 20000-2 (ISO/IEC20000-2, 2005): La segunda parte (cdigo de buenas prcticas) representa el conjunto de mejores prcticas adoptadas y aceptadas por la industria en materia de Gestin de Servicio de TI. Est basada en el estndar "de facto" ITIL (Biblioteca de Infraestructura de TI) y sirve como gua y soporte en el establecimiento de acciones de mejora en el servicio o preparacin de auditoras contra el estndar ISO/IEC 20000-1:2005. La norma se encuentra dividida en los siguientes puntos: Punto 1 (objetivo y alcance): Establece que la norma puede ser aplicada en empresas que solicitan ofertas o desean un enfoque consistente con sus proveedores de servicio, por los mismos proveedores para medir su eficiencia o demostrarla, como base para una evaluacin independiente, o por cualquier organizacin que desee mejorar sus propios servicios. Punto 2 (definiciones). Puntos 3 y 4 (SGSI): Cubren desde el compromiso de la direccin hasta los documentos, procesos y formacin. Luego pasa con buen nivel de detalle al ciclo PDCA (Plan-Do-check-Act). Punto 5 (planificacin e implementacin de nuevos servicios o servicios modificados). Punto 6 a 10 (grupos de procesos): o Punto 6. Procesos para la provisin del servicio. Incluye: i) gestin del nivel de servicio; ii) generacin de informes de servicio; iii) gestin de la continuidad y disponibilidad del servicio; iv) elaboracin de presupuesto y contabilidad de los servicios de TI; v) gestin de la capacidad y gestin de la seguridad de la informacin. Sus objetivos son: planificar, disear, dimensionar, generar, valorar econmicamente y asegurar la provisin de un servicio. o Punto 7. Procesos de relaciones. Comprende: i) gestin de las relaciones con el negocio; y ii) gestin de suministradores. Sus objetivos son: Establecer un marco de buena colaboracin entre el cliente y el proveedor, garantizando las mejores condiciones. o Punto 8. Procesos de resolucin. Trata dos aspectos: i) gestin del incidente; y ii) gestin del problema. Sus objetivos son: Minimizar problemas, y en caso de producirse, solucionarlos lo antes posible. o Punto 9. Procesos de control. Comprende dos procesos: i) gestin de configuracin; y ii) gestin del cambio. Sus objetivos son: Detallar al mximo todos los procesos implementados, mantenerlos actualizados con informacin precisa y planificar cambios para asegurar su estabilidad.
71
72 _____________________________________________________________ Estado del arte o Punto 10. Proceso de entrega. Se refiere exclusivamente a la Gestin de la entrega. Su finalidad es la de regular toda la actividad de entrega para los entornos en produccin, el seguimiento, los plazos, posibilidades de marcha atrs, entornos de prueba, y las mediciones de xito y fallo en el proceso de entrega. Debido a la orientacin hacia la gestin de todos los servicios de las TIC, la ISO/IEC20000 es menos completa a la hora de cubrir la gestin de la seguridad que la ISO/IEC27001, por lo que no es raro encontrar implantaciones en las que la ISO/IEC20000 se ha complementado con la ISO/IEC27001 (Figura 3.8). Esta visin se ve reforzada por sus puntos en comn, ya que ambas estn basadas en el ciclo PDCA, y se puede considerar que ambas estn orientadas a procesos, ya que en la ISO/IEC27001 hace mencin a que deben ser auditables cada uno de los controles que la formen, para permitir con ello verificar su evolucin, lo cual se puede considerar que es un proceso continuo.
Figura 3.8. Asociacin de la ISO/IEC20000 con la ISO/IEC27001. Como conclusin, podemos decir que la ISO/IEC20000 est orientada exclusivamente a gestionar servicios. Por lo tanto, hay que evaluar qu porcentaje de los procesos de negocio de la empresa estn muy relacionados con servicios. Si esta tasa es baja, no es una buena decisin ponerse a trabajar con ISO/IEC20000. Si los servicios tienen una importante relacin con la seguridad la mejor opcin sera comenzar utilizando la ISO/IEC27001. Si los servicios no procesan informacin para la que la seguridad es un aspecto crucial, lo ms aconsejable es empezar con la ISO/IEC20000. En el caso de las PYMES, la ISO/IEC20000 es muy poco viable y se tendra que intentar afrontarla desde otra perspectiva.
3.2.5. ITIL (ITILv3.0, 2007).

La Biblioteca de Infraestructura de Tecnologas de Informacin (ITIL), es un extenso conjunto de procedimientos de gestin creados para facilitar a las organizaciones lograr la calidad y eficiencia en las operaciones de TI. Estos procedimientos cubren supuestos
72
relacionados con la infraestructura, el desarrollo y las operaciones de TI. ITIL intenta cubrir, aunque de manera muy pobre los servicios relacionados con la gestin de la seguridad. En la Figura 3.9 se puede ver el marco de trabajo general de ITIL y los servicios de TI que incluye, en el que se ha remarcado el espacio ocupado por la gestin de la seguridad. Desarrollada a finales de 1980, no fue adoptada por las organizaciones hasta mediados de los 90 y se ha convertido en uno de los estndares mundiales de facto ms utilizados en la gestin de servicios informticos. ITIL est publicada como un conjunto de libros, cada uno dedicado a un rea especfica dentro de la Gestin de las TI.
Figura 3.9. Marco de trabajo de ITIL. Como metodologa, ITIL propone el establecimiento de estndares que ayuden en el control, operacin y administracin de los recursos (ya sean propios o de los clientes). Plantea hacer una revisin y reestructuracin de los procesos existentes en caso de que estos lo necesiten (si el nivel de eficiencia es bajo o si hay una forma ms eficiente de hacer las cosas), lo que lleva a una mejora contina. Otra de las caractersticas de ITIL es que para cada actividad se debe de realizar la documentacin pertinente, ya que sta puede ser de gran utilidad para otros miembros del rea, adems de que quedan asentados todos los movimientos realizados, permitiendo que toda la gente este al tanto de los cambios y no se tome a nadie por sorpresa. ITIL est asociada con la norma ISO/IEC20000 y al igual que ella esta orientada a los servicios en general, siendo la gestin de la seguridad uno de los mltiples aspectos que cubre, pero forma muy deficiente, por lo que en la siguiente versin que se est desarrollando quedara fuera este servicio, recomendando COBIT y la ISO/IEC27001 como estndares para afrontar la gestin de la seguridad.
73
74 _____________________________________________________________ Estado del arte En este escenario, es importante establecer las sinergias entre ambos enfoques (ITIL-SGSI), dado que la utilizacin de ambos no solo resulta complementaria, sino que las organizaciones que hayan adoptado ITIL o planeen hacerlo, y entiendan sus relaciones simbiticas, vern facilitada de forma significativa la implantacin de su SGSI y los controles derivados, evitando costes adicionales o esfuerzos excesivos. ITIL ofrece un elemento, para una correcta gestin de riesgos: el conocimiento actualizado y detallado de todos los activos de la organizacin y de las relaciones, pesos y dependencias entre ellos. Dicho conocimiento ITIL lo administra desde el proceso de gestin de la configuracin de soporte al servicio, y mediante el uso de la herramienta bsica sobre la que se construye una aproximacin coherente a la gestin eficiente de las TI, la CMDB (Configuration Management Database). El disponer del repositorio actualizado de activos que representa la CMDB facilita la realizacin del anlisis de riesgos en la fase de planificacin del SGSI, que se utilizar como elemento de ponderacin de los controles a implantar, y cuya permanente actualizacin resultar incluso ms relevante una vez el SGSI se encuentre implantado y funcionando. Otro elemento crucial en la implantacin de un SGSI, en el que ITIL hace especial hincapi (a travs de diversos procesos de gestin del servicio), es en la adquisicin, desarrollo y mantenimiento de SI. En lo referente a las mtricas, las organizaciones que trabajen siguiendo las buenas prcticas de ITIL vern este aspecto notablemente simplificado, puesto que habitualmente han adoptado una cultura de apoyo estratgico a la Direccin mediante cuadros de mandos, a travs de la definicin y control de indicadores de rendimiento (KPI), y de cumplimiento (KGI), entre otros. Pero no todos son ventajas en ITIL. Algunas de las crticas que se realizan son: i) carece de un modelo de madurez; ii) las mtricas que tiene son muy pobres; iii) la gestin de los requerimientos es pobre; iv) carece de anlisis y gestin de riesgos; v) carece de guas de implantacin; vi) no suele tener xito en las PYMES.
3.2.6. COBIT (COBITv4.0, 2006).

COBIT (Objetivos de Control para tecnologa de la informacin) es la metodologa para el gobierno de la TI desarrollada por la Asociacin para la auditora y el control de los sistemas de la informacin (ISACA) y el Instituto para el gobierno de la tecnologa de la informacin (ITGI). COBIT es una metodologa para el adecuado control de los proyectos de tecnologa, los flujos de informacin y los riesgos que implican la falta de controles adecuados. La metodologa COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno de las TIC, incorporando objetivos de control, directivas de auditora, medidas de rendimiento y resultados, factores crticos de xito y modelos de madurez. COBIT esta formado por los siguientes elementos: Un Resumen Ejecutivo, que consiste en una sntesis ejecutiva (que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios de COBIT) y el marco referencial (el cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos clave y principios de COBIT e identifica los cuatro dominios de COBIT y los correspondientes 34 procesos de TI).
74
El Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de TI que son impactados en forma primaria por cada objetivo de control. Objetivos de Control, que contienen la definicin de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y especficos a travs de los 34 procesos de TI. Directrices de Auditora, que contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de mejoramiento.
Un Conjunto de Herramientas de Implementacin, que contienen lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en sus ambientes de trabajo. El conjunto de herramientas de implementacin incluye la sntesis ejecutiva, proporcionando a la alta gerencia conciencia y entendimiento de COBIT. El marco de referencia de COBIT se encuentra dividido en cuatro dominios o fases, que representan los pasos necesarios para la construccin del SGSI siguiendo el ciclo PDCA: Planificacin y organizacin: Cubren el empleo de tecnologa y cmo sta puede ser usada en una empresa para ayudar a alcanzar sus objetivos. Adquiere y pone en prctica: Identificacin de sus exigencias TI, adquiriendo la tecnologa, y ponindola en prctica (realizacin) dentro de los procesos de negocio corrientes de la empresa. Este dominio tambin dirige el desarrollo de un plan de mantenimiento que una empresa debera adoptar para prolongar la vida de un sistema TI y sus componentes. Entrega y Apoya: Se Enfoca en los aspectos de entrega de la tecnologa de informacin a la compaa. Este dominio cubre reas como la ejecucin de los procesos dentro del sistema TI y sus resultados, as como, los procesos de apoyo que permiten la ejecucin eficaz y eficiente de estos sistemas TI. Estos procesos de apoyo incluyen cuestiones de seguridad y educacin (entrenamiento).
Supervisa y evala: La supervisin y el dominio de evaluacin tratan con la estrategia de una empresa en la evaluacin de las necesidades de la empresa y si realmente el sistema todava encuentra los objetivos para los cuales fue diseado y los mandos necesarios de cumplir con exigencias reguladoras. La supervisin tambin incluye una evaluacin independiente: i) de la eficacia del sistema TI en su capacidad de encontrar objetivos de negocio; y ii) de los procesos de control de la empresa por auditores internos y externos. En la Figura 3.10 se puede ver el flujo de procesos de estos dominios y cmo se relacionan con los recursos del sistema de informacin.
75
76 _____________________________________________________________ Estado del arte
Figura 3.10. Flujo de los dominios de COBIT (COBITv4.0, 2006) Los dominios que se muestran en la Figura 3.10, se encuentran a su vez divididos en 34 objetivos de control de alto nivel, que debern cumplirse dependiendo de la fase del ciclo del SGSI en que nos encontremos. Cada uno de estos objetivos de control tiene asociado una serie de criterios de informacin (efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad) que tiene que cumplir de forma prioritaria (P) o secundaria (S) y un conjunto de recursos (recursos humanos, sistemas de informacin, tecnologa, instalaciones y datos) necesarios para su elaboracin. A su vez, cada uno de estos objetivos de control de alto nivel se divide en objetivos de control ms detallados. En la Tabla 3.5 se pueden ver los 34 objetivos de control de alto nivel y su relacin con los criterios de informacin y los recursos de las TIC.
76

Criterios de informacin Confidencialidad Recursos de TIC Sistemas Informacin Recursos humanos
Disponibilidad
Cumplimiento
Efectividad
Tecnologa
Integridad
Eficiencia
Procesos
Instalaciones
Domi nio
Confiabilidad
Planeacin y organizacin PO1 Definir un plan estratgico de TI. PO2 Definir la arquitectura de informacin. PO3 Determinar la direccin tecnolgica. PO4 Definir la organizacin y relaciones de TI. PO5 Manejar la inversin en TI. PO6 Comunicar las directrices generales. PO7 Administrar recursos humanos. Asegurar el cumplir requerimientos PO8 externos. PO9 Evaluar riesgos. PO10 Administrar proyectos. PO11 Administrar calidad. Adquisicin e implementacin AI1 Identificar soluciones. Adquisicin y mantener software de AI2 aplicacin. AI3 Adquirir y mantener arquitectura de TI. Desarrollar y mantener procedimientos AI4 relacionados con TI. AI5 Instalar y acreditar sistemas. AI6 Administrar cambios. Servicios y soporte DS1 Definir niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeo y capacidad. DS4 Asegurar servicio continuo. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Capacitar usuarios. DS8 Asistir a los clientes de TI. DS9 Administrar la configuracin. DS10 Administrar problemas e incidentes. DS11 Administrar datos. DS12 Administrar instalaciones. DS13 Administrar operaciones. Monitoreo M1 Monitorear los procesos. M2 Evaluar lo adecuado del control interno. M3 Obtener aseguramiento independiente. M4 Proveer auditora independiente.
P P P P P P P P S P P P P P P P P P P P P
S S S S P P
S S
S S
S P P S P P P P P P P P S P S
P P
P S
S S S
S S S S P S S S S
S S P S S S P S S S
S S S S
P P P P P
S P
P P P S S S S S S S S S
S S P S S S S S S S S S
S P S S S S
P P P P P
P S P P P
P: Criterio de informacin principal. S: Criterio de informacin secundario.
Tabla 3.5. Resumen lgico de la metodologa COBIT (COBITv4.0, 2006).
77
Datos
78 _____________________________________________________________ Estado del arte 3.2.6.1. Relacin entre COBIT y la ISO/IEC27002. (Von Solms, 2005) ha investigado la coexistencia y uso complementario de COBIT y la ISO/IEC27002 desarrollando un mapa para la sincronizacin de ambos marcos de referencia y analizando las razones por las que ambos son complementarios. Algunos de los detractores de la ISO/IEC27002 presentan como desventaja que es una gua de soporte, pero que no alcanza todo el marco necesario para el gobierno de las tecnologas de la informacin. Su principal ventaja frente a COBIT es que es ms detallada y tiene ms guas orientadas a cmo deben hacerse las cosas. En la Tabla 3.6 se describe la relacin existente entre los dominios de COBIT y los de la ISO/IEC27002. El smbolo + implica que ms de dos objetivos de control del dominio de la ISO/IEC27002 coinciden con el dominio de COBIT. (COBITv4.0, 2006)El smbolo 0 implica que uno o dos objetivos de control del dominio de la ISO/IEC27002 coinciden con el dominio de COBIT. El smbolo implica que no existe relacin entre ambos dominios.
Dominios de ISO/IEC27002 Dominios de COBIT Planificacin y organizacin Adquisicin e implementacin Entrega y soporte Monitorizacin 3 4 5 6 7 8 9 10 11 12 13 14 15 + + + + + 0 0 0 + + 0 + + 0 0 + 0 0 0 + 0 0 + 0
Tabla 3.6. Comparacin entre COBIT y la ISO/IEC27002. Como se puede ver en la Tabla 3.6, la ISO/IEC27002 puede complementar muchas carencias de COBIT en lo que respecta a controles de seguridad. El principal problema que presentan ambos modelos es su complejidad para implantarse en compaas pequeas.
3.2.7. ISM3 (ISM3, 2007).

Este modelo de gestin de la seguridad y su madurez est orientado a implementar un SGSI y a definir diferentes niveles de seguridad, donde cada uno de ellos puede ser el objetivo final de una organizacin. Algunas de las caractersticas ms significativas de ISM3 son: Mtricas de Seguridad de la Informacin: ISM3 contiene un pequeo conjunto de mtricas de gestin de procesos. Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organizacin y a los recursos que estn disponibles. Basado el Procesos: ISM3 est basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestin de TIC. Adopcin de las Mejores Prcticas: Una implementacin de ISM3 tiene ventajas como las referencias a estndares bien conocidos en cada proceso, as como la distribucin explcita de responsabilidades entre los lderes, gestores y el personal tcnico usando el concepto de gestin estratgica, tctica y operativa.
78
Certificacin: Los sistemas de gestin basados en ISM3 pueden certificarse bajo ISO9001 o ISO/IEC27001, lo que implica que se puede usar ISM3 para implementar un SGSI basado en ISO/IEC27001. ISM3 considera que hay tres niveles de gestin de seguridad: Estratgico, que trata de los objetivos globales y la provisin de recursos y esta formado por los siguientes procesos: i) SSP-1 Informar a los accionistas; ii) SSP-2 Coordinar; iii) SSP-3 Alcanzar visin estratgica; iv) SSP-4 Definir las reglas para la separacin de responsabilidades: transparencia, particionado, supervisin, rotacin y separacin de responsabilidades (TPSRSR); v) SSP-5 Comprobar el cumplimiento con las reglas TPSRSR; y vi) SSP-6 Asignar recursos para seguridad de la informacin. Tctico, que trata de los objetivos especficos y la gestin de recursos y est formado por los siguientes procesos: i) TSP-1 Informar a la gestin estratgica; ii) TSP-2 Gestionar los recursos asignados; iii) TSP-3 Definir las metas de seguridad; iv) TSP-4 Definir los indicadores para los procesos de seguridad; v) TSP-5 Definir grupos de propiedades; vi) TSP-6 Definir ambientes y ciclos de vida; vii) TSP-7 Investigar antecedentes y referencias; viii) TSP-8 Seleccionar el personal de seguridad; ix) TSP-9 Capacitar al personal de seguridad; x) TSP-10 Definir procesos disciplinarios; xi) TSP-11 Alcanzar conciencia en seguridad; y xii) TSP-12 Seleccionar procesos especficos.
Operativo, que trata del logro de los objetivos definidos y est formado por los siguientes procesos: i) OSP-1 Informar a la gestin tctica; ii) OSP-2 Seleccionar las herramientas para implementar las medidas de seguridad; iii) OSP-3 Gestionar el inventario; iv) OSP-4 Controlar el cambio del ambiente de los sistemas de informacin; v) OSP-5 Refraccionar el ambiente; vi) OSP-6 Limpiar el ambiente; vii) OSP-7 Fortalecer el ambiente; vii) OSP-8 Controlar el ciclo de vida del desarrollo de software; ix) OSP-9 Controlar los cambios en las medidas de seguridad; x) OSP-10 Gestionar el respaldo y redundancia; xi) OSP11 Controlar el acceso a servicios, canales, repositorios e interfaces; xii) OSP-12 Llevar el registro de usuarios; xiii) OSP-13 Gestionar el cifrado; xiv) OSP-14 Gestionar la proteccin del ambiente fsico; xv) OSP-15 Gestionar la continuidad de operaciones; xvi) OSP-16 Gestionar el filtrado y segmentacin; xvii) OSP-17 Gestionar la proteccin contra Malware; xviii) OSP-18 Gestionar el aseguramiento; xix) OSP-19 Emular ataques, errores y accidentes; xx) OSP20 Emular incidentes; xxi) OSP-21 Comprobar la calidad de la informacin; xxii) OSP-22 Monitorizar alertas; xxiii) OSP-23 Detectar y analizar los eventos; xxiv) OSP-24 Manejar los incidentes y pseudoincidentes; y xxv) OSP-25 Realizar el anlisis forense. En una organizacin pequea o mediana es posible que los tres niveles puedan estar fusionados en dos, con una gestin senior con responsabilidades tanto estratgicas como tcticas. La gestin junior puede tener tanto un rol tctico como uno operativo. En la aplicacin de ISM3 no es importante el grado de gestin, sino la forma de pensar acerca de cada proceso. Por otro lado, ISM3 define un conjunto de niveles de madurez de seguridad: Nivel ISM3 0: Si bien este nivel puede producir ganancias a corto plazo, es improbable que produzca una reduccin significativa del riesgo de las amenazas a medio o largo plazo sin inversiones impredecibles.
79
80 _____________________________________________________________ Estado del arte Nivel ISM3 1: Este nivel debera resultar en una reduccin significativa del riesgo de amenazas tcnicas con una inversin mnima en procesos ISM esenciales. Se recomienda este nivel para organizaciones con metas de seguridad bajas en ambientes de riesgo bajo. Nivel ISM3 2: Este nivel debera resultar en una mayor reduccin del riesgo por amenazas tcnicas con una inversin moderada en procesos ISM. Se recomienda este nivel para organizaciones con metas de seguridad normales en ambientes de riesgo normal. Nivel ISM3 3: Este nivel debera resultar en una reduccin alta del riesgo por amenazas tcnicas con una inversin seria en procesos ISM. Se recomienda este nivel para organizaciones con metas de seguridad altas en ambientes de riesgo normal o alto.
Nivel ISM3 4: Este nivel debera resultar en la mayor reduccin de amenazas, tanto tcnicas como internas, con una inversin seria en procesos ISM. Se recomienda este nivel para organizaciones afectadas por requerimientos especficos (como suministradoras de energa y agua, instituciones financieras y organizaciones que comparten o almacenan informacin sensible) con metas de seguridad muy altas en ambientes de riesgo normal o alto. Estos niveles de madurez irn asociados a los procesos de los niveles de seguridad de tal forma que, dependiendo del nivel de madurez, la empresa estar obligada a cumplir con una serie de procesos. De esta forma, un nivel 0 implicar no cumplir con ningn proceso. En la Tabla 3.7 se puede ver cmo se asocian los procesos y los niveles de madurez de ISM3, marcando las X los procesos que deben cumplirse en cada nivel de madurez.
Proceso GP1 SSP1,2,3,6 SSP4,5 TSP1,2,3,12 TSP5,6,10,11 TSP4,9 TSP7,8 OSP1,5,10,16,17 OSP2,4,6,7,9,11,12,14,19,22 OSP3,8,13,15,20,24 OSP18,21,23,25 X X X X X X X X X X X X ISM3 0 ISM3 1 X X ISM3 2 X X ISM3 3 X X ISM3 4 X X X X X X X X X X X
Tabla 3.7. Asociacin de los procesos de ISM3 a sus niveles de madurez. La implantacin de un SGSI utilizando ISM3 estar formada por las siguientes tareas: i) determinar los requerimientos regulatorios; ii) determinar los objetivos de seguridad de la informacin; iii) determinar el presupuesto de seguridad de la informacin; iv) determinar los ambientes y ciclos de vida; v) determinar las metas de seguridad de la informacin; vi) elegir un mtodo de seleccin de procesos (nivel de madurez ISM3, evaluacin de riesgo, evaluacin de vulnerabilidades, evaluacin de
80
3.3.- Propuestas de marcos para SGSIs orientados a PYMES._________________________ 81
impacto en los negocios, evaluacin de amenazas, evaluacin ROSI); vii) seleccionar los procesos apropiados; viii) revisar las metas de seguridad de la informacin; ix) determinar los indicadores de seguridad de la informacin; x) disear y documentar el SGSI basado en ISM3 (acuerdos, polticas, procedimientos, plantillas); xi) implementar el SGSI; xii) operar el SGSI; xiii) auditar o certificar el SGSI peridicamente; xiv) mantener y mejorar el SGSI. El principal problema de ISM3 es que, al igual que el resto de estndares, es demasiado generalista, intentando que la metodologa sea til para todos los tipos de compaas, lo que hace que su implantacin sea costosa y difcil para el caso de las PYMES.
3.3. Propuestas de marcos para SGSIs orientados a PYMES.

En el estudio de la literatura existente se han hallado diferentes intentos para resolver la problemtica de aplicar los modelos SGSI tradicionales en la PYME. En las siguientes subsecciones se muestran algunos de los modelos de madurez para la gestin de la seguridad que se estn desarrollando orientados a PYMES y que, si bien no resuelven los problemas existentes, s se ha considerado que tienen aportaciones interesantes que deben ser analizadas.
3.3.1. Propuesta de Eloff (Eloff y Eloff, 2003).

Este modelo define la implantacin de un SGSI utilizando el ciclo PDCA, pero definiendo cuatro clases distintas de proteccin que permiten ir incrementando de forma progresiva los niveles de seguridad, basndose para ello en las secciones de la norma ISO/IEC17799 (ISO/IEC17799, 2005). Clase 1: Proteccin inadecuada. No cubre ninguna seccin de la ISO/IEC17799. Clase 2: Proteccin mnima. Cubre aspectos legales y de continuidad del negocio. Clase 3: Proteccin razonable. A los anteriores se le suman aspectos organizativos, control de activos y gestin de accesos.
Clase 4: Proteccin adecuada. Cubre todas las secciones de la ISO/IEC17799. Ms que un nuevo estndar, pretende aportar una mejora a la norma ISO/IEC17799 dividiendo sus dominios en niveles de madurez. En la Tabla 3.8 se puede ver la relacin entre los niveles propuestos por el modelo de Eloff y las secciones de la ISO/IEC17799. En gris, se ven las secciones de la norma que no se cumplen para ese nivel de proteccin.
ISO/IEC27002 5 6 7 8 9 10 11 12 13 14 15 Eloff y Eloff Niveles de madurez 1 2 3 4
Tabla 3.8. Relacin entre propuesta Eloff e ISO/IEC27002.
81
82 _____________________________________________________________ Estado del arte
3.3.2. Propuesta de Areiza (Areiza, et al., 2005a).

Esta propuesta de modelo de madurez consiste en llevar a cabo un anlisis relativo a la seguridad informtica para identificar el grado de vulnerabilidad y determinar los aspectos de mejora a ser llevados a cabo en la organizacin, con el objeto de reducir el riesgo. Este modelo apoya la evaluacin de la seguridad de la informacin de una organizacin, y permite determinar en qu nivel se encuentra la misma con respecto a la seguridad, para as poder establecer cules son sus fortalezas y debilidades a la hora de proteger su informacin. El modelo propuesto cuenta con los 5 niveles planteados por el CMMI (CMMI, 2006), con su debida adaptacin para que est acorde con la seguridad de la informacin. Cada nivel cuenta con una definicin y con una descripcin general en la cual se indica el comportamiento que tiene una organizacin con respecto a la seguridad de la informacin. Dicho comportamiento determina el nivel de madurez en el que se encuentra la seguridad de la informacin. Las prcticas de cada nivel corresponden a los controles que estn definidos en el estndar internacional ISO/IEC17799 (ISO/IEC17799, 2000). Este modelo tiene en cuenta que las organizaciones tienen estructuras internas diferentes, por lo cual se considera que los controles definidos en cada nivel son los mnimos o ms generales que deberan establecer las organizaciones, cualquiera que sea su estructura interna. En la Tabla 3.9 se puede ver la relacin entre los niveles propuestos por el modelo de Areiza y las secciones de la ISO/IEC17799. En gris, se ven las secciones de la norma que no se cumplen para ese nivel de proteccin.
ISO/IEC27002 5 6 7 8 9 10 11 12 13 14 15 Areiza Niveles de madurez 1 2 3 4 5
Tabla 3.9. Relacin entre propuesta Areiza e ISO/IEC27002.
3.3.3. Propuesta de Dojkovski (Dojkovski, et al., 2006).

Dojkovski plantea la construccin de un SGSI orientado a las PYMES tomando como punto central la cultura de la seguridad, para ello analizo el estado de las PYMES de Australia, llegando a la conclusin que en los ltimos quince aos los riesgos de seguridad de la informacin para las PYMES de Australia han aumentado como resultado de un mayor acceso a Internet, pero el nivel de seguridad de la informacin y la sensibilizacin en las PYMES no se ha mantenido a buen ritmo y sigue siendo bajo. Esta propuesta no entra en los mecanismos de implantacin del SGSI, ni en aspectos como controles, mtricas y gestin de riesgos que debe contener, centrndose solo en los elementos que debera contener un SGSI orientado a la cultura de la seguridad. Las principales causas detectadas fueron: Las PYMES ven el sistema de informacin como un sistema de apoyo a los departamentos de produccin de la empresa y no como algo vital para su
82
negocio. Esto hace que sean reactivas ante los fallos de seguridad en lugar de proactivas. Para las PYMES, el coste es fundamental y ven la seguridad como un gasto no justificado. Los gerentes no se preocupan de la seguridad, y por tanto el resto de empleados tampoco. Los usuarios ven muy difcil de cumplir este marco de trabajo. As mismo, es muy difcil hacer que cambien los malos hbitos adquiridos, y ningn usuario quiere ser responsable de los activos del sistema de seguridad de la informacin. Falta de informacin a la hora de informar a los usuarios sobre aspectos relacionados con la gestin de la seguridad. Se deben gestionar las iniciativas de forma adecuada, presentando las polticas y procedimientos a los usuarios a la hora de firmar el contrato. En el caso de la PYME esto puede ser ms difcil al carecer de estructuras organizativas formales. As mismo, es importante considerar el cumplimiento de la seguridad dentro de la valoracin del trabajo de los empleados.
Falta de formacin adecuada en seguridad. Los encuestados consideraron el elearning como herramienta de trabajo vlida para mejorar el nivel de cultura de la seguridad de la informacin, as como la posibilidad de poder compartir experiencias con otras PYMES. Pero el problema es que normalmente en las PYMES no se puede hacer un curso para los trabajadores por cuestiones de tiempo y dinero, y que muchos trabajadores no realizaran estos cursos si no existiera algn tipo de motivacin al respecto. Para afrontar estos problemas planteo la construccin de un SGSI orientado al desarrollo de la cultura de la seguridad de los sistemas de la informacin, que tendra que tener en cuenta cmo las personas piensan y se comportan, lo que sugiere la necesidad de un enfoque de investigacin interpretativo. Siguiendo los principios de (Lichtenstein y Swatman, 2003) se valid el modelo en cuatro grupos diferentes. Se utilizaron diferentes marcos de trabajo y enfoques para desarrollar una teora vlida. Se realiz un anlisis sobre un conjunto de PYMES intentando determinar su conciencia en seguridad, los desafos que enfrentan las PYMES en el fomento de una cultura de seguridad de la informacin, as como la viabilidad del anteproyecto. En la Figura 3.11 se puede ver el marco de trabajo propuesto para el desarrollo de la cultura de la seguridad de la informacin (Figura 3.11). Este marco de trabajo est formado por los siguientes elementos: Aprendizaje organizativo e individual: La cultura de seguridad de la informacin debe ser difundida a todos los niveles de la organizacin, tanto a nivel individual como colectivo (Martins y Eloff, 2003). Segn (Van Niekerk y Von Solms, 2003) podra ser til utilizar un enfoque de aprendizaje organizativo. ELearning (la cooperacin, la colaboracin y el intercambio de conocimientos): las PYMES pueden realizar aprendizaje electrnico (e learning) (Furnell, et al., 2004) y tambin pueden cooperar y colaborar electrnicamente en las comunidades y foros de seguridad de los sistemas de
83
84 _____________________________________________________________ Estado del arte la informacin (Helokunnas y Kuusisto, 2003b) con el objetivo de mejorar la cultura de la seguridad entre los usuarios del sistema de informacin. Gestin: Los programas de sensibilizacin (respaldo de la direccin, amenazas de medidas disciplinarias, clusulas en los contratos de trabajo, etc), la formacin, la educacin el valor del liderazgo (Dutta y McCrohan, 2002) son iniciativas valiosas para el desarrollo de la cultura de la seguridad de la informacin (Lichtenstein y Swatman, 2001b, Furnell y Clarke, 2005). En las PYMES es probable que se generen diferentes niveles en la sensibilizacin, la formacin y las necesidades de educacin para los empleados individuales. Cultura de la seguridad: Procedimientos para responder a nuevos sucesos (como violaciones de seguridad) ayudarn a subrayar la importancia de la seguridad de la informacin a los trabajadores (OECD, 2002). Los incentivos tambin pueden ser tiles para modificar el comportamiento de los empleados. Sin embargo, (Rosanas y Velilla, 2005) advierten que los controles de la gestin debe estar basados en valores ticos.
Figura 3.11. Marco para el desarrollo de la CS en la PYME (Dojkovski, et al., 2006). Comportamiento: Gestin de iniciativas destinadas a desarrollar los rasgos deseables de comportamiento respecto a la responsabilidad, integridad, confianza y tica del personal (Dhillon y Backhouse, 2001c). Sin embargo, valores fuertes son necesarios para apoyar las iniciativas de gestin (Rosanas y Velilla, 2005). Cuando los valores fuertes son difundidos entre entidades colaboradoras, empleados y otras partes interesadas, la seguridad de la informacin se fortalece (Helokunnas y Kuusisto, 2003b). El desarrollo de la
84
motivacin intrnseca es importante (Siponen, 2000) y puede ser apoyada por la promocin al personal que cumpla las normativas de seguridad de forma adecuada (Detert, et al., 2000). tica nacional y cultura organizacional: Segn (Helokunnas y Kuusisto, 2003b), la creacin de foros de seguridad dentro del mbito nacional puede favorecer la creacin de una cultura de la seguridad de la informacin. Segn las investigaciones realizadas por (Dojkovski, et al., 2006) los principales retos en el desarrollo de la cultura de seguridad de la informacin en las PYMES incluyen: Motivar a los propietarios para que asignen un presupuesto adecuado a la seguridad de la informacin. Convencer a los propietarios de realizar un anlisis formal de los riesgos. Velar para que los propietarios desarrollen una poltica de seguridad de la informacin, desarrollen procedimientos y asignen responsabilidades. Desarrollar una postura proactiva hacia la seguridad de la informacin.
Identificar y establecer una serie de actividades de sensibilizacin para adaptarse a los entornos de las PYMES. Las principales conclusiones obtenidas de la aplicacin del marco de trabajo son que aunque tiene valor de forma individual para identificar que elementos debera tener un SGSI orientado a las PYMES y a la cultura de la seguridad, no es un modelo completo y utilizable.
3.3.4. IS2ME (Linares y Paredes, 2007).

IS2ME (Seguridad de la informacin orientada a la mediana empresa) trata de cubrir el hueco existente entre el incumplimiento total y la implantacin metodolgica de la gestin de la seguridad mediante un estndar como ISO/IEC27001 (ISO/IEC27001, 2005), surgiendo como un mtodo de implementacin de la seguridad de la informacin en las medianas empresas que conjuga, por una parte, las necesidades de cumplimiento y desarrollo de un sistema de gestin de la seguridad de la informacin segn estndares internacionalmente reconocidos y, por otra, la obtencin de resultados a corto plazo que permiten disminuir el riesgo que este tipo de organizaciones estn asumiendo, proporcionando a su vez prontos resultados a la alta direccin. IS2ME comienza evaluando la seguridad de la organizacin mediante la recoleccin de informacin a travs de entrevistas con personal de la organizacin, realizacin de pruebas de campo y anlisis tcnicos, para a continuacin, presentado un informe del estado de implantacin de las distintas medidas de seguridad tcnicas y organizativas, pasar a la elaboracin y propuesta de un plan de accin que, tras ser aprobado por la alta direccin, se proceder a desarrollar e implementar, sentando la base y comenzando el camino hacia el cumplimiento e implantacin del sistema de gestin de la seguridad de la informacin segn ISO/IEC27001 (Figura 3.12).
85
86 _____________________________________________________________ Estado del arte
Figura 3.12. Esquema general del mtodo IS2ME (Linares y Paredes, 2007) En la elaboracin de IS2ME se ha pretendido seguir un enfoque prctico que permita al usuario que desee utilizarlo, una aplicacin de la metodologa sencilla e inmediata mediante el seguimiento de unas fases secuenciales bien diferenciadas que son mostradas en la Figura 3.13 y se describen en detalle a continuacin.
Figura 3.13. Esquema detallado del mtodo IS2ME (Linares y Paredes, 2007) A continuacin se muestra una breve descripcin de cada una de las actividades de la metodologa:
86
Identificacin de interlocutores: vlidos y planificacin de su disponibilidad por parte de la organizacin. Recoleccin general de informacin: Obtencin de todo tipo de informacin mediante entrevistas, revisin de documentacin y mtodos anlogos referente a seguridad de la informacin, que deber incluir informacin tcnica, organizativa y de cumplimiento. Recoleccin tcnica de informacin: Obtencin de todo tipo de informacin mediante diversos mtodos tcnicos y empricos en una muestra representativa de los sistemas y dispositivos de la organizacin. Anlisis de informacin: Estudio y anlisis de la informacin recolectada en las fases anteriores en base a cdigos de mejores prcticas, estndares, normas, metodologas, conocimiento y experiencia del equipo de trabajo. Desarrollo de informe SEIS (Estado de la seguridad de la informacin de la compaa): Elaboracin del informe, que recoger en un nico documento una imagen de la situacin actual de la organizacin en lo que a implantacin de medidas tcnicas y organizativas de la seguridad de la informacin se refiere.
Presentacin del informe SEIS a alta direccin: Presentacin del informe de estado de seguridad de la informacin de la compaa a la alta direccin, suponiendo ello un hito para la asuncin de la seguridad como un requisito de negocio ms en la cultura organizacional de la compaa. Desarrollo del documento IASAP (Plan de accin de seguridad y proteccin de la informacin): Elaboracin del documento como base para la posterior implantacin de acciones correctivas en la organizacin y elaboracin de los planes de seguridad de la organizacin. Presentacin del documento IASAP a alta direccin: Presentacin del plan de seguridad y proteccin de la informacin a la alta direccin para su aprobacin, sentando as la base para su posterior implantacin. Implantacin de IASAP: Desarrollo e implantacin del plan de accin de seguridad y proteccin de la informacin segn la planificacin propuesta. Aunque intenta ser un mtodo sencillo, su aplicacin en la prctica requiere de gran inversin de tiempo por parte del consultor y del personal de la empresa, dado que no se centra en aspectos especficos de la construccin del sistema, y tan solo intenta ser una gua simplificada de los pasos que deben seguirse para implantar un SGSI en las PYMES pero que tiene que ser completada con otro conjunto de estndares.
3.3.5. ASD (Wiander y Holappa, 2007).

ASD (Agile Security Development) pretende ser un mtodo de desarrollo de SGSIs tomando como base la ISO/IEC17799 y orientndola a PYMES (Markku, 2007), desarrollando un mtodo simplificado de anlisis de riesgos (Holappa y Wiander, 2006d), siguiendo la lnea de esta investigacin iniciada en 2004, incluyendo el desarrollo de un prototipo (Holappa y Wiander, 2006) y de un caso de estudio (Holappa y Wiander, 2006c). En la Tabla 3.10 se puede ver cmo los miembros del Foro de Seguridad de la Informacin (ISF) han dividido los dominios de la ISO/IEC17799 (ISO/IEC17799, 2005) por niveles de madurez, que sern los niveles utilizados por el modelo ASD.
87
88 _____________________________________________________________ Estado del arte

Expectativas del estndar de gestin de seguridad de la informacin 1 Aplicar mejores prcticas. Objetivos prioritarios 2 Evaluar el estado de los controles. 3 Establecer objetivos para la seguridad de la informacin. 4 Reducir la frecuencia y el impacto de incidentes importantes. 5 Cumplir con la poltica interior. Objetivos importantes 6 Aadir un programa de gestin de riesgos. 7 Cumplir los requerimientos legales de la industria. 8 Maximizar las inversiones existentes. 9 Obtener ventajas competitivas. Otros objetivos 10 Cumplir los requerimientos del gobierno de las IT. 11 Responder a los requerimientos de terceras partes. 12 Lograr ahorros de costes.
Tabla 3.10. Divisin en niveles de madurez de la ISO/IEC17799 por ISF. La implantacin de un SGSI siguiendo el modelo ASD se basa en ir desarrollando dominio a dominio de la norma ISO/IEC17799 hasta alcanzar niveles de madurez adecuados. La Figura 3.14 muestra los componentes de los diferentes ciclos de iteracin del modelo ASD.
Figura 3.14. Ciclo iterativo (Holappa y Wiander, 2006b)
88
El ciclo comienza con la gestin de sesin, cuando los requisitos para desarrollar el SGSI se establecen junto con los recursos y el tiempo previsto. Los recursos para el proyecto de desarrollo son autorizados por la direccin. A partir de este punto, sobre la base de anlisis de riesgos, por ejemplo, la organizacin decide el foco para el resto del proceso de desarrollo y se inicia el trabajo del resto de procesos. Aunque es un mtodo sencillo para la implantacin de SGSI, tiene grandes carencias ya que no entra en la gestin del riesgo, carece de mtricas y tan solo ofrece una sencilla gua de cmo afrontar la implantacin por dominios, pero sin asociar las relaciones entre estos y los activos del sistema de informacin.
3.3.6. Propuesta de Carey-Smith (Carey-Smith, et al., 2007).

Estudia la necesidad de los SGSI en las empresas sin nimo de lucro y PYMES. Segn (Carey-Smith, et al., 2007) las empresas sin nimo de lucro tienen estructuras parecidas a las PYMES lo que permite que al desarrollar un modelo para unas, se pueda aplicar con xito en las otras (Carey-Smith, et al., 2007) aplica una serie de iteraciones de ciclos AR (denominados AR en espiral) para desarrollar un SGSI, en la que cada final de fase sirve para obtener un aprendizaje que sirve de diagnostico para la siguiente fase. De esta forma, las lecciones aprendidas de la primera intervencin se utilizarn para revisar y "afinar" el modelo que vaya surgiendo durante todo el proyecto AR. El modelo se va refinando con el conocimiento adquirido en cada ciclo del AR. Este es un modelo hibrido basado en la norma AS/NZS ISO/IEC17799 (AS/NZS-ISO/IEC17799, 2006) de Australia, orientando a seleccionar slo aquellos conocimientos de seguridad que son requeridos por las empresas sin nimo de lucro. Este mtodo tiene dos aspectos fundamentales: Las mltiples iteraciones de AR en cada ciclo se traducir en un mayor rigor y 'transferencia' (medida en que los conocimientos generados en un estudio puede ser aplicado en otros lugares) de los conocimientos adquiridos a otras organizaciones.
El diseo de la metodologa es participativa, garantizando el compromiso de los participantes y su formacin. Al igual que otros modelos, el mayor problema que tiene es su excesiva simplicidad, no aportando un mecanismo real para implantar y mantener un SGSI, ya que solo dice como se podra afrontar la implantacin de los controles, teniendo que ser completado con otras normativas, pero sin entrar realmente en la problemtica de las PYMES.
3.3.7. Propuesta de Tawileh (Tawileh, et al., 2007).

Propone un sistema basado en una metodologa para sistemas simples (SSM) con el objetivo de facilitar el desarrollo de sistemas de gestin de la seguridad dentro de las PYMES. Esta propuesta se basa en la existencia de un ciclo de retroalimentacin negativa: cuanto menor es la conciencia del problema de seguridad, ms abajo se pone esta en la lista de prioridades para inversin, lo que reduce los recursos que le han sido asignados y deriva en menor conciencia (Figura 3.15).
89
90 _____________________________________________________________ Estado del arte
Sensibilizacin de la Seguridad de la Informacin
Recursos asignados a la Seguridad de la Informacin
Figura 3.15. Ciclo de sensibilizacin de seguridad (Tawileh, et al., 2007) La seguridad debe enfocarse con una perspectiva que considere la complejidad e interconexiones existentes entre los sistemas de comunicaciones actuales (Chen, et al., 2004). La propuesta, tiene un enfoque sencillo para la gestin de la seguridad en la PYME basado en las cuatros fases del ciclo PDCA (Figura 3.16).
Figura 3.16. Etapas de gestin de la seguridad (Tawileh, et al., 2007) Antes de que cualquier SGSI se pueda desarrollar, los objetivos del sistema deben estar claramente definidos y formulados. Es importante reconocer en esta etapa los cambios en el entorno empresarial en el que las PYMES suelen funcionar. Para ello ser necesario que los objetivos de seguridad puedan adaptarse para estar alineados con las nuevas necesidades comerciales. Por lo tanto, la flexibilidad en la definicin y redefinicin de objetivos con un mnimo de necesidades de recursos es fundamental para el xito del enfoque propuesto. Para definir los requisitos de forma clara e inequvoca, sta propuesta utiliza la metodologa SSM. SSM sugiere una metaconcepto llamado "Definicin raz" (RD), cuyo objetivo es proporcionar una clara e inequvoca definicin textual del sistema. Est meta concepto cuenta con 6 componentes que pueden ser memorizadas utilizando las siglas CATWOE. Estos conceptos se mapean (Tabla 3.11) para que coincidan con los propsitos de gestin de la seguridad en la PYME y para facilitar el proceso de desarrollo. El proceso de captura de los objetivos de la seguridad de la informacin en el sistema de gestin de una pequea organizacin, utilizando la propuesta de Tawileh constar de cuatro fases: Fase I: Los elementos raz se definen a partir de las respuestas a las preguntas planteadas en la Tabla 3.11.
90

Elemento Descripcin original Seguridad de la PYME
C A T W O E
Clientes del sistema Actores del sistema Proceso de transformacin que el sistema debera realizar Visin en que el sistema estar basado Propietario del sistema Limitaciones del entorno
En qu organizaciones va a ser implementado el SGSI? Quin va a implementar y mantener el SGSI? Cul es el principal objetivo que debe lograrse con el SGSI? Cmo lograr la compaa los objetivos de seguridad? Quin es el propietario de la organizacin? Cules son las limitaciones que afectan al SGSI dentro de la organizacin?
Tabla 3.11. Elementos de la definicin raz (Tawileh, et al., 2007). Fase II: Una vez que se han definido los objetivos de seguridad y se han capturado en la definicin raz, el segundo paso implica determinar las medidas que deberan adoptarse para lograr estos objetivos. SSM ha demostrado ser una valiosa herramienta para llevar a cabo esa tarea, ya que proporciona un enfoque lgico para el proceso de traduccin de la definicin raz en una lista de actividades mediante un proceso de modelizacin. Sobre la base de definicin raz se desarrolla un modelo de SGSI y una lista de actividades que tendran que ser realizadas por la compaa. Despus de que las actividades necesarias son identificadas, se asignarn las responsabilidades para cada actividad, as como el plazo de realizacin y las medidas de cumplimiento de la actividad. Fase III: La tercera etapa en la construccin del SGSI consiste en determinar las acciones que deben realizarse para la gestin, de forma que se puedan tomar decisiones informadas sobre qu actividades se deben externalizar. Esta fase incluir programas de capacitacin en materia de seguridad.
Fase IV: La ltima etapa se refiere a la naturaleza cambiante del entorno empresarial. Su objetivo es adaptar el SGSI para responder a los cambios en los requerimientos del negocio. Cuando se produce un cambio importante que afecta al SGSI se debe seguir el mismo proceso descrito anteriormente para adaptar el SGSI de la organizacin a las nuevas necesidades. Esta propuesta aunque resulta muy interesante por su simplicidad, no entra realmente en como hacer las cosas, quedndose solo en la definicin de los pasos del SGSI, dejando de lado los aspectos de gestin del riesgo, controles, activos o mtricas, que son fundamentales para el SGSI.
3.3.8. Propuesta de Sneza (Sneza, et al., 2007).

Plantea la construccin de un SGSI tomando como punto central el desarrollo de la cultura de seguridad de la informacin, y teniendo en cuenta cmo las personas piensan y se comportan. Por ello basaron su marco de trabajo en el establecimiento de la cultura de la seguridad en aspectos cualitativos en detrimento de los cuantitativos. Para definir su marco de trabajo, realizaron un estudio sobre PYMES Australianas de menos de 20 empleados (ABS, 2001): En la primera fase, se desarroll el marco conceptual mediante la revisin de la literatura, utilizando el enfoque propuesto por (Galliers, 1992).
91
92 _____________________________________________________________ Estado del arte En la segunda fase, se realizaron pruebas sobre empresas para mejorar el marco de desarrollo. En la tercera etapa, se realizaron 3 casos de estudio, uno de los cuales se tom como base para la construccin de la teora (Eisenhardt, 1998). Se realizaron parcialmente otros 2 estudios para determinar que no existan diferencias significativas y que, por tanto, el caso elegido era vlido (Darke, et al., 1998). Los casos fueron seleccionados de acuerdo con la estrategia de muestreo terico de (Eisenhardt, 1998) con el fin de elaborar nuevos aspectos sobre la teora a desarrollar. Se realizaron entrevistas basadas en cinco grupos de preguntas: i) cuestiones de gestin (poltica, procedimientos, evaluacin comparativa, anlisis de riesgos, presupuesto, gestin, respuesta, capacitacin, educacin, sensibilizacin, gestin del cambio); ii) cuestiones de comportamiento (responsabilidad, integridad, confianza, tica, valores, motivacin, orientacin, crecimiento personal); iii) aprendizaje electrnico (elearning), cooperacin, colaboracin e intercambio de conocimientos; iv) aprendizaje individual y de la organizacin; v) tica nacional y cultura organizativa. En la cuarta fase se crearon grupos de trabajo para validar el marco conceptual (Lichtenstein y Swatman, 2003), proponiendo cambios para el marco de trabajo desarrollado.
En la Figura 3.17 se puede ver elementos que debera tener un SGSI basado en el fomento de la cultura de la seguridad de la informacin. En este marco se describen tres influencias externas: tica nacional y cultura organizacional: las culturas nacionales pueden afectar a la organizacin de la seguridad de la informacin. La tica social tambin puede tener un impacto importante. (Helokunnas y Iivonen, 2003) destaca la importancia de las redes sociales para compartir problemas de seguridad de la informacin y crear una conciencia sobre el tema. Las iniciativas del gobierno: Los gobiernos pueden jugar un papel fundamental para crear una cultura de seguridad de la informacin, aprobando legislaciones especiales y dando apoyos (cursos, subvenciones, etc). Proveedores: Los proveedores pueden proporcionar fiabilidad a las PYMES como garantas adicionales de seguridad de los productos que les venden.
Este marco de trabajo est formado por los siguientes elementos: Liderazgo y gobierno corporativo: Los propietarios de las PYMES deben demostrar que apoyan la gestin de la seguridad de la informacin. Segn (Dutta y McCrohan, 2002) el apoyo de la direccin se valor mucho en las grandes organizaciones, pero no en el caso de las PYMES. Cultura organizativa: La cultura de la organizacin y del entorno influye directamente en el cumplimiento de la gestin de la seguridad.
92
Influencias externas e Iniciativas
Influencias organizativas e Iniciativas
Salidas
Liderazgo / Gobierno Corporativo
Cultura Organizativa
GESTIN
tica Nacional/ Cultura Organizativa
Cuestiones de Gestin Anlisis de riesgos / Prdida de Proteccin de Activos Presupuesto Polticas y Procedimientos Respuesta Auto evaluacin Contratos / Manuales EVALUACIN
Cuestiones de comportamiento Responsabilidad. Integridad Confianza Valores ticos. Motivacin Orientacin personal Crecimiento.
Gobierno
Aprendizaje Individual y Organizativo E-LEARNING FORMACIN EDUCACIN EVALUACIN
Concienciacin de seguridad de la Informacin GESTIN SENSIBILIZACIN MARKETING EVALUACIN
Proveedores
GESTIN
Cultura de Seguridad de la Informacin
REVISAR / EVALUAR
Figura 3.17. Marco para fomentar la CS en las PYMES (Sneza, et al., 2007) Gestin: Las PYMES consideran los resultados del anlisis de riesgos como clave para garantizar que las polticas y procedimientos son realmente necesarios. Adems, las PYMES deben guiarse por el riesgo de prdidas de activos, derivado del anlisis de riesgos. (Martins y Eloff, 2003) haba identificado esta necesidad en las grandes organizaciones. En tercer lugar, se debe asignar un presupuesto para la gestin de la seguridad, que incluir las iniciativas para establecer una cultura de gestin de seguridad en los recursos. (Martins y Eloff, 2003) han sugerido anteriormente que el presupuesto tiene una gran influencia en las organizaciones. En cuarto lugar, los procedimientos que responden a incidentes de seguridad de la informacin ayudarn a subrayar la importancia de la seguridad de la informacin a los empleados, lo que tambin ha sido sugerido por OCDE (OECD, 2002) en general. En quinto lugar, las PYMES se vern favorecidas por evaluar peridicamente la cultura de la seguridad de la informacin. En sexto lugar, el contrato de trabajo debe incluir sanciones o incentivos a los empleados para influir en su motivacin. Todos los procesos de gestin deben ser evaluados de forma peridica. Aprendizaje individual y organizativo: El elearning, la formacin y la educacin son iniciativas potencialmente valiosas para el desarrollo de la cultura de seguridad de la informacin para las PYMES, como tambin lo son para las grandes empresas (Siponen, 2000, Furnell, et al., 2004, Furnell y Clarke, 2005). El intercambio de conocimientos, la cooperacin y la colaboracin son importantes para el aprendizaje en los distintos niveles de la organizacin y con el fin de desarrollar la cultura de seguridad de la
93
94 _____________________________________________________________ Estado del arte informacin. Los peridicamente. procesos de aprendizaje deben ser evaluados
Concienciacin de seguridad de la organizacin: (Furnell, et al., 2004) ha sugerido medidas de sensibilizacin formales e informales para las PYMES. (Siponen, 2000) propone incluir medidas de sensibilizacin que adems tengan aspectos de persuasin. Revisin y evaluacin: las PYMES deberan examinar y evaluar peridicamente las medidas adoptadas con el fin de mejorar continuamente (Lichtenstein y Swatman, 2001b). Comportamiento: Una serie de iniciativas externas e internas pueden desarrollar comportamientos de responsabilidad, integridad, confianza y tica. Segn (Dhillon y Backhouse, 2001c), en las grandes organizaciones esta transformacin parte de iniciativas de gestin interna, mientras que en el marco propuesto (Sneza, et al., 2007) se reparte esta responsabilidad entre agentes internos y externos. (Siponen, 2000) seala la importancia de la motivacin intrnseca. Una medida eficaz para la organizacin es ofrecer beneficios a los usuarios que cumplan con el reglamento de seguridad del sistema de informacin (Detert, et al., 2000).
Las principales conclusiones obtenidas de la aplicacin de este marco de trabajo fueron: Los propietarios de las PYMES de Australia carecen de una adecuada comprensin de la importancia de la seguridad de la informacin para su negocio (Helokunnas y Iivonen, 2003, Dimopoulos, et al., 2004b, Gupta y Hammond, 2005, ISBS, 2006). Se debe persuadir a los propietarios de las PYMES a emprender un escenario formal basado en el anlisis de riesgos y la proteccin de los activos de informacin. Los recientes hallazgos de la seguridad de la informacin han puesto de manifiesto una fuerte correlacin entre el proceso formal de evaluacin de riesgos y los gastos de la seguridad de la informacin (ISBS, 2006). Los propietarios de las PYMES de Australia no entienden el valor estratgico de las TI en su negocio. Otros estudios demuestran que esto no es un caso aislado, as un estudio de (OHalloran, 2003) determin que las PYMES del Reino Unido no entienden cmo la seguridad les ofrece valores aadidos a sus negocios. Un requisito previo para el desarrollo de la cultura de seguridad de la informacin en las PYMES es el desarrollo y la comunicacin de las polticas, procedimientos y responsabilidades. Como muchos expertos y estudios han sealado, la mayora de las PYMES en los pases desarrollados carecen de tales polticas (Dimopoulos, et al., 2004b, Gupta y Hammond, 2005, ISBS, 2006). La cooperacin, colaboracin, intercambio de conocimientos y aprendizaje electrnico para los empleados de las PYMES de Australia eran actividades valiosas. Este hallazgo coincide con el estudio realizado por (ISBS, 2006).
94
3.4.- Herramientas de gestin de la seguridad de la informacin.______________________ 95
Si bien los expertos han sealado la importancia de los valores de los usuarios hacia la gestin de la seguridad en las organizaciones sin importar su tamao (Dhillon, 2001b, Helokunnas y Iivonen, 2003, Martins y Eloff, 2003, Schlienger y Teufel, 2003), el estudio realizado por (Sneza, et al., 2007) demostr que es muy complejo inculcar estos valores a los usuarios de las PYMES. Algunas de las limitaciones que se desprendieron del estudio fueron: i) el anlisis es interpretativo y las conclusiones estn basadas en el estudio de un pequeo conjunto de PYMES australianas; ii) el marco carece de elementos aplicables slo a las PYMES; iii) el marco de proceso carece de directrices detalladas para permitir su aplicacin; iv) el estudio se centr en la investigacin de PYMES de perfil tcnico, cuyo personal ya tena conocimientos tcnicos; v) se desarroll el marco centrndose slo en el contexto Australiano, y por tanto puede no ser vlido para otros pases; vi) el marco no ofrece proactividad a la empresa y deja en ella la responsabilidad de ser dinmica.
3.4. Herramientas de gestin de la seguridad de la informacin.

El mercado demanda actualmente a las empresas que sean capaces de garantizar que las tecnologas para los activos informticos y de informacin sean seguras, rpidas y de fcil interaccin (Corti, et al., 2005). Por s solas, el conjunto de normas y especificaciones relativas a la seguridad en las tecnologas de la informacin y las comunicaciones desarrolladas no son suficientes para solucionar los problemas existentes, ya que requieren de herramientas que les den soporte y permitan mantener los SGSIS con unos recursos adaptados al tamao de las compaas. Actualmente existe un amplio conjunto de herramientas asociadas a los SGSI, cuyo objetivo es alcanzar las metas de seguridad propuestas en los diferentes modelos de madurez y gestin de la seguridad, sin embargo, la gran mayora ofrecen soluciones parciales e incompletas, lo que las hace difciles de gestionar y mantener. Estas herramientas y guas se pueden agrupar en las siguientes categoras: Herramientas de anlisis de riesgos: Actualmente las ms utilizadas para el anlisis de riesgos son PILAR y EAR, basadas en Magerit v2 (MageritV2, 2005). Otras herramientas utilizadas son la propuesta por ENISA, que incluye un sistema de comparativas, OCTAVES y Octave Automated Tool, que implementan la metodologa de evaluacin de riesgos OCTAVE (Alberts y Dorofee, 2002), CRAMM y COBRA. Orientadas a la direccin: Actualmente este conjunto de herramientas est formado por guas entre las que destacan la de seguridad de la informacin para gerentes del NIST y algunas herramientas como TDBSSI, del gobierno francs. Herramientas de autoevaluacin: Este conjunto se compone bsicamente de unas listas de verificacin de cumplimiento, y destacan entre ellas el cuestionario de autoevaluacin para la verificacin del estado de controles ISO/IEC17799 (ISO/IEC17799, 2005) del Instituto SANS y la herramienta de BITs para la evaluacin del riesgo operacional de la seguridad de la informacin. Para la implantacin de SGSI: En este conjunto destacan AWICMSM, Callio Secura 17799 basado en la ISO/IEC17799 (ISO/IEC17799, 2005), BS7792 (BS7799, 2002) y UNE71502 (UNE71502, 2004). Adems Proteus es un software comercial que cubre todas las fases de implantacin de un SGSI.
95
96 _____________________________________________________________ Estado del arte Para la implantacin de polticas: Se puede destacar el Toolkit de la Universities and Colleges Information Systems Association basado en BS7799 2 (BS7799, 2002) y las guas sobre aspectos tcnicos de la seguridad de la informacin del NIST. Para la concienciacin y sensibilizacin: Actualmente este conjunto de aplicativos est formado por guas como la de ENISA o el NIST (Wilson y Hash, 2003) para la confeccin de un plan de concienciacin en seguridad de la informacin.
Orientadas a la continuidad del negocio: Aunque existen algunas aplicaciones comerciales como Office Shadow, LDRPS, eBRP o IMCD, la mayor parte de la compaas se basan en guas como las ofrecidas por NIST (Swanson, et al., 2002) o el estndar britnico (BS25999, 2006). Cada una de estas herramientas se centra en un solo aspecto del SGSI y no en el conjunto. (Siegel, et al., 2002) seala que los modelos de seguridad informtica que se centran exclusivamente en modelos de eliminacin de riesgos no son suficientes, y por otro lado (Garigue y Stefaniu, 2003) remarca que actualmente los gerentes no desean saber slo qu se ha realizado para mitigar los riesgos, tambin se debe poder dar a conocer eficazmente que se ha realizado esta tarea y si se ha conseguido ahorrar dinero. Estas herramientas ofrecen una valiosa ayuda a la hora de afrontar algunos aspectos de la implantacin de un SGSI y algunas de ellas como PILAR EAR pueden ser consideradas imprescindibles para realizar una adecuada anlisis y gestin del riesgo en los SGSIs. El principal problema de estas herramientas es que suponen un conjunto de soluciones parciales y complejas a los problemas planteados, por lo que no estn teniendo xito a la hora de implantarse en PYMES, debido principalmente a que fueron desarrolladas pensando en organizaciones grandes, en las que los costes asociados no eran crticos, lo que las hace inadecuadas para el entorno de una PYME. Debido a esto se hace necesario el desarrollo de herramientas que afronten de una forma unificada la gestin de la seguridad de los sistemas de la informacin, y que adems tengan un coste razonable que las haga viables en el caso de las PYMES.
3.5. Resumen y conclusiones.

En este captulo se ha realizado una revisin de las diferentes guas y metodologas de gestin de la seguridad y madurez de los sistemas de informacin, y de los procesos asociados a la implantacin de los sistemas de gestin de la seguridad clsicos. Como resultado de esta revisin se ha podido establecer la importancia que tiene la gestin de los sistemas de seguridad en el desempeo y evolucin sostenible de las empresas, ya que constituye un requisito bsico para alcanzar la misin y los objetivos organizacionales en un entorno altamente competitivo. En relacin con los estndares ms destacados se ha podido constatar que la mayor parte de los modelos de gestin de la seguridad han tomado como base el estndar internacional ISO/IEC17799 e ISO/IEC27002, y que los modelos de gestin de seguridad que estn teniendo mayor xito en las grandes compaas son ISO/IEC27001, COBIT e ISM3, pero que son muy difciles de implementar y requieren una inversin demasiado alta que la mayora de las PYMES no pueden asumir (Velsquez y Estayno, 2007). Aunque estn surgiendo nuevas propuestas muy interesantes orientadas a este tipo de compaas, afrontan los problemas de una forma muy incompleta.
96
3.5. Resumen y conclusiones. ________________________________________________ 97
En numerosas fuentes bibliogrficas se detecta y resalta la dificultad que supone para las PYMES la utilizacin de las metodologas y modelos de madurez para la gestin de la seguridad tradicionales, que han sido concebidos para grandes empresas (Batista y Figueiredo, 2000, Calvo-Manzano, 2000, Hareton y Terence, 2001, Tuffley, et al., 2004). Se justifica en repetidas ocasiones que la aplicacin de este tipo de metodologas y modelos de madurez para las PYMES es difcil y costosa. Adems, las organizaciones, incluso las grandes, tienden ms a adoptar grupos de procesos relacionados como un conjunto que a tratar los procesos de forma independiente (Mekelburg, 2005). El problema principal de todos los modelos de gestin de la seguridad y su madurez presentados es que no estn teniendo xito a la hora de implantarse en PYMES, debido principalmente a que: Unos fueron desarrollados pensando en organizaciones grandes (ISO/IEC27001, ISO/IEC21827, Common Criteria, ISO/IEC20000, ITIL, COBIT) y en las estructuras organizativas asociadas a stas.
Otros (ISM3, propuesta de Areiza, propuesta de Eloff, ASD, IS2ME, propuesta de Carey-Smith, propuesta de Tawileh) han intentando centrarse en los problemas de las PYMES, pero son modelos incompletos que slo afrontan parte del problema, o intentan aportar unas guas bsicas de los pasos a realizar, pero sin entrar en cmo gestionar realmente el SGSI. Adems, la mayora son modelos tericos y estn todava en desarrollo. Todos estos estndares y propuestas para la gestin de la seguridad, son muy importantes, y sus aportaciones han sido tenidas en cuenta para el desarrollo de la metodologa planteada en esta tesis doctoral. A continuacin, en la Tabla 3.12 se puede ver una comparativa de los diferentes modelos, metodologas y guas analizadas para gestionar la seguridad, comparadas con la metodologa que se ha propuesto en esta tesis doctoral. Se considera que los aspectos valorados se pueden cumplir de forma total, parcialmente o no haber sido abordados en el modelo. A continuacin, se describe cada uno de los aspectos analizados: Ciclo de SGSI: El modelo describe de forma clara las fases de desarrollo, implantacin y mantenimiento del SGSI. Normalmente los modelos utilizan el ciclo PDCA. Marco de trabajo: El modelo describe de forma clara todos los elementos que forman el SGSI una vez que ha sido implantado. Niveles de madurez: El modelo est orientado a la implantacin de una seguridad progresiva basada en niveles. Cultura de seguridad: El modelo ha tenido en cuenta la orientacin hacia la cultura de la seguridad y no slo la orientacin tcnica y de gestin de los modelos clsicos. Gua de buenas prcticas: El modelo incluye o contempla la integracin de un gua de buenas prcticas o controles de seguridad dentro del SGSI. Anlisis y gestin del riesgo: El modelo incluye mecanismos de valoracin y gestin de los riesgos a los que estn sometidos los activos del sistema de informacin. Mtricas: El modelo incluye mecanismos de medicin del cumplimiento de los controles de seguridad.
97
98 ____________________________________________________________ Estado del arte Orientado a PYMES: El modelo ha sido desarrollado pensando en la casustica especial de las PYMES. Reutiliza el conocimiento: El modelo adquiere conocimiento de las implantaciones, de forma que este conocimiento pueda ser reutilizado para facilitar posteriores implantaciones. Dispone de herramienta software: El modelo dispone de una herramienta que lo soporte. Casos prcticos: El modelo ha sido desarrollado y refinado a partir de casos prcticos.
Orientado a PYMES Reutiliza el conocimiento Dispone de herramienta Sw No Parc No Parc No Parc No Parc No Parc No No Si No No No No No Si Parc No Parc Si Si Si Si No Si No No Si Casos prcticos Si Si Si Si Si Si Si No Si Si Si Gua de buenas practicas
Ciclo de SGSI
Anlisis de riesgos Si No Si Parc No No No No No No No Si
Marco de trabajo Niveles de madurez Cultura de .seguridad
ISO/IEC27000 ISO/IEC15408/CC ISO/IEC21827/SSECMM ISO/IEC20000 ITIL COBIT ISM3 Propuesta de Eloff Propuesta de Areiza Propuesta de Dojkovski IS2ME ASD Propuesta de Carey-Smith Propuesta de Tawileh Propuesta de Sneza MGSMPYME
Si No Si Si Si Si Si No No No Si
Si No Si Si Si Si Si No No Si No
Si Si Si No No Si Si Si No No Si No No No Si
Parc No No No No No No No Si No No No No Si Si
Si No No Si No Si Si Si Si No Si Si Si No No Si
Parc No
No Parc No Parc No No No No Si Si Si
No Parc
No Si No No No No Parc No No Parc No Si No Parc Si No No Si No No Parc Parc No No
Parc Parc Parc No Si No Si No Si Si
Parc No
No Parc No
Tabla 3.12. Comparativa de metodologas de gestin de seguridad. Se puede ver cmo la metodologa MGSMPYME incluye muchos ms aspectos que las dems, incluyendo la automatizacin de modelos de gestin de seguridad para reducir los costes de generacin del sistema y un desarrollo totalmente orientado hacia las PYMES, evitando la generalizacin de los otro modelos. Por otro lado, frente a metodologas como la IS2ME que se han centrado slo en la generacin de un SGSI a partir de una informacin bsica, pero dejando de lado aspectos como el anlisis de riesgos o la construccin propiamente dicha del SGSI, la metodologa MGSMPYME s se ocupa de todos esos aspectos, utilizando el conocimiento adquirido para desarrollar SGSIs mucho ms completos sin que ello suponga un coste mayor, gracias a la utilizacin de esquemas predefinidos que almacenan las caractersticas y el conocimiento de grupos de compaas.
98
Mtricas
3.5. Resumen y conclusiones. ________________________________________________ 99
Otra de las ventajas que aporta MGSMPYME frente a los modelos analizados es que utiliza el conocimiento adquirido durante diferentes implantaciones para reducir los costes de generacin del SGSI en compaas de similares caractersticas, utilizando para ello el concepto de esquemas que se ver en detalle en el captulo 4. Esto es de especial relevancia, ya que permite entender las relaciones entre la informacin de la empresa con el objetivo de poder gestionar su seguridad (Awad y Ghaziri, 2003). El conocimiento es la capacidad de transformar la informacin y los datos, es decir, los hechos conocidos, en una accin eficaz (Applehans, et al., 1999). En la Tabla 3.13 se puede ver cmo se asocian las diferentes actividades de los subprocesos de la metodologa MGSMPYME con las diferentes metodologas analizadas y que han sido utilizadas como base para la propuesta de la tesis doctoral. La asociacin no es total, ya que en muchos casos las actividades planteadas en MGSM PYME presentan un mayor potencial que la gua o metodologa con la que se encuentra asociada. El objetivo de esta tabla es ofrecer una gua para conocer qu estndares, modelos y metodologas han servido de base para el desarrollo de cada actividad.
Actividades de MGSM-PYME Propuestas de SGSIs A1.1 A1.2 A1.3 A1.4 A2.1 A2.2 A2.3 A2.4 A3.1 A3.2 A3.3 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
ISO/IEC27000 ISO/IEC15408/CC ISO/IEC21827/SSECMM ISO/IEC20000 ITIL COBIT ISM3 Propuesta de Eloff Propuesta de Areiza Propuesta de Dojkovski IS2ME ASD Propuesta de Carey-Smith Propuesta de Tawileh Propuesta de Sneza
Tabla 3.13. Asociacin de metodologas con las actividades de MGSMPYME. La revisin de los trabajos relacionados con la gestin de seguridad en los sistemas de informacin ha dejado en evidencia la necesidad de considerar nuevas metodologas y modelos cuando se trata de la implantacin en PYMES, ya que este tipo de empresas tiene unos requerimientos muy especficos que hacen que los estndares tradicionales estn fracasando. Las metodologas y modelos de gestin de la seguridad mencionados no se han mostrados vlidos en las PYMES por tres motivos: - Fueron desarrollados pensando en organizaciones que podan contar con mayores recursos.
99
100 ____________________________________________________________ Estado del arte Acometen slo parte del sistema de gestin de seguridad y casi ninguna de ellas aborda desde un punto de vista global la implantacin de estos sistemas, lo que obliga a las compaas a tener que adquirir, implementar, gestionar y mantener varias metodologas, modelos y herramientas para gestionar la seguridad. Adicionalmente, las pocas aplicaciones que han intentado abordar todos los aspectos de la gestin de la seguridad son caras de adquirir y requieren de una gestin compleja y de un mantenimiento costoso, lo que hace que no sean adecuadas para las PYMES. - Finalmente se puede concluir que, aunque existen varios estndares, normas, guas de buenas prcticas, metodologas y modelos de gestin de la seguridad y de anlisis de riesgos, estos no estn integrados en un modelo global que pueda ser aplicable a las pequeas y medianas empresas con garantas de xito. Por otro lado, la ausencia de herramientas que afronten todos los aspectos de la gestin de la seguridad con una orientacin hacia la PYME hace que sea inviable la implantacin y, particularmente, el manteniendo de un SGSI en este tipo de compaas. Por lo tanto, y como conclusin de este captulo, se puede decir que es pertinente y oportuno abordar el problema de desarrollar una nueva metodologa para la gestin de la seguridad y su madurez para los sistemas de informacin en las PYMES con un modelo que valide su funcionamiento, as como una herramienta que soporte este modelo, tomando como base la problemtica a que este tipo de compaas se enfrenta y que ha llevado a continuos fracasos en los intentos de implantacin en este tipo de empresas. -
100
C a p t ul o 4 MGSMPYME: Metodologa
para la gestin de la seguridad y su madurez en las PYMES
4.- MGSMPYME: Metodologa para la gestin de la seguridad y su madurez en las PYMES.

En este captulo de la tesis se presenta su principal aportacin, la metodologa MGSM PYME para la gestin de la seguridad y su madurez en las PYMES, y el modelo desarrollado sobre ella. Para presentar adecuadamente esta metodologa, en la primera seccin se ofrece una visin general y se mencionan sus principales caractersticas, y en las secciones siguientes se presentan de manera detallada los subprocesos que integran la metodologa (secciones 2, 3 y 4) y diferentes aspectos del modelo utilizado a lo largo de la metodologa (seccin 5). Finalmente en la seccin 6 se muestran las principales conclusiones del captulo.
4.1. Visin general de MGSMPYME.

La metodologa para la gestin de la seguridad y su madurez en las PYMES que se ha desarrollado, permite a cualquier organizacin gestionar, evaluar y medir la seguridad de sus sistemas de informacin, pero est orientado principalmente a las PYMES, ya que son las que tiene mayor tasa de fracaso en la implantacin de las metodologas de gestin de la seguridad existentes. Uno de los objetivos perseguidos en la metodologa MGSMPYME es que sea sencilla de aplicar, y que el modelo desarrollado sobre ella permita obtener el mayor nivel de automatizacin posible con una informacin mnima, recogida en un tiempo muy reducido. En la metodologa se ha priorizado la rapidez y el ahorro de costes, sacrificando para ello la precisin que ofrecan otras metodologas, es decir, la metodologa desarrollada busca generar una de las mejores configuraciones de seguridad pero no la ptima, priorizando los tiempos y el ahorro de costes frente a la precisin, aunque garantizando que los resultados obtenidos tengan la calidad suficiente. Otra de las principales aportaciones que presenta la metodologa que se ha desarrollado es un conjunto de matrices que permiten relacionar los diferentes componentes del SGSI (controles, activos, amenazas, vulnerabilidades, criterios de riesgo, procedimientos, registros, plantillas, instrucciones tcnicas, reglamentos y mtricas) y que el modelo utilizar, para generar de forma automtica gran parte de la informacin necesaria, reduciendo de forma muy notable los tiempos necesarios para el desarrollo e implantacin del SGSI. Este conjunto de interrelaciones entre todos los componentes del SGSI, permite que el cambio de cualquiera de esos objetos altere el valor de medicin del resto de objetos de los que se compone el modelo, de forma que se pueda tener en todo momento una valoracin actualizada de cmo evoluciona el sistema de seguridad de la compaa. Frente a las metodologas clsicas analizadas en el captulo 3, la metodologa desarrollada en la presente tesis doctoral se ha basado en realizar una nueva aproximacin, la cual permite evolucionar la seguridad a partir de los dominios de la norma internacional ISO/IEC27002. De esta forma y a partir de la informacin obtenida mediante la implantacin en diferentes empresas, se ha desarrollado una metodologa de gestin y madurez de la seguridad de los sistemas de informacin y un modelo asociado a la misma (ver Figura 4.1).
103
104 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES.
Metodologa
Modelo
MGSM-PYME
Generacin de esquemas
Esquema Base
Generacin del SGSI
Mantenimiento del SGSI
Figura 4.1. Esquema inicial de la metodologa MGSMPYME y su modelo. Est metodologa consta de tres subprocesos principales: GEGS Generacin de Esquemas de Gestin de Seguridad: El principal objetivo de este subproceso est orientado a la construccin de esquemas, que son estructuras necesarias para la construccin de SGSIs, creadas para un conjunto de posibles compaas de la misma categora. Estos esquemas son reutilizables y permiten reducir el tiempo de creacin del SGSI, as como sus costes de mantenimiento hasta hacerlos adecuados para la dimensin de una PYME. El uso de esquemas es de especial inters y relevancia en el caso de las PYMES ya que por sus especiales caractersticas, stas suelen tener sistemas de informacin sencillos y muy parecidos entre s. GSGS Generacin de Sistemas de Gestin de Seguridad: El objetivo principal de este subproceso es la creacin de un SGSI adecuado para una compaa, utilizando para ello un esquema existente.
MSGS Mantenimiento del Sistema de Gestin de Seguridad: El objetivo principal de este subproceso es el mantener y gestionar la seguridad del sistema de informacin de la compaa, aportando informacin actualizada en el tiempo de un SGSI generado. El subproceso ms complejo de la metodologa es el de generacin de un esquema (GEGS), por lo que se ha incluido dentro de la tesis doctoral el desarrollo de un modelo de esquema denominado esquema base (EB), que servir para el desarrollo de nuevos esquemas a partir de l. Las caractersticas de este esquema base se pueden ver en detalle en la seccin 5 de este captulo.
4.1. Visin general de MGSMPYME. _________________________________________ 105
La generacin de esquemas es una labor que ser realizada por los expertos en seguridad y aunque su elaboracin es un proceso costoso, se ve compensado por las enormes reducciones de costes que produce en los otros subprocesos al poder ser reutilizado por compaas con caractersticas parecidas (mismo sector y mismo tamao). A continuacin se vern en detalle algunos de los principales conceptos necesarios para entender la metodologa, los principales objetivos, los diferentes actores que participan en ella, los subprocesos que la forman y una visin global de las diferentes actividades y tareas de cada subproceso.
4.1.1. Definiciones previas.

A continuacin, se describen los principales conceptos, que intervienen en la metodologa: Esquema: Estructura formada por los principales elementos de un SGSI y las relaciones entre ellos, que puede ser reutilizado por un conjunto de compaas con caractersticas comunes (mismo sector y tamao) a partir del conocimiento adquirido con la implantacin de la metodologa MGSM PYME y posteriores refinamientos. o Esquema Base: Esquema inicial obtenido a partir del conocimiento de expertos en seguridad, que sirve como base para la elaboracin de otros esquemas ms especficos que puedan adecuarse a conjuntos de compaas. SGSI: Parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la informacin (ISO/IEC27001, 2005). En el caso de la metodologa MGSMPYME el SGSI se compone entre otros de un conjunto de reglamentos que definen la poltica de seguridad de la compaa, procedimientos, controles, un sencillo anlisis de riesgo y un cuadro de mandos que nos permite conocer cmo evoluciona el sistema (ver Figura 4.2).
Est formado por Est formado por Est formado por Tiene un
Tiene un
Figura 4.2. Esquema de los componentes de un SGSI.

105
Nivel de Madurez: Se puede definir como una medida que busca establecer una valoracin estandarizada, con la cual se pueda determinar el estado de la seguridad de la informacin en una organizacin y poder determinar el camino que se tiene que recorrer para alcanzar el adecuado nivel de seguridad en esa compaa. Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido. Rol\Perfil: Cargo o responsabilidad ocupada por un usuario dentro del organigrama de una compaa. En la metodologa MGSMPYME todos los usuarios tienen asociados uno o varios roles (ver Figura 4.3).
Figura 4.3. Esquema de los componentes de un Rol. Reglamentos: Conjunto de reglas que conforman la poltica de gestin de seguridad del SGSI (ver Figura 4.4). o Reglas: Ordenacin del comportamiento que debe ser cumplida por estar as convenido de forma colectiva, cuyo incumplimiento trae aparejado una sancin.
Figura 4.4. Esquema de los componentes de un reglamento. Anlisis de riesgos: Proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin (MageritV2, 2005). La metodologa MGSMPYME incluye un sencillo mtodo para estimar el riesgo a partir de un conjunto bsico de activos (ver Figura 4.5). o Activo: Recursos del sistema de informacin, o relacionados con ste, necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por su direccin (MageritV2, 2005). o Amenaza: Evento que puede desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos (MageritV2, 2005). o Vulnerabilidad: Debilidad o falta de control que permitira o facilitara que una amenaza actuase contra un activo del sistema que presenta la citada debilidad (MageritV2, 2005).
o Criterios de riesgo: Criterios que permiten estimar el grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la organizacin.
Figura 4.5. Esquema de los componentes del anlisis de riesgos. Procedimientos: Definen la secuencia en la que se aplican los mtodos, los entregables (registros, plantillas, etc) que se requieren, los controles que ayudan a asegurar el sistema de informacin y las directrices que ayudan a gestionarlo. En la metodologa MGSMPYME los procedimientos estn formados por un conjunto de fases de diferentes tipos (ver Figura 4.6).
Figura 4.6. Esquema de los componentes de un procedimiento. o Fases: Parte de un proceso o procedimiento con una funcin especifica. En la metodologa MGSMPYME cada fase tiene asociado: i) uno o varios roles que definen qu usuarios pueden ejecutar esa fase; ii) una o varias fases a las que se puede ir desde la fase actual, denominadas rutas; y iii) un conjunto de objetos
107
108 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. (plantillas, registros e instrucciones tcnicas) que se utilizarn durante la fase. o Plantillas: Documento que proporciona una separacin entre la forma o estructura y el contenido. o Registros: Tipo de documento estructurado formado por la unin de varios elementos bajo una misma estructura. o Instrucciones tcnicas: Son documentos tcnicos de apoyo. Cultura de seguridad: Conjunto de propiedades, que contribuye a que las personas, y la organizacin en su conjunto, acten con mayor eficacia y eficiencia, mejorando la gestin de la seguridad del sistema de informacin. o Certificado de cultura de seguridad: Documento que demuestra que un usuario ha alcanzado el nivel de cultura de seguridad deseado. Cuadro de Mandos: Sistema visual que recoge los principales indicadores de seguridad, presentando aquella informacin que sean imprescindible, de una forma sencilla y por supuesto, sinptica y resumida. El cuadro de mando es un sistema que nos informa de la evolucin de los parmetros fundamentales la seguridad. En la metodologa MGSMPYME el objetivo principal del cuadro de mandos es permitir seguir en todo momento el nivel de seguridad de los controles que componen el SGSI. o Mtricas: Conjunto de medidas destinadas a conocer o estimar caractersticas que afectan a un sistema de informacin (ej.: nivel de cumplimiento de los controles de seguridad, tiempo de respuesta ante un incidente, etc). Repositorios de informacin: Lugar centralizado donde se almacenan datos y estructuras de datos. La metodologa MGSMPYME se compone de tres repositorios principales: o Repositorio de esquemas: Almacn donde se depositarn los diferentes componentes de los esquemas generados en el proceso GEGS. o Repositorio de SGSIs: Almacn donde se depositarn los diferentes componentes de los SGSI generados para las compaas. o Repositorio de informacin del SGSI: Almacn donde se depositarn los resultados y estadsticas obtenidos durante el uso diario, por parte de los usuarios del SGSI.
4.1.2. Objetivos.
Los principales objetivos de la metodologa, considerados imprescindibles para el xito de la misma, son los siguientes: Nmero reducido de niveles: Debido a la estructura bsica de las PYMES, stas son ms receptivas ante los modelos de madurez de 3 niveles que ante los 5 niveles de madurez de los sistemas clsicos. Certificacin por niveles: Las PYMES se muestran ms receptivas ante la posibilidad de obtener un reconocimiento al alcanzar un nivel con un hito temporal corto, que ante la necesidad de tener que readaptar todo su sistema de seguridad para poder obtener el reconocimiento.
Reduccin de los costes: Las PYMES requieren que la implantacin y mantenimiento de un SGSI tenga un coste muy bajo. Reduccin de la duracin de los SGSI: El periodo de desarrollo e implantacin del SGSI ser corto para adecuarse a la estructura cambiante presente en las PYMES. Mejora del porcentaje de xito de las implantaciones: Reducir la tasa de fracaso en la implantacin del SGSI, utilizando los recursos adecuados al tipo de compaa. Sistemas de gestin de seguridad evolutivos: La seguridad debe implantarse de forma evolutiva, obteniendo resultados a corto plazo que demuestren la eficacia del proyecto. La metodologa desarrollada coincide con las apreciaciones de (Eloff y Eloff, 2003), donde se sugiere ir realizando una implantacin progresiva de controles que permita que la empresa pueda irse adaptando a la evolucin de la seguridad de una forma no traumtica. Reutilizacin: Obtener estructuras de datos que permitan ahorrar parte del coste de generacin de un SGSI en compaas que compartan caractersticas en comn. Minimizar los costes de mantenimiento y recogida de informacin: La informacin se generara automticamente en base a una informacin bsica. Priorizar los costes antes que la precisin: Se priorizara el ahorro de costes ms que la precisin, buscando una configuracin de seguridad que tenga la calidad suficiente, pero no la ptima y siempre priorizando los tiempos y el ahorro de costes. Evolucin dinmica del nivel de seguridad: Capacidad para recalcular el nivel actual de seguridad con el menor coste. Versatilidad: Metodologa dinmica y adaptable a las caractersticas especficas de las empresas. Minimizar el uso y gestin de los documentos: La metodologa debe permitir realizar una doble funcin en la gestin de los documentos asociados a la seguridad, por una parte como gestor de contenidos y por otra parte automatizando y gestionando la informacin de los mismos para agilizar su cumplimiento y aprovechar al mximo la informacin extrable de los datos que contiene. Anlisis de riesgos bsico: El anlisis de riesgo deber tener un coste de generacin y mantenimiento muy reducido, an a costa de sacrificar precisin en el mismo, pero siempre manteniendo unos resultados con la calidad suficiente.
Automatizacin: Deber disponer de una herramienta que le permita automatizar la gestin de los procesos que componen la metodologa. Con la metodologa desarrollada se ha logrado alcanzar estos objetivos necesarios para el xito de la metodologa en las PYMES.
4.1.3. Actores.
En esta seccin se muestra el conjunto de actores involucrados en los diferentes subprocesos definidos en MGSMPYME. En la prctica muchos de los roles de estos
109
110 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. actores recaern en la misma persona, ya que el personal de las PYMES suele ser muy limitado. Estos actores son los siguientes: Cliente (Cl): Ser la organizacin receptora del sistema de gestin de seguridad de la informacin. Dentro del actor cliente, existen una serie de perfiles claramente definidos, que se presentarn con mayor detalle en la subseccin 4.5.3 al estar estrechamente asociados con la generacin del SGSI. o Cl/RS Responsable de seguridad: Esta figura ser la ms importante dentro del cliente para garantizar el buen funcionamiento del SGSI. El responsable de seguridad tendr entre otras funciones la de aprobacin de los procedimientos de denuncia y supervisin de los cuadros de mandos. o Cl/US Usuarios del sistema de informacin: Representa a cualquier persona con acceso al sistema de informacin de la compaa. o Cl/GDS Gerente del departamento de sistemas. o Cl/PS Proveedor de servicios: Cualquier proveedor que requiera de acceso al sistema de informacin de la empresa. o Cl/PA Propietario de activos: Cualquier usuario del sistema de informacin que se declare propietario de uno de los activos declarados dentro del sistema. o Cl/GD Gerente de departamento: Cualquier responsable mximo de un departamento de la compaa, incluyendo al gerente del departamento de sistemas (Cl/GDS). o Cl/RD Responsable de desarrollo: Es un perfil secundario que en la mayor parte de las PYMES suele ocupar el gerente del departamento de sistemas (Cl/GDS). o Cl/RE Responsable de explotacin: Es un perfil secundario que en la mayor parte de las PYMES suele ocupar el responsable del departamento de sistemas (Cl/GDS). o Cl/RM Responsable de Marketing. o Cl/RR Responsable de RRHH. o Cl/T Terceros: Cualquier usuario externo a la compaa que tenga que tener acceso al sistema de informacin de la misma. Arquitecto en Gestin de la Seguridad (AGS). Las principales responsabilidades que tendr este actor son: o Anlisis de la informacin obtenida de los cuadros de mando de los SGSI implantados. o Configuracin y recalibracin de los esquemas definidos para cada compaa. o Propuestas de mejora para las auditoras realizadas a partir de la informacin obtenida de los casos de estudio. o Reusabilidad de forma que la metodologa de gestin de la seguridad sea reutilizable en proyectos futuros. Grupo de Expertos del Dominio (GED): Representa a la persona o conjunto de personas que conozca el dominio del problema a tratar. Para el
desarrollo de esta tesis doctoral se ha contando con el personal de la empresa SNT y del grupo de investigacin Alarcos. Consultor de Seguridad (CoS): Trabajar conjuntamente con el interlocutor designado por el cliente, para la obtencin de la informacin necesaria para la generacin de la estructura del SGSI de la compaa. Interlocutor (Int): Ser una persona de la compaa donde se implantar el SGSI, designada por el cliente (Cl), para trabajar conjuntamente con el consultor de seguridad (CoS) haciendo las funciones de intermediario entre este y la compaa. As mismo, ser el responsable de aprobar el resultado final obtenido de aplicar la metodologa. Las funciones del interlocutor sern normalmente realizadas por el responsable de seguridad (Cl/RS). Auditor de Seguridad (AuS): Trabajar conjuntamente con el responsable de seguridad (Cl/RS) y el resto de perfiles de cliente para verificar que la estructura para la gestin de la seguridad definida cubre los requisitos de seguridad, dando as una validacin externa a la organizacin. Adems verificar que los controles de seguridad son los correctos y que los procedimientos de seguridad estn bien especificados.
4.1.4. Subprocesos.
La metodologa MGSMPYME para el desarrollo, implantacin y mantenimiento de SGSIs, se encuentra dividida en tres subprocesos (ver Figura 4.7). El primero de estos subprocesos, denominado GEGS (generacin de esquemas) se ocupa de generar un esquema a partir de: i) un conjunto de elementos asociados a los sistemas de gestin de la seguridad: normativas, estndares, etc (ej.: ISO/IEC27002, Magerit v2, LOPD, ); ii) el conocimiento adquirido por los expertos en materia de gestin de seguridad a la hora de implantar y mantener otros SGSIs; y iii) por ltimo la informacin contenida en el repositorio de informacin del SGSI. El segundo subproceso, denominado GSGS (generacin del SGSI), se ocupa de generar los objetos necesarios para que una compaa pueda disponer de un sistema de gestin de seguridad de la informacin, usando para ello uno de los esquemas generados en el subproceso GEGS; as mismo aporta conocimiento a los expertos para refinar el esquema seleccionado con el objetivo de obtener mejores resultados a la hora de generar el SGSI. El conjunto de objetos generados y que conforman el SGSI son almacenados en el repositorio de SGSIs para que la compaa pueda utilizarlo. El tercer subproceso, denominado MSGS (mantenimiento del SGSI), se ocupa de mantener el SGSI generado. Este subproceso recibe como entrada el SGSI que se creado durante el subproceso GSGS y como salidas genera: i) instancias de los objetos que componen el SGSI producidas por la utilizacin del mismo por parte de los usuarios del sistema; ii) informes sobre el estado de la seguridad del SGSI en cada momento; iii) conocimiento sobre la evolucin del sistema, utilizacin del mismo y nivel de seguridad de los controles, que es utilizada por los expertos en seguridad para refinar los esquemas del subproceso GEGS y hacerlos ms eficientes; iv) informacin estadstica y de proceso de todas las operaciones realizadas, que es almacenada en el repositorio de informacin del SGSI.
111
Artefactos asociados a la Gestin de la Seguridad
Generacin de esquemas
Conocimiento Repositorio de Informacin SGSI
Conocimiento
Esquema Repositorio de Esquemas
Mantenimiento del SGSI
Generacin del SGSI
SGSI SGSI Dinamico, Cuadro Mandos Repositorio de SGSIs
Entrada Entregable Actividad Repositorio Flujo Informacin Flujo Proceso
Figura 4.7. Subproceso y productos del proceso de desarrollo MGSMPYME. Posteriormente, en las secciones 2, 3 y 4 se describen en detalles las entradas, salidas, actividades, actores, y, en algunos casos, guas, buenas prcticas, herramientas y tcnicas que complementan, mejoran y facilitan el conjunto de actividades desarrolladas dentro de estos subprocesos. A continuacin se mostrar un breve resumen de los objetivos (o propsitos), las entradas y las salidas de cada uno de los subprocesos de la metodologa. 4.1.4.1. Descripcin breve del subproceso GEGS. La Generacin de Esquemas para la Gestin de la Seguridad (GEGS), es el primer subproceso de la metodologa MGSMPYME y su objetivo principal es producir un esquema que contenga todas las estructuras necesarias para generar un SGSI y aquellas relaciones que puedan establecerse entre ellas para un determinado tipo de compaas (del mismo sector y tamao), con el objetivo de ahorrar tiempo y recursos a la hora de generar un SGSI para una compaa que comparta la misma caractersticas que aquellas para las que fue creado el esquema. En la Figura 4.8 se pueden ver con detalle los diferentes objetos que componen el esquema. Existe una dependencia en la actividad A1.2 ya que requiere una entrada de la actividad A1.1. De igual forma las actividades A1.3 y A1.4 requieren de un elemento de entrada generado durante la actividad A1.2, pero no tienen dependencia entre ellas.
Roles
Sectores
Niveles de Madurez
Secciones Reglas de Madurez Matriz de Pesos Obj. Control Controles SubControles
Tipos de Activos
Vulnerabilidades
Amenazas
Criterios de Riesgo
Controles
Matriz de Tipos Activos Vulnerabilidades
Matriz de Tipos Activos - Amenazas Criterios de Riesgos
Matriz de Amenazas Vulnerabilidades
Matriz de Amenazas - Controles
Procedimientos
Reglamentos
Plantillas / Registros / Instrucciones Tcnicas
Controles
Matriz de Procedimientos - Artefactos
Matriz de Reglamento - Artefactos
Matriz de Reglamento - Controles
Matriz de Artefactos - Controles
Figura 4.8. Artefactos que componen el subproceso GEGS. Debido a la complejidad del desarrollo de un esquema y como parte de la tesis doctoral se ha desarrollado un esquema inicial, denominado esquema base (EB), obtenido a partir del conocimiento adquirido durante el proceso de investigacin, con el objetivo de posibilitar la creacin de nuevos esquemas mediante un proceso de clonacin (generar un nuevo esquema a partir de un esquema existente) del esquema base y realizando posteriormente los ajustes necesarios en el nuevo esquema para adecuarlo al tipo de compaas deseada. El subproceso GEGS para la generacin de esquemas se compone bsicamente de las siguientes actividades: A1.1 Generacin de tablas maestras: Se establecen las tablas de configuracin inciales, que contendrn: i) los roles de usuarios del sistema de informacin que podrn intervenir en el sistema; ii) los diferentes sectores empresariales a los que
113
114 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. puede pertenecer la compaa; y iii) los niveles de madurez sobre los que podr evolucionar el SGSI a lo largo de su ciclo de vida. A1.2 Generacin de tablas del nivel de madurez: Se seleccionarn las reglas de madurez que permitirn determinar el nivel de madurez actual del SGSI de la compaa y la lista de controles que se podrn establecer. Los controles se dividirn en subcontroles para poder aproximar el nivel en que estos se cumplen actualmente con mayor precisin. Estos subcontroles tendrn asociados los niveles de madurez definidos en la actividad anterior. A1.3 Generacin de tablas del anlisis de riesgos: Se selecciona el listado de elementos de los artefactos asociados al anlisis de riesgos, as como las relaciones existentes entre ellos. A1.4 Generacin de tablas de la biblioteca de artefactos: Se selecciona el listado de elementos de los artefactos asociados a la generacin del SGSI, as como las relaciones existentes entre ellos. Este subproceso recibir como entradas: Conocimiento de los expertos adquirido durante otras implantaciones de SGSIs. (ej.: relaciones entre elementos, procedimientos, etc). Listados de elementos procedentes de otras normas, guas de buenas prcticas (ej.: ISO/IEC27002) o metodologas (ej.: Magerit v2).
Y generar como salida un esquema, que ser utilizado por los siguientes subprocesos y que se componen bsicamente de los siguientes elementos: Un subconjunto de elementos seleccionados de las listas de entrada. Una serie de matrices que relacionan entre s los principales elementos (controles, tipos de activos, vulnerabilidades, amenazas y criterios de riesgo) necesarios para la elaboracin de un anlisis de riesgos.
Una serie de matrices que relacionan entre s los principales elementos (controles, procedimientos, reglamentos, plantillas, registros, instrucciones tcnicas) necesarios para la generacin del SGSI. Todo este conjunto de artefactos, necesario para poder generar el sistema de gestin del sistema de informacin de la compaa, son incluidos en el repositorio de esquemas para el SGSI (ver Figura 4.7) que se actualiza constantemente con el nuevo conocimiento obtenido en cada nueva implantacin. 4.1.4.2. Descripcin breve del subproceso GSGS. La Generacin del Sistema de Gestin de Seguridad (GSGS), es el segundo subproceso y tiene como principal objetivo la generacin del SGSI mediante la seleccin del esquema ms adecuado para el tipo de compaa y la solicitud de informacin empresarial y tcnica a la empresa por medio de un interlocutor (Int), designado por la misma. En la Figura 4.9 se pueden ver los diferentes objetos que componen este subproceso.
A2.1 - Establecimiento del marco de trabajo del SGSI Interlocutor Organigrama

Entradas
Lista de Usuarios
A2.2 - Establecimiento del Nivel de Madurez Check-list del Perfil de la Empresa
Generacin del SGSI
Check-list de Controles
A2.3 - Realizacin del anlisis de riesgos Identificacin y valoracin de activos

Salidas
Identificacin y gestin de riesgos
A2.4 - Generacin del SGSI
SGSI
Figura 4.9. Artefactos que componen el subproceso GSGS. El subproceso GSGS para la generacin del SGSI se compone bsicamente de las siguientes actividades: A2.1 Establecimiento del marco de trabajo del SGSI: Se establecern las relaciones con la compaa, definiendo el interlocutor vlido y solicitando informacin de la misma: i) organigrama de la compaa; ii) usuarios con acceso al sistema de informacin y roles que desempean. A2.2 Establecimiento del nivel de madurez: o Se solicita mediante una entrevista de carcter empresarial, informacin relacionada con la compaa (nmero de empleados, facturacin, etc) con el objetivo de determinar el esquema que ms se adecua a ese tipo de compaa de los existentes en el repositorio de esquemas. o Se realizar una segunda entrevista de carcter tcnico, para determinar con detalle la situacin actual de la compaa con respecto a la gestin de la seguridad de su sistema de informacin.
115
116 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. A2.3 Realizacin del anlisis de riesgos: Se identificarn un conjunto de activos bsicos de grano grueso, determinando el coste (cualitativo y cuantitativo) que tendra para la organizacin su prdida. A partir del conjunto de activos se determinarn los riesgos de seguridad a que estn sometidos y se generara un plan para mitigar los riesgos de seguridad de una forma eficiente. A2.4 Generacin del SGSI: A partir de toda la informacin obtenida y del esquema seleccionado, se generan los elementos que conformarn el SGSI para la compaa. Este subproceso recibir las siguientes entradas: Informacin de la compaa sobre la que se desea realizar el SGSI: i) informacin empresarial; ii) interlocutor vlido para el desarrollo del SGSI; iii) organigrama de la compaa; iv) el listado de usuarios y los roles que desempean dentro del sistema de informacin de la compaa. El esquema ms adecuado para generar el SGSI a partir del perfil empresarial de la compaa y del repositorio de esquemas. Dos listas de verificacin: i) una lista de verificacin con informacin del negocio; ii) una lista de verificacin con informacin sobre el nivel de la gestin de la seguridad. Un listado de los activos asociados al sistema de informacin de la compaa, intentando agruparlos en el menor nmero de activos posibles (grano grueso), para reducir el coste de generacin y gestin del sistema de informacin.
Y generar las siguientes salidas, que contienen una descripcin completa del SGSI de la compaa: El nivel de madurez actual de la compaa con respecto a su sistema de gestin de seguridad de la informacin y hasta qu nivel de madurez debera progresar. Una matriz con los riesgos a los que estn sometidos los activos de la compaa. Un plan de mejora ordenado, que indica qu controles deben ser reforzados para que el nivel de seguridad de la compaa evolucione lo ms rpido posible.
Un conjunto de elementos que componen el SGSI de la compaa, que incluyen: i) un cuadro de mandos que indicara el nivel de seguridad para cada control relacionado con la gestin de seguridad de la compaa; ii) un conjunto de reglamentos, plantillas e instrucciones tcnicas vlidos para esa compaa en el momento actual; iii) un conjunto de mtricas; iv) un conjunto de usuarios, asociados a roles que podrn ejecutar en funcin de su perfil una serie de procedimientos para interactuar con el sistema de informacin de la compaa; v) y un conjunto de reglamentos que se deben cumplir para el buen funcionamiento del SGSI. Todo este conjunto de objetos, que componen el SGSI, son incluidos en el repositorio de SGSIs (ver Figura 4.3) y sern utilizados por la compaa para poder gestionar correctamente la seguridad del sistema de informacin.
4.1.4.3. Descripcin breve del subproceso MSGS. El Mantenimiento del Sistema de Gestin de Seguridad (MSGS) es el tercer subproceso definido en MGSMPYME y su principal propsito es permitir realizar el conjunto de tareas necesarias para poder trabajar con el SGSI, poder medir la evolucin del mismo y facilitar la obtencin de conocimiento para la mejora continua de los esquemas y los SGSI generados. En la Figura 4.10 se pueden ver los diferentes objetos que componen este subproceso.
Figura 4.10. Artefactos que componen el subproceso MSGS. El subproceso MSGS para el mantenimiento del SGSI se compone bsicamente de las siguientes actividades: A3.1 Obtener o renovar el certificado de cultura de seguridad: Se establecer un sistema que permita crear de forma progresiva una conciencia de seguridad
117
118 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. entre los usuarios del sistema de informacin, que garantice la calidad del mismo. A3.2 Ejecutar procedimientos del SGSI: Se ejecutarn procedimientos generales y especficos (ej.: procedimiento de denuncia) que permitirn mantener actualizado el SGSI de la compaa. A3.3 Seguimiento del cumplimiento del SGSI: Se dispondr de un conjunto de mtricas para mantener actualizado de forma dinmica y en tiempo real el cuadro de mandos de seguridad de la compaa, de forma que el responsable de seguridad podr tomar decisiones sin necesidad de esperar a la realizacin de una auditora externa.
Este subproceso recibir las siguientes entradas, procedentes del subproceso anterior: Un conjunto de usuarios y los roles que desempearn dentro del sistema de informacin, que determinarn a qu procedimientos tienen acceso. Un conjunto de reglamentos que se deben cumplir para el buen funcionamiento del SGSI. Un conjunto de procedimientos de seguridad, y los elementos (plantillas, registros, instrucciones tcnicas) asociados a los mismos. Un cuadro de mandos que indicara el nivel de seguridad para cada control relacionado con la gestin de seguridad de la compaa.
Y generar las siguientes salidas: Una serie de instancias de los procedimientos existentes, que se irn ejecutando a lo largo del tiempo y que permitirn gestionar y mantener el SGSI de la compaa. Un conjunto de mtricas que permitirn mantener actualizado el cuadro de mandos asociado al nivel de seguridad del sistema de gestin de seguridad de la informacin: i) un conjunto de mtricas generales; ii) mtricas especificas: periodicidad de los objetos, violaciones de seguridad, conciencia de seguridad y auditoras externas.
Estadsticas extradas del uso diario del SGSI por los usuarios del sistema de informacin, que se convertir en conocimiento para que los expertos en seguridad puedan elaborar nuevos esquemas y refinar los existentes. Toda la informacin de salida generada durante la vida til del SGSI, ser incluida en el repositorio de informacin del SGSI (ver Figura 4.3) y ser utilizada por la compaa para poder gestionar correctamente la seguridad del sistema de informacin y por el grupo de expertos de seguridad para mejorar los esquemas del subproceso GEGS.
4.1.5. Visin global.

En esta seccin se ofrece una visin global del conjunto de subprocesos, actividades y tareas que componen el proceso MGSMPYME (ver Tabla 4.1).
Proceso MGSMPYME
Subproceso P1 GEGS Generacin de esquemas para gestin de seguridad. Actividad A1.1: Generacin de tablas maestras. T1.1.1: Establecimiento de los roles del esquema. T1.1.2: Establecimiento de los sectores empresariales. T1.1.3: Establecimiento de los niveles de madurez. Actividad A1.2: Generacin de tablas del nivel de madurez. T1.2.1: Establecimiento de las reglas de madurez. T1.2.2: Establecimiento de los controles. Actividad A1.3: Generacin de tablas del anlisis de riesgos. T1.3.1: Seleccin de tipos de activos. T1.3.2: Seleccin de amenazas. T1.3.3: Seleccin de vulnerabilidades. T1.3.4: Seleccin de criterios de riesgo. T1.3.5: Establecimiento de relaciones entre tipos de activos y vulnerabilidades. T1.3.6: Establecimiento de relaciones entre amenazas y vulnerabilidades. T1.3.7: Establecimiento de relaciones entre amenazas y controles. T1.3.8: Establecimiento de relaciones entre tipos de activos, vulnerabilidades y criterios de riesgo. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos. T1.4.1: Seleccin de reglamentos. T1.4.2: Seleccin de procedimientos. T1.4.3: Seleccin de registros. T1.4.4: Seleccin de plantillas. T1.4.5: Seleccin de instrucciones tcnicas. T1.4.6: Seleccin de mtricas. T1.4.7: Establecimiento de relaciones entre reglamentos y artefactos. T1.4.8: Establecimiento de relaciones entre reglamentos y controles. T1.4.9: Establecimiento de relaciones entre artefactos y controles. T1.4.10: Establecimiento de relaciones entre procedimientos y artefactos.
119
120 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. Subproceso P2 GSGS Generacin del sistema de gestin de seguridad. Actividad A2.1: Establecimiento del marco de trabajo del SGSI. T2.1.1: Solicitud del interlocutor vlido. T2.1.2: Solicitud del organigrama de la compaa. T2.1.3: Obtencin de la lista de usuarios del sistema de informacin y sus roles. Actividad A2.2: Establecimiento del nivel de madurez. T2.2.1: Recogida de informacin empresarial. T2.2.2: Recogida de informacin tcnica del sistema de informacin. T2.2.3: Obtencin del nivel de madurez de la seguridad. Actividad A2.3: Realizacin del anlisis de riesgos. T2.3.1: Identificacin de activos. T2.3.2: Generacin de la matriz de riesgos y el plan de mejora. Actividad A2.4: Generacin del SGSI. T2.4.1: Generacin de los objetos del SGSI. T2.4.2: Presentacin de resultados al interlocutor. Subproceso P3 MSGS Mantenimiento del sistema de gestin de seguridad. Actividad A3.1: Obtener o renovar el certificado de cultura de seguridad. T3.1.1: Realizacin del test de cultura de seguridad. Actividad A3.2: Ejecutar procedimientos del SGSI. T3.2.1: Activar procedimiento general. T3.2.2: Activar procedimiento de denuncia. Actividad A3.3: Seguimiento del cumplimiento del SGSI. T3.3.1: Gestionar el cuadro de mandos de seguridad. T3.3.2: Gestionar la periodicidad de los procedimientos. T3.3.3: Gestionar las violaciones de seguridad. T3.3.4: Gestionar los certificados de cultura de la seguridad. T3.3.5: Realizacin de auditoras peridicas. T3.3.6: Realizacin de mtricas generales. T3.3.7: Gestionar el sistema de alertas. Tabla 4.1. Resumen de subprocesos, actividades y tareas de MGSMPYME.
4.2. Subproceso P1: GEGS Generacin de esquemas. ___________________________ 121
4.2. Subproceso P1: GEGS Generacin de esquemas.

El principal objetivo de este subproceso es permitir la generacin de un esquema (estructura formada por los principales elementos que intervienen en un SGSI y sus relaciones para un determinado tipo de compaas que comparten caractersticas comunes mismo sector y mismo tamao) que pueda ser utilizado posteriormente para reducir los tiempos y costes de generacin de un SGSI para una compaa. En la Figura 4.11 se puede ver el esquema bsico de entradas, actividades y salidas que componen este subproceso: Entradas: Como entradas se recibir el conocimiento del grupo de expertos del dominio de seguridad (GED) obtenido durante el proceso de implantacin de SGSIs, este conocimiento es recurrente e incremental durante todo el ciclo de vida de la metodologa. La segunda de las entradas estar formada por un conjunto de elementos procedentes de normativas, guas de buenas prcticas y otras metodologas existentes que sern utilizadas junto con un esquema para la construccin de un SGSI. Actividades: El subproceso estar formado por cuatro actividades. La actividad A1.2 no podr realizarse hasta la finalizacin de la A1.1 ya que requiere de elementos generados por sta para su correcto funcionamiento. La actividad A1.3 y A1.4 dependen de elementos generados por la A1.2, por lo que tendrn que esperar a la finalizacin de la misma. Entre las actividades A1.3 y A1.4 no existen dependencias temporales por lo que pueden ejecutarse de forma paralela. En las siguientes subsecciones se detallarn estas actividades. Salidas: La salida producida por este subproceso consistir en un esquema completo formado por todos los elementos necesarios para construir un SGSI y las relaciones existentes entre estos elementos.
Entradas Actividades Salidas
Conocimiento de expertos en seguridad ESGSI Esquema Normativas, metodologas, guas asociadas a la gestin de la seguridad
Figura 4.11. Esquema simplificado a nivel de actividad del subproceso GEGS. El generador de esquemas se puede considerar como una de las principales aportaciones de la metodologa desarrollada. As mismo representa un potente banco de pruebas para poder analizar diferentes configuraciones de SGSI sobre los modelos desarrollados, ya que permite estudiar en detalle cmo influye el elegir unos elementos u otros, o diferentes relaciones a la hora de generar un SGSI y posteriormente interactuar con l. En la Figura 4.12 se pueden ver las actividades del subproceso de forma mucho ms detallada, viendo cmo interactan stas con el repositorio de esquemas encargado
121
122 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. de contener los elementos que conforman los diferentes esquemas del sistema. Aunque existen dependencias entre las diferentes actividades, no existen entregables entre ellas, ya que el resultado de cada actividad es almacenado en el repositorio, de forma que la siguiente actividad obtiene los datos necesarios del mismo.
Figura 4.12. Esquema detallado a nivel de actividad del subproceso GEGS. Actualmente el repositorio de esquemas se compone de un solo esquema denominado esquema base (EB). Este esquema ha sido obtenido mediante el conocimiento adquirido por el grupo de expertos del dominio (GED) y el posterior refinamiento por medio de la aplicacin de la metodologa en diversos clientes de la empresa SNT (como parte del grupo crtico de referencia). Su principal utilidad es servir de base para la creacin de nuevos esquemas ms especializados, con el objetivo de evitar que se tengan que crear esquemas desde cero, lo que supondra un enorme esfuerzo.
4.2.1. Objetivos.
Los principales objetivos que se han perseguido durante el desarrollo de las actividades que conforman este subproceso han sido: Incorporacin de los controles y niveles de madurez necesarios para establecer el adecuado nivel de seguridad. Incorporacin de los elementos necesarios para la realizacin del proceso de anlisis y gestin del riesgo (tipos de activos, amenazas, vulnerabilidades y criterios de riesgo). Incorporacin de los elementos necesarios para la realizacin del proceso de generacin de un SGSI (procedimientos, reglamentos, plantillas, registros, instrucciones tcnicas y mtricas). Establecer relaciones entre los diferentes elementos seleccionados, con el objetivo de automatizar tareas. Promover la reusabilidad de los esquemas mediante la asociacin de los mismos a compaas con caractersticas comunes (mismo sector de actividad empresarial, mismo tamao), con el objetivo de reducir los tiempos y costes de generacin de un SGSI.
4.2.2. Entrada y salida.

La generacin de esquemas es un subproceso cuyas entradas se componen de: Una seleccin de roles o perfiles asociados a tareas de un sistema de informacin. Slo aquellos usuarios de la compaa que se asocien con uno de esos roles se vern afectados por el SGSI. Un usuario puede tener asignados varios roles. Los roles son muy importantes dado que el correcto funcionamiento de los procedimientos del SGSI se apoya en ellos. Para la creacin de esta parte del esquema base, y al estar la metodologa orientada a PYMES, se han seleccionado un subconjunto de los roles propuestos por ISACA en COBIT (COBITv4.0, 2006). Una seleccin de sectores de actividad empresarial: Los sectores de actividad representan una divisin de empresas en grupos, segn el trabajo que realizan. Para la creacin de esta parte del esquema base, y al estar la metodologa orientada a PYMES, se ha utilizado la lista de sectores propuesta por el gobierno Espaol en el cdigo nacional de actividades econmicas Espaol (CNAE) en su nivel ms general. Una seleccin de posibles niveles de madurez: Estos niveles permitirn determinar diferentes niveles de evolucin de la gestin de la seguridad en el sistema de informacin. La metodologa est preparada para soportar el nmero de niveles de madurez que se deseen. Para la creacin de esta parte del esquema base, y al estar la metodologa orientada a PYMES, se han tenido en cuenta las investigaciones realizadas por (Eloff y Eloff, 2003) que proponen un modelo de madurez formado por 4 niveles, y las de Areiza (Areiza, et al., 2005b) y Vicente Aceituno (ISM3, 2007) que proponen modelos de 5 niveles, utilizando finalmente un modelo de 3 niveles parecido al propuesto (Eloff y Eloff, 2003), al ser este el que mejores resultados ha arrojado en las investigaciones.
123
124 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. Un conjunto de reglas de madurez y sus valores: Este conjunto de reglas de madurez se utilizarn para definir el nivel de seguridad deseable para la compaa, es decir, el mximo nivel de madurez que debera poder alcanzar en base a sus caractersticas estructurales. Para desarrollar el esquema base se ha utilizado un conjunto bsico de preguntas, obtenidas a partir del estudio realizado de los datos econmicos de las empresas aportadas en el INE. Parte del estudio realizado con los informes estadsticos obtenidos del INE se muestra en la subseccin 4.5.1.1 de este captulo. Una seleccin de posibles subcontroles, controles, objetivos de control y secciones asociados a niveles de madurez: Este conjunto de controles representan las salvaguardas que actuarn y se medirn para gestionar la seguridad del sistema de informacin a lo largo de todo el ciclo de vida. Los controles seleccionados sern utilizados para medir el nivel de seguridad actual de la compaa y sern utilizados en el anlisis de riesgos y la generacin del SGSI. Para la creacin de esta parte del esquema base se ha utilizado un conjunto de controles extrados de la gua de buenas prcticas ISO/IEC27002 (ISO/IEC27002, 2007). Un conjunto de listados asociados con los artefactos del anlisis de riesgos (tipos de activos, vulnerabilidades, amenazas y criterios de riesgo): Estos elementos servirn para evaluar el riesgo al que estn sometidos los activos de la compaa. El contenido de este conjunto de artefactos y las relaciones que se establecern entre ellos es necesario para la realizacin del anlisis de riesgos. La creacin de los elementos que componen esta parte del esquema base se ha basado en el contenido de la metodologa de anlisis de riesgos Magerit (MageritV2, 2005) y el estndar ISO/IEC27005 (ISO/IEC27005, 2008). Un conjunto de listados asociados con los artefactos de generacin del SGSI (reglamentos, procedimientos, plantillas, registros, instrucciones tcnicas y mtricas): Estos elementos sern los que definirn qu y cmo deben operar e interactuar los usuarios con el sistema de informacin de la compaa para una correcta gestin de seguridad. La creacin de los elementos que componen est parte del esquema base se ha basado en: i) el contenido de la gua de buenas prcticas ISO/IEC27002 (ISO/IEC27002, 2007) para el desarrollo de los procedimientos, reglamentos, registros, plantillas e instrucciones tcnicas; ii) el contenido del estndar ISO/IEC27004 (ISO/IEC27004, 2009) para el desarrollo de los elementos de las mtricas y el cuadro de mandos; y iii) el contenido del estndar ISO/IEC27001 (ISO/IEC27001, 2005) para determinar las relaciones a establecer entre los diferentes elementos de la metodologa.
Mediante estas entradas y el conocimiento del arquitecto en gestin de la seguridad AGS y del grupo de expertos del dominio (GED), se generar un esquema que se almacenar en el repositorio de esquemas y que estar formado por los siguientes elementos: Un subconjunto de los elementos de entrada: Incluir los niveles de madurez que tendr el sistema, o los sectores a los que afectar el esquema, controles que se tendrn en cuenta para establecer el nivel madurez de seguridad actual, y reglas que se utilizarn para obtener el nivel de madurez.
Una serie de matrices de asociacin que permiten reducir el tiempo de generacin del SGSI y que relacionan entre s los elementos seleccionados en las entradas. Estas matrices se dividen en dos tipos: o Anlisis de riesgos: Permiten reducir el tiempo de generacin del anlisis de riesgos, aunque la precisin obtenida es menor que con otras metodologas como Magerit (MageritV2, 2005), pero la calidad de los resultados obtenidos es suficiente para el caso de las PYMES. o Generacin del SGSI: Permiten que el sistema pueda generar un SGSI adecuado para la compaa, minimizando la intervencin de un consultor de seguridad (CoS) y el coste asociado al mismo. Todo este conjunto de elementos, necesarios para poder generar el sistema de gestin del sistema de informacin de la compaa, son incluidos en el repositorio de esquemas para el SGSI (ver Figura 4.12), junto con las relaciones existentes entre ellos que representan parte del conocimiento prctico aportado por el grupo de expertos del dominio (GED). Los esquemas se encuentran en constante evolucin, actualizndose con los nuevos conocimientos obtenidos por el arquitecto en gestin de la seguridad (AGS) y el grupo de expertos del dominio (GED) en cada nueva implantacin.
4.2.3. Actores.
En la Tabla 4.2 se muestra en qu actividades y tareas tendrn que intervenir cada uno de los tipos de actores definidos en la metodologa. En el subproceso GEGS participarn los siguientes tipos de actores: arquitecto en gestin de la seguridad (AGS) y el grupo de expertos del dominio (GED). MGSMPYME GEGS A2.1: Establecimiento del marco de trabajo del SGSI.
T2.1.1 AGS, GED T2.2.1 AGS, GED T2.3.1 AGS, GED T2.1.2 AGS, GED T2.2.2 AGS, GED T2.3.2 AGS, GED T2.4.1 AGS, GED T2.4.2 AGS, GED T2.1.3 AGS, GED T2.2.3 AGS, GED T2.3.3 AGS, GED
A2.2: Establecimiento del nivel de madurez.
A2.3: Realizacin del anlisis de riesgos.
A2.4: Generacin del SGSI.
Tabla 4.2. Intervencin de los actores en el subproceso GEGS
125
4.2.4. Actividades.
A continuacin se describirn en detalle las entradas, salidas, relaciones y objetivos de cada una de las diferentes actividades y tareas que componen el subproceso GEGS de la metodologa MGSMPYME. 4.2.4.1. Actividad A1.1: Generacin de tablas maestras. El principal objetivo de esta actividad es determinar cules son los elementos de carcter general que ms pueden adecuarse al esquema que se esta creando. En la Figura 4.13 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibir el conocimiento del grupo de expertos del dominio de seguridad (GED) obtenido durante el proceso de implantacin de SGSIs, y un conjunto de: i) roles (para el esquema base se han utilizados los propuestos por ISACA); ii) sectores empresariales (para el esquema base se han utilizado los propuestos en el CNAE); iii) niveles de madurez (para el esquema base se ha aplicado una variacin cercana a la propuesta por (Eloff y Eloff, 2003)). Tareas: El subproceso estar formado por tres tareas independientes unas de otras. Estas tareas son: i) establecimiento de los roles del esquema; ii) establecimiento de los sectores empresariales; y iii) establecimiento de los niveles de madurez. En las siguientes subsecciones se detallarn estas tareas. Salidas: La salida producida por este subproceso consistir en un subconjunto de los elementos de entrada, que se almacenarn en el repositorio de esquemas y que se corresponden con la primera parte de los elementos de los que se compondr el esquema que se quiere generar.
Figura 4.13. Esquema simplificado a nivel de de tarea de la actividad A1.1. En la Figura 4.14 se pueden ver las tareas de la actividad de forma mucho ms detallada, viendo cmo interactan stas con el repositorio de esquemas encargado de contener los elementos que conforman los diferentes esquemas del sistema. No existen entregables entre las diferentes tareas, ya que el resultado de cada tarea es almacenado en el repositorio, para que puedan ser utilizados por otras tareas.
Lista de N. Madurez
Lista de Sectores
Lista de Roles
Conocimiento de expertos en seguridad
sP1 GEGS A1.1

Establecimiento de los roles del esquema
Entrada Entregable Tarea Repositorio Flujo Informacin
SubLista Roles
Flujo Proceso
Establecimiento de los sectores empresariales

SubLista Sectores
Repositorio de Esquemas
SubLista N.Madurez
Establecimiento de los Niveles de Madurez
Figura 4.14. Esquema detallado a nivel de tarea de la actividad A1.1.
4.2.4.1.1. Tarea T1.1.1 Establecimiento de los roles del esquema. La tarea T1.1.1 (Tabla 4.3) se ocupa de seleccionar la lista inicial roles que se asociarn con actividades del sistema de informacin.
Subproceso P1: GEGS Tarea T1.1.1: Establecimiento de los roles del esquema. Objetivos El objetivo de esta tarea es seleccionar un subconjunto de roles que se utilizarn para la generacin de un esquema, a partir de todos los roles que se han identificado en diferentes sistemas y metodologas. Productos de entrada Listado de todos los tipos de roles propuestos por diferentes sistemas. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.1: Generacin de tablas maestras.
Participantes
Tabla 4.3. Tarea T1.1.1 Establecimiento de los roles del esquema.

127
En el esquema base desarrollado con la metodologa se ha partido de la lista de roles para sistemas de la informacin, extrados de otras metodologas como COBIT (COBITv4.0, 2006) de ISACA y del conocimiento adquirido por el arquitecto de gestin de la seguridad (AGS) y el grupo de expertos del dominio (GED) para seleccionar los que ms se adecuan al caso de las PYMES. Para la elaboracin del esquema base se ha seleccionado un subconjunto de dichos roles, que se vern en detalle en el captulo 6 al analizar el caso de estudio. 4.2.4.1.2. Tarea T1.1.2 Establecimiento de los sectores empresariales. La tarea T1.1.2 (Tabla 4.4) se ocupa de seleccionar la lista inicial de sectores de actividad empresarial que permita incluir a cualquier tipo de compaa.
Subproceso P1: GEGS Tarea T1.1.2: Establecimiento de los sectores empresariales. Objetivos El objetivo de esta tarea es seleccionar un subconjunto de sectores para los que ser vlido un esquema definido. Productos de Entrada Estado de sectores por actividad empresarial. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.1: Generacin de tablas maestras.
Participantes
Tabla 4.4. Tarea T1.1.2 Establecimiento de los sectores empresariales. En la elaboracin del esquema base se utiliz como conjunto de sectores por actividad empresarial recomendado por la metodologa el del CNAE Espaol nivel 1, que tiene 59 grupos de actividades empresariales, ya que el nivel de detalles de otros niveles superiores era demasiado grande para el caso de las PYMES (220 grupos de actividad empresarial en el caso del CNAE nivel2, 501 grupos de actividad empresarial en el caso del CNAE nivel3).
4.2.4.1.3. Tarea T1.1.3 Establecimiento de los niveles de madurez. La tarea T1.1.3 (Tabla 4.5) se ocupa de seleccionar el nmero de niveles de madurez del SGSI de la compaa.
Subproceso P1: GEGS Tarea
Actividad A1.1: Generacin de tablas maestras.
T1.1.3: Establecimiento de los niveles de madurez. Objetivos El objetivo de esta tarea es seleccionar el nmero de niveles de madurez adecuado para el SGSI de la compaa. Productos de entrada Listado de diferentes niveles de madurez. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas
Participantes
Tabla 4.5. Tarea T1.1.3 Establecimiento de los niveles de madurez. Para el esquema base desarrollado se analizaron diferentes modelos de madurez basados en tres, cuatro y cinco niveles (Eloff y Eloff, 2003, Areiza, et al., 2005b, ISM3, 2007). An cuando la metodologa propuesta admite cualquier nmero de niveles de madurez, los resultados de las investigaciones realizadas durante la elaboracin de la metodologa permitieron determinar que el nmero de niveles de madurez que ms se adecua al caso de las PYMES era de tres. 4.2.4.2. Actividad A1.2: Generacin de tablas del nivel de madurez. El principal objetivo de esta actividad es determinar los controles y reglas de madurez que ms pueden adecuarse al esquema que se est creando, y que sern utilizados posteriormente para determinar el nivel de madurez de la seguridad de la compaa actualmente y hasta qu nivel de madurez sera aconsejable que evolucionase. En la Figura 4.13 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibir el conocimiento del grupo de expertos del dominio de seguridad (GED) obtenido durante el proceso de implantacin de SGSIs, los niveles de madurez obtenidos en la tarea T1.1.3 y un conjunto de: i) reglas de madurez, que se utilizarn para definir el nivel de seguridad deseable para la compaa, es decir, el mximo nivel de madurez que debera poder alcanzar en base a sus caractersticas estructurales (para el esquema base se han obtenido a partir de un estudio realizado sobre datos del INE y mostrado en el apartado 4.5.1.1); ii) controles de seguridad (para el esquema base se han utilizados los propuestos en la gua de buenas prcticas de la ISO/IEC27002 (ISO/IEC27002, 2007)).
129
130 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. Tareas: El subproceso estar formado por dos tareas independientes, que tendrn que seleccionar los elementos que posteriormente se utilizarn para determinar el nivel de madurez actual y deseable para la compaa. Estas tareas son: i) establecimiento de las reglas de madurez, establecimiento de los controles. En las siguientes subsecciones se detallarn estas tareas. Salidas: La salida producida por este subproceso consistir en un subconjunto de los elementos de entrada, los cuales se almacenarn en el repositorio de esquemas y que se corresponden con la segunda parte de los elementos de los que se compondr el esquema que se quiere generar.
1 Parte del Esquema
2 Parte del Esquema
Lista de controles y reglas de madurez
Figura 4.15. Esquema simplificado a nivel de tarea de la actividad A1.2. En la Figura 4.16 se pueden ver las tareas de la actividad de forma mucho ms detallada, viendo como interactan stas con el repositorio de esquemas encargado de contener los elementos que conforman los diferentes esquemas del sistema. No existen entregables entre las diferentes tareas, ya que el resultado de cada tarea es almacenado en el repositorio, para que puedan ser utilizados por otras tareas.
4.2.4.2.1. Tarea T1.2.1 Establecimiento de las reglas de madurez. La tarea T1.2.1 (Tabla 4.6) se ocupa de seleccionar el conjunto de reglas que permitirn posteriormente establecer el nivel de madurez de la seguridad del sistema de informacin ms adecuado para la compaa.
Subproceso P1: GEGS Tarea T1.2.1: Establecimiento de las reglas de madurez. Objetivos El objetivo de esta tarea es definir el conjunto de reglas que permitirn determinar el nivel de madurez que la compaa debera alcanzar en base a su estructura empresarial, para evitar sobrecargar la gestin de la seguridad del sistema de informacin de la compaa, as como los posibles valores que podrn tener estas reglas. Productos de entrada Listado de diferentes reglas de madurez. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.2: Generacin de tablas asociadas al nivel de madurez.
Participantes
Tabla 4.6. Tarea T1.2.1 Establecimiento de las reglas de madurez. El esquema base se ha desarrollado inicialmente con un sencillo conjunto de seis de reglas con tres a cuatro valores seleccionables cada una. Este conjunto, aunque sencillo, se ha mostrado eficiente a la hora de determinar el nivel de madurez adecuado para las PYMES.
4.2.4.2.2. Tarea T1.2.2 Establecimiento de los controles. La tarea T1.2.2 (Tabla 4.7) se ocupa de seleccionar un conjunto de controles que servirn posteriormente para diversas tareas: i) servir de salvaguardas para el SGSI; ii) medir el nivel de madurez de la gestin de la seguridad actual de la compaa; iii) establecer un plan de mejora de la gestin de la seguridad; iv) y seleccionar los elementos que compondrn el SGSI de la compaa. Con el objetivo de obtener una mayor precisin a la hora de determinar el cumplimiento de los controles, estos son divididos en subcontroles que permitan determinar con la mayor precisin posible el cumplimiento o no de un aspecto de seguridad muy concreto. La idea de dividir en el mayor nmero posible de preguntas
131
132 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. cada control de la norma est orientada a obtener la mayor precisin con la menor complejidad. Con el uso de subcontroles, los usuarios slo tienen que responder con una sencilla lista de valores (no aplica, si, parcialmente, no) a cada una de la preguntas, permitiendo obtener un nivel de cumplimiento de los controles [0 100%] mucho ms preciso que si las cuestiones se realizaran a nivel de control.
Subproceso P1: GEGS Tarea T1.2.2: Establecimiento de los controles. Objetivos El objetivo de esta tarea es establecer una estructura de controles dividida en niveles que permita medir con gran precisin el nivel de seguridad actual de la compaa. Productos de entrada Listado de secciones, objetivos de control, controles y subcontroles. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.2: Generacin de tablas asociadas al nivel de madurez.
Participantes
Tabla 4.7. Tarea T1.2.2 Establecimiento de los controles. Para el desarrollo del esquema base se ha utilizado la gua de buenas prcticas ISO/IEC27002 (ISO/IEC27002, 2007), de la cual se ha extrado la lista de controles, obteniendo 896 subcontroles que permiten determinar de forma muy precisa la seguridad del sistema de informacin de una compaa. Inicialmente la investigacin se realizo con la gua de buenas prcticas ISO/IEC17799:2000 (ISO/IEC17799, 2000) obteniendo un cuestionario de 735 preguntas o subcontroles. Aunque el nmero de subcontroles puede parecer muy elevado para el caso de las PYMES, no es as dado que es una tarea que se realiza una sola vez a lo largo del SGSI y que las preguntas y respuestas requeridas son muy sencillas. 4.2.4.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos. El principal objetivo de esta actividad es seleccionar los elementos necesarios para poder realizar, en actividades posteriores de la metodologa, un anlisis de riesgo bsico y de bajo coste sobre los activos que componen el sistema de informacin de la compaa que se adapte a los requerimientos de las PYMES. Esta actividad est basada en el principio de que los elementos que participan en un anlisis de riesgos y sus relaciones tienen un alto grado de coincidencia cuando se aplican en PYMES que tienen caractersticas parecidas (mismo sector y mismo tamao), por lo que se pueden establecer dichas relaciones a priori eliminando el coste de tener
que analizarlas una por una mediante una labor de consultora en cada caso. An cuando existan diferencias entre unas y otras, stas son irrelevantes con respecto a la configuracin final del SGSI obtenido para el caso de las PYMES, dado que este tipo de empresas priorizan el coste a obtener un resultado con un alto grado de precisin. Aunque el anlisis de riesgos es una de las partes fundamentales en la norma ISO/IEC27001 (ISO/IEC27001, 2005) y se encuentra descrita en detalle en el estndar ISO/IEC27005 (ISO/IEC27005, 2008), el principal objetivo del anlisis de riesgos incluido en la metodologa desarrollada es que sea lo menos costoso posible, utilizando una serie de tcnicas y matrices predefinidas, aunque obteniendo un resultado con la suficiente calidad. En la Figura 4.17 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibir el conocimiento del grupo de expertos del dominio de seguridad (GED) obtenido durante el proceso de implantacin de SGSIs, los controles seleccionados en la tarea T1.2.2 que se encuentran almacenados en el repositorio de esquemas y un conjunto de elementos (tipos de activos, amenazas, vulnerabilidades y criterios de riesgo) necesarios para elaboracin del anlisis de riesgos (en el esquema base desarrollado la seleccin de estos elementos se ha basado en el contenido de la metodologa de anlisis de riesgos Magerit (MageritV2, 2005) y del estndar ISO/IEC27005 (ISO/IEC27005, 2008)).
Figura 4.17. Esquema simplificado a nivel de tarea de la actividad A1.3. Tareas: El subproceso estar formado por ocho tareas. Estas tareas son: i) seleccin de tipos de activos; ii) seleccin de amenazas; iii) seleccin de vulnerabilidades; iv) seleccin de criterios de riesgo; v) establecimiento de relaciones entre tipos de activos y vulnerabilidades; vi) establecimiento de relaciones entre amenazas y vulnerabilidades; vii) establecimiento de relaciones entre amenazas y controles; viii) establecimiento de relaciones entre tipos de activos, vulnerabilidades y criterios de riesgo. Las cuatro primeras tareas son independientes y permiten seleccionar los elementos de entrada. Las otras cuatro tareas se ocupan de establecer las relaciones existentes entre las familias de elementos de las tareas T1.3.1 a T1.3.4. Estas relaciones se establecen a partir del conocimiento del grupo de expertos del
133
134 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. dominio (GED) y de los continuos refinamientos obtenidos de la implantacin de la metodologa. En las siguientes subsecciones se detallarn estas tareas. Salidas: La salida producida por este subproceso consistir en un subconjunto de los elementos de entrada y las relaciones establecidas entre ellos, los cuales se almacenarn en el repositorio de esquemas y que se corresponden con la tercera parte de los elementos de los que se compondr el esquema que se quiere generar. En la Figura 4.18 se pueden ver las tareas de la actividad de forma mucho ms detallada, mostrando cmo interactan stas con el repositorio de esquemas encargado de contener los elementos que conforman los diferentes esquemas del sistema. No existen entregables entre las diferentes tareas, ya que el resultado de cada tarea es almacenado en el repositorio, para que puedan ser utilizados por otras tareas.
A continuacin, se analizarn uno por uno los diferentes elementos (tipos de activos, amenazas, vulnerabilidades, impactos y riesgo y matrices de asociacin) de los que se compone el anlisis de riesgos propuesto en la nueva metodologa y los valores que estos elementos pueden tomar.
4.2.4.3.1. Tarea T1.3.1 Seleccin de tipos de activos. La tarea T1.3.1 (Tabla 4.8) se ocupa de seleccionar el conjunto de tipos de activos que formarn parte del esquema que se est construyendo. Los tipos de activos se utilizarn posteriormente para diversas tareas: i) agrupar los activos del sistema de informacin; ii) se relacionarn con otros elementos del anlisis de riesgos para facilitar la automatizacin del mismo. El conjunto de tipos de activos ser seleccionado en base a las metodologas, normas, etc que se determinen como entradas de la tarea y al conocimiento adquirido por el grupo de expertos del domino (GED) a lo largo de la implantacin
Subproceso P1: GEGS Tarea T1.3.1: Seleccin de tipos de activos. Objetivos Seleccionar el conjunto de tipos de activos vlidos para el esquema que se est creando para un conjunto de compaas determinado. Productos de entrada Listado de tipos de activos. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.3: Generacin de tablas asociadas al anlisis de riesgos.
Participantes
Tabla 4.8. Tarea T1.3.1 Seleccin de tipos de activos. La seleccin del conjunto de tipos de activos que conforma el esquema base est basado en la metodologa de anlisis de riesgos Magerit (MageritV2, 2005) y en el estndar ISO/IEC27005 (ISO/IEC27005, 2008). Para el esquema actual se ha definido un conjunto de 23 tipos de activos (ver Tabla B.16).
4.2.4.3.2. Tarea T1.3.2 Seleccin de amenazas. La tarea T1.3.2 (Tabla 4.9) se ocupa de seleccionar el conjunto de amenazas que formarn parte del esquema que se est construyendo. Una amenaza se define como un
135
136 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. evento que puede desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos (MageritV2, 2005). Estas amenazas se relacionarn en tareas posteriores con otros elementos del anlisis de riesgos, con el objetivo de poder automatizar y reducir los costes a la hora de evaluar el riesgo al que estn sometidos los activos de un sistema de informacin. El conjunto de amenazas ser seleccionado en base a las metodologas, normas, etc que se determinen como entradas de la tarea y al conocimiento adquirido por el grupo de expertos del domino (GED) a lo largo de la implantacin
Subproceso P1: GEGS Tarea T1.3.2: Seleccin de amenazas. Objetivos Seleccionar el conjunto de amenazas vlidas para el esquema que se est creando para un conjunto de compaas determinado. Productos de entrada Listado de amenazas. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.3: Generacin de tablas asociadas al anlisis de riesgos.
Participantes
Tabla 4.9. Tarea T1.3.2 Seleccin de tipos de amenazas. La seleccin del conjunto de amenazas que conforma el esquema base est basada en la metodologa de anlisis de riesgos Magerit (MageritV2, 2005) y en el estndar ISO/IEC27005 (ISO/IEC27005, 2008). Estas amenazas estn agrupadas en un conjunto de categoras: naturales, accidentales, ataques intencionados, errores no intencionados, personal. Para el esquema actual se han definido un conjunto de 51 amenazas asociadas a 6 tipos de amenazas (ver Tabla B.17).
4.2.4.3.3. Tarea T1.3.3 Seleccin de vulnerabilidades. La tarea T1.3.3 (Tabla 4.10) se ocupa de seleccionar el conjunto de vulnerabilidades que formarn parte del esquema que se est construyendo. Una vulnerabilidad se define como una debilidad o falta de control que permitira o facilitara que una amenaza actuase contra un activo del sistema que presenta la citada debilidad (MageritV2, 2005). Estas vulnerabilidades se relacionarn en tareas posteriores con otros elementos del anlisis de riesgos, con el objetivo de poder automatizar y reducir los costes a la hora de evaluar el riesgo al que estn sometidos los activos de un sistema de informacin.
El conjunto de vulnerabilidades ser seleccionado en base a las metodologas, normas, etc, que se determinen como entradas de la tarea y al conocimiento adquirido por el grupo de expertos del domino (GED) a lo largo de la implantacin
Subproceso P1: GEGS Tarea T1.3.3: Seleccin de vulnerabilidades. Objetivos Seleccionar el conjunto de vulnerabilidades vlidas para el esquema que se est creando para un conjunto de compaas determinado. Productos de entrada Listado de vulnerabilidades. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.3: Generacin de tablas asociadas al anlisis de riesgos.
Participantes
Tabla 4.10. Tarea T1.3.3 Seleccin de tipos de vulnerabilidades. La seleccin del conjunto de vulnerabilidades que conforma el esquema base est basada en la metodologa de anlisis de riesgos Magerit (MageritV2, 2005) y en el estndar ISO/IEC27005 (ISO/IEC27005, 2008). Para el esquema actual se han definido un conjunto de 48 vulnerabilidades (ver Tabla B.18).
4.2.4.3.4. Tarea T1.3.4 Seleccin de criterios de riesgo. La tarea T1.3.4 (Tabla 4.11) se ocupa de seleccionar el conjunto de criterios de riesgo que formarn parte del esquema que se est construyendo. Los criterios de riesgo se definen como aquellos criterios que permiten estimar el grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la organizacin. Estos criterios de riesgo se relacionarn en tareas posteriores con otros elementos del anlisis de riesgos, con el objetivo de poder automatizar y reducir los costes a la hora de evaluar el riesgo al que estn sometidos los activos de un sistema de informacin. El conjunto de criterios de riesgo ser seleccionado en base a las metodologas, normas, etc que se determinen como entradas de la tarea y al conocimiento adquirido por el grupo de expertos del domino (GED) a lo largo de la implantacin
137

Subproceso P1: GEGS Tarea T1.3.4: Seleccin de criterios de riesgo. Objetivos Seleccionar el conjunto de criterios de riesgo vlidos para el esquema que se est creando para un conjunto de compaas determinado. Productos de entrada Listado de criterios de riesgo. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.3: Generacin de tablas asociadas al anlisis de riesgos.
Participantes
Tabla 4.11. Tarea T1.3.4 Seleccin de criterios de riesgo. La seleccin del conjunto de criterios de riesgo que conforma el esquema base est basada en la metodologa de anlisis de riesgos Magerit (MageritV2, 2005) y en el estndar ISO/IEC27005 (ISO/IEC27005, 2008), aunque se ha simplificado ya que el conjunto ofrecido por Magerit (MageritV2, 2005) se muestra demasiado complejo para la estructura sencilla de las PYMES, por lo que para el modelo se han seleccionado los ms importantes, prescindiendo del resto (aunque la metodologa puede soportar un conjunto de criterios de riesgo ms complejo). El conjunto de criterios de riesgo definidos para el esquema base esta formado por cuatro elementos: Confidencialidad: Caracterstica que evita el acceso o la divulgacin de informacin a individuos o procesos no autorizados. Integridad: La integridad est vinculada a la fiabilidad funcional del sistema de informacin, su eficacia para cumplir las funciones del sistema. Disponibilidad: Caracterstica que previene la denegacin no autorizada de accesos a los activos. Legalidad: Se trata de evaluar la importancia del activo con respecto al cumplimiento de la legislacin vigente.
4.2.4.3.5. Tarea T1.3.5 Establecer relaciones entre tipos de activos y vulnerabilidades. La tarea T1.3.5 (Tabla 4.12) se ocupa de establecer las relaciones existentes entre los elementos que componen el conjunto de tipos de activos y los elementos que componen el conjunto de vulnerabilidades para un esquema determinado.
El objetivo principal de este conjunto de asociaciones es establecer relaciones entre los elementos del SGSI para poder realizar una evaluacin del riesgo de bajo coste en la actividad A2.3. Estas asociaciones se establecen por el grupo de expertos del dominio (GED) en base al conocimiento adquirido en diferentes implantaciones del SGSI.
Subproceso P1: GEGS Tarea T1.3.5: Establecimiento de relaciones entre tipos de activos y vulnerabilidades. Objetivos El objetivo es establecer las relaciones entre el conjunto de tipos de activos y el conjunto de vulnerabilidades con el objetivo de reducir los costes de generacin del anlisis de riesgo en actividades posteriores. Productos de entrada Listado de tipos de activos vlidos para el esquema. Listado de vulnerabilidades vlidas para el esquema. Matriz de asociacin entre el listado de activos y vulnerabilidades. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Actividad A1.3: Generacin de tablas asociadas al anlisis de riesgos.
Productos de salida Tcnicas, prcticas y pautas
Participantes
Tabla 4.12. Tarea T1.3.5 Establecim. de relaciones entre t.activosvulnerabilid. Para el esquema base actual, se han establecido 237 (Tabla B.20) relaciones entre el conjunto de tipos de activos y el conjunto de vulnerabilidades del esquema, en base al conocimiento adquirido a lo largo de la tesis doctoral.
4.2.4.3.6. Tarea T1.3.6 Establecer relaciones entre amenazas y vulnerabilidades. La tarea T1.3.6 (Tabla 4.13) se ocupa de establecer las relaciones existentes entre los elementos que componen el conjunto de amenazas y los elementos que componen el conjunto de vulnerabilidades para un esquema determinado. El objetivo principal de este conjunto de asociaciones es establecer relaciones entre los elementos del SGSI para poder realizar una evaluacin del riesgo de bajo coste en la actividad A2.3. Estas asociaciones se establecen por el grupo de expertos del dominio (GED) en base al conocimiento adquirido en diferentes implantaciones del SGSI.
139

Subproceso P1: GEGS Tarea T1.3.6: Establecimiento de relaciones entre amenazas y vulnerabilidades. Objetivos El objetivo es establecer las relaciones entre el conjunto de amenazas y el conjunto de vulnerabilidades con el objetivo de reducir los costes de generacin del anlisis de riesgo en actividades posteriores. Productos de entrada Listado de amenazas vlidas para el esquema. Listado de vulnerabilidades vlidas para el esquema. Matriz de asociacin entre el listado de amenazas y vulnerabilidades. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Actividad A1.3: Generacin de tablas asociadas al anlisis de riesgos.
Participantes
Tabla 4.13. Tarea T1.3.6 Establec. de relaciones entre amenazasvulnerabilid. Para el esquema base actual, se han establecido 79 (Tabla B.21) relaciones entre el conjunto de amenazas y el conjunto de vulnerabilidades, en base al conocimiento adquirido a lo largo de la tesis doctoral.
4.2.4.3.7. Tarea T1.3.7 Establecer relaciones entre amenazas y controles. La tarea T1.3.7 (Tabla 4.14) se ocupa de establecer las relaciones existentes entre los elementos que componen el conjunto de amenazas y los elementos que componen el conjunto de controles para un esquema determinado. El objetivo principal de este conjunto de asociaciones es establecer relaciones entre los elementos del SGSI para poder realizar una evaluacin del riesgo de bajo coste en la actividad A2.3. Estas asociaciones se establecen por el grupo de expertos del dominio (GED) en base al conocimiento adquirido en diferentes implantaciones del SGSI. Para el esquema base actual, se han establecido 1014 (Tabla B.22) relaciones entre el conjunto de amenazas y el conjunto de controles del esquema actual, en base al conocimiento adquirido a lo largo de la tesis doctoral.
4.2. Subproceso P1: GEGS Generacin de esquemas. ___________________________ 141 Subproceso P1: GEGS Tarea T1.3.7: Establecimiento de relaciones entre amenazas y controles. Objetivos El objetivo es establecer las relaciones entre el conjunto de amenazas y el conjunto de controles con el objetivo de reducir los costes de generacin del anlisis de riesgo en actividades posteriores. Productos de entrada Listado de amenazas vlidas para el esquema. Listado de controles vlidos para el esquema. Matriz de asociacin entre el listado de amenazas y controles. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Actividad A1.3: Generacin de tablas asociadas al anlisis de riesgos.
Participantes
Tabla 4.14. Tarea T1.3.7 Establecimiento de relaciones entre amenazascontroles.
4.2.4.3.8. Tarea T1.3.8 Establecer relaciones entre tipos de activos, vulnerabilidades y criterios de riesgo. La tarea T1.3.8 (Tabla 4.15) se ocupa de establecer las relaciones existentes entre los elementos que componen el conjunto de tipos de activos, los elementos que componen el conjunto de vulnerabilidades y los elementos que componen el conjunto de criterios de riesgo para un esquema determinado. El objetivo principal de este conjunto de asociaciones es establecer relaciones entre los elementos del SGSI para poder realizar una evaluacin del riesgo de bajo coste en la actividad A2.3. Estas asociaciones se establecen por el grupo de expertos del dominio (GED) en base al conocimiento adquirido en diferentes implantaciones del SGSI. Para el esquema base actual, se han establecido 345 (Tabla B.23) relaciones entre el conjunto de tipos de activos, el conjunto de vulnerabilidades y el conjunto de criterios de del esquema actual, en base al conocimiento adquirido a lo largo de la tesis doctoral.
141

Subproceso P1: GEGS Tarea T1.3.8: Establecimiento de relaciones entre tipos de activos y vulnerabilidades y criterios de riesgo. Objetivos El objetivo es establecer las relaciones entre el conjunto de activos, el conjunto de vulnerabilidades y el conjunto de criterios de riesgo seleccionados con el objetivo de reducir los costes de generacin del anlisis de riesgo en actividades posteriores. Productos de entrada Listado de tipos de activos vlidos para el esquema. Listado de vulnerabilidades vlidas para el esquema. Listado de criterios de riesgo vlidos para el esquema. Matriz de asociacin entre el listado de tipos de activos, vulnerabilidades y criterios de riesgo. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Actividad A1.3: Generacin de tablas asociadas al anlisis de riesgos.
Productos de salida
Tcnicas, prcticas y pautas
Participantes
Tabla 4.15. Tarea T1.3.8 Establec. de relaciones entre activ.vulner.c.riesgo. 4.2.4.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos. El principal objetivo de esta actividad es seleccionar los elementos necesarios para poder realizar, en actividades posteriores de la metodologa, el subconjunto de estos elementos que conformarn el SGSI para una compaa y las relaciones existentes entre ellos. Esta actividad est basada en el principio de que la estructura de las PYMES con caractersticas parecidas (mismo sector y mismo tamao) comparte la mayor parte de relaciones en cuanto a los elementos que componen un SGSI, por lo que se pueden establecer dichas relaciones a priori eliminando el coste de tener que analizarlas una por una mediante una labor de consultora en cada caso. An cuando existan diferencias entre unas y otras, estas son irrelevantes con respecto a la configuracin final del SGSI obtenido para el caso de las PYMES, dado que estas priorizan el coste a obtener un resultado con un alto grado de precisin. En la Figura 4.19 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibir el conocimiento del grupo de expertos del dominio de seguridad (GED) obtenido durante el proceso de implantacin de SGSIs, los controles seleccionados en la tarea T1.2.2 que se encuentran almacenados en el repositorio de esquemas y un conjunto elementos (reglamentos, procedimientos, plantillas, registros, instrucciones
tcnicas y mtricas) necesarios para elaboracin de un SGSI. En el esquema base desarrollado la seleccin de estos elementos se ha basado en: i) el contenido de la gua de buenas prcticas ISO/IEC27002 (ISO/IEC27002, 2007) para el desarrollo de los procedimientos, reglamentos, registros, plantillas e instrucciones tcnicas; ii) el contenido del estndar ISO/IEC27004 (ISO/IEC27004, 2009) para el desarrollo de los elementos de las mtricas y el cuadro de mandos; y iii) el contenido del estndar ISO/IEC27001 (ISO/IEC27001, 2005) para determinar las relaciones a establecer entre los diferentes elementos de la metodologa. Tareas: El subproceso estar formado por diez tareas. Estas tareas son: i) seleccin de reglamentos; ii) seleccin de procedimientos; iii) seleccin de registros; iv) seleccin de plantillas; v) seleccin de instrucciones tcnicas; vi) seleccin de mtricas; vii) establecimiento de relaciones entre reglamentos y artefactos; viii) establecimiento de relaciones entre reglamentos y controles; ix) establecimiento de relaciones entre artefactos y controles; x) establecimiento de relaciones entre procedimientos y artefactos. Las seis primeras tareas son independientes y permiten seleccionar los elementos de entrada. Las otras cuatro tareas representan las relaciones existentes entre las familias de elementos de las tareas T1.4.1 a T1.4.5. Estas relaciones se establecen a partir del conocimiento del grupo de expertos del dominio (GED) y de los continuos refinamientos obtenidos de la implantacin de la metodologa. En las siguientes subsecciones se detallarn estas tareas.
Entradas Tareas Salidas
2 Parte del Esquema
4 Parte del Esquema
Metodologas de SGSIs
Figura 4.19. Esquema simplificado a nivel de tarea de la actividad A1.4. Salidas: La salida producida por este subproceso consistir en un subconjunto de los elementos de entrada y las relaciones establecidas entre ellos, los cuales se almacenarn en el repositorio de esquemas y que se corresponden con la cuarta parte de los elementos de los que se compondr el esquema que se quiere generar.
143
144 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. En la Figura 4.20 se pueden ver las tareas de la actividad de forma mucho ms detallada, viendo cmo interactan stas con el repositorio de esquemas encargado de contener los elementos que conforman los diferentes esquemas del sistema. No existen entregables entre las diferentes tareas, ya que el resultado de cada tarea es almacenado en el repositorio, para que puedan ser utilizados por otras tareas.
Figura 4.20. Esquema detallado a nivel de tarea de la actividad A1.4. A continuacin, se analizarn uno por uno los diferentes elementos (reglamentos, procedimientos, plantillas, registros, instrucciones tcnicas y mtricas) de los que se compone el SGSI propuesto en la nueva metodologa.
4.2.4.4.1. Tarea T1.4.1 Seleccin de reglamentos. La tarea T1.4.1 (Tabla 4.16) se ocupa de seleccionar el conjunto de reglamentos que formarn parte del esquema que se est construyendo. Los reglamentos se utilizarn posteriormente para diversas tareas: i) establecer asociaciones con otros elementos del SGSI (tareas T1.4.7 y T1.4.8); ii) generar el SGSI (tarea T2.4.1); iii) servir de base para el procedimiento de denuncia de la tarea T3.2.2; iv) actualizar los niveles de seguridad de los controles de seguridad que componen el SGSI (actividad A3.3). El conjunto de reglamentos ser seleccionado en base a las metodologas, normas, etc que se determinen como entradas de la tarea y al conocimiento adquirido por el grupo de expertos del domino (GED) a lo largo de la implantacin
Subproceso P1: GEGS Tarea T1.4.1: Seleccin de reglamentos. Objetivos El objetivo de esta tarea es establecer el conjunto de reglas que tendrn que cumplirse para la correcta gestin del SGSI, es decir, el conjunto de reglas que todo empleado de la compaa donde se haya implantado el SGSI deber cumplir para la correcta gestin de la seguridad del sistema de informacin. Productos de entrada Listado de reglas. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.
Participantes
Tabla 4.16. Tarea T1.4.3 Seleccin de reglamentos. Un reglamento est formado por un conjunto de reglas, cada una de las cuales est asociada con otros artefactos del SGSI. Su cumplimiento es necesario para el correcto funcionamiento del SGSI generado. En la Figura 4.21 se puede ver un ejemplo de dos reglas que forman parte del reglamento de control de informacin (N/CI).
N/CI01 Propiedad de los activos: Todos los activos de informacin deben tener obligatoriamente asignado un responsable. N/CI02 Identificacin y valoracin de activos: Es obligacin de la organizacin contar con la capacidad de identificar los activos de su sistema de informacin y el valor de los mismos. Se deber realizar una revisin anual del anlisis de riesgos de la empresa que deber ser enviada al comit de seguridad.
Figura 4.21. Ejemplo de reglamento para control de activos.
145
El incumplimiento de una regla afecta a todos los elementos que componen el SGSI, los cuales a su vez estn asociados con los controles que componen el cuadro de mandos de seguridad del sistema, con lo que al incumplirse una regla se degradan los controles de seguridad asociados a la misma. De esta operativa se ocupa la actividad A3.3 y permite mantener actualizado el nivel de seguridad del sistema de forma automtica. La seleccin del conjunto de reglamentos que conforma el esquema base, est basada en la gua de buenas prcticas ISO/IEC27002 (ISO/IEC27002, 2007). Para el esquema actual se han definido un conjunto de 264 reglas (ver Tabla B.24), aunque lo normal es que al generarse el SGSI de la compaa durante la actividad A2.4, se seleccione solo un pequeo conjunto de reglas para formar parte del SGSI.
4.2.4.4.2. Tarea T1.4.2 Seleccin de procedimientos. La tarea T1.4.2 (Tabla 4.17) se ocupa de seleccionar el conjunto de procedimientos que formarn parte del esquema que se est construyendo. Los procedimientos se utilizarn posteriormente para diversas tareas: i) establecer asociaciones con otros elementos del SGSI (tareas T1.4.10); ii) generar el SGSI (tarea T2.4.1); iii) servir de base a los procedimientos que forman el SGSI (actividad A3.2); iv) actualizar los niveles de seguridad de los controles de seguridad que componen el SGSI (actividad A3.3). El conjunto de procedimientos ser seleccionado en base a las metodologas, normas, etc que se determinen como entradas de la tarea y al conocimiento adquirido por el grupo de expertos del domino (GED) a lo largo de la implantacin
Subproceso P1: GEGS Tarea T1.4.2: Seleccin de procedimientos. Objetivos El objetivo es establecer el conjunto de procedimientos que formarn parte del esquema y que podrn ejecutarse en el sistema para realizar una correcta gestin de la seguridad del mismo. Productos de entrada Listado de procedimientos. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.
Participantes
Tabla 4.17. Tarea T1.4.1 Seleccin de procedimientos.
Un procedimiento est formado por un conjunto de fases que a su vez tienen asociados otros elementos del SGSI (plantillas, reglamentos e instrucciones tcnicas). En la Figura 4.22 se puede ver el ejemplo de un diagrama de flujo con las diferentes fases que componen un procedimiento y los roles y elementos asociados a cada fase.
Dpto. Sistemas Responsable de seguridad Alta de licencias de Sw
Identificar datos de la licencia
Inventario detallado CA/CI-R03
Actualizar registro de licencias
Cierre del procedimiento
Figura 4.22. Parte del procedimiento de gestin de licencias. La seleccin del conjunto de reglamentos que conforma el esquema base est basada en la gua de buenas prcticas ISO/IEC27002 (ISO/IEC27002, 2007) y el contenido del estndar ISO/IEC27001 (ISO/IEC27001, 2005). Para el esquema actual se han definido un conjunto de 50 procedimientos (ver Tabla B.25 y anexo C), aunque lo normal es que al generarse el SGSI de la compaa durante la actividad A2.4, se seleccione slo un pequeo conjunto de procedimientos para formar parte del SGSI.
4.2.4.4.3. Tarea T1.4.3 Seleccin de registros. La tarea T1.4.3 (Tabla 4.20) se ocupa de seleccionar el conjunto de registros que formarn parte del esquema que se est construyendo. Los registros se utilizarn posteriormente para diversas tareas: i) establecer asociaciones con otros elementos del SGSI (tareas T1.4.7, T1.4.9 y T1.4.10); ii) generar el SGSI (tarea T2.4.1); iii) servir de base a los procedimientos que forman el SGSI (actividad A3.2); iv) actualizar los niveles de seguridad de los controles de seguridad que componen el SGSI (actividad A3.3). El conjunto de registros ser seleccionado en base a las metodologas, normas, etc que se determinen como entradas de la tarea y al conocimiento adquirido por el grupo de expertos del domino (GED) a lo largo de la implantacin
147

Subproceso P1: GEGS Tarea T1.4.3: Seleccin de registros. Objetivos El objetivo es establecer un conjunto de registros que permitan almacenar la informacin recogida durante la ejecucin de los diferentes procedimientos del SGSI. Productos de entrada Listado de registros. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.
Participantes
Tabla 4.18. Tarea T1.4.5 Seleccin de registros. En la Figura 4.23 se puede ver el ejemplo de un registro utilizado para mantener los ficheros que componen la ley orgnica de proteccin de datos personales (LOPD).
Figura 4.23. Ejemplo de registros para cumplimiento LOPD. La seleccin del conjunto de registros que conforma el esquema base est basada en la gua de buenas prcticas ISO/IEC27002 (ISO/IEC27002, 2007) y el contenido del estndar ISO/IEC27001 (ISO/IEC27001, 2005). Los registros que se utilizarn en el SGSI generado dependern de los procedimientos que formen parte de ese SGSI.
4.2.4.4.4. Tarea T1.4.4 Seleccin de plantillas. La tarea T1.4.4 (Tabla 4.19) se ocupa de seleccionar el conjunto de plantillas que formarn parte del esquema que se est construyendo. Las plantillas suelen contener documentos formales necesarios para el cumplimiento de los procedimientos. Las plantillas se utilizarn posteriormente en las mismas tareas que los registros.
El conjunto de plantillas ser seleccionado en base a las metodologas, normas, etc que se determinen como entradas de la tarea y al conocimiento adquirido por el grupo de expertos del domino (GED) a lo largo de la implantacin
Subproceso P1: GEGS Tarea T1.4.4: Seleccin de plantillas. Objetivos El objetivo es establecer un conjunto de plantillas necesarias para la ejecucin de los procedimientos con componen el SGSI. Productos de entrada Listado de plantillas. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.
Participantes
Tabla 4.19. Tarea T1.4.4 Seleccin de plantillas. En la Figura 4.24 se puede ver el ejemplo de una plantilla utilizada para dar de alta activos del sistema de informacin.
Figura 4.24. Ejemplo de plantilla para control de activos.
149
150 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. La seleccin del conjunto de plantillas que conforma el esquema base est basada en la gua de buenas prcticas ISO/IEC27002 (ISO/IEC27002, 2007) y el contenido del estndar ISO/IEC27001 (ISO/IEC27001, 2005). Las plantillas que se utilizarn en el SGSI generado dependern de los procedimientos que formen parte de ese SGSI.
4.2.4.4.5. Tarea T1.4.5 Seleccin de instrucciones tcnicas. La tarea T1.4.5 (Tabla 4.20) se ocupa de seleccionar el conjunto de instrucciones tcnicas que formarn parte del esquema que se est construyendo. Las instrucciones tcnicas son documentos tcnicos de apoyo para la ejecucin de los procedimientos. Las instrucciones tcnicas se utilizarn posteriormente en las mismas tareas que los registros y las plantillas. El conjunto de instrucciones tcnicas ser seleccionado en base a las metodologas, normas, etc que se determinen como entradas de la tarea y al conocimiento adquirido por el grupo de expertos del domino (GED) a lo largo de la implantacin
Subproceso P1: GEGS Tarea T1.4.5: Seleccin de instrucciones tcnicas. Objetivos El objetivo de esta tarea es seleccionar una serie de documentos tcnicos que sirvan de ayuda a los usuarios del sistema a la hora de acometer una fase de un procedimiento. Productos de entrada Listado de instrucciones tcnicas. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.
Participantes
Tabla 4.20. Tarea T1.4.2 Seleccin de instrucciones tcnicas. En la Figura 4.25 se puede ver el ejemplo del diagrama de flujo que se seguir para gestionar una incidencia de seguridad utilizando la herramienta comercial TrackIT. La seleccin del conjunto de instrucciones tcnicas que conforma el esquema base est basada en la gua de buenas prcticas ISO/IEC27002 (ISO/IEC27002, 2007) y el contenido del estndar ISO/IEC27001 (ISO/IEC27001, 2005). Las instrucciones tcnicas que se utilizarn en el SGSI generado dependern de los procedimientos que formen parte de ese SGSI.
Figura 4.25. Ejemplo de instruccin tcnica para gestin de incidencias.
4.2.4.4.6. Tarea T1.4.6 Seleccin de mtricas. La tarea T1.4.6 (Tabla 4.21) se ocupa de seleccionar el conjunto de mtricas que formarn parte del esquema que se est construyendo. Las mtricas permiten conocer o estimar el valor de ciertas caractersticas del sistema de informacin. Las mtricas seleccionadas se utilizarn para la actividad A3.3.
Subproceso P1: GEGS Tarea T1.4.6: Seleccin de mtricas. Objetivos El objetivo es establecer una serie de mtricas que permitan conocer en todo momento el nivel de cumplimiento de los controles que conforman el SGSI y otras caractersticas del mismo. Productos de entrada Listado de mtricas generales. Subconjunto de este listado. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Productos de salida Tcnicas, prcticas y pautas Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.
Participantes
Tabla 4.21. Tarea T1.4.6 Seleccin de mtricas.

151
El conjunto de mtricas ser seleccionado en base a las metodologas, normas, etc que se determinen como entradas de la tarea y al conocimiento adquirido por el grupo de expertos del domino (GED) a lo largo de la implantacin. En la Figura 4.22 se puede ver un ejemplo de una mtrica general, basada en la velocidad de respuesta de la compaa ante incidentes de seguridad, que aportar una valiosa informacin que podr ser utilizada para mejorar elementos del SGSI.
Fase
Meta del rendimiento Objetivo del rendimiento Mtrica Propsito Implementacin Evidencia Frecuencia
Descripcin
Conocer el estado de la compaa con respecto a su velocidad en la respuesta ante incidentes de seguridad. Calcular el tiempo medio anual en que se han solucionado incidentes de seguridad. Tiempo medio anual invertido en solucionar incidencias de seguridad. La mtrica permite medir el funcionamiento interno del departamento de sistemas y estimar si es necesario aumentar el nmero de recursos humanos del departamento. Existen procedimientos y herramientas para la gestin de incidencias de seguridad, que almacenan toda la informacin necesaria para la aplicacin de esta mtrica. Anual. Tmr = Tiempo medio de respuesta * frecuencia. IS = Incidente de seguridad; TRI = Tiempo de respuesta del incidente; NIS = Nmero de incidentes de seguridad en la frecuencia dada. Tmr = SUM(IS*TRI)/NIS Los datos para estimar estas medidas se encuentran localizados en el servidor de seguridad. Segn el valor del tiempo medio de respuesta en incidentes de seguridad: Entre 0 12 h: Muy bueno; Entre 12 24 h: Bueno; Entre 1 3 das: Malo; Mayor de 3 das: Muy malo.
Frmula
Origen de datos Indicadores
Tabla 4.22. Ejemplo de indicador de seguridad. La seleccin del conjunto de mtricas que conforma el esquema base est basada en el estndar ISO/IEC27004 (ISO/IEC27004, 2009).
4.2.4.4.7. Tarea T1.4.7 Establecer relaciones entre reglamentos y artefactos. La tarea T1.4.7 (Tabla 4.23) se ocupa de establecer las relaciones existentes entre los elementos que componen el conjunto de reglamentos y los elementos que componen el conjunto de artefactos (procedimientos, plantillas, registros e instrucciones tcnicas) para un esquema determinado. El objetivo principal de este conjunto de asociaciones es establecer relaciones entre los elementos del SGSI para poder generar de forma automtica los componentes que deben formar parte del SGSI (actividad A2.4). Estas asociaciones se establecen por el grupo de expertos del dominio (GED) en base al conocimiento adquirido en diferentes implantaciones del SGSI.
4.2. Subproceso P1: GEGS Generacin de esquemas. ___________________________ 153 Subproceso P1: GEGS Tarea T1.4.7: Establecimiento de relaciones entre reglamentos y artefactos. Objetivos El objetivo de esta tarea es establecer una relacin entre las reglas que tienen que cumplir los usuarios del sistema de informacin y el resto de artefactos, de tal forma que el incumplimiento de una regla permita conocer a qu artefactos est afectando en todo momento. Productos de entrada Listado de reglas vlidas para el esquema. Listado de artefactos vlidos para el esquema. Matriz de asociacin entre el listado de reglas y artefactos. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.
Participantes
Tabla 4.23. Tarea T1.4.7 Establec. de relaciones entre reglament.document. En la Tabla 4.24 se puede ver el ejemplo de las relaciones que se establecen entre los procedimientos y un conjunto de reglas pertenecientes al reglamento clasificacin de informacin (N/CI), de forma que la regla que se ocupa de la propiedad de los activos (N/CI1) afecta al procedimiento de gestin de inventario de activos (CA/CIPR01).
Familia Norma CA/CIPR01 CA/CIPR02 CA/CIPR03 CA/CIPR04 X X X X X X X X X X X X CA CA/CI 1 2 3 4 5 6 7 8 9
Tabla 4.24. Matriz de asociacin entre el reglamento y los artefactos. Este conjunto de relaciones es utilizado por el algoritmo de generacin del SGSI (actividad A2.4) para, a partir de la informacin generada en las actividades A1.2 y A1.3, generar la estructura del SGSI de la compaa. Para el esquema base actual, se han establecido 762 (Tabla B.30) relaciones entre el conjunto de reglas y el conjunto de artefactos, en base al conocimiento adquirido a lo largo de la tesis doctoral.
153
4.2.4.4.8. Tarea T1.4.8 Establecer relaciones entre reglamentos y controles. La tarea T1.4.8 (Tabla 4.25) se ocupa de establecer las relaciones existentes entre los elementos que componen el conjunto de reglamentos y los elementos que componen el conjunto de controles para un esquema determinado. El objetivo principal de este conjunto de asociaciones es establecer relaciones entre los elementos del SGSI para poder generar de forma automtica los componentes que deben formar parte del SGSI (actividad A2.4). Estas asociaciones se establecen por el grupo de expertos del dominio (GED) en base al conocimiento adquirido en diferentes implantaciones del SGSI.
Subproceso P1: GEGS Tarea T1.4.8: Establecimiento de relaciones entre reglamentos y controles. Objetivos El objetivo de esta tarea es establecer una relacin entre las reglas que tienen que cumplir los usuarios del sistema de informacin y los controles seleccionados, de tal forma que el incumplimiento de una regla permita conocer qu controles se han visto afectados. Productos de entrada Listado de reglas vlidas para el esquema. Listado de controles vlidos para el esquema. Matriz de asociacin entre el listado de reglas y controles. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.
Participantes
Tabla 4.25. Tarea T1.4.8 Establec. de relaciones entre reglament.controles. En la Tabla 4.26 se puede ver el ejemplo de las relaciones que se establecen entre los controles y un conjunto de reglas pertenecientes al reglamento de clasificacin de informacin (N/CI), de forma que la regla que se ocupa de la propiedad de los activos (N/CI1) esta asociada al control denominado documento de poltica de seguridad de la informacin (5.1.1).
Control N/CI01 N/CI03 N/CI04 5.1.1 5.2.1 5.2.2 X X X
Tabla 4.26. Matriz de asociacin entre el reglamento y los controles.
Este conjunto de relaciones es utilizado por el algoritmo de generacin del SGSI (actividad A2.4) para generar la estructura del SGSI de la compaa. Para el esquema base actual, se han establecido 431 (Tabla B.31) relaciones entre el conjunto de reglas y el conjunto de controles, en base al conocimiento adquirido a lo largo de la tesis doctoral.
4.2.4.4.9. Tarea T1.4.9 Establecer relaciones entre artefactos y controles. La tarea T1.4.9 (Tarea 4.26) se ocupa de establecer las relaciones existentes entre los elementos que componen el conjunto de artefactos (procedimientos, plantillas, registros e instrucciones tcnicas) y los elementos que componen el conjunto de controles para un esquema determinado. El objetivo principal de este conjunto de asociaciones es establecer relaciones entre los elementos del SGSI para poder generar de forma automtica los componentes que deben formar parte del SGSI (actividad A2.4). Estas asociaciones se establecen por el grupo de expertos del dominio (GED) en base al conocimiento adquirido en diferentes implantaciones del SGSI.
Subproceso P1: GEGS Tarea T1.4.9: Establecimiento de relaciones entre artefactos y controles. Objetivos El objetivo de esta tarea es establecer una relacin entre los artefactos que componen el SGSI y los controles seleccionados. Productos de entrada Listado de Artefactos vlidos para el esquema. Listado de Controles vlidos para el esquema. Matriz de asociacin entre el listado de artefactos y controles. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.
Participantes
Tabla 4.27. Tarea T1.4.9 Establec. de relaciones entre artefactos y controles. En la Tabla 4.28 se puede ver el ejemplo de las relaciones que se establecen entre los artefactos y un conjunto de controles, de forma que el procedimiento (tipo de artefactos) que se ocupa de la gestin de inventario de activos (CA/CIPR01) est asociado al control denominado documento de poltica de seguridad de la informacin (5.1.1).
155
Seccin O. Control Control CA/CIPR02 CA/CIPR03 1 1
5 2 1 2 X X X
CA/CIPR01 X
Tabla 4.28. Matriz de asociacin entre los artefactos y los controles. Este conjunto de relaciones es utilizado por el algoritmo de generacin del SGSI (actividad A2.4) para generar la estructura del SGSI de la compaa. Para el esquema base actual, se han establecido 449 (Tabla B.32) relaciones entre el conjunto de artefactos y el conjunto de controles, en base al conocimiento adquirido a lo largo de la tesis doctoral.
4.2.4.4.10. Tarea T1.4.10 Establecer relaciones entre procedimientos y artefactos La tarea T1.4.10 (Tabla 4.29) se ocupa de establecer las relaciones existentes entre los elementos que componen el conjunto de procedimientos y el conjunto de artefactos (plantillas, registros e instrucciones tcnicas) para un esquema determinado.
Subproceso P1: GEGS Tarea T1.4.10: Establecimiento de relaciones entre procedimientos y artefactos. Objetivos El objetivo de esta tarea es establecer una relacin entre los procedimientos y los artefactos que componen el SGSI. Productos de entrada Listado de procedimientos vlidos para el esquema. Listado de artefactos vlidos para el esquema. Matriz de asociacin entre el listado de procedimientos y artefactos. Adquisicin de conocimiento mediante implantacin y anlisis de la informacin. Sesiones de trabajo (entrevistas y reuniones). Arquitecto en gestin de la seguridad (AGS). Grupo de expertos del dominio (GED). Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.
Participantes
Tabla 4.29. Tarea T1.4.10 Establec. de relaciones entre procedim.artefactos.
4.3. Subproceso P2: GSGS Generacin del SGSI. ______________________________ 157
El objetivo principal de este conjunto de asociaciones es establecer relaciones entre los elementos del SGSI para poder generar de forma automtica los componentes que deben formar parte del SGSI (actividad A2.4). Estas asociaciones se establecen por el grupo de expertos del dominio (GED) en base al conocimiento adquirido en diferentes implantaciones del SGSI. En la Tabla 4.28 se puede ver el ejemplo de las relaciones que se establecen entre los procedimientos y los artefactos, de forma que el procedimiento (tipo de artefactos) que se ocupa de la gestin de inventario de activos (CA/CIPR01) est asociado al artefacto de tipo plantilla denominado solicitud de alta de activos (CA/CI P01) con una relacin de lecturaescritura (RW).
Familia Norma Procedimiento CA/CIP01 CA/CIP02 CA/CIR03 CA/CIR04 W W R 1 RW RW W 2 CA CI 3 4 5
Tabla 4.30. Matriz de asociacin entre los procedimientos y los artefactos. Este conjunto de relaciones es utilizado por el algoritmo de generacin del SGSI (actividad A2.4) para generar la estructura del SGSI de la compaa. Para el esquema base actual, se han establecido 176 (Tabla B.33) relaciones entre el conjunto de procedimientos y el conjunto de artefactos, en base al conocimiento adquirido a lo largo de la tesis doctoral.
4.3. Subproceso P2: GSGS Generacin del SGSI.

El principal objetivo de este subproceso es permitir la generacin de los elementos que formarn el sistema de gestin de la seguridad (SGSI) para una compaa, a partir de un esquema (estructura generada mediante el subproceso GEGS) vlido para un conjunto de compaas, realizando este proceso con un reducido coste. Es importante mencionar que este subproceso ha sido desarrollado para que, a partir de un conjunto mnimo de informacin de la compaa (organigrama, lista de usuarios del sistema de informacin, roles, listas de verificacin y lista de activos), se pueda generar una serie de documentos (nivel de seguridad actual, nivel de seguridad recomendable, matriz de riesgos, plan de mejora, elementos de un SGSI) que dejen el sistema de gestin completamente definido y funcional. En la Figura 4.26 se puede ver el esquema bsico de entradas, actividades y salidas que componen este subproceso: Entradas: Como entradas se recibir un esquema de los existentes en el repositorio de esquemas, que se adecue a la caractersticas de la compaa sobre la que se quiere generar el SGSI, as como informacin de la empresa de tipo tcnico y empresarial.
158 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. Actividades: El subproceso estar formado por cuatro actividades. Las actividades A2.2 y A2.3 no podrn realizarse hasta la finalizacin de la A2.1 ya que requieren de elementos generados por sta para su correcto funcionamiento. La actividad A2.4 depende de elementos generados por las actividades A2.2 y A2.3, por lo que tendr que esperar a la finalizacin de las mismas. Salidas: La salida producida por este subproceso consistir en un conjunto de elementos seleccionados a partir del esquema y de la informacin introducida, as como un conjunto de informes con informacin sobre el estado actual de la compaa y las medidas que se tendrn que tomar para mejorar el nivel de gestin de la seguridad.
Actividades Salidas
Entradas
Esquema
SGSI
Informacin empresa
Conocimiento
Figura 4.26. Esquema simplificado a nivel de actividad del subproceso GSGS. El generador de SGSIs se puede considerar una importante aportacin de la metodologa desarrollada, ya que permite generar los elementos que componen el SGSI con un coste muy reducido. En la Figura 4.27 se muestran las actividades del subproceso de forma mucho ms detallada, viendo cmo interactan stas con el repositorio de SGSIs encargado de contener los elementos que conforman los diferentes SGSIs generados: A2.1 Establecimiento del marco inicial de trabajo: Esta actividad se ocupa de tareas bsicas pero necesarias para crear un marco de trabajo inicial entre el consultor de seguridad (CoS) encargado de la generacin del SGSI y la compaa objetivo del mismo. Las tareas incluidas en esta actividad son: i) nombramiento de un interlocutor vlido; ii) anlisis del organigrama de la compaa; iii) adaptacin de la lista de usuarios del sistema de informacin y los roles desempeados por cada uno de ellos al SGSI. A2.2 Establecimiento del nivel de madurez: Esta actividad se ocupa de establecer el punto inicial en que se encuentra la compaa con respecto a la gestin de la seguridad (nivel de madurez actual) y el punto que sera deseable que la compaa alcanzara (nivel de madurez deseable). A2.3 Realizacin del anlisis de riesgos: Esta actividad permite identificar los activos de la compaa y obtener una evaluacin del riesgo al que estn sometidos estos activos, as como un plan de mejora recomendando en qu controles debe la compaa volcar sus esfuerzos para mejorar de la forma ms eficiente el nivel de seguridad.
A2.4 Generacin del SGSI: Esta actividad tiene como objetivo generar los elementos que formarn el SGSI de la compaa a partir del esquema seleccionado y de toda la informacin recogida en las actividades anteriores.
Figura 4.27. Esquema detallado a nivel de actividad del subproceso GSGS. Al contrario que en el subproceso GEGS, aqu la informacin generada, adems de almacenarse en el repositorio de esquemas, genera documentos entregables para que el consultor de seguridad (Cos) y el interlocutor (Int) puedan analizar y validar los resultados obtenidos.
4.3.1. Objetivos.
Los principales objetivos que se han perseguido durante el desarrollo de las actividades que conforman este subproceso han sido: Incorporacin de un conjunto de informacin bsica y precisa de la compaa, que permita establecer un punto de seguridad inicial, un punto de
159
160 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. seguridad deseado y la estructura necesaria para evolucionar la gestin de la seguridad. Seleccin del esquema adecuado para el tipo de compaa. Simplicidad del proceso y eficiencia en recursos, principalmente en coste y tiempo.

La generacin de esquemas es un subproceso cuyas entradas se componen de: Un esquema base seleccionado del repositorio de esquemas: Este esquema permitir generar un SGSI adecuado para la compaa con un coste muy reducido. Interlocutor (Int) para la compaa: Ser el interlocutor nombrado por la alta direccin para aportar toda la documentacin al consultor de seguridad (CoS) a lo largo del proceso de generacin del SGSI. Informacin bsica de la empresa: La metodologa desarrollada requiere slo del organigrama de la compaa y de la lista de usuarios del sistema de informacin con los roles que desempean dentro del sistema. Entrevista de informacin empresarial: Lista de respuestas sobre informacin empresarial de la compaa, que se utilizar para determinar el mximo nivel de madurez al que debe aspirar la compaa, para evitar el sobredimensionamiento del sistema de gestin de seguridad. Entrevista de informacin tcnica: Lista de respuestas sobre el estado del sistema de informacin con respecto a la seguridad, para determinar el estado actual de la seguridad del mismo. Lista de activos del sistema de informacin: Listado de activos del sistema de informacin de la compaa, intentando agrupar los activos en los menores grupos posibles para reducir los costes de generacin y gestin del anlisis de riesgos.
Mediante estas entradas, el conocimiento en materia de gestin de la seguridad aportado por el consultor de seguridad (CoS) y el conocimiento que tiene el interlocutor (Int) sobre la compaa, se generar la estructura del SGSI, que se almacenar en el repositorio de SGSIs y que estar formada por los siguientes elementos: Tabla de usuarios del sistema de informacin y roles asociados (lUxR): A partir de la lista de usuarios y roles facilitada por el interlocutor (Int), el consultor de seguridad (CoS) generar una tabla que permita asociar los usuarios del sistema de informacin con los roles del esquema seleccionado. Organigrama de la compaa (Org): En condiciones normales este organigrama ser idntico al organigrama de entrada, pero puede sufrir modificaciones para adaptarlos al SGSI, por lo que tambin se puede considerar una salida del sistema. Informe empresarial (InfEmp): Estar formado por las respuestas que el interlocutor ha dado a las preguntas de carcter empresarial realizadas por el consultor de seguridad (CoS) y a los comentarios introducidos por este ltimo para clarificarlas.
Informe tcnico (InfTec): Estar formado por las respuestas que el interlocutor ha dado a las preguntas de carcter tcnico realizadas por el consultor de seguridad (CoS) y a los comentarios introducidos por este ltimo para clarificarlas. Informe nivel de madurez (InfNM): Informe con las conclusiones del consultor de seguridad (CoS) con respecto a los resultados obtenidos de las dos listas de verificacin realizadas y el NMA y NMR de la compaa en el momento actual. Informe de activos (InfAct): Listado de los activos del sistema de informacin detectados y sus valoraciones. Informe de matriz de riesgos (InfMR): Informe sobre los riesgos existentes sobre los activos con respectos a todos los artefactos involucrados en el anlisis de riesgos (AR). Informe del plan de mejora (InfPM): Informe detallado sobre los pasos que debe realizar la compaa para aumentar de la forma ms eficiente posible su nivel de gestin de seguridad.
Informe de artefactos que componen el SGSI (InfSGSI): Listado de todos los elementos que compondrn el SGSI (reglamentos, procedimientos, controles, etc) generado por el sistema. Todo este conjunto de elementos, necesarios para poder generar el SGSI, son incluidos por una parte en el repositorio de SGSIs (ver Figura 4.27), y por otra parte se convierten en entregables que sern evaluados por el consultor de seguridad (CoS) y el interlocutor de la compaa (Int).
4.3.3. Actores.
En la Tabla 4.31 se muestra en qu actividades y tareas tendr que intervenir cada uno de los tipos de actores definidos en la metodologa. MGSMPYME GSGS A2.1: Establecimiento del marco de trabajo del SGSI.
T2.1.1 CoS, Int T2.2.1 CoS, Int T2.3.1 CoS, Int T2.1.2 CoS, Int T2.2.2 CoS, Int T2.3.2 CoS T2.4.2 CoS, Int T2.1.3 CoS, Int T2.2.3 CoS
A2.2: Establecimiento del nivel de madurez.
A2.3: Realizacin del anlisis de riesgos.
A2.4: Generacin del SGSI.

T2.4.1 CoS
Tabla 4.31. Intervencin de los actores en el subproceso GSGS
161
En la actividad actual participarn los siguientes tipos de actores: consultor de seguridad (CoS) y el interlocutor designado por la compaa (Int).
4.3.4. Actividades.
A continuacin se describirn en detalle las entradas, salidas, relaciones y objetivos de cada una de las diferentes actividades y tareas que componen el subproceso GSGS de la metodologa MGSMPYME. 4.3.4.1. Actividad A2.1: Establecimiento del marco de trabajo del SGSI. El principal objetivo de esta actividad es crear un marco de trabajo inicial entre el consultor de seguridad (CoS) encargado de la generacin del SGSI y el cliente (Cl). En la Figura 4.28 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibir: i) un esquema de los existentes en el repositorio de esquemas, que ser seleccionado por el consultor de seguridad (CoS) en base a las caractersticas de la compaa (sector y tamao de la misma); ii) informacin de la compaa en la que se quiere implantar el SGSI. Tareas: El subproceso estar formado por tres tareas dependientes unas de otras. Estas tareas son: i) solicitud del interlocutor vlido; ii) solicitud del organigrama de la compaa; y iii) obtencin de la lista de usuarios del sistema de informacin y sus roles. Salidas: La salida producida por este subproceso consistir en una serie de entregables (notificacin de la direccin del interlocutor vlido de la compaa, organigrama de la compaa, matriz de usuarios del sistema de informacin y roles que desempearn dentro del SGSI) para que el consultor de seguridad (CoS) pueda analizarlos. La informacin contenida en estos entregables ser almacenada en el repositorio de SGSIs para que posteriormente pueda utilizarse en la generacin de los elementos que componen el SGSI de la compaa.
Figura 4.28. Esquema simplificado a nivel de tarea de la actividad A2.1. En la Figura 4.29 se muestran las tareas de la actividad de forma mucho ms detallada, viendo como interactan stas con el repositorio de SGSIs encargado de contener los elementos que conforman los SGSIs. Cada tarea generar un entregable
para su anlisis por parte del consultor de seguridad (CoS) y almacenar la informacin para que sea utilizada en actividades posteriores (actividad A2.4).
4.3.4.1.1. Tarea T2.1.1 Solicitud del interlocutor vlido. Para poder iniciar la actividad de generacin del SGSI de la compaa, se debe identificar al interlocutor (Int) que acompaar al consultor de seguridad (Cos) durante todo el proceso de consultora y generacin del SGSI, para lo se utilizara la tarea T2.1.1 (Tabla 4.32). El rol de interlocutor (Int) ser ocupado por el director de informtica en el caso de que la compaa disponga de un departamento de informtica, y en el caso de no existir dicho departamento este rol ser asumido por la persona ms afn al sistema de informacin de la compaa. Aunque a priori esta tarea puede parecer sencilla, es de gran importancia realizar una correcta seleccin del interlocutor (Int) y negociar con la direccin de la compaa
163
164 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. que esta persona disponga del tiempo necesario para garantizar que no se producen retrasos en la elaboracin del SGSI. Por otro lado esta persona har de intermediador entre el consultor de seguridad (CoS) y todos los otros miembros del sistema de informacin de la compaa, por lo que es de vital importancia que cuente con el apoyo de la direccin de la misma.
Subproceso P2: GSGS Tarea T2.1.1: Solicitud del interlocutor vlido. Objetivos El objetivo de esta tarea es seleccionar un interlocutor (Int) que acte como punto de enlace entre el cliente (Cl) y el consultor de seguridad (CoS), aportando a este ltimo toda la informacin de la empresa que necesite para la elaboracin del SGSI. Productos de entrada Usuarios del sistema de informacin. Usuario al que se le ha asignado la funcin de interlocutor (Int). Sesiones de trabajo (entrevistas y reuniones). Consultor de seguridad (CoS). Interlocutor (Int). Productos de salida Tcnicas, prcticas y pautas Participantes Actividad A2.1: Establecimiento del marco de trabajo del SGSI.
Tabla 4.32. Tarea T2.1.1 Solicitud de interlocutor vlido. Por otro lado, el interlocutor (Int) ser la persona encargada de facilitar al consultor de seguridad (CoS) toda la informacin de la compaa que ste requiera para el desarrollo y elaboracin del subproceso GSGS, por lo que tendr que poseer tanto conocimiento tcnicos como conocimientos empresariales.
4.3.4.1.2. Tarea T2.1.2 Solicitud del organigrama de la compaa. La tarea T2.1.2 (Tabla 4.33) se ocupa de la obtencin del organigrama de la compaa, con el objetivo de centrar el marco de trabajo, delimitando el alcance del SGSI y determinando la complejidad de la empresa. En esta tarea el consultor de seguridad (CoS) deber analizar el organigrama de la compaa para poder determinar la parte que afecta al sistema de informacin y cmo adaptar el SGSI a dicha estructura. Es normal en las PYMES que muchas empresas no tengan totalmente claro el organigrama de la misma, por lo que el consultor de seguridad (CoS) puede realizar una labor previa de establecimiento o clarificacin de los diferentes departamentos.
4.3. Subproceso P2: GSGS Generacin del SGSI. ______________________________ 165 Subproceso P2: GSGS Tarea T2.1.2: Solicitud del organigrama de la compaa. Objetivos El objetivo de esta tarea es obtener el organigrama de la compaa, para poder conocer los departamentos que la forman y los roles de los responsables de cada departamento, con la finalidad de asociar los roles con el resto de elementos que componen el SGSI. Productos de entrada Organigrama de la compaa. Organigrama con modificaciones (en caso de ser requeridas). Sesiones de trabajo (entrevistas y reuniones). Consultor de seguridad (CoS). Interlocutor (Int). Productos de salida Tcnicas, prcticas y pautas Participantes Actividad A2.1: Establecimiento del marco de trabajo del SGSI.
Tabla 4.33. Tarea T2.1.2 Solicitud de organigrama de la compaa.
4.3.4.1.3. Tarea T2.1.3 Obtenc. de la lista de usuarios del S.I. y roles. La tarea T2.1.3 (Tabla 4.34) consiste en solicitar al interlocutor (Int) la lista de trabajadores de la compaa que tienen acceso al sistema de informacin de la misma y los roles que desempean dentro de la empresa, con el objetivo de determinar cules de ellos estn asociados al sistema de informacin de la compaa y correlacionarlos con los roles definidos (durante la tarea T1.1.1) en el esquema seleccionado.
Subproceso P2: GSGS Tarea T2.1.3: Obtencin de la lista de usuarios del S.I. y sus roles. Objetivos El objetivo de esta tarea es obtener una lista de usuarios del sistema de informacin y los roles que desempean dentro del sistema de informacin de la compaa. Productos de entrada Lista de usuarios y roles que ocupan en el organigrama de la compaa. lUxR: Lista de usuarios del S.I. con la asignacin de los roles del SGSI. Sesiones de trabajo (entrevistas y reuniones). Consultor de seguridad (CoS). Interlocutor (Int). Productos de salida Tcnicas, prcticas y pautas Participantes Actividad A2.1: Establecimiento del marco de trabajo del SGSI.
Tabla 4.34. Tarea T2.1.3 Obtencin de lista de usuarios del S.I. y sus roles.
165
166 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. En las PYMES es habitual que los usuarios desempeen varios roles a la vez, e incluso que un rol sea desempeado por varias personas. La metodologa MGSM PYME ha sido desarrollada pensando en este tipo de configuraciones. Esta informacin ser necesaria para la correcta configuracin del sistema cuando se genere el SGSI, ya que los roles a los que tenga acceso un usuario definen sus obligaciones dentro del SGSI. 4.3.4.2. Actividad A2.2: Establecimiento del nivel de madurez. El principal objetivo de esta actividad es establecer el punto inicial en que se encuentra la compaa con respecto a la gestin de la seguridad (nivel de madurez actual) y el punto que sera deseable que la compaa alcanzara (nivel de madurez deseable). Para establecer estos niveles de seguridad se realizarn dos entrevistas, mediante cuestionarios de valores limitados. En (Fontana y Frey, 2005) se demostraron las ventajas de realizar entrevistas mediante cuestionarios que tienen preestablecida una serie de preguntas con un nmero limitado de categoras de respuesta. En la Figura 4.30 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibir: i) un esquema de los existentes en el repositorio de esquemas, que ser seleccionado por el consultor de seguridad (CoS) en base a las caractersticas de la compaa (sector y tamao de la misma) del que se obtendrn los cuestionarios (uno empresarial y uno tcnico) que se realizarn al cliente; ii) el interlocutor (Int) vlido para la compaa, el cual se encargar de responder los cuestionarios. Tareas: El subproceso estar formado por tres tareas. Estas tareas son: i) recogida de informacin empresarial; ii) recogida de informacin tcnica del sistema de informacin; y iii) obtencin del nivel de madurez de la seguridad. Las Tareas T2.2.1 y T2.2.2 son independientes y por tanto podrn ser realizadas en paralelo, aunque al depender del interlocutor lo normal ser procesarlas en serie. La Tarea T2.2.3 depende de los resultados anteriores y por tanto no podr acometerse hasta que no finalicen las anteriores. Salidas: La salida producida por este subproceso consistir en una serie de entregables (informe empresarial, informe tcnico y resultados del nivel de madurez de la seguridad actual y deseable) para que el consultor de seguridad (CoS) pueda analizarlos. La informacin contenida en estos entregables ser almacenada en el repositorio de SGSIs para que posteriormente pueda utilizarse en la generacin de los elementos que componen el SGSI de la compaa.
Figura 4.30. Esquema simplificado a nivel de tarea de la actividad A2.2.
En la Figura 4.31 se muestran las tareas de la actividad de forma mucho ms detallada, viendo como interactan stas con el repositorio de SGSIs encargado de contener los elementos que conforman los SGSIs. Cada tarea generar un entregable para su anlisis por parte del consultor de seguridad (CoS) y almacenar la informacin para que sea utilizada en actividades posteriores (actividad A2.4).
Figura 4.31. Esquema detallado a nivel de tarea de la actividad A2.2. Mediante la definicin de unas sencillas pero eficaces caractersticas de la compaa se han establecido unas reglas que permiten determinar el nivel de madurez (Figura 4.32) actual de la compaa y el que sera deseable que tuviera. Las tareas de esta actividad se apoyarn principalmente en la parte segunda del esquema seleccionado, que se corresponde con los elementos generados durante la actividad A1.2 del subproceso GEGS.
167
Figura 4.32. Nivel de madurez actual y objetivo.
4.3.4.2.1. Tarea T2.2.1 Recogida de informacin empresarial. El objetivo de la tarea T2.2.1 (Tabla 4.35) es obtener informacin empresarial de la compaa, mediante la realizacin de un sencillo cuestionario.
Subproceso P2: GSGS Tarea T2.2.1: Recogida de informacin empresarial. Objetivos El objetivo de esta tarea es obtener informacin empresarial detallada de la compaa para poder establecer el nivel de madurez de la gestin de la seguridad que sera adecuado para ese tipo de compaa. Productos de entrada Actividad A2.2: Establecimiento del nivel de madurez.
Lista de verificacin de preguntas sobre informacin empresarial.

InfEmp: Lista de verificacin con las respuestas (tipo test) y observaciones. Sesiones de trabajo (entrevistas y reuniones). Consultor de seguridad (CoS). Interlocutor (Int).
Productos de salida Tcnicas, prcticas y pautas Participantes
Tabla 4.35. Tarea T2.2.1 Lista de verificacin del perfil de la empresa. Est informacin se utilizar para: i) seleccionar el esquema ms adecuado para la generacin del SGSI; ii) determinar el nivel de madurez deseable para la compaa, a partir de las cuestiones sobre el tamao y el sector al que pertenece la empresa, coincidiendo con las tcnicas planteadas por (Llvonen, 2006). As mismo el sector al que pertenece la industria es un factor determinante en la puesta en marcha de un SGSI (Chang y Ho, 2006, Hong, et al., 2006).
Esta tarea consiste en la realizacin de un sencillo cuestionario empresarial al interlocutor (Int) de la compaa por parte del consultor de seguridad (CoS). La metodologa desarrollada se basa en utilizar un conjunto de caractersticas intrnsecas a la compaa para definir el nivel de madurez mximo al que la compaa debe evolucionar desde la situacin actual. Cada una de estas caractersticas o reglas de la compaa tiene asociado un conjunto de valores que permiten determinar el nivel de madurez deseable para la compaa. Estos valores de las reglas han sido determinados a partir de la experiencia obtenida en las implantaciones de SGSIs, y han sido recalibrados gracias al mtodo de investigacinaccin. Para el esquema base desarrollado se ha obtenido un conjunto reducido de las caractersticas que se han considerado ms destacables en las compaas (Tabla 4.36): i) nmero de empleados, ii) facturacin anual, iii) departamento de I+D+i, iv) nmero de empleados que utilizan el sistema de informacin, v) nmero de personas asociadas directamente al departamento de sistemas, vi) nivel de dependencia de la compaa del outsourcing del sistema de informacin.
N Factor 1 Descripcin Nmero de empleados. Regla
0 25 Empleados 25 250 Empleados > 250 Empleados 0 1 Millones
Valoracin
0 1 2 0 1 2 0 1 2 3 0 1 2 0 1 2 0 1 2 3
Facturacin anual.
1 100 Millones > 100 Millones Nulo Bajo Medio Alta 0 10% total empleados 10% 40% total empleados >50% total empleados 0 empleados 1 5 empleados > 5 empleados Nulo
Departamento I+D+i.
Nmero de empleados que utilizan el sistema de informacin. Nmero de personas asociadas directamente al departamento de sistemas.
Nivel de dependencia de la compaa del Bajo outsourcing del S.I Medio

Alta
Tabla 4.36. Reglas para determinar el nivel de madurez deseable para la PYME. Se debe evitar que una compaa intente llegar a un nivel de madurez que suponga el sobredimensionamiento (utilizar ms recursos de los necesarios, o distribuir la carga de forma errnea) en la gestin de su sistema de seguridad, ya que esto tendra consecuencias muy negativas para el conjunto del sistema porque supondra que la compaa realizara un sobreesfuerzo que a medio plazo derivara en la retirada de
169
170 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. recursos al no obtenerse los resultados deseados, lo que aumentara el riesgo de tener fallos graves en la gestin de la seguridad. El cuestionario de esta tarea se obtiene a partir del esquema seleccionado, una vez que se ha determinado el tamao y sector de la compaa, mediante la informacin que se gener en la tarea T1.2.1.
4.3.4.2.2. Tarea T2.2.2 Recogida de informacin tcnica del S.I. El objetivo de la tarea T2.2.2 (Tabla 4.37) es obtener informacin tcnica de la compaa mediante la realizacin de un detallado cuestionario. Esta informacin se utilizar para: i) determinar el nivel de cumplimiento de los controles de seguridad del SGSI; ii) determinar el nivel de madurez actual de la compaa. Esta tarea consiste en la realizacin de un detallado cuestionario tcnico al interlocutor (Int) de la compaa por parte del consultor de seguridad (CoS). Este ltimo podr incluir anotaciones a las respuestas del interlocutor (Int), ya que al ser stas de tipo test para facilitar su respuesta, pueden requerir de aclaraciones adicionales que el consultor de seguridad (CoS) incluir en el informe.
Subproceso P2: GSGS Tarea T2.2.2: Recogida de informacin tcnica del sistema de informacin. Objetivos El objetivo de esta tarea es recoger informacin tcnica de la empresa que ayude a establecer con detalle el punto actual de madurez del sistema de gestin de seguridad de la compaa. Productos de entrada Lista de verificacin de preguntas sobre informacin tcnica. InfTec: Lista de verificacin con las respuestas (tipo test) y observaciones. Sesiones de trabajo (entrevistas y reuniones). Consultor de seguridad (CoS). Interlocutor (Int). Productos de salida Tcnicas, prcticas y pautas Participantes Actividad A2.2: Establecimiento del nivel de madurez.
Tabla 4.37. Tarea T2.2.2 Lista de verificacin de controles. El cuestionario de esta tarea se obtiene a partir del esquema seleccionado, mediante la informacin que se gener en la tarea T1.2.2.
4.3.4.2.3. Tarea T2.2.3 Obtencin del nivel de madurez de la seguridad. El objetivo de la tarea T2.2.3 (Tabla 4.38) es procesar los datos obtenidos mediante cuestionarios en las tareas T2.2.1 y T2.2.2, utilizando para ello un conjunto de
ecuaciones, el algoritmo de nivel de madurez deseable (Tabla 4.43) y el algoritmo de nivel de madurez actual (Tabla 4.44).
Subproceso P2: GSGS Tarea T2.2.3: Obtencin del nivel de madurez de la seguridad. Objetivos El objetivo de esta tarea es determinar el nivel de madurez actual y recomendable para el SGSI de la compaa a partir de la informacin recogida en las tareas anteriores. Productos de entrada InfEmp: Lista de verificacin con informacin empresarial. InfTec: Lista de verificacin con informacin tcnica. InfNM: Informe del nivel de madurez actual de la compaa. Proceso automatizado. Consultor de seguridad (CoS). Actividad A2.2: Establecimiento del nivel de madurez.
Tabla 4.38. Tarea T2.2.3 Obtencin del nivel de madurez de la seguridad. Para determinar el nivel de madurez deseable o recomendado de la compaa se utiliza la Ecuacin 4.1
NRM=(PesoFactor*(ValoracinFactor/ValorMximoFactor))/ (PesoFactor) Si el resultado est entre 0 0.25 se debe aplicar slo el nivel1 de madurez. Si el resultado est entre 0.25 0.75 se debe aplicar hasta el nivel2 de madurez. Si el resultado est entre 0.75 1 se debe aplicar hasta el nivel3 de madurez.
Ecuacin 4.1. Nivel de madurez recomendado. Los distintos elementos de esta expresin son los siguientes: Factores: Los factores representan un conjunto de parmetros que se han seleccionado (Tabla 4.36) y que afectan a la hora de determinar el nivel de madurez de gestin de la seguridad adecuado para la compaa. PesoFactor: Es un parmetro corrector que permite controlar las desviaciones que pueden producir las caractersticas de compaas pertenecientes a ciertos sectores y que se calibra en el esquema segn la experiencia del grupo de expertos del dominio (GED). Ej.: en el caso de compaas tecnolgicas permite aumentar el peso del factor n de personas asociadas al S.I.
171
172 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. Cada sector de los definidos en la tarea T1.1.2 tiene asociada una matriz de pesos (Tabla 4.39) para cada uno de los factores mostrados en la Tabla 4.36. Esta matriz es fundamental para evitar que las casusticas de ciertos sectores determinen un nivel de seguridad superior al que realmente puede soportar la infraestructura de la compaa. En condiciones normales el valor inicial establecido para un peso ser de 0.50 unidades, para restar peso a un valor se reducir a 0.25 y para eliminarlo se establecer un valor de 0. En caso de querer darle mayor importancia se subir a 0.75 y si el factor se considera fundamental para ese sector, se puede subir el valor del peso a 1. Por ejemplo, en el caso de una compaa de energas renovables el valor de su departamento de I+D+i es fundamental para su evolucin, por lo que el peso de este factor debe ser el mximo posible. En la Tabla 4.39 se puede ver un ejemplo de una matriz de pesos para algunos sectores, cuyos pesos han sido calibrados en base a la experiencia prctica del grupo de expertos del dominio (GED).
Reglas para determinar el NMD CNAE
72 15 70 72 40 28 74 74
Descripcin
Consultora tecnolgica Produccin alcoholes Inversiones inmobiliarias Factoras de software Energas renovables Produccin maquinaria industrial Servicios generales Servicios de traduccin
0.50 0.75 0.50 1.00 1.00 0.25 0.75 0.25 0.50 0.50 0.50 0.75 0.50 0.50 0.50 0.50 0.50 0.75 0.50 0.75 1.00 1.00 1.00 0.25 0.75 0.75 1.00 0.75 0.75 0.75 0.75 0.25 0.50 0.25 0.25 0.50 0.50 0.50 0.50 0.75 0.75 0.75 0.50 0.50 0.50 0.50 0.50 0.50
Tabla 4.39. Ejemplo de pesos asociados a las reglas. De esta forma, por ejemplo, en el caso de la empresa de nuevas tecnologas SNT los parmetros arrojaran el resultado mostrado en la Tabla 4.40:
N Factor
1 2 3 4 5 6
Peso del factor Valoracin

0.5 0.75 1 1 1 0.25 1 0 2 2 1 0
Valor Mx
2 2 3 2 2 3 TOTAL: (PesoFactor) Valor N
Total
0.5 0 0.66 1 0.5 0 2.42 4.50 0.40
Tabla 4.40. Ejemplo 1 para determinar el nivel de madurez de la PYME. Lo que implica que la compaa SNT debe aplicar hasta el nivel 2 de madurez aunque es slo una PYME, debido a que su actividad est muy asociada a los sistemas de informacin.
Si aplicamos las reglas con una compaa asociada a la produccin de alcohol (Tabla 4.41), se puede ver cmo sta debe evolucionar hasta un nivel 1 de madurez aun cuando su facturacin sea muy elevada, ya que actualmente su dependencia del sistema de informacin es bsica.
N Factor
1 2 3 4 5 6
Peso factor
0.75 0.25 0.50 0.50 0.50 0.75
Valoracin
1 1 1 0 0 3
Valor Mx
2 2 3 2 2 3 TOTAL: (PesoFactor) Valor N
Total
0.38 0.13 0.17 0.00 0.00 0.75 1.42 3.25 0.24
Tabla 4.41. Ejemplo 2 para determinar el nivel de madurez de la PYME. Pero a su vez, del resultado obtenido se puede deducir que una vez alcanzado el nivel 1 de madurez en el sistema de gestin de seguridad, lo ms probable es que la dependencia de la compaa con respecto al nmero de usuarios que utiliza el sistema de informacin (factores 4 y 5) aumente, lo que producira un cambio estructural. En ese momento la compaa ya deber evolucionar hasta un nivel 2 de madurez. Antes de esta situacin no tendra sentido llegar al nivel 2, ya que la empresa no estara preparada para soportar el coste de gestionar el nivel de seguridad requerido en el nivel 2 (Tabla 4.42).
N Factor 1 2 3 4 5 6 Peso ecuacin Valoracin 0.75 0.25 0.50 0.50 0.50 0.75 1 1 1 1 1 3 Valor Mx 2 2 3 2 2 3 TOTAL: (PesoFactor) Valor N Total 0.38 0.13 0.17 0.25 0.25 0.75 1.92 3.25 0.32
Tabla 4.42. Ejemplo 3 para determinar el nivel de madurez de la PYME. Como ya se ha comentado, el mtodo seguido es muy sencillo, pero se han obtenido resultados vlidos, por lo que se ha determinado incorporarlo a la metodologa. En la Tabla 4.43 se puede ver el algoritmo que se utiliza para determinar el nivel de madurez deseable para la compaa, a partir de la informacin recogida en la tarea T2.2.1.
173

Algoritmo: Nivel de madurez deseable. Esquema = Se selecciona el esquema de trabajo. Empresa = Se selecciona la compaa sobre la que se realizar el SGSI. SGSI = Se selecciona el SGSI para esa compaa. Instancia del SGSI = Se selecciona la instancia concreta del SGSI. 1. Se calcula el nivel de la compaa como la suma de la valoracin x peso de la reglas de madurez de la compaa, entre la valoracin mxima a la que se puede acceder. 2. Se normaliza el resultado: Nivel1 = 0.00 a 0.25 Nivel2 = 0.25 a 0.75 Nivel3 = 0.75 a 1.00
Tabla 4.43. Pseudocdigo del algoritmo del nivel de madurez recomendado. Una vez determinado el nivel de madurez deseable para la compaa, se determinar el nivel de madurez actual de la misma. Para determinar el nivel de madurez actual de la compaa se determinar primero el nivel de cumplimiento de un control. Este nivel de cumplimiento se puede establecer para cada nivel de madurez (Ecuacin 4.2) o para todos los controles que componen el SGSI (Ecuacin 4.3). Una vez establecido el nivel de cumplimiento de seguridad de cada control, se puede establecer el nivel de cumplimiento a nivel de empresa para cada nivel de madurez (Ecuacin 4.4) o para toda la empresa (Ecuacin 4.5). El nivel de cumplimiento de un control para un nivel dado (Ecuacin 4.2) se utilizar en la tarea T2.3.2 para determinar el plan de mejora.
NSCn = (VS)/ NSn Siendo: NSCn: Nivel de cumplimiento de seguridad de un control para un nivel dado. VS: Valor del subcontrol. NSn: Nmero de subcontroles para un control y para un nivel dado.
Ecuacin 4.2. Nivel de cumplimiento de la seguridad de un control para un nivel.
NSC = (NSn)/ NNM Siendo: NSC: Nivel de cumplimiento de seguridad de un control. NSn: Nmero de subcontroles para un control y para un nivel dado. NNM: Nmero de niveles del modelo de madurez.
Ecuacin 4.3. Nivel de cumplimiento de la seguridad de un control.
NSEn = (NSCn)/ NCn Siendo: NSEn: Nivel de cumplimiento de seguridad de la empresa para un nivel. NSCn: Nivel de cumplimiento de seguridad de un control para un nivel. NCn: Nmero de controles del nivel.
Ecuacin 4.4. Nivel de cumplimiento de la seguridad para un nivel.
NSE = (NSC)/ NC Siendo: NSE: Nivel de cumplimiento de seguridad de la empresa. NSC: Nivel de cumplimiento de seguridad de un control. NC: Nmero de controles.
Ecuacin 4.5. Nivel de cumplimiento de la seguridad de la empresa. El resultado obtenido se debe normalizar para obtener el nivel de madurez actual, mediante la aplicacin de los lmites establecidos. El algoritmo que permite determinar el nivel de madurez actual se puede ver en la Tabla 4.44.
Algoritmo: Nivel de madurez actual. Esquema = Se selecciona el esquema de trabajo. Empresa = Se selecciona la compaa sobre la que se realizar el SGSI. SGSI = Se selecciona el SGSI para esa compaa. Instancia del SGSI = Se selecciona la instancia concreta del SGSI. 1. Se calcula el nivel de cobertura para cada control como la suma de los valores de sus subcontroles entre el nmero de subcontroles por el valor mximo. 2. El nivel actual ser el nivel ms bajo que tenga un control con nivel de cobertura inferior al 90%. 3. Se normaliza el resultado: Nivel1 = 0.00 a 0.25 Nivel2 = 0.25 a 0.75
- Nivel3 = 0.75 a 1.00 Tabla 4.44. Pseudocdigo del algoritmo del nivel de madurez actual. 4.3.4.3. Actividad A2.3: Realizacin del anlisis de riesgos. El principal objetivo de esta actividad es establecer una evaluacin de los riesgos a los que se encuentran sometidos los principales activos del sistema de informacin de la compaa sobre la que se quiere implantar el SGSI, as como proponer un plan al responsable de seguridad (Cl/RS) para gestionar los riesgos de la forma ms eficiente posible.
175
176 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. En la Tabla 4.33 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibir: i) un esquema de los existentes en el repositorio de esquemas, que ser seleccionado por el consultor de seguridad (CoS) en base a las caractersticas de la compaa (sector y tamao de la misma), del que se obtendrn los elementos necesarios para la realizacin del anlisis de riesgos (listado de controles, listado tipos de activos, listado de amenazas, listado de vulnerabilidades, listado de criterios de riesgo, relaciones entre los tipos de activos y las vulnerabilidades, relaciones entre las amenazas y las vulnerabilidades, relaciones entre las amenazas y los controles y relaciones entre los tipos de activos, las vulnerabilidades y los criterios de riesgo); ii) el interlocutor (Int) vlido para la compaa, el cual se encargar de definir los activos; iii) un conjunto de activos del sistema de informacin, lo ms generalistas posible (grano grueso). Tareas: El subproceso estar formado por dos tareas. Estas tareas son: i) identificacin de activos; y ii) generacin de la matriz de riesgos y el plan de mejora. La tarea T2.3.2 es dependiente de la T2.3.1, por lo que no podr ejecutarse hasta la finalizacin de sta. Salidas: La salida producida por este subproceso consistir en una serie de entregables (informe de activos del sistema de informacin, matriz de riesgos a los que estn sometidos los activos del sistema de informacin y el plan de mejora recomendado por la metodologa para afrontar las mejoras en la gestin de la seguridad del SGSI) para que el consultor de seguridad (CoS) pueda analizarlos. La informacin contenida en estos entregables ser almacenada en el repositorio de SGSIs para que posteriormente pueda utilizarse en la generacin de los elementos que componen el SGSI de la compaa.
Esquema 3 Parte Inf. SGSI
InfAct, InfMR, InfPM
Int
Activos del S.I
Figura 4.33. Esquema simplificado a nivel de tarea de la actividad A2.3. En la Figura 4.34 se pueden ver las tareas de la actividad de forma mucho ms detallada, viendo cmo interactan con el repositorio de SGSIs encargado de contener los elementos que conforman los SGSIs. Cada tarea generar un entregable para su
anlisis por parte del consultor de seguridad (CoS) y almacenar la informacin para que sea utilizada en actividades posteriores (actividad A2.4).
Lista de Activos del S.I
Int
Esquema
sP2 GSGS A2.3

Identificacin de activos InfAct
LAct: Lista de Activos MR: Matriz de Riesgos PM: Plan de Mejora
Entrada Entregable Tarea Repositorio Flujo Informacin Flujo Proceso
Check-list
Generacin de la Matriz de Riesgos y del Plan de Mejora InfMR, InfPM
Repositorio de SGSIs
InfAct, InfMR, InfPM
Figura 4.34. Esquema detallado a nivel de tarea de la actividad A2.3. El desarrollo de esta actividad est basado en los propuestos por Stephenson que se centran en la sinergia entre la prueba tcnica y el anlisis de riesgos (Stephenson, 2004) tomando como referencia la ISO/IEC27002 (ISO/IEC27002, 2007) y en la metodologa de anlisis de riesgos Magerit v2 (MageritV2, 2005). Estas metodologas suelen producir rechazo en el caso de las PYMES debido a que stas las perciben como demasiado complejas, a que requieren un enorme compromiso por parte de los miembros de la compaa y a que los costes asociados a los mismos no son aceptados por las compaas. Por ello, la metodologa MGSM PYME, simplifica el proceso de evaluacin del riesgo para adecuarlo a las PYMES. Las principales bases sobre las que se define esta actividad son: flexibilidad, simplicidad y eficiencia en costes (humanos y temporales). Se trata pues de una actividad que pretende identificar con el menor coste posible los activos de la compaa y los riesgos asociados, usando para ello los resultados generados en las actividades anteriores y unos sencillos algoritmos. La parte de anlisis de riesgos de la metodologa desarrollada toma algunos aspectos de Magerit v2 (MageritV2, 2005) y algunos aspectos de los anlisis de riesgos clsicos (Figura 35), pero en todo momento tiende a la simplificacin. Para que esta actividad funcione de forma coherente se deben tener en cuenta las condiciones especiales de las PYMES, en las que los usuarios no suelen tener ni el tiempo ni los conocimientos adecuados para aplicar de forma eficiente metodologas de anlisis de riesgos, ni para determinar de forma adecuada los activos de los sistemas de informacin.
177
178 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. Al igual que en las actividades anteriores, cuando se trata de PYMES no se busca la opcin ptima sino una opcin razonablemente buena que permita grandes reducciones de tiempos a la hora de obtener el resultado.
Figura 4.35. Esquema general del anlisis de riesgos. Las tareas de esta actividad se apoyarn principalmente en la parte tercera del esquema seleccionado, que se corresponde con la generada durante la actividad A1.3 y en la lista de controles obtenida en la tarea T1.2.2 del subproceso GEGS.
4.3.4.3.1. Tarea T2.3.1 Identificacin de activos. El objetivo de la tarea T2.3.1 (Tabla 4.45) es obtener un conjunto de los activos que componen el sistema de informacin de la empresa. Los activos definidos son el objetivo principal hacia el que se enfoca el SGSI, ya que son los elementos que se pretenden proteger, porque suponen valor para la compaa y en la mayor parte de los casos son su factor diferenciador con respecto a la competencia.
Subproceso P2: GSGS Tarea T2.3.1: Identificacin de activos. Objetivos El objetivo de esta tarea es obtener una lista de los activos de valor del sistema de informacin de la compaa, lo ms generales posibles, cuantificando el coste de los mismos. Productos de entrada Activos del sistema de informacin de la compaa. InfAct: Lista de activos valorados. Sesiones de trabajo (entrevistas y reuniones). Consultor de seguridad (CoS). Interlocutor (Int). Productos de salida Tcnicas, prcticas y pautas Participantes Actividad A2.3: Realizacin del anlisis de riesgos.
Tabla 4.45. Tarea T2.3.1 Identificacin de activos.
Una de las diferencias principales que presenta el mtodo para la evaluacin del riesgo presentado en la metodologa frente a (MageritV2, 2005) es que se busca que los activos sean lo ms generales (grano grueso), frente a (MageritV2, 2005) que intenta identificarlos de forma clara y precisa (grano fino). En las PYMES se debe intentar definir un conjunto muy pequeo y bsico de activos, ya que su sistema de informacin no permite la proteccin discriminada de activos de baja atomicidad, ni puede soportar el coste de gestin de los mismos. Por lo tanto, en esta tarea se buscarn activos generales que se puedan valorar de forma sencilla tanto desde el punto de vista cuantitativo como cualitativo. En esta tarea el consultor de seguridad (CoS) deber ayudar el interlocutor (Int) a identificar el conjunto de activos de valor que componen el S.I. de la compaa. Los resultados generados en esta tarea son fundamentales para poder realizar una evaluacin del riesgo y un plan de mejora en la tarea T2.3.2.
4.3.4.3.2. Tarea T2.3.2 Generacin de matriz de riesgos y plan de mejora. El objetivo de la tarea T2.3.2 (Tabla 4.46) es realizar una evaluacin de los riesgos a los que estn sometidos los activos de la empresa definidos en la tarea T2.3.1.
Subproceso P2: GSGS Tarea T2.3.2: Generacin de la matriz de riesgos y el plan de mejora. Objetivos El objetivo de esta tarea es generar dos informes que permitan conocer, a partir de un esquema y la lista de activos identificados, los riesgos a los que estn sometidos dichos activos y cmo acometer una mejora eficiente del nivel de seguridad de los mismos para reducir el riesgo. Productos de entrada InfEmp: Lista de verificacin con informacin empresarial. InfTec: Lista de verificacin con informacin tcnica. InfNM: Informe del nivel de madurez actual de la compaa. InfAct: Lista de activos valorados. InfMR: Matriz de riesgos. InfPM: Plan de mejora de la seguridad de los activos del sistema de informacin. Proceso automatizado. Consultor de seguridad (CoS). Actividad A2.3: Realizacin del anlisis de riesgos.
Productos de salida
Tcnicas, prcticas y pautas Participantes
Tabla 4.46. Tarea T2.3.2 Generacin de la matriz de riesgos y plan de mejora. Esta tarea requiere de los datos generados durante la actividad A1.3 y de los activos identificados en la tarea T2.3.1 para generar una matriz riesgos que muestre de
179
180 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. forma detallada los riesgos a los que est sometido cada activo y un plan de mejora que determine como acometer estos riesgos. El plan de mejora se soporta sobre los resultados obtenidos de la matriz de riesgos. La matriz de riesgos y el plan de mejora son utilizados por el consultor de seguridad (CoS) para determinar y analizar medidas adicionales y urgentes que deban tomarse en la compaa para mitigar riesgos elevados sobre los activos de informacin de la compaa. El primer objetivo de esta tarea es generar una matriz de riesgo que nos permita conocer los riesgos a los que esta sometido cada activo de la compaa en cada nivel de madurez y para cada elemento del anlisis de riesgos (amenazas, vulnerabilidades y criterios de riesgo). El resultado ser una tabla con las siguientes columnas: Nivel: Nivel de Madurez de la seguridad. Nombre y descripcin del activo. Coste del activo: valor cuantitativo que tendra la prdida del activo para la compaa. Valor estratgico: valor cualitativo que tendra la prdida del activo. Tipo de activo. Amenaza. Vulnerabilidad. Criterios de riesgo. Nivel de la amenaza (NA): Se determina teniendo en cuenta el impacto que producira sobre un activo la explotacin de una amenaza. La escala tendr valores comprendidos entre [bajo = 1, medio = 2, alto =3]. Nivel de probabilidad (P): Se define como la probabilidad de ocurrencia de una vulnerabilidad en funcin de criterios empricos. La escala tendr valores comprendidos entre [bajo = 1, medio = 2, alto =3]. Nivel de riesgo (NR): La definicin del nivel de riesgo (NR) se obtiene a partir de la probabilidad (P) de ocurrencia (vulnerabilidad) y el nivel de la amenaza (NA) (ver Ecuacin 4.6).
NR = P * NA Siendo: NR: Nivel de riesgo. P: Probabilidad de ocurrencia de las vulnerabilidades. NA: Nivel de la amenaza.
Ecuacin 4.6. Nivel de riesgo. El valor obtenido en el nivel de riesgo (NR) se gestionar segn la Tabla 4.47 y se mover en un rango comprendido entre 1 (menor riesgo) y 7 (mayor riesgo). Se ha determinado que el nivel del riesgo residual (NRR), es decir, el que tiene actualmente la compaa, nunca debe ser superior al nivel de riesgo aceptable
(NRA), que es al que debe tender la compaa. Para la metodologa se ha considerado que el NRA sea menor o igual a 3. Si el NR fuera superior al NRA, se procede a la seleccin de salvaguardas para la reduccin del riesgo, realizando el proceso de forma recursiva hasta conseguir que el nivel de riesgo de la compaa sea el adecuado.
NA P 1 Valor activo 2 3 B 1 2 3 Bajo M 2 3 4 A 3 4 5 B 2 3 4 Medio M 3 4 5 A 4 5 6 B 3 4 5 Alto M 4 5 6 A 5 6 7
NRA=<3
Tabla 4.47. Algoritmo para determinar el nivel de riesgo. Nivel de control o cobertura: Es el nivel de cumplimiento de un control de seguridad con respecto a un activo determinado, sometido a una amenaza en un nivel de madurez determinado, y que se obtiene a partir de las Ecuaciones 4.7 y 4.8. Este dato es fundamental para poder obtener el plan de mejora, ya que el sistema utilizara el valor de NCCAA para planificar el orden en que deben mejorarse los controles para minimizar los riesgos.
NCCAA(x,y,z) = (VACAM)/NCAM Siendo: NCCAA: Nivel de cobertura que ofrecen los controles actuales ubicados en el sistema para un activo X frente a una amenaza Y con respecto al nivel de seguridad Z. NCAM: Nmero de controles afectados por la amenaza para ese nivel. VACAM: Valor actual del control afectado por la amenaza para cada uno de los niveles.
Ecuacin 4.7. Nivel de cobertura de un control para el par activoamenaza.

NCCA = (NCCAA)/ NAA Siendo: NCAA: Nivel de cobertura que ofrecen los controles actuales ubicados en el sistema para un activo X frente a cualquier amenaza. NCCAA: Nivel de cobertura que ofrecen los controles actuales ubicados en el sistema para un activo X frente a una amenaza Y con respecto al nivel de seguridad Z. NAA: Siendo NAA el nmero de amenazas que afectan al activo.
Ecuacin 4.8. Nivel de cobertura de un control para un activo.
181
182 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. Para poder obtener de una forma sencilla el riesgo al que est sometido cada activo y el nivel de cobertura de cada control, se utilizar el algoritmo de Matriz de Riesgos (aMR) (ver Tabla 4.48).
Algoritmo: Matriz de riesgos. Esquema = Se selecciona el esquema de trabajo. Empresa = Se selecciona la compaa sobre la que se realizar el SGSI. SGSI = Se selecciona el SGSI para esa compaa. Instancia del SGSI = Se selecciona la instancia concreta del SGSI. 1. Se obtiene el nivel de cobertura de cada control de la ISO/IEC27002 por niveles. 2. Se obtiene el impacto de las amenazas para cada activo y nivel, mediante la asociacin de las matrices con tipos de activos x amenazas x controles, obteniendo el nivel de cobertura media de los controles asociados al activo, la amenaza y el nivel y normalizando dichos controles como [0.75 1.00] => Impacto = Bajo, [0.25 0.75] => Impacto = Medio, [0.00 0.25] => Impacto = Alto. 3. Se obtiene la probabilidad de ocurrencia de una vulnerabilidad sobre un activo y un nivel, mediante la asociacin de las matrices con tipos de activos x vulnerabilidades x amenazas x controles, obteniendo el nivel de cobertura media de los controles asociados al activo, la vulnerabilidad y el nivel y normalizando dichos controles como [0.75 1.00] => Probabilidad de ocurrencia = Bajo, [0.25 0.75] => Probabilidad de ocurrencia = Medio, [0.00 0.25] => Probabilidad de ocurrencia = Alto. 4. Se obtiene la matriz de riesgo, para obtener el nivel de riesgo de cada activo teniendo en cuenta las vulnerabilidades, amenazas y criterios de riesgos a los que est sometido, as como el nivel de cobertura de los controles asociados a ste. Para ello se multiplican todas las matrices asociadas activo x tipo activo x amenazas x vulnerabilidades x criterios riesgo x controles, asociados a las probabilidades de impacto y ocurrencia obtenidas en los puntos anteriores que determinarn el nivel de riesgo [17].
Tabla 4.48. Pseudocdigo del algoritmo de matriz de riesgos. Una vez que se ha obtenido la matriz de riesgos, se utilizara junto con la informacin generada en las tareas anteriores para obtener el plan de mejora, mediante la aplicacin del algoritmo del Plan de Mejora (aPM) (ver Tabla 4.49). Este algoritmo funciona de forma recursiva, determinando el activo de mayor riesgo en el menor nivel de madurez, y aplicando el control que permita mejorarlo con el menor coste, para posteriormente recalcular todo el proceso y seleccionar el siguiente mejor, hasta llegar al nivel de gestin de seguridad ptimo.

Algoritmo: Plan de mejora. Esquema = Se selecciona el esquema de trabajo. Empresa = Se selecciona la compaa sobre la que se realizar el SGSI. SGSI = Se selecciona el SGSI para esa compaa. Instancia del SGSI = Se selecciona la instancia concreta del SGSI. 1. Mientras el nivel de riesgo sea mayor que el riesgo asumible (3) 1.1. Se recalcula la matriz de riesgo ordenada por nivel ascendente y riesgo descendente. 1.2. Queda algn elemento en la matriz de los niveles alcanzables cuyo riesgo sea inaceptable. 1.2.1. Si => Salir del ciclo. 1.2.2. No => Siguiente ciclo. 1.3. Se selecciona el primer registro de la matriz. 1.4. Se obtienen los controles asociados a ese registro de la matriz. 1.5. Se selecciona el control que menos nivel de cobertura tenga. 1.6. Se emite la recomendacin completa de la evolucin que supondra aplicar el control. 1.7. Se actualiza el control a nivel de cumplimiento = total, para que al recalcular la matriz se actualicen todos los pesos. 2. Fin ciclo. Aclaracin: Con la modificacin de cada control, se recalcula nuevamente toda la matriz, porque los niveles de riesgos se pueden ver alterados.
Tabla 4.49. Pseudocdigo del algoritmo del plan de mejora. En la Tabla 4.50 se puede ver un ejemplo de un paso generado mediante el algoritmo de plan de mejora.
Paso 1: El nivel de madurez actual de la compaa es nivel1, estando sometida a un nivel de riesgo mximo en este nivel de 6 sobre 7. El activo ms afectado por este riesgo es: hardware (servidores) cuya prdida tendra un coste para la organizacin de 50.000 y cuyo valor estratgico para la compaa es de 3 sobre 7, siendo el tipo del activo "hardware". El nivel de riesgo de este activo para la amenaza "fallo del hardware (soporte fsico)" es de 6 contando actualmente el sistema con un nivel de cobertura de controles de 0.21, por lo que se recomienda acometer la activacin del control [10.7.2] (retirada de soportes) para reducir el nivel de riesgo del activo. .. Paso N:
Tabla 4.50. Ejemplo de plan de mejora. 4.3.4.4. Actividad A2.4: Generacin del SGSI. El principal objetivo de esta actividad es generar los elementos que compondrn el SGSI para la compaa y obtener la aprobacin del interlocutor (Int) designado por la
183
184 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. compaa del resultado obtenido, o en caso contrario tomar las medidas pertinentes para subsanar las deficiencias (mediante la alteracin del esquema seleccionado, la seleccin de otro esquema ms adecuado, o corrigiendo las entradas del subproceso). En la Figura 4.36 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibir: i) un esquema de los existentes en el repositorio de esquemas, que ser seleccionado por el consultor de seguridad (CoS) en base a las caractersticas de la compaa (sector y tamao de la misma) del que se obtendrn los elementos necesarios para la generacin del SGSI (listado de controles, listado de reglamentos, listado de procedimientos, listado de registros, listado de plantillas, listado de instrucciones tcnicas, listado de mtricas, relaciones entre los reglamentos y los artefactos, relaciones entre los reglamentos y los controles, relaciones entre los artefactos y los controles, relaciones entre los procedimientos y los artefactos); ii) el interlocutor (Int) vlido para la compaa, el cual se encargar de validar y aprobar el resultado obtenido; iii) los entregables generados durante las actividades anteriores del subproceso GSGS para su aprobacin por parte del interlocutor; iv) el contenido del repositorio de SGSIs, generado durante las actividades anteriores del subproceso GSGS. Tareas: El subproceso estar formado por dos tareas. Estas tareas son: i) generacin de los objetos del SGSI; y ii) presentacin de resultados al interlocutor. La tarea T2.4.2 es dependiente de la T2.4.1, por lo que no podr ejecutarse hasta la finalizacin de sta. Salidas: La salida producida por este subproceso consistir en: i) la aprobacin de los entregables obtenidos durante las actividades anteriores del subproceso GSGS; ii) conocimiento para que el grupo de expertos del dominio (GED) pueda refinar los esquemas del subproceso GEGS; iii) los elementos que forman el SGSI de la compaa (un cuadro de mandos que indicar el nivel de seguridad para cada control relacionado con la gestin de seguridad de la compaa; un conjunto de reglamentos, plantillas e instrucciones tcnicas vlidos para esa compaa en el momento actual; un conjunto de mtricas; un conjunto de usuarios asociados a roles, que podrn ejecutar en funcin de su perfil una serie de procedimientos para interactuar con el sistema de informacin de la compaa; y un conjunto de reglamentos que se deben cumplir para el buen funcionamiento del SGSI).
En la Figura 4.37 se muestran las tareas de la actividad de forma mucho ms detallada, viendo cmo interactan stas con el repositorio de SGSIs encargado de contener los elementos que conforman los SGSIs.
Figura 4.37. Esquema detallado a nivel de tarea de la actividad A2.4. Las tareas de esta actividad se apoyarn principalmente en la parte cuarta del esquema seleccionado, que se corresponde con la generada durante la actividad A1.4, y en la lista de controles obtenida en la tarea T1.2.2 del subproceso GEGS.
4.3.4.4.1. Tarea T2.4.1 Generacin de los objetos del SGSI. El principal objetivo de la tarea T2.4.1 (Tabla 4.51) es la seleccin de los elementos (reglamentos, procedimientos y controles) que compondrn el SGSI de la compaa a partir del esquema seleccionado y de los datos obtenidos en las actividades anteriores del subproceso GSGS.
185

Subproceso P2: GSGS Tarea T2.4.1: Generacin de los objetos del SGSI. Objetivos El objetivo de esta tarea es seleccionar los artefactos adecuados del esquema seleccionado para generar un SGSI para la compaa. Productos de entrada ESGSI: Esquema seleccionado del SGSI. InfEmp: Lista de verificacin con informacin empresarial. InfTec: Lista de verificacin con informacin tcnica. InfNM: Informe del nivel de madurez actual de la compaa. InfAct: Lista de activos valorados. InfSGSI: Conjunto de artefactos seleccionados del SGSI. Proceso automatizado. Consultor de Seguridad (CoS). Actividad A2.4: Generacin del SGSI.
Tabla 4.51. Tarea T2.4.1 Generacin de los objetos del SGSI. Esta tarea no requiere de informacin adicional a la ya obtenida, generando de forma totalmente automtica el SGSI adecuado para la compaa mediante el algoritmo de generacin de SGSIs (aSGSI) (Tabla 4.52). Este algoritmo toma como base las matrices de relaciones establecidas en el esquema seleccionado con la finalidad de activar los reglamentos y procedimientos que estn asociados a los controles del nivel de madurez recomendado para la compaa que se determino en la actividad A2.2 (por ejemplo para una compaa que debe alcanzar un nivel2 de madurez pero que actualmente se encuentra en el nivel 1, el sistema activar slo aquellos procedimientos que se vean afectados por los controles de nivel 1 y nivel 2 cuyo nivel de cumplimiento en el momento actual sea superior al 75%. El resultado final de esta actividad ser un conjunto de reglamentos y un conjunto de procedimientos que debern cumplirse para mejorar el nivel de seguridad de la compaa. El SGSI ser dinmico, adaptndose a los cambios en los niveles de cobertura de los controles y en los niveles de seguridad segn evolucione el sistema. La evolucin del sistema se medir mediante: i) un conjunto de mtricas definidas sobre el conjunto de elementos del SGSI; ii) un sistema de denuncias por violacin de las normativas vigentes; y iii) mediante auditoras peridicas externas.

Algoritmo: Generacin del SGSI. Esquema = Se selecciona el esquema de trabajo. Empresa = Se selecciona la compaa sobre la que se realizar el SGSI. SGSI = Se selecciona el SGSI para esa compaa. Instancia del SGSI = Se selecciona la instancia concreta del SGSI. 1. Se obtiene la lista de controles con su nivel de cobertura. 2. Se obtiene el nivel actual de la compaa. El nivel actual ser el primer nivel que tenga un control para ese nivel con un cumplimiento de la cobertura menor del 90%. 3. Se determina el nivel deseable de la compaa a partir del perfil de la misma. 4. Se obtiene la lista de controles existentes entre el nivel 1 y el nivel actual, que son los que obligatoriamente se deben cumplir. 5. Se obtiene la lista de controles existentes entre el nivel actual y el nivel deseable que adems tengan un nivel de cobertura superior al 75%, ya que a medio plazo se debern cumplir y actualmente ya se cumplen en gran medida. 6. A partir del conjunto de controles seleccionados se activarn, usando la matriz de objetos x controles, los: procedimientos relacionados, instrucciones tcnicas, registros, plantillas y reglamentos. 7. A partir del conjunto de controles seleccionados se activarn las instrucciones tcnicas relacionadas usando la matriz de objetos x controles. 8. A partir del conjunto de controles seleccionados se activarn los registros relacionados usando la matriz de objetos x controles. 9. A partir del conjunto de controles seleccionados se activarn las plantillas relacionadas usando la matriz de objetos x controles. 10. A partir del conjunto de controles seleccionados se activarn las normas relacionadas usando la matriz de normas x controles. 11. Se insertan en esa instancia los objetos y normas seleccionados, que conformarn el SGSI de la compaa.
Tabla 4.52. Pseudocdigo del algoritmo de generacin del SGSI. Los procedimientos seleccionados pueden estar asociados a varios niveles de madurez, algunos de los cuales sean superiores al actual o al deseable, por lo que el sistema tendr siempre en cuenta el nivel de madurez ms bajo de ese procedimiento (por ejemplo en la Tabla 4.53 se pueden ver los procedimientos que componen el esquema base desarrollado, y se han marcado en negro los niveles de madurez que se ven afectados por ellos. El procedimiento CO/PORPR02 tiene controles asociados a los tres niveles de madurez, por lo que se activar siempre desde el nivel 1. Segn el conjunto de procedimientos definidos en el esquema base, una empresa que est en nivel 1 de madurez deber cumplir slo con 24 procedimientos como mximo (Tabla 4.53); al pasar al nivel 2 de madurez deber cumplir con todos los de nivel 1 (24 en el peor de los casos), ms los 20 procedimientos propios del nivel 2; al pasar al nivel 3 deber cumplir todos los de los niveles anteriores, ms los 7 procedimientos propios de este nivel. De esta forma, la empresa progresa en su nivel de seguridad a la vez que progresa su cultura de seguridad.
187

Procedimiento Nivel1 Nivel2 Nivel3 AC/ASOPR01 AC/GAUPR01 AC/GAUPR02 AC/GAUPR03 AC/RNCA PR01 AC/RNCA PR02 AC/RNCA PR03 CA/CIPR01 CA/CIPR02 CA/CIPR03 CA/CIPR04 CA/CIPR05 CL/LOPD PR01 CL/LOPD PR02 CL/LPIPR01 CL/LPIPR02 CL/LPIPR03 CL/LPIPR04 CO/GRPR01 CO/GRPR02 CO/PORPR01 CO/PORPR02 CO/PORPR03 CO/PSMPR01 Procedimiento Nivel1 Nivel2 Nivel3 GI/ISFIPR01 GI/ISFIPR02 GI/PRPR01 GI/PRPR02 OS/ATPR01 OS/ISIPR01 OS/ISIPR02 OS/OEPR01 OS/OEPR02 OS/SIPR01 SF/ASPR01 SF/SEPR01 SF/SEPR02 SF/SEPR03 SF/SEPR04 SP/DPTPR01 SP/DPTPR02 SP/DPTPR03 SP/FUPR01 TI/CSPR01 TI/CSPR02 TI/CSPR03 TI/IISPR01 TI/IISPR02 TI/IISPR03
Tabla 4.53. Activacin de procedim. del MGSMPYME segn el nivel de madurez.
4.3.4.4.2. Tarea T2.4.2 Presentacin de resultados al interlocutor. En la tarea T2.4.2 (Tabla 4.54) se recoge toda la informacin y entregables obtenidos durante las tareas anteriores del subproceso GSGS y se le presenta al interlocutor (Int) para anlisis y aprobacin (Figura 4.38). El interlocutor (Int), junto con el consultor de seguridad (CoS), analizar los resultados obtenidos y determinar posibles cambios que tengan que realizarse. En caso de ser necesario realizar cambios, el consultor de seguridad (CoS) enviar las modificaciones pertinentes al grupo de expertos del dominio (GED) para que modifiquen el esquema o creen uno nuevo que se adapte a las necesidades de la compaa. Una vez alterado el esquema se volvern a realizar las tareas del subproceso
GSGS hasta que el resultado sea aceptado por el interlocutor (Int) y el consultor de seguridad (CoS).
Subproceso P2: GSGS Tarea T2.4.2: Presentacin de resultados al interlocutor. Objetivos El objetivo de esta tarea es exponer al Interlocutor (Int) de la compaa los resultados obtenidos durante el proceso de medicin del riesgo y generacin del SGSI y recibir su aprobacin. Productos de entrada InfSGSI: Conjunto de artefactos seleccionados del SGSI. Aprobacin o rechazo del InfSGSI. Sesiones de trabajo (entrevistas y reuniones). Consultor de seguridad (CS). Interlocutor (Int). Productos de salida Tcnicas, prcticas y pautas Participantes Actividad A2.4: Generacin del SGSI.
Tabla 4.54. Tarea T2.4.2 Presentacin de resultados al interlocutor. Una vez que se haya aprobado el resultado final obtenido durante el subproceso GSGS se procede a planificar una fecha de puesta en marcha del sistema, el cual ya est configurado para dar un soporte a la gestin de la seguridad de la compaa.
Figura 4.38. Aprobacin de la documentacin generada con MGSMPYME.
189
4.4. Subproceso P3: MSGS Mantenimiento del SGSI.

El principal objetivo de este subproceso es permitir y dar soporte a la compaa para que pueda gestionar la seguridad del sistema de informacin, utilizando para ello los entregables generados en el subproceso GSGS y los elementos que componen el SGSI seleccionados durante la actividad A2.4. Este subproceso ha sido desarrollado para que sea muy fcil y cmodo para los usuarios del sistema de informacin su cumplimiento, simplificando las tareas que lo componen. En la Figura 4.39 se puede ver el esquema bsico de entradas, actividades y salidas que componen este subproceso: Entradas: Como entradas se recibir un conjunto de elementos (reglamentos, procedimientos, controles y su nivel de cumplimiento actual) generados durante la actividad A2.4 y que componen el SGSI. Actividades: El subproceso estar formado por tres actividades. Las actividades A3.2 y A3.3 siempre requerirn de haber realizado primero la actividad A3.1 para poder ejecutarse, y podrn hacerlo tantas veces como sea necesario durante el ciclo de vida (representado por un reloj en el esquema). Salidas: La salida producida por este subproceso consistir en: i) un conjunto de entregables (certificado de cultura de la seguridad, instancias de ejecucin de los procedimientos generales, instancias de ejecucin del procedimiento de denuncia, cambios de estados en los niveles de cumplimiento de los controles que componen el cuadro de mandos) que servirn de apoyo al auditor de seguridad (AuS) y al responsable de seguridad (Cl/RS) para tomar medidas que mejoren la gestin de la seguridad; ii) datos e informacin estadstica obtenida durante el funcionamiento diario del SGSI que se almacenar en el repositorio de informacin del SGSI para mantener actualizado el cuadro de mandos del sistema; y iii) conocimiento til para que el grupo de expertos del dominio puedan mejorar los esquemas existentes y crear nuevos esquemas.
Conocimiento para esquemas SGSI cCS, pGen, pDen, mPP, mVS, mCS, mGS, CMs, InfAud, InfAle
Figura 4.39. Esquema simplificado a nivel de actividad del subproceso MSGS.
4.4. Subproceso P3:MSGS Mantenimiento del SGSI _____________________________ 191
En la Figura 4.40 se muestran las actividades del subproceso de forma mucho ms detallada, viendo cmo interactan stas con el repositorio de SGSIs encargado de contener los elementos que conforman los diferentes SGSIs generados.
SGSI
Entrada Entregable Actividad Repositorio Flujo Informacin Flujo Proceso Artefactos SGSI Artefactos SGSI
sP3 MSGS
Repositorio de SGSIs
Artefactos SGSI
Obtener o renovar el certificado de cultura de seguridad cCS
cCs: Certificado cultura de seguridad
Ejecutar procedimientos del SGSI
pGen pDen
mPP, mVS, mCS, mGS CMs, InfAud, InfAle Seguimiento del cumplimiento del SGSI
Inf. Procedimiento
Informacin Mtricas + Cuadro de Mandos
Repositorio de Informacin del SGSIs
Conocimiento Esquema Refinado
Figura 4.40. Esquema detallado a nivel de actividad del subproceso MSGS. Los principales objetivos de las actividades de este subproceso son: A3.1 Obtener o renovar el certificado de cultura de seguridad: Esta actividad se ocupa de introducir de forma progresiva la cultura de seguridad entre los usuarios del sistema, recomendndoles la realizacin de forma peridica de exmenes de verificacin de sus conocimientos con respecto a los reglamentos que componen el sistema de informacin de la compaa, y limitando la entrada al sistema de informacin mientras no demuestren que poseen un mnimo conocimiento de dichos reglamentos. A3.2 Ejecutar procedimientos del SGSI: Esta actividad permite a los usuarios del sistema de informacin realizar de forma organizada procesos que afectan a
191
192 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. la seguridad del sistema de informacin y que, por tanto, requieren un cierto grado de gestin. Estos procedimientos se han dividido en dos tipos: o Procedimientos generales: Contienen las operaciones que deben realizar los usuarios para poder interactuar con el sistema de informacin de la empresa, manteniendo una adecuada gestin del mismo y el cumplimiento de los controles de seguridad. Es decir, permitirn a los usuarios del sistema de informacin interactuar con ste de una forma organizada y segura. o Procedimiento de denuncia: Este procedimiento especial permite a los usuarios del sistema de informacin notificar fallos y violaciones en la seguridad del sistema de informacin, ayudando a tomar medidas correctivas. A2.3 Seguimiento del cumplimiento del SGSI: Esta actividad se ocupa de mantener actualizado el nivel de madurez y el nivel de cumplimiento de los controles que componen el SGSI de la compaa, con el objetivo de permitir que tanto el responsable de seguridad (Cl/RS) como el auditor de seguridad (AuS) tengan conocimiento lo antes posible de prdidas de seguridad del sistema de informacin y puedan tomar medidas correctoras. Las tareas incluidas en esta actividad son: i) la gestin del cuadro de mandos de seguridad; ii) la gestin de la periodicidad de los objetivos; iii) la gestin de las violaciones en los reglamentos de seguridad; iv) la gestin de los certificados de seguridad; v) la realizacin de auditoras peridicas; vi) la gestin de las mtricas generales; y vii) la gestin del sistema de alertas.
Debido a que el subproceso MSGS no tiene un final determinado para las tareas, stas podrn ejecutarse siempre que sea necesario para mantener la correcta gestin de la seguridad del sistema de informacin. Esto se ha representado en la Figura 4.40 mediante la imagen de un reloj. La informacin generada en este subproceso se almacenar en el repositorio de informacin del SGSI, y los entregables se generarn para que el auditor de seguridad (AuS) y el responsable de seguridad (Cl/RS) puedan analizarlos y tomar medidas las medidas correctoras pertinentes para solucionarlos.
4.4.1. Objetivos.
Los principios bsicos considerados durante el desarrollo de las actividades que conforman este subproceso son: Aportar a los usuarios del sistema de informacin los elementos necesarios para poder trabajar con l, manteniendo una adecuada gestin de la seguridad y con un coste de recursos reducido y adecuado a las PYMES. Permitir al responsable de seguridad (Cl/RS) conocer en todo momento el nivel de madurez de la gestin de seguridad del sistema de informacin de la compaa y el nivel de cumplimiento de cada uno de los controles o salvaguardas que lo componen, permitindole tomar en el menor plazo posible medidas correctoras. Incorporar la gestin de la seguridad como una pieza ms de la compaa, creando una cultura de seguridad alrededor de ella.

El mantenimiento del SGSI es un subproceso cuyas entradas se componen de: Un Plan de mejora (PM) y una Matriz de riesgos (MR) que servirn al auditor de seguridad (AuS) y al responsable de seguridad (Cl/RS) para poder acometer mejoras en la gestin de seguridad del sistema de informacin. Un conjunto de elementos seleccionados del esquema del SGSI, que componen la base del SGSI propiamente dicho: i) reglamentos seleccionados; ii) procedimientos activos; iii) roles del SGSI asociados a los procedimientos; iv) controles de seguridad con su nivel de cumplimiento actual que servirn para inicializar los valores del cuadro de mandos de seguridad (CMs) del sistema de informacin; v) conjunto de mtricas.
Mediante estas entradas y la ayuda del auditor de seguridad (AuS) y del responsable de seguridad (Cl/RS), se pondr en funcionamiento el SGSI de la compaa, que estar formado por una serie de salidas que realimentarn y mantendrn actualizado el SGSI: Certificados de cultura de la seguridad (cCS): Es el certificado que se entrega a los usuarios del sistema de informacin y que les autoriza a poder acceder al mismo. Procedimientos generales (proGen): Cuando se ejecuta uno de los procedimientos que se incluy en el esquema del subproceso GEGS y se seleccion durante el subproceso GSGS, se crea una instancia del mismo que es el conjunto de datos generados para esa ejecucin en concreto. Procedimiento de denuncia (proDen): Esta salida consiste en la instancia de ejecucin del procedimiento de denuncia, y esta formada por los datos recogidos a lo largo de todo el proceso de ejecucin del mismo. Cuadro de mandos de seguridad (CMs): Esta salida contiene el nivel de cumplimiento de los controles de seguridad que componen el cuadro de mandos al finalizar la tarea T3.3.1. Mtricas de periodicidad de los procedimientos (mPP): Esta salida contiene el estado de la periodicidad de los procedimientos del SGSI al finalizar la tarea T3.3.2. Mtricas de violaciones de seguridad (mVS): Esta salida contiene el estado de las violaciones de seguridad activas en el sistema al finalizar la tarea T3.3.3. Mtricas de cultura de seguridad (mCS): Esta salida contiene el estado de la cultura de seguridad para cada usuario que forma parte del SGSI al finalizar la tarea T3.3.4. Informe de auditoras (InfAud): Informe de las diferencias existentes entre los niveles de cumplimiento de los controles que componen el cuadro de mandos de seguridad y los medidos por el auditor de seguridad (AuS). Mtricas generales de seguridad (mGS): Esta salida contiene las medidas de diferentes parmetros del SGSI que aportan las mtricas generales activas en el sistema.
193
194 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. Informe de alertas (InfAle): Esta salida contiene el informe de las ltimas alertas de seguridad que se han producido en el SGSI. Las salidas de este subproceso se almacenarn en el repositorio de SGSIs para ir actualizando los valores del cuadro de mandos y, por otra parte, se generarn entregables para que puedan ser analizados por el auditor de seguridad (AuS), el responsable de seguridad (Cl/RS) y para que el grupo de expertos del dominio (GED) puedan refinar los esquemas existentes o crear nuevos esquemas mediante el subproceso GEGS.
4.4.3. Actores.
En la Tabla 4.55 se muestra en qu actividades y tareas tendr que intervenir cada uno de los tipos de actores definidos en la metodologa. En la actividad actual participarn los siguientes tipos de actores: el cliente (Cl), con todos los roles asociados al mismo, y el auditor de seguridad (AuS). Todos los usuarios del departamento de sistemas tendrn como mnimo el perfil de usuario del sistema de informacin (Cl/US), y adicionalmente podrn tener asignados otros perfiles de los presentes en la lista. Por ello, para simplificar la Tabla 4.55 se ha puesto slo el perfil de usuario del sistema de informacin (Cl/US) en lugar de todos los perfiles posibles del cliente (Cl). MGSMPYME MSGS A3.1: Obtener certificado de cultura de seguridad.
T3.1.1 Cl/US
A3.2: Renovar el certificado de cultura de seguridad.

T3.2.1 Cl/US
A3.3: Ejecutar procedimientos del SGSI.

T3.3.1 Cl/US
A3.4: Activar procedimiento de denuncia.

T3.4.1 Cl/US
A3.5: Seguimiento del cumplimiento del SGSI.

T3.5.1 Cl/RS T3.5.2 Cl/RS T3.5.3 Cl/RS T3.5.4 AuS T3.5.5 Cl/RS T3.5.6 Cl/RS T3.5.7 Cl/RS
Tabla 4.55. Intervencin de los actores en el subproceso MSGS
4.4.4. Actividades.
A continuacin se describirn en detalle las entradas, salidas, relaciones y objetivos de cada una de las diferentes actividades y tareas que componen el subproceso MSGS de la metodologa MGSMPYME.
4.4.4.1. Actividad A3.1: Obtener o renovar el certificado de CS. El principal objetivo de esta actividad es establecer una cultura de seguridad bsica en los usuarios que tendrn que trabajar con el sistema de informacin de la compaa, sin la cual no podrn acceder al mismo. Durante el desarrollo de la tesis doctoral se han probado diversos mtodos para establecer una cultura de la seguridad en la compaa. Finalmente, el procedimiento que se ha determinado implantar consiste en la realizacin de una serie de cuestionarios de seguridad asociados al reglamento del SGSI, con el objetivo de mantener y mejorar la cultura de la seguridad de la compaa sin que tenga un coste alto de mantenimiento. La idea principal es requerir un certificado de nivel cultural con respecto al sistema de la informacin a los usuarios del mismo, certificado que puede ser retirado y que debe ser renovado peridicamente para garantizar que se sigue manteniendo dicho nivel de cultura de seguridad. La actividad ha demostrado que, por su sencillez y el poco tiempo que requiere, va creando de forma progresiva una cultura de la seguridad en los usuarios. La automatizacin de la misma evita costes adicionales de mantenimiento y planificacin, y hace que la cultura de seguridad se mantenga como algo inherente al propio sistema de informacin. En la Figura 4.41 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibirn las respuestas de los usuarios al cuestionario de preguntas sobre el reglamento generado por el sistema. Tareas: El subproceso estar formado por una sola tarea que se ocupar de la emisin de los certificados de seguridad. Salidas: La salida producida por este subproceso consistir en el certificado de cultura de seguridad en el caso de que la nota obtenida en el cuestionario sea superior a cinco o la denegacin del certificado en caso contrario. Si se suspende el examen, se recomendar al usuario el estudio del manual de seguridad incluido en el SGSI o bien la asistencia a un curso de gestin de seguridad para aumentar los conocimientos en la materia.
Respuestas Usuarios
cCs
195
196 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. En la Figura 4.42 muestra la tarea de la actividad de forma mucho ms detallada, viendo cmo interacta sta con el repositorio de informacin de SGSIs encargado de contener los certificados de seguridad concedidos y la nota obtenida.
4.4.4.1.1. Tarea T3.1.1 Realizacin del test de cultura de seguridad. El objetivo de la tarea T.3.1.1 (Tabla 4.56) es realizar una evaluacin de los conocimiento que un usuario que desea acceder al sistema de informacin de la compaa tiene con respecto al reglamento que compone el SGSI, determinando si est preparado o no para acceder al mismo. El limitar el acceso al sistema de informacin a los usuarios, hasta que consigan demostrar que tienen unos conocimientos bsicos de cmo deben actuar con l, es un control que ayuda a mitigar los riesgos a los que est sometido el sistema, obligando a los usuarios a incrementar su cultura de seguridad de forma progresiva y con un bajo coste. En el caso de que un usuario suspenda un examen, deber volver a estudiar la informacin del SGSI o asistir a un curso de gestin de seguridad para adquirir el nivel de conocimientos adecuados para acceder al sistema.
Subproceso
P3: MSGS Tarea
Actividad
A3.1: Obtener o renovar el certificado de cultura de seguridad.
T3.1.1: Realizacin del test de cultura de seguridad. Objetivos El objetivo de esta tarea es valorar los conocimientos de los usuarios del sistema de informacin con respecto a los reglamentos y otros elementos del SGSI. Para ello, el sistema generar de forma aleatoria un examen que incluya preguntas sobre controles, reglamentos y procedimientos del SGSI que puedan afectar a los roles del usuario y se evaluar su calificacin. El usuario del S.I deber repetir el test hasta que cumpla con el nivel mnimo exigido de cultura de seguridad. Productos de entrada Artefactos seleccionados para el SGSI de la compaa. Examen en forma de lista de verificacin y la calificacin obtenida por los usuarios. Lista de preguntas de tipo test. Cl/US: Usuarios del sistema de informacin de la empresa. Productos de salida Tcnicas, prcticas y pautas Participantes
Tabla 4.56. Tarea T3.1.1 Realizacin del test de cultura de seguridad. Dentro de esta tarea existen dos procesos diferenciados: i) Obtencin del certificado de cultura de la seguridad.; ii) Renovacin del certificado de cultura de la seguridad. En la Figura 4.43 se puede ver en detalle el diagrama de flujo de los diferentes pasos que conforman el primero de estos procesos (obtencin del certificado de cultura de la seguridad). La primera vez que el usuario accede al sistema de informacin, deber aceptar la poltica de seguridad de la empresa. De esta forma se garantiza que el usuario lea, aunque sea de forma rpida, la poltica de la empresa (mejorando la cultura de seguridad). Despus, el usuario deber pasar un test inicial compuesto por unas veinte preguntas extradas al azar a partir del SGSI de la compaa. Mientras el usuario no consiga obtener ms del 50% de respuestas correctas en el test se considera que su cultura de seguridad para el sistema de informacin de la compaa no es adecuada y deber realizar otro examen hasta conseguir una calificacin superior o igual a cinco. El usuario no podr acceder al sistema de informacin de la compaa hasta que no alcance un nivel adecuado de cultura de seguridad. De esta forma se garantiza implantar la cultura de una forma eficiente. Una vez que el usuario consiga el aprobado su nota se guardar en un registro, se le conceder un certificado de cultura de seguridad y se le dar acceso al sistema de informacin. La nota obtenida ser importante para poder mantener el certificado obtenido en el tiempo, ya que sta se vera modificada por otras tareas del sistema.
197
Aceptacin Politica de Seguridad
Politica Aceptada?
Normativa
No
Si Test Inicial de Cultura de Seguridad No Aprobado? 20 preguntas
Certificado Nivel Cultural
No se autoriza el acceso al S.I.
Si Concesin de puntos y Certificado de Nivel Cultural Nota obtenida
Acceso al S.I.
Figura 4.43. Obtencin inicial de un certificado de cultura de seguridad. El segundo de los procesos que componen la tarea de realizacin del test de cultura de seguridad es la renovacin del certificado de cultura de la seguridad (CS), ya sea por la caducidad del mismo o por la perdida de puntos de la calificacin. Los pasos de este proceso se pueden ver en detalle en el diagrama de flujo de la Figura 4.44.
Figura 4.44. Esquema de renovacin de un certificado de la CS. Se ha establecido un periodo de renovacin del certificado de cultura de la seguridad de 1 ao, aunque esta cifra podra reducirse a 6 meses para acelerar el establecimiento de la cultura de la seguridad de la informacin. Debido a la sencillez del procedimiento no es aconsejable relajar ms el tiempo de la renovacin de los certificados, porque podra degradarse la cultura de seguridad (ej.: se considera que un tiempo de 2 aos sera contraproducente), ni forzarlo demasiado porque podra producir rechazo entre los usuarios (Ej.: se considera que un tiempo inferior a 6 meses creara rechazo entre los usuarios). En la Figura 4.45 se puede ver cmo, segn los resultados de las investigaciones realizadas durante la elaboracin de la tesis doctoral, si el periodo de renovacin se mueve entre los 6 y 18 meses el nivel de la cultura de la seguridad (NCS), medido como la calificacin media obtenida en los exmenes al obtener el certificado de cultura de la seguridad, es ms alto, lo que hace recomendable la renovacin del certificado cada 12 meses.
199
2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12
Figura 4.45. Asociacin del NCS con el periodo de renovacin de los certificados. Para evitar interferir en el trabajo diario de los usuarios, la notificacin de caducidad del certificado se produce desde 1 mes antes de ser efectiva, de forma que el usuario puede postergar la realizacin de los test al momento que desee dentro de ese periodo. El sistema diariamente le ir recordando el tiempo que resta para que caduque su certificado. Llegada la fecha de caducidad, si el usuario no ha realizado y aprobado el test se bloquear su acceso al sistema de informacin hasta que consiga renovar el certificado. Dado que el tiempo consumido por recurso (TcR) es uno de los factores principales de xito para la metodologa (en particular en el caso de las PYMES), se han realizado estimaciones del tiempo que podra costar la implantacin de la cultura de seguridad, llegando a la conclusin de que la sencillez del proceso lo hace totalmente aceptable para las PYMES (se ha estimado que la obtencin inicial del certificado podra llevar entre 1 y 2 horas, en torno a 90 minutos para la lectura de la poltica de seguridad y el entendimiento de los elementos del SGSI, y unos 30 minutos para la realizacin y aprobacin de test). Esta inversin de tiempo se realizara slo inicialmente ya que, aunque el certificado se debe renovar de forma peridica, la poltica de seguridad slo se debe leer y aprobar inicialmente. La experiencia obtenida a partir de los casos de prueba demuestra que los usuarios del sistema de informacin consideran esta inversin de tiempo razonable, a su vez la necesidad de obtener el certificado para poder acceder al sistema de informacin, hace que no sea cuestionada por ellos. Por ltimo, merece la pena destacar que los usuarios que intentaron saltarse la lectura de la poltica de seguridad para ahorrar tiempo tuvieron que repetir varias veces los test, invirtiendo finalmente el mismo tiempo que si hubieran ledo la poltica. Cualquiera de los dos caminos se puede considerar correcto, ya que ambos conducen al objetivo de introducir en los usuarios la semilla inicial de la cultura de seguridad. Con esta sencilla tarea los usuarios nunca pierden conciencia de la importancia de mantener actualizado su nivel de cultura de la seguridad. As mismo, dado que los test se realizan al azar mediante combinacin de preguntas de los reglamentos de seguridad activados en la compaa, los usuarios van tomando conciencia cada vez mayor de estos reglamentos, de una forma intuitiva y con un coste mnimo.
4.4.4.2. Actividad A3.2: Ejecutar procedimientos del SGSI. Esta actividad tiene como principal objetivo permitir a los usuarios del sistema de informacin la ejecucin de los procedimientos que contienen los procesos necesarios para mantener el SGSI de la compaa. La ejecucin de uno de los procedimientos pertenecientes al SGSI producir una instancia del procedimiento, que ser el conjunto de datos nicos introducidos durante la ejecucin de ese procedimiento. En la Figura 4.46 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibirn: i) el certificado de cultura de seguridad, ya que sin l no se puede acceder al sistema de informacin de la empresa; ii) los datos de entrada de los usuarios de la empresa para la fase del procedimiento que se este ejecutando; iii) del repositorio de informacin del SGSI se obtendrn los datos de la fase anterior de la instancia del procedimiento que se est ejecutando. Tareas: El subproceso estar formado por dos tareas que son independientes y que se corresponden con los dos tipos de procedimientos existentes en el sistema (generales y de denuncia). Salidas: La salida producida por este subproceso consistir en un informe que contenga toda la informacin generada en la instancia de cada fase del procedimiento durante la ejecucin del mismo, con el objetivo de que el auditor de seguridad (AuS) y el responsable de seguridad (Cl/RS) puedan analizarla y determinar mejoras en los procedimientos.
Datos usuarios pGen, pDen cCs
eSGSI
Figura 4.46. Esquema simplificado a nivel de tarea de la actividad A3.2. En la Figura 4.47 se muestran las actividades del subproceso de forma mucho ms detallada, viendo cmo interactan stas con el repositorio de SGSIs encargado de contener las estadsticas y los datos introducidos por los usuarios del sistema de informacin durante el trabajo diario con el SGSI.
201
sP3 MSGS A3.2

Estructura Procedimiento
Activar procedimiento general pGen
Resultados Procedimientos
Entrada Entregable
Estructura Procedimiento Denuncia
pDen
Tarea Resultado Procedimiento Denuncia Repositorio Flujo Informacin Flujo Proceso
Activar procedimiento de denuncia
Figura 4.47. Esquema detallado a nivel de tarea de la actividad A3.2. Los procedimientos se encuentran divididos en fases. Cada fase de un procedimiento puede ser ejecutada por un usuario diferente.
4.4.4.2.1. Tarea T3.2.1 Activar procedimiento general. Mediante la tarea T3.2.1 (Tabla 4.57) se puede iniciar una instancia de unos de los procedimientos generales que forman parte del SGSI de la compaa. El objetivo de estos procedimientos es permitir a los usuarios del sistema de informacin realizar las operaciones que afectan a la seguridad de ste de una forma organizada. Los procedimientos tienen asignada una poltica de seguridad a nivel de fase, de tal forma que slo aquellos roles que tengan acceso a las fases podrn participar en el proceso. Slo aquellos roles que tengan acceso a la fase inicial de un procedimiento podrn iniciar una instancia del mismo, y slo los que tengan acceso a la fase final podrn finalizar dicha instancia. Las fases intermedias podrn ser ejecutadas por aquellas personas que tengan los roles adecuados y hayan sido designados como receptores de dicha fase por el usuario responsable de la fase anterior (Figura 4.48).
Subproceso
P3: MSGS Tarea T3.2.1: Activar procedimiento general. Objetivos
Actividad
A3.2: Ejecutar procedimientos del SGSI.
El objetivo de esta tarea es la ejecucin de los procedimientos que forman el SGSI y que permiten gestionar y mantener la seguridad del sistema de informacin. Productos de entrada Artefactos seleccionados para el SGSI de la compaa del tipo procedimientos. Registros actualizados. Instancias de plantillas. Mtricas actualizadas. Registros de ejecucin de procedimientos. Flujo de procesos. Cl/US: Usuarios del sistema de informacin de la empresa. Productos de salida
Tabla 4.57. Tarea T3.2.1 Activar procedimiento general. Cuando un usuario inicia un procedimiento, el sistema ir de forma automtica activando las fases y solicitando las operaciones necesarias para pasar a la siguiente fase a cada uno de los usuarios involucrados, como se puede ver en la Figura 4.48. De esta forma, hasta que el usuario responsable de una fase no d la aprobacin de la misma, el procedimiento quedar pendiente y el sistema almacenar los retrasos ocasionados para un posterior anlisis.
Figura 4.48. Flujo de actividad en procedimientos. Durante la ejecucin de los procedimientos se genera informacin estadstica de los tiempos de ejecucin de cada fase y el origen de los retrasos producidos, con el objetivo de poder tomar decisiones que los hagan ms eficientes.
203
204 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. 4.4.4.2.2. Tarea T3.2.2 Activar procedimiento de denuncia. El objetivo de la tarea T3.2.2 (Tabla 4.58) es gestionar y evaluar las violaciones de seguridad y mantener actualizado el nivel de seguridad de los controles. El perfil ms importante en este procedimiento es el responsable de seguridad (Cl/RS).
Subproceso P3: MSGS Tarea T3.2.2: Activar procedimiento de denuncia. Objetivos El objetivo de esta tarea es la ejecucin del procedimiento que se encarga de gestionar y valorar las violaciones de seguridad sobre el sistema de informacin de la compaa. El resultado de este procedimiento afecta al nivel de cumplimiento de los controles y del cuadro de mandos. Productos de entrada Artefactos seleccionados para el SGSI de la compaa del tipo procedimientos. Registros actualizados. Instancias de plantillas. Mtricas actualizadas. Registros de ejecucin de procedimientos. Flujo de procesos. Cl/US: Usuarios del sistema de informacin de la empresa. Productos de salida Actividad A3.2: Ejecutar procedimientos del SGSI.
Tabla 4.58. Tarea T3.4.1 Activar procedimiento de denuncia. El esquema general de este procedimiento se puede ver en la Figura 4.49, y es el encargado de gestionar las denuncias por parte de un usuario del sistema sobre el incumplimiento de una regla de un reglamento.
Figura 4.49. Esquema del procedimiento de denuncia.
La tarea se inicia cuando un usuario del sistema de informacin detecta una violacin de seguridad o un incumplimiento de una regla del reglamento aprobado para el SGSI de la compaa y decide poner en conocimiento del responsable de seguridad (Cl/RS) dicha violacin. ste recibe la denuncia y determina si est justificada o no. En el caso de considerarla justificada aprobar la misma, lo que causar una disminucin del nivel de seguridad de los controles asociados a esa regla (mediante la matriz definida en la T1.4.8). Este procedimiento posibilita que las violaciones en el reglamento del SGSI afecten de forma directa e inmediata al cuadro de mando, sin necesidad de esperar que un auditor venga a revisar el sistema. As mismo se ven afectados todos los niveles del cuadro de mandos, alertando a la gerencia de forma sencilla cuando algo va mal, sin necesidad de esperar a la auditora anual o bianual que realiza un auditor externo para poder tomar decisiones. Al poder tomarse decisiones cuando los problemas aparecen, sin necesidad de esperar un periodo largo de tiempo, se evita el efecto domin que se produce al empezar a degradarse controles de seguridad y carecer de la informacin necesaria para aplicar las medidas correctivas antes de que afecten a otros controles. Por ltimo, se evita el efecto de desorientacin que produce al responsable de seguridad (Cl/RS) conocer la existencia de fallos en el sistema, pero no su origen. En la Figura 4.50 se puede ver un esquema del funcionamiento de este procedimiento internamente. Utilizando la matriz de reglamentoscontroles determina qu controles tienen que recibir la sancin. Estos controles se sancionan con un 1% de nivel de cumplimiento, pero esta sancin slo durar un periodo de tiempo (normalmente 1 ao), por lo que se almacenar en un deposito denominado control de sanciones. El valor del nivel del cumplimiento del control se actualizar en el cuadro de mandos, tanto al aprobarse la sancin como al caducar la misma.
Figura 4.50. Esquema de activacin de un procedimiento de denuncia.
205
4.4.4.3. Actividad A3.3: Seguimiento del cumplimiento del SGSI. Esta actividad tiene como principal objetivo mantener actualizado el nivel de madurez del SGSI y conocer en todo momento el nivel de cumplimiento de los controles de seguridad que forman parte del SGSI de la compaa. En la Figura 4.51 se puede ver el esquema bsico de entradas, tareas y salidas que componen esta actividad: Entradas: Como entradas se recibirn: i) el certificado de cultura de seguridad ya, que sin l no se puede acceder al sistema de informacin de la empresa; ii) datos de entrada de los usuarios (ej.: mediciones de los niveles de cumplimiento de los controles por parte del auditor de seguridad como parte del proceso de recalibrado); iii) del repositorio de informacin del SGSI se obtendr informacin de cambios en el nivel de cumplimiento de los controles de seguridad. Tareas: El subproceso estar formado por siete tareas que son independientes y que se irn ejecutando cuando sea necesario, sin una limitacin temporal (representada por un reloj en el esquema). Estas tareas son: i) gestin del cuadro de mandos de seguridad; ii) gestin de la periodicidad de los procedimientos; iii) gestin de las violaciones de seguridad; iv) gestin de los certificados de cultura de la seguridad; v) realizacin de las auditoras peridicas; vi) realizacin de mtricas generales; vii) gestin del sistema de alertas. Salidas: La salida producida por este subproceso consistir en una serie de informes asociados a cambios en los niveles de cumplimiento de los controles de seguridad y a violaciones de los reglamentos, con el objetivo de que el auditor de seguridad (AuS) y el responsable de seguridad (Cl/RS) puedan analizarla y determinar mejoras en los mismos.
En la Figura 4.52 se muestran las actividades del subproceso de forma mucho ms detallada, viendo cmo interactan stas con el repositorio de SGSIs encargado de contener las estadsticas y los datos introducidos por los usuarios del sistema de informacin durante el trabajo diario con el SGSI.
Datos usuarios
eSGSI
cCs
sP3 MSGS A3.3

mPP mVS
Gestionando la Periodicidad de los Proced.
mCS
InfAud
Gestionando las violaciones de Seguridad
Gestionando los Certificados de C.Seguridad
mGS
InfAle
Realizando Auditorias Peridicas
Gestionando las Mtricas Generales CMs
Gestionando el Sistemas de Alertas
Valores peridicos De Mtricas
Gestionando el Cuadro de Mandos de Seguridad

Nivel inicial de Seguridad
Alertas Seguridad
Niveles de los Certificados de C. Seguridad
Nivel Seguridad Por Control Repositorio de SGSIs
Resultados Auditorias Manuales Actualizando Niveles Seguridad
Valores mtricas Procedimientos
Repositorio de Informacin del SGSIs

Entrada Entregable Tareas Repositorio Flujo Informacin Flujo Proceso
mPP, mVS, mCS, mGS, InfAud, InfAle, CMs
Conocimiento Esquema Refinado
Figura 4.52. Esquema detallado a nivel de tarea de la actividad A3.3. Cada una de las tareas definidas en esta actividad tiene un objetivo claramente definido para mantener actualizado el sistema, que es:
207
208 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. T3.3.1 Gestionando el cuadro de mandos de seguridad: Permite al responsable de seguridad (Cl/RS) tener conocimiento en todo momento del nivel de la gestin de la seguridad del sistema de informacin sin tener que esperar a costosas y tardas auditoras externas. T3.3.2 Gestionar la periodicidad de los procedimientos: Permite medir el impacto de incumplir la ejecucin de un procedimiento sobre el sistema. T3.3.3 Gestionar las violaciones de seguridad: Permite medir el impacto que tendr el incumplimiento de una regla de seguridad de uno de los reglamentos aprobados en el SGSI sobre el resto de artefactos que conforman el sistema. T3.3.4 Gestionar los certificados de cultura de la seguridad: Permite medir el nivel de los usuarios con respecto a la cultura de seguridad de la compaa, para tomar medidas correctoras (Ej. cursos de concienciacin o seguridad). T3.3.5 Realizacin de auditoras peridicas: Los realizar de forma peridica un auditor externo como mecanismo de recalibracin del CMs. T3.3.6 Realizacin de mtricas generales: Permite medir otros factores especficos del SGSI asociados al funcionamiento de los procedimientos y controles (ej.: tiempo de respuesta a incidentes de seguridad).
T3.3.7 Gestionar el sistema de alertas: Facilita que el responsable de seguridad (RS) tenga constancia de fallos o distorsiones en la gestin de la seguridad del S.I. sin tener que estar supervisndolo de forma constante. Dentro de estas tareas, las T3.3.2, T3.3.3, T3.3.4, T3.3.5 y T3.3.6 generan valores que alteran el nivel de seguridad de la compaa representado en el cuadro de mandos (T3.3.1), lo que puede producir alertas en el sistema (T3.3.7). El funcionamiento de las tareas de este sistema se puede ver de forma grafica en la Figura 4.53.
T3.3.3 Denuncias
T3.3.2 Periodicidad Objetos
T3.3.4 Cultura de Seguridad T3.3.7 Alertas T3.3.1 Cuadro de mandos de seguridad
Reclculo de Controles T3.3.5 Auditoras T3.3.6 Mtricas
Figura 4.53. Representacin grfica de las tareas de la actividad A3.3.
En la Tabla 4.59 se puede ver el efecto que tiene sobre los controles de seguridad la activacin de cada una de esas tareas.
Efecto sobre controles
Tarea
Condiciones de activacin Cada ejecucin de procedimientos, cada mes y cada tres meses. Penalizacin de 1% +1% de los controles asociados. Cuando el responsable de seguridad aprueba una denuncia, el usuario denunciado es sancionado con: 1 punto del certificado de cultura de seguridad. 1% de los controles asociados al reglamento incumplido.
T3.3.2: Sube y baja el Periodicidad nivel de los procedimientos T3.3.3: Denuncias T3.3.5: Auditoras T3.3.6: Mtricas generales
Baja el nivel
Sube y baja el nivel
Anual y bianualmente. Actualiza todos los controles con los nuevos valores.
Sube y baja el De forma constante cuando un procedimiento lo requiera. nivel Al entrar en el S.I., al llegar al nivel mnimo de puntos permitidos, anualmente. Cada pregunta del examen: Fallada 0,1% de los controles asociados. Acertada +0,1% de los controles asociados.
T3.3.4: Certificados de Sube y baja el cultura de nivel seguridad
Tabla 4.59. Cuadro resumen de mtricas de autorregulacin del nivel de seguridad. Esta actividad se ha diseado para que permita al SGSI evolucionar el nivel de cumplimiento de los controles de seguridad de forma dinmica sin que sea obligatoria, aunque s aconsejable, la intervencin de auditores externos. De esta forma, la compaa no tiene que esperar a la llegada de auditores externos para conocer cmo est evolucionando la seguridad del sistema de informacin, sino que el sistema la actualiza constantemente cambiando el nivel de seguridad de los controles y reajustando todos los objetos del sistema. El resultado de cada cambio se ve reflejado en el nivel de cumplimiento de los controles del cuadro de mandos de seguridad, que se convierte en el centro de control del responsable de seguridad (Cl/RS) de la empresa para analizar la evolucin del sistema y tomar medidas correctivas.
4.4.4.3.1. Tarea T3.3.1 Gestionar el cuadro de mandos de controles de seguridad. La tarea T3.3.1 (Tabla 4.60) tiene como objetivo realizar actualizaciones en los controles de seguridad que componen el cuadro de mandos. La ausencia de este cuadro de mandos de seguridad en las compaas hace que no tengan capacidad de tomar decisiones en materia de seguridad a corto plazo, ya que dependen de la visita de los auditores peridicamente (aproximadamente cada dos aos) para poder determinar qu controles se han ido degenerando con el tiempo. Sin embargo en la metodologa MGSMPYME la existencia de un cuadro de mandos de seguridad dinmico hace que
209
210 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. el responsable de seguridad (Cl/RS) tenga en todo momento conocimiento de aquellos controles de seguridad que requieren mayor supervisin y sobre los que se deben tomar medidas correctoras.
Subproceso P3: MSGS Tarea T3.3.1: Gestionar el cuadro de mandos de controles de seguridad. Objetivos El objetivo de esta tarea es revisar el cuadro de mandos de controles de seguridad del sistema por parte del Cl/RS tomando las medidas correctivas necesarias para volver a equilibrarlo. Productos de entrada Artefactos seleccionados para el SGSI de la compaa. CMs: Nivel de cumplimiento con respecto al SGSI de los controles que forman el cuadro de mandos. Mtricas. Cuadros de mandos. Cl/RS: Responsable de seguridad. Productos de salida Actividad A3.3: Seguimiento del cumplimiento del SGSI.
Tcnicas, prcticas y pautas
Participantes
Tabla 4.60. Tarea T3.3.1 Gestionar el cuadro de mandos de seguridad. En la Figura 4.54 se muestra un ejemplo de diferentes niveles del cuadro de mandos de seguridad.
Figura 4.54. Niveles del cuadro de mandos de seguridad.
4.4.4.3.2. Tarea T3.3.2 Gestionar la periodicidad de los procedimientos. La tarea T3.3.2 (Tabla 4.61) muestra una de las mtricas especficas de la metodologa, cuyo objetivo es dotar a cada procedimiento de una periodicidad de ejecucin (tiempo mnimo en que el procedimiento debe ser ejecutado). De esta forma, cuando uno de los procedimientos del SGSI pasa ms del periodo mnimo que tiene definido sin ejecutarse, lanza una alerta cuyo objetivo es reducir el nivel de seguridad de los controles asociados a ese procedimiento del SGSI y a los elementos asociados al mismo. El responsable de seguridad (Cl/RS) determina en ltima instancia si tiene sentido o no disminuir la seguridad. Por el contrario, cuando un procedimiento se ejecuta antes de cumplirse la periodicidad establecida, hace que se incremente el nivel de cumplimiento de los controles asociados.
Subproceso P3: MSGS Tarea T3.3.2: Gestionar la periodicidad de los procedimientos. Objetivos El objetivo de esta tarea es establecer un periodo de ejecucin de los procedimientos del sistema, de tal forma que se garantice una revisin peridica de los mismos por parte del responsable de seguridad para verificar si se estn utilizando de forma correcta. Productos de entrada Artefactos seleccionados para el SGSI de la compaa. mPO: Nuevos valores para los controles del cuadro de mandos. Mtricas. Cuadros de mandos. Cl/RS: Responsable de seguridad. Productos de salida Tcnicas, prcticas y pautas Actividad A3.3: Seguimiento del cumplimiento del SGSI.
Participantes
Tabla 4.61. Tarea T3.3.2 Gestionar la periodicidad de los procedimientos. El sistema de periodicidad de los objetos ha sido planificado para que se vaya autorregulando anualmente, por lo que inicialmente se establece que todos los objetos tienen una periodicidad mensual (ej.: si el primer ao un procedimiento se ejecuta 50 veces, el ao siguiente la periodicidad de dicho procedimiento pasara a ser 365/50, es decir, semanalmente; el siguiente ao se realizar la media con toda la informacin de la base de datos relativa a la periodicidad del objeto, hasta que se consiga la periodicidad ms cercana a la realidad. Por el contrario, si un procedimiento se debe ejecutar slo 2 veces al ao, inicialmente se disparar cada mes, y el responsable de seguridad determinar si realmente se est incumpliendo el procedimiento, en cuyo caso aprobar la penalizacin (1%), o por el contraro no ha sido necesario ejecutarlo, en cuyo caso anular la penalizacin).
211
212 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. De esta forma, cada procedimiento peridicamente intenta recordar su existencia al responsable de seguridad (Cl/RS) regulando el nivel de cumplimiento (NC) de los controles asociados.
4.4.4.3.3. Tarea T3.3.3 Gestionar las violaciones de seguridad. El objetivo de la tarea T3.3.3 (Tabla 4.62) es aportar otro mecanismo de medicin que permita mantener actualizado el nivel de la gestin de la seguridad en la compaa. Esta tarea permite controlar las violaciones del reglamento de seguridad del SGSI de la compaa, penalizando los controles asociados a las reglas que se han violado en el caso de que el responsable de seguridad (Cl/RS) considere que realmente ha existido una violacin.
Subproceso P3: MSGS Tarea T3.3.3: Gestionar las violaciones de seguridad. Objetivos El objetivo de esta tarea es actualizar los controles de seguridad del cuadro de mandos cuando se detecte y verifique una violacin de uno de los reglamentos activados para el SGSI, dado que el incumplimiento de ste afecta directamente al nivel de cumplimiento de los controles. Productos de entrada Artefactos seleccionados para el SGSI de la compaa. mVS: Nuevos valores para los controles del cuadro de mandos. Mtricas. Cuadros de mandos. Cl/RS: Responsable de seguridad. Productos de salida Tcnicas, prcticas y pautas Actividad A3.3: Seguimiento del cumplimiento del SGSI.
Participantes
Tabla 4.62. Tarea T3.3.3 Gestionar las violaciones de seguridad. Al contrario que en los mecanismos de autorregulacin incluidos en otras tareas, el porcentaje de la penalizacin en el sistema de denuncias es alta dado que existe una evidencia de la violacin del reglamento de seguridad. En la metodologa se ha establecido una penalizacin del 1% de valor total de los controles de seguridad que estn relacionados con la regla incumplida y un 1 punto menos en el certificado de cultura de la seguridad del usuario del sistema de informacin que ha ocasionado la violacin. Esta tarea slo tiene carcter sancionador, no existiendo mecanismo en la misma que permita aumentar el nivel de cumplimiento de los controles o del certificado de cultura de la seguridad. Por ltimo, se ha determinado no premiar al usuario que efecta la denuncia para evitar que sta quede invalidada por ello.
4.4.4.3.4. Tarea T3.3.4 Gestionar los certificados de cultura de seguridad. El objetivo de la tarea T3.3.4 (Tabla 4.63) es actualizar la puntuacin de los certificados de cultura de seguridad y de los controles de seguridad asociados a estos cuando se producen ciertas acciones: i) violaciones del reglamento de seguridad; y ii) cuando se pierde el certificado de cultura de la seguridad por tener menos puntos de los requeridos.
Subproceso P3: MSGS Tarea T3.3.4: Gestionar los certificados de cultura de seguridad. Objetivos El objetivo de esta tarea es actualizar la puntuacin de los certificados de cultura de la seguridad y de los controles de seguridad del cuadro de mandos asociados con estos, cuando se producen violaciones de seguridad o prdidas de los certificados. Productos de entrada Artefactos seleccionados para el SGSI de la compaa. mCS: Nuevos valores para los controles del cuadro de mandos. Mtricas. Cuadros de mandos. Cl/RS: Responsable de seguridad. Productos de salida Tcnicas, prcticas y pautas Actividad A3.3: Seguimiento del cumplimiento del SGSI.
Participantes
Tabla 4.63. Tarea T3.3.4 Gestionar los certificados de cultura de la seguridad. A lo largo de la tesis doctoral se ha determinado que cuanto mayor es la cultura de seguridad de la compaa, mayor es el nmero de denuncias que llegan de parte de los usuarios, mxime cuando dichas denuncias no implican actualmente sanciones graves contra los denunciados. Cuando se realiza una denuncia de un incidente de seguridad y el responsable de seguridad considera que est justificada y, por lo tanto la aprueba, adems de verse afectado el nivel de seguridad global de la compaa se ve afectada la puntuacin del certificado de cultura de la seguridad del usuario que cometi la violacin de seguridad. Cada violacin implica la prdida de un 1 punto del certificado de cultura de la seguridad (NCS) que el usuario tena hasta el momento, y que era el resultado de la nota obtenida en el test de cultura de seguridad, menos los puntos que ya hubiera perdido durante el periodo de validez de ese certificado por violaciones de la normativa activa en la compaa. Si la prdida de puntos debida a violaciones de seguridad hace que la puntuacin del certificado de cultura de la seguridad baje de los 5 puntos, se le quitar al usuario el certificado, y con ello el acceso al sistema de informacin de la compaa, hasta que vuelva a aprobar el examen y as obtenga un nuevo certificado de seguridad. Todo este proceso se puede ver en la Figura 4.55.
213
Figura 4.55. Alteracin del NCS por una violacin de la normativa. Este proceso sirve como control preventivo para que los usuarios del sistema de informacin sean conscientes de que las violaciones de las normativas tienen un coste. As mismo, la medida no es excesivamente grave y por tanto los usuarios no la ven con rechazo. Este control no tiene un coste de gestin representativo, ni en tiempo ni en recursos para la compaa, pero supone un importante refuerzo para establecer una correcta cultura de seguridad en la compaa. En la Figura 4.56 se puede ver cmo se relacionan las puntuaciones del examen de cultura de la seguridad con la matriz de reglamentoscontroles, de forma que cuando
un certificado de seguridad se obtiene con una nota baja afecta a los controles asociados a las normativas de las que se han obtenido las cuestiones, ya que al fallar una pregunta del examen se reduce en un porcentaje el nivel de los controles asociados a dicha pregunta (0.1%). De igual manera, si se acierta la pregunta aumenta el nivel de los controles (+0.1%).
Figura 4.56. Gestionar los certificados de cultura de la seguridad.
4.4.4.3.5. Tarea T3.3.5 Realizacin de auditoras peridicas. El objetivo de la tarea T3.3.5 (Tabla 4.64) es la realizacin de auditoras externas, que servirn para recalibrar los niveles de cumplimiento de los controles de seguridad que componen el cuadro de mandos del SGSI.
Subproceso P3: MSGS Tarea T3.3.5: Realizacin de auditoras peridicas. Objetivos El objetivo de esta tarea es reajustar los controles del cuadro de mandos mediante una auditora externa que detecte desviaciones producidas por las mtricas utilizadas. Productos de entrada Auditora realizada por experto. InfAud: Nuevos valores para los controles del cuadro de mandos. Auditoras. Cuadros de mandos. AS: Auditor de seguridad. Productos de salida Tcnicas, prcticas y pautas Actividad A3.3: Seguimiento del cumplimiento del SGSI.
Participantes
Tabla 4.64. Tarea T3.3.5 Realizacin de auditoras peridicas.
215
Esta tarea consiste en la realizacin de una lista de verificacin (que podra ser la realizada en la tarea T1.2.2) por parte del auditor de seguridad (AuS) y comparar el resultado del nivel de cumplimiento obtenido para cada control de seguridad del SGSI en la evaluacin del auditor externo de seguridad (AuS) con el nivel de cumplimiento actual del cuadro de mandos, con el objetivo de: i) determinar las variaciones existentes entre los controles y determinar las causas de las mismas y qu mtricas han funcionado de forma incorrecta; y ii) recalibrar el cuadro de mandos, actualizando de nuevo el nivel de cumplimiento de los controles de seguridad. La metodologa se ha planteado para reducir la necesidad de las auditoras peridicas, por dos motivos: i) el primero es que suponen un elevado coste para la empresa; y ii) el segundo es que al realizarse en periodos de tiempo largos (ej.: cada dos aos), no sirven para tomar medidas a corto plazo, que son las que realmente suponen un ahorro de coste a la empresa al mantener el nivel de la seguridad. A lo largo de la tesis doctoral se ha llegado a la conclusin de que si el responsable de seguridad detecta en una fase temprana la degeneracin de un control de seguridad es muy fcil determinar y aplicar medidas correctivas, ya que el control tan slo est sufriendo una degeneracin, pero sigue teniendo los pilares sobre los que aplicar las medidas correctivas. Por el contrario, si un nivel empieza a degenerar y este procedimiento se alarga en el tiempo sin tomar medidas correctoras, finalmente el control pierde toda su consistencia, requiriendo de un esfuerzo enorme para volver a cumplirlo. Esto es debido a que cuando un control se degrada durante un largo espacio de tiempo termina afectando negativamente a la cultura de seguridad de la compaa. Por lo tanto, la metodologa evita depender slo de las auditorias peridicas (ej.: bi anuales), dejando stas como un mero mecanismo de autoregulacin para determinar pequeas desviaciones que se han podido producir. Los resultados de la auditora a nivel de cumplimiento de los controles de seguridad no deberan diferir en ms de un 5% del nivel de cumplimiento que actualmente tiene el cuadro de mandos de seguridad del SGSI. En caso contrario, se deberan determinar las causas de la desviacin: i) mal funcionamiento de las mtricas definidas; ii) falta de mtricas; iii) utilizacin incorrecta del SGSI por parte de los usuarios; iv) falta de supervisin del responsable de seguridad (Cl/RS), v) etc.
4.4.4.3.6. Tarea T3.3.6 Gestionar las mtricas generales. El objetivo de la tarea T3.3.6 (Tabla 4.65) es aportar nueva informacin del estado de la seguridad del SGSI mediante el uso de una serie de mtricas generales. Estas mtricas no afectan de forma directa al nivel de cumplimiento de los controles del SGSI, pero aportan informacin al responsable de seguridad (Cl/RS) sobre medidas que debe tomar para mejorar la gestin de la seguridad del sistema de informacin. El responsable de seguridad (Cl/RS) puede determinar alterar el valor de los niveles de cumplimiento de los controles de seguridad de forma manual, a partir de la informacin aportada por estas mtricas, en caso de que lo considere conveniente.
4.4. Subproceso P3:MSGS Mantenimiento del SGSI _____________________________ 217 Subproceso P3: MSGS Tarea T3.3.6: Gestionar las mtricas generales. Objetivos El objetivo de esta tarea es aportar al responsable de seguridad (Cl/RS) una serie de indicadores adicionales que le permitan conocer el estado de seguridad del sistema de informacin. Productos de entrada Artefactos seleccionados para el SGSI de la compaa. InfAle: Nuevos valores para los controles del cuadro de mandos. Mtricas. Cl/RS: Responsable de seguridad. Cuadros de mandos. Productos de salida Tcnicas, prcticas y pautas Participantes Actividad A3.3: Seguimiento del cumplimiento del SGSI.
Tabla 4.65. Tarea T3.3.6 Realizacin de mtricas generales. En la Figura 4.22 se puede ver un ejemplo de una mtrica general.
4.4.4.3.7. Tarea T3.3.7 Gestionar el sistema de alertas. El objetivo de la tarea T3.3.7 (Tabla 4.66) es evitar que el responsable de seguridad (Cl/RS) tenga que estar continuamente analizando todos los controles del cuadro de mandos de seguridad para determinar si se est produciendo degeneracin del sistema.
Subproceso P3: MSGS Tarea T3.3.7: Gestionar el sistema de alertas. Objetivos El objetivo de esta tarea es facilitar al responsable de seguridad el trabajo de seguimiento de los cambios en el nivel de cumplimiento de los controles de seguridad. Productos de entrada Artefactos seleccionados para el SGSI de la compaa. InfAle: Alertas del sistema. Sistema de alertas. Cl/RS: Responsable de seguridad. Productos de salida Tcnicas, prcticas y pautas Participantes Actividad A3.3: Seguimiento del cumplimiento del SGSI.
Tabla 4.66. Tarea T3.3.7 Gestionando el sistema de alertas.
217
Esta tarea enva una alerta al responsable de seguridad (Cl/RS) cuando el nivel de cumplimiento de un control supera uno de los limites establecidos (ej.: 010%, 10 25%, 2550%, 5075%, 7590%, 90100%), indicndole que se ha producido un cambio desde el limite X al Y, y las causas que lo han motivado. De esa forma el responsable de seguridad (Cl/RS) puede determinar si las causas han sido objetivas o se trata de una mala interpretacin del sistema y, por tanto, puede volver a regular el nivel del control. En la Figura 4.57 se puede ver grficamente el flujo seguido por la tarea.
Figura 4.57. Sistema de alertas para control de niveles de seguridad
4.5. Modelo desarrollado Esquema base (EB).

Durante la elaboracin de la tesis doctoral y con el objetivo de ir refinando y validando la metodologa MGSMPYME, se ha desarrollado un modelo para el subproceso GEGS de la misma. Este modelo ha sido denominado esquema base (EB). El esquema base (EB) es un esquema funcional obtenido a partir del conocimiento adquirido durante la implantacin de la metodologa. El objetivo principal de este esquema es servir de punto de partida a la hora de crear nuevos esquemas ms especficos (para sectores y tamaos de empresas concretos), de forma que la generacin de nuevos esquemas pueda realizarse tomando como referencia el esquema base, realizando una clonacin del mismo (copiar la estructura del esquema A en un esquema B) y despus realizando las modificaciones pertinentes para adaptarlo a un determinado tipo de compaa. La definicin de todos los elementos de los que se compone el esquema base (EB) es muy amplia, por lo que en las siguientes subsecciones slo se muestran algunas caractersticas de ste que se han considerado las ms destacables del mismo. Todos los elementos y asociaciones del esquema base se pueden ver en detalle en el anexo B. En la subseccin 1 se muestra la estructura de niveles de madurez que se ha desarrollado para el esquema base. En la subseccin 2 se muestra un resumen de los procedimientos incluidos en el esquema y, por ltimo, en la subseccin 3 se muestran los roles incluidos en el esquema y con qu procedimientos se encuentran asociados.
4.5.1. Niveles de madurez del modelo.

En esta subseccin se mostrarn los diferentes niveles de madurez en que se ha dividido el esquema base desarrollado. Estos niveles de madurez han sido elaborados en base a la
4.5. Modelo desarrollado Esquema base (EB). _________________________________ 219
experiencia prctica y basndonos en los modelos de SSECMM (SSE-CMM, 2003) y las investigaciones de los modelos (Eloff y Eloff, 2003, Barrientos y Areiza, 2005). Las propuestas desarrolladas para los niveles de madurez estn basadas en los dominios y controles de las guas de buenas prcticas ISO/IEC17799:2000 (ISO/IEC17799, 2000) e ISO/IEC27002 (ISO/IEC27002, 2007). La divisin de los dominios por niveles de madurez propuesta para la primera versin del EB (EBv1), en base a los resultados obtenidos en los procesos de implantacin, fue: Nivel 1 o de proteccin mnima: Centrara el peso de la evolucin de la empresa en los siguientes dominios: o 5 Poltica de seguridad: Todos los modelos estudiados coinciden en su importancia en el primer nivel. o 14 Gestin de la continuidad del negocio: Todos los modelos estudiados coinciden en su importancia en el primer nivel. o 15 Cumplimiento: El modelo propuesto por (Eloff y Eloff, 2003) lo incorpora en el primer nivel, mientras que (Barrientos y Areiza, 2005) lo incluye en el tercer nivel. Las conclusiones de las investigaciones demuestran que es necesario incluirlo desde el principio debido a los enormes riesgos legales que comporta para la organizacin. Nivel 2 o de proteccin razonable: Centrara el peso de la evolucin de la empresa en los siguientes dominios de la gua de buenas prcticas ISO/IEC27002: o Dominio 6 Aspectos organizativos de la seguridad de la informacin: Todos los modelos estudiados coinciden en su importancia en un nivel intermedio. o Dominio 7 Gestin de activos: Todos los modelos estudiados coinciden en su importancia en un nivel intermedio. o Dominio 8 Seguridad ligada a los recursos humanos: Coincide con el modelo planteado por (Barrientos y Areiza, 2005). o Dominio 11 Control de acceso: Coincide con el modelo planteado por (Eloff y Eloff, 2003). o Dominio 13 Gestin de incidentes en la seguridad de la informacin: Es una subdivisin heredada del dominio 6 de la ISO/IEC17799:2000 (ISO/IEC17799, 2000). Nivel 3 o de proteccin adecuada: Centrara el peso de la evolucin de la empresa en los siguientes dominios: o Dominio 9 Seguridad fsica y ambiental: Coincide con el modelo planteado por (Barrientos y Areiza, 2005). o Dominio 10 Gestin de comunicaciones y operaciones: Coincide con el modelo planteado por (Eloff y Eloff, 2003).
219
220 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. o Dominio 12 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: Coincide con el modelo planteado por (Eloff y Eloff, 2003). Aunque los resultados del EBv1 se mostraron vlidos para la metodologa, se realiz una nueva versin (EBv2) ms refinada que permitiera una asociacin ms detallada a nivel de control en lugar de a nivel de dominio, con el objetivo de obtener resultados ms precisos. La propuesta de EBv2 se ha obtenido de los continuos reajustes del esquema base con los casos de prueba: Nivel 1 o de proteccin mnima: Centrara el peso de la evolucin de la empresa en los siguientes dominios: o Dominio 5 Poltica de seguridad: Todos los modelos estudiados coinciden en su importancia en el primer nivel. o Dominio 6 Aspectos organizativos de la seguridad de la informacin: Frente a los otros modelos que lo centran en un nivel intermedio, el modelo desarrollado considera que es de primer nivel, aunque no totalmente, dejando parte del dominio para el segundo nivel. o Dominio 7 Gestin de activos: Dada la importancia que los activos tienen para la nueva normativa ISO/IEC27002 (ISO/IEC27002, 2007) frente a su antecesora ISO/IEC17799:2000 (ISO/IEC17799, 2000), se ha adelantado la necesidad de acometer estos controles desde el nivel 2 al nivel 1. o Dominio 8 Seguridad ligada a los recursos humanos: Frente a los modelos que lo sitan en niveles intermedios o finales, las conclusiones de las investigaciones demuestran que el sistema de gestin de la seguridad es insostenible sin la asociacin de la seguridad a los recursos humanos. o Dominio 11 Control de acceso: An cuando coincide con el modelo planteado por (Eloff y Eloff, 2003), parte de este dominio ha sido adelantado al nivel 1, aunque el grueso del dominio sigue estando en el nivel 2. o Dominio 13 Gestin de incidentes en la seguridad de la informacin: Parte del dominio se constituir en el nivel 1 para establecer una base slida, pero el grueso del dominio pertenece al nivel 2. o Dominio 15 Cumplimiento: El modelo propuesto por (Eloff y Eloff, 2003) lo incorpora en el primer nivel, mientras que (Barrientos y Areiza, 2005) lo incluye en el tercer nivel. Las conclusiones de las investigaciones demuestran que es necesario incluirlo desde el principio debido a los enormes riesgos legales que comporta para la organizacin. An as, en la versin EBv2 se ha encontrado un equilibrio entre los modelos estudiados, dividiendo su peso entre el nivel 1 y el nivel 2.
Nivel 2 o de Proteccin razonable: Centrara el peso de la evolucin de la empresa en los siguientes dominios: o Dominio 6 Aspectos organizativos de la seguridad de la informacin: En este nivel se completa el resto del dominio cuyas bases fueron establecidas en el nivel 1. o Dominio 9 Seguridad fsica y ambiental: Coincide con el modelo planteado por (Barrientos y Areiza, 2005). o Dominio 11 Control de acceso: Coincide con el modelo planteado por (Eloff y Eloff, 2003), dejando el grueso del dominio para el nivel 2, an cuando ya se ha establecido en el nivel 1 una slida base para este dominio. o Dominio 12 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: Frente a los otros modelos, el modelo desarrollado ha repartido entre los diferentes niveles de madurez el peso de este dominio, centrando el mayor esfuerzo en el nivel 2. o Dominio 13 Gestin de incidentes en la seguridad de la informacin: En el nivel 2 se centra el grueso del dominio cuyas bases se establecieron en el nivel 1. o Dominio 15 Cumplimiento: Complementa en el nivel 2 los aspectos legales impuestos en el nivel 1. Nivel 3 o de proteccin adecuada: Centrara el peso de la evolucin de la empresa en los siguientes dominios: o Dominio 10 Gestin de comunicaciones y operaciones: Coincide con el modelo planteado por (Eloff y Eloff, 2003), aunque la mayor precisin del nuevo modelo permite ir poniendo unas pequeas bases en los niveles anteriores. o Dominio 12 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: En este nivel se incluyen el resto de controles del dominio no incluidos en los niveles anteriores, aunque el mayor esfuerzo recay en el nivel 2. o Dominio 14 Gestin de la continuidad del negocio: Frente a los otros modelos que proponen establecer las bases en los primeros niveles, se ha determinado que la compaa no puede realizar un buen plan de continuidad sin la base anterior, por lo que se ha determinado dejarlo en el nivel 3. La estructura de niveles de madurez creada en la versin EBv2 ha sido desarrollada buscando los siguientes objetivos: i) crear un gobierno y conciencia de la seguridad en aspectos bsicos en el nivel 1, avanzando en el resto de niveles; ii) conseguir una evolucin de la organizacin de la seguridad y el asentamiento de las polticas de seguridad en el nivel 2; y iii) por ltimo, el nivel 3 se centrar en aspectos fsicos y en algunos aspectos avanzados de la continuidad del negocio. En la Tabla 4.67 se comparan los modelos de niveles de madurez propuestos por Eloff (Eloff y Eloff, 2003) y Barrientos (Barrientos y Areiza, 2005) con las dos versiones desarrolladas (EBv1 y EBv2). En gris se marcan los dominios de la
221
222 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. ISO/IEC27002 (ISO/IEC27002, 2007) que debern acometerse en cada nivel de madurez. En el caso del modelo EBv2 se ha puesto en gris oscuro el dominio cuyo mayor paso recae en ese nivel de madurez, y en gris claro aquellos niveles en los que el dominio tambin tiene importancia pero no es el dominio prioritario del nivel.
ISO/IEC27002 Dominios Eloff y Eloff Barrientos y Areiza
EBv1
EBv2
Niveles de Madurez 1 2 3 4 1 2 3 4 5 1 2 3 5 - Poltica de seguridad. 6 - Aspectos organizativos de la seguridad de la informacin. 7 Gestin de activos. 8 - Seguridad ligada a los recursos humanos. 9 - Seguridad fsica y ambiental. 10 Gestin operaciones. de comunicaciones y 3% 42% 31% 40% 1 100% 73% 100% 100% 100% 16% 58% 50% 60% 100% 60% 48 36% 40% 50 38% 34 26% 19% 81% 27% 2 3
11 - Control de acceso. 12- Adquisicin, desarrollo y mantenimiento de los sistemas de informacin. 13 - Gestin de incidentes en la seguridad de la informacin. 14 Gestin de la continuidad del negocio. 15 Cumplimiento.
Tabla 4.67. Comparativa entre diferentes modelo de madurez de seguridad. Hasta el momento actual, las empresas han centrado la gestin de la seguridad en un modelo basado en acometer la seguridad fsica antes que aspectos organizativos y de gestin. La experiencia obtenida a partir de los casos de prueba demostr que sta era una de las principales causas del fracaso de las implantaciones de sistemas de seguridad: la falta de unos pilares sobre los que sustentarlos. El esquema base ha sido desarrollado con tres niveles de madurez, al ser este nmero de niveles el que mejor acogida ha tenido entre las compaas sobre las que se ha realizado la investigacin. Aun as, la metodologa MGSMPYME est preparada para soportar cualquier nmero de niveles de madurez. 4.5.1.1. Seleccin de los controles para cada nivel de madurez. Para determinar en qu nivel de madurez es adecuado activar los controles de seguridad se han seguido diversas tcnicas. La que mejor resultado ha dado ha sido la extraccin de reglas a partir de los datos econmicos y tecnolgicos de empresas espaolas existentes en los informes estadsticos del Instituto Nacional de Estadstica (INE). Los informes que se han considerado ms relevantes para este proceso han sido:
Empresas con actividades innovadoras en 2005 por ramas de actividad, tipo de indicador y tamao de la empresa. Empresas que han realizado I+D en 2005 por ramas de actividad, tipo de indicador y tamao de la empresa. Intensidad de innovacin. (Gastos act. Innovadoras/Cifra de negocios)x100 por ramas de actividad, tipo de indicador y tamao de la empresa. Impacto econmico de las innovaciones sobre la cifra de negocios en 2005 por ramas de actividad, tipo de indicador y tamao de la empresa. Empresas con innovaciones en curso o no exitosas por ramas de actividad, tipo de indicador y tamao de la empresa. Fuentes de informacin para actividades de innovacin por ramas de actividad, tipo de indicador y tamao de la empresa. Factores que dificultan la innovacin o que influyen en la decisin de no innovar por ramas de actividad, tipo de indicador y tamao de la empresa. Empresas con innovaciones no tecnolgicas, innovaciones organizativas y de comercializacin durante el periodo 20032005 por ramas de actividad, tipo de indicador y tamao de la empresa. Variables de uso de Comercio Electrnico (CE) en 2006 por agrupacin de actividad, principales variables y tamao de la empresa. Variables de uso de TIC (a enero de 2007) por agrupacin de actividad, principales variables y tamao de la empresa. Nivel y demanda de conocimientos sobre las TIC en la empresa en 2006 (e Skills) por agrupacin de actividad, principales variables y tamao de la empresa.
Estas reglas permiten determinar la dependencia (alta, media o baja) de un control con respecto a un tipo de compaa (sector y tamao) y sirven como ayuda a la hora de determinar el nivel de madurez ms adecuado para el control (nivel 1 si la dependencia es alta, nivel 2 si es media y nivel 3 si es baja). En la Tabla 4.68 se puede ver un ejemplo de una de estas reglas, que establece la relacin entre los diferentes cdigos del CNAE, el tamao de la compaa y el control 6.2.3 de la norma ISO/IEC27002 (ISO/IEC27002, 2007) en forma porcentual_ Paso 1: Seleccionamos del informe del INE Nivel y demanda de conocimientos sobre las TIC en la empresa en 2006 (eSkills) por agrupacin de actividad, principales variables y tamao de la empresa la variable 1.3.11 % Empresas que subcontrataron alguna funcin que requiriese especialistas en TIC. Paso 2: Seleccionamos de la ISO/IEC27002 un control asociado a la variable seleccionada en el paso 1. El control 6.2.3 Tratamiento de la seguridad en acuerdos con terceros esta asociado con la variable seleccionada. Paso 3: Extraemos del informe del INE, el nivel de cumplimiento de esa variable segn el tamao de la empresa y el sector empresarial (CNAE) al que pertenece, obteniendo el resultado que se puede ver en la Tabla 4.68.
223
Variable: 1.3.11 asociada al Control 6.2.3 CNAE 1521 22 2325 2628 2937 4041 45 50 51 52 6063 64 70, 71, 73, 74 72 65 66 67 Nmero de empleados <10 1049 7,26 7,26 7,26 7,26 7,26 7,26 7,26 7,26 7,26 7,26 7,26 7,26 7,26 7,26 8,29 8,29 8,29 25,12 34,10 30,26 24,03 28,14 36,91 19,24 41,21 42,51 29,50 28,91 25,87 34,74 33,27 75,17 74,78 53,94 50249 >250 45,66 62,08 59,24 60,84 63,12 77,93 45,74 69,48 52,51 72,37 56,18 83,49 35,16 57,33 53,88 68,91 56,37 62,50 40,66 46,73 43,14 59,44 33,02 65,62 35,02 47,59 43,50 56,63 81,30 91,80 65,41 85,52 84,17 57,05
Tabla 4.68. Relacin entre CNAE, tamao de la compaa y el control 6.2.3. Se ha establecido que una empresa tiene una dependencia baja de un control cuando el porcentaje de cumplimiento de la variable asociada est entre 025%, media cuando est entre el 2575% y alta cuando est entre el 75100%. Al normalizar la Tabla 4.68 a partir de dichas consideraciones, se obtiene el conjunto de valores mostrado en la Tabla 4.69, que permite asociar la necesidad (alta, media baja) de un control de seguridad con respecto al tipo de compaa (sector y tamao).
Variable: 1.3.11 asociada al Control 6.2.3 CNAE CNAE 1522, 2937, 5052, 6064, 7074 2325, 4041, 66 2628, 45 65 67 Nivel de dependencia del control con respecto al tipo de compaa (sector y tamao) MicroEmpresa PYME Pequea Mediana B B B B B M M B A M M M M A A M A M A M Grande
Tabla 4.69. Valores para el control 6.2.3 por CNAE y tamao de empresa.
De esta forma, se puede ver cmo la dependencia del control de seguridad 6.2.3 de la norma ISO/IEC27002, es alta en el caso de las compaas (PYMES y grandes) del sector 65 Intermediacin financiera, excepto seguros y planes de pensiones, mientras que en las compaas pequeas del CNAE 45 Construccin su dependencia es baja. Por lo tanto, y a partir del conocimiento extrado en el ejemplo, el grupo de expertos del dominio (GED) que est generando un esquema para una compaa pequea del sector de la construccin, sabe que no es recomendable activar el control 6.2.3 en el primer nivel de madurez.
4.5.2. Procedimientos del modelo.

El esquema base desarrollado aplicando la metodologa est soportado por una serie de elementos, dentro de los cules los procedimientos tienen una misin muy importante al ser los encargados de definir y sostener los procesos de gestin de la seguridad del sistema de informacin. Los procedimientos del esquema base fueron desarrollados tomando como base los controles de la gua de buenas prcticas ISO/IEC27002 (ISO/IEC27002, 2007) y simplificndolos para adaptarlos a los requerimientos de las PYMES. El esquema base consta de unos 50 procedimientos que se han agrupados en 9 dominios y 25 subdominios (ver Figura 4.58).
OS - Organizacin de la seguridad:
- OS/SI Seguridad de la Informacin. - OS/UCII Uso correcto de las Infraestructuras de la Informacin. - OS/ISI Infraestructura de seguridad de la informacin. - OS/AT Acceso de terceros. - OS/OE Outsourcing (Externalizacin).
CL - Requisitos legales y normativas:

- CL/LOPD Ley orgnica de proteccin de datos personales. - CL/LPI Ley de propiedad intelectual.
TI - Tratamiento de la informacin:
- TI/CS Copias de seguridad. - TI/IIS Intercambio de informacin y software. - TI/US Uso de soportes.
CA - Clasificacin y control de activos:

- CA/CI Clasificacin de la informacin.
AC - Control de accesos:
- AC/GAU Gestin de accesos de usuario. - AC/ASO Control de acceso a sistemas operativos. - AC/RNCA Requisitos de negocio para el control de acceso. - AC/CAR Control de acceso en red. - AC/RU Responsabilidades del usuario.
Metodologa para la gestin de la seguridad y su madurez en los S.I.
GI - Deteccin y gestin de incidentes:

- GI/ISFI Infraestructura de seguridad de la informacin. - GI/PR Planes de recuperacin.
SP - Seguridad del personal:

- SP/DPT Seguridad en la definicin de los puestos de trabajo. - SP/FU Formacin de los usuarios.
CO - Comunicaciones y operaciones:
- CO/POR Procedimientos operativos y responsabilidades. - CO/PSM Proteccin contra software malicioso. - CO/GR Gestin de la red.
SF Seguridad fsica:
- SF/AS rea de seguridad. - SF/SE Seguridad de equipamiento.
Figura 4.58. Esquema de los dominios del MGSMPYME.
225
226 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. Los procedimientos estn formados por un conjunto de fases que tienen asociados otros elementos del SGSI como plantillas, reglamentos, instrucciones tcnicas, roles, etc. De esta forma, se pueden modificar los procedimientos aadiendo o modificando las fases existentes, o se pueden crear procedimientos nuevos en el esquema. La descripcin en detalle de cada dominio y subdominio con los procedimientos, reglamentos y relaciones que lo componen se puede ver en detalle en el anexo C.
4.5.3. Perfiles del modelo.

El esquema base desarrollado sobre la metodologa MGSMPYME incluye una serie de perfiles asociados a las fases que componen cada procedimiento. En la metodologa MGSMPYME todos los usuarios del sistema de informacin estn asociados a uno o varios roles. Los roles definidos en el SGSI estn asociados a fases de los procedimientos. La asociacin de estos perfiles a las fases de los procedimientos es de vital importancia para el buen funcionamiento del sistema. En las PYMES, muchos de estos roles recaen en la misma persona, aunque esto no supone ningn problema para la metodologa propuesta. En las subsecciones siguientes se muestran los diferentes roles que se han definido sobre el esquema base y los procedimientos a los que estn asociados. Aunque los roles se asocian realmente con las fases, los esquemas de las subsecciones se han realizado a nivel de procedimiento con el objetivo de hacerlos legibles. La descripcin en detalle de las relaciones entre las fases y los perfiles se puede ver en detalle en el anexo C. 4.5.3.1. Cl/RD: Responsable de desarrollo. Es la persona encargada de instalar, actualizar o desarrollar aplicaciones informticas. En el caso de las PYMES suele ser una funcin desarrollada por el Director de Informtica o una persona muy ligada a l. Los procedimientos asociados con este perfil del SGSI pueden verse en la Figura 4.59.
Figura 4.59. Proc. accesibles por el responsable de desarrollo (Cl/RD). 4.5.3.2. Cl/RS: Responsable de seguridad. Este es el perfil ms importante del modelo, ya que sobre el responsable de seguridad (Cl/RA) recaen los procedimientos ms importantes para el cumplimiento de la normativa. El responsable de seguridad (Cl/RS) ser el perfil que ms interaccione con el sistema y mayores responsabilidades asuma.
La persona que asume este rol en la PYME suele ser el director de informtica, y en caso de no existir ste lo asume un miembro de la direccin de la compaa. La buena seleccin de un responsable de seguridad es fundamental para el xito de la gestin en la seguridad del sistema de informacin. En la Figura 4.60 se muestran los procedimientos a los que los usuarios del sistema de informacin que tengan asignado el rol de responsable de seguridad (RS) podrn acceder (en el caso de que el rol est asignado a la fase inicial), o interactuar (en el caso de que el rol est asignado a una fase intermedia o una fase final).
OS/SI-PR01
OS/UCII-PR01
OS/ISI-PR02
OS/AT-PR01
CA/CI-PR01
CA/CI-PR02
CA/CI-PR03
CA/CI-PR04
CA/CI-PR05
GI/ISFI-PR01
GI/ISFI-PR02
GI/ISFI-PR03
SP/DPT-PR02
Responsable de Seguridad
SF/AS-PR01
SF/SE-PR01
SF/SE-PR02
SF/SE-PR03
SF/SE-PR04
CO/POR-PR01
CO/PSM-PR01
CO/GR-PR01
CO/GR-PR02
AC/GAU-PR01
AC/ASO-PR01
AC/RNCA-PR01 AC/RNCA-PR02 AC/RNCA-PR03
TI/IIS-PR02
TI/IIS-PR03
CL/LOPD-PR01
CL/LOPD-PR02
CL/LPI-PR02
CL/LPI-PR04
Figura 4.60. Proc. accesibles por el responsable de seguridad (Cl/RS).
227
228 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. 4.5.3.3. Cl/RE: Responsable de explotacin. Es la persona responsable de gestionar las instalaciones y actualizaciones del hardware y los parches del software. En el caso de las PYMES suele ser una funcin desarrollada por el director de informtica o una persona muy ligada a l. Los procedimientos asociados con este perfil del SGSI pueden verse en la Figura 4.61.
Figura 4.61. Proc. accesibles por el responsable de explotacin (Cl/RE). 4.5.3.4. Cl/PA: Propietario de activos. La asignacin de este rol no se realiza a priori, sino cuando se identifican los activos de la compaa y se les asigna un responsable. Por lo tanto, este rol ir ligado a los activos de los que se es responsable, y se eliminar automticamente al borrar el activo. Los procedimientos asociados con este perfil del SGSI pueden verse en la Figura 4.62.
Figura 4.62. Proc. accesibles por los propietarios de los activos (Cl/PA). 4.5.3.5. Cl/PS: Proveedor de servicios. Se incluirn las personalidades jurdicas que proveen de servicios ligados al S.I. de la compaa (Ej.: hosting de servidores). Los procedimientos asociados con este perfil del SGSI pueden verse en la Figura 4.63.
Figura 4.63. Proc. accesibles por el proveedor de servicios (Cl/PS). 4.5.3.6. Cl/US: Usuarios del sistema de informacin. Este rol incluye a aquellas personas que tienen algn tipo de responsabilidad operativa sobre el funcionamiento del sistema de informacin, ms all de la utilizacin de aplicaciones de negocio. Los procedimientos asociados con este perfil del SGSI pueden verse en la Figura 4.64.
Figura 4.64. Proc. accesibles por los usuarios del sistema de inform. (Cl/US). 4.5.3.7. Cl/GDS: Gerente del departamento de sistemas. Este rol es asumido por el director del departamento de informtica o, en ausencia de ste, por el miembro de la empresa que realice las labores de mantenimiento sobre el S.I. o por un miembro de la direccin de la empresa. Los procedimientos asociados con este perfil del SGSI pueden verse en la Figura 4.65.
229
OS/UCII-PR01
OS/ISI-PR01
OS/ISI-PR02
OS/AT-PR01
OS/OE-PR01
OS/OE-PR02
CA/CI-PR01
GI/ISFI-PR01
GI/ISFI-PR02
GI/PR-PR01
GI/PR-PR02
SP/DPT-PR02
SP/DPT-PR03
SP/FU-PR01
Gerente De Departamento De Sistemas
SF/SE-PR01
SF/SE-PR02
CO/POR-PR01
CO/POR-PR02
CO/POR-PR03
CO/PSM-PR01
CO/GR-PR01
CO/GR-PR02
AC/GAU-PR01
AC/GAU-PR02
AC/GAU-PR03
AC/ASO-PR01
TI/CS-PR01
TI/CS-PR02
TI/CS-PR03
TI/IIS-PR01
CL/LPI-PR01
CL/LPI-PR04
Figura 4.65. Proc. accesibles por el gerente del departam. de sistemas (Cl/GDS). 4.5.3.8. Cl/RM : Responsable de marketing. Este rol es asumido por el responsable de marketing. En las PYMES este rol suele desempearlo alguien del departamento financiero o alguna secretara. Los procedimientos asociados con este perfil del SGSI pueden verse en la Figura 4.66.
Figura 4.66. Proc. accesibles por el responsable de marketing (Cl/RM).
4.5.3.9. Cl/RR: Responsable de RRHH. Este rol lo desempea el responsable de RRHH, que es una de las figuras ms asentadas en las PYMES debido a la complejidad de la gestin de los trabajadores. Aunque actualmente este rol tiene asignado pocos procedimientos, en posteriores versiones ser uno de los principales roles del modelo. Los procedimientos asociados con este perfil del SGSI pueden verse en la Figura 4.67.
Figura 4.67. Proc. accesibles por el responsable de RRHH (Cl/RR). 4.5.3.10. Cl/GD: Gerente de departamento. Este rol se asume por cualquier persona con acceso al sistema de informacin de la compaa que ocupe el rol de responsable de un departamento. Los procedimientos asociados con este perfil del SGSI pueden verse en la Figura 4.68.
Figura 4.68. Proc. accesibles por los gerentes de los departamentos (Cl/GD). 4.5.3.11. Cl/T: Terceros. Este rol ser asignado a personalidades fsicas y jurdicas dependientes de empresas externas que, por diversos motivos, deben acceder a la totalidad o a parte del S.I. de la compaa. Los procedimientos asociados con este perfil del SGSI pueden verse en la Figura 4.69.
231
Figura 4.69. Proc. accesibles por terceros (Cl/T). 4.5.3.12. Resumen de perfiles. La principal ventaja de asociar los roles de usuarios del SGSI a las fases de los procedimientos es que permite automatizar su procesamiento, de forma que un usuario no tendr que conocer cmo funciona un procedimiento, sino que tan slo tiene que realizar una tarea que se le solicita dentro de ese procedimiento y decidir quin recibir la siguiente tarea de entre los usuarios que tengan asignado uno de los roles asociados a la siguiente fase del procedimiento. En la Tabla 4.70 se puede ver cmo se asocian los roles con cada uno de los procedimientos definidos en el esquema base.
RS AC/ASO: PR1 CA/CI: PR1 CO/GR: PR1, PR2 CO/POR: PR1 AC/GAUPR1 AC/GAU: PR2, PR3 CL/LPI: PR1 GI/PR: PR1, PR2 TI/CS: PR1, PR2, PR3 TI/IIS: PR1 CO/POR: PR3 AC/RNCA: PR1, PR2, PR3 CA/CI: PR2, PR3, PR4, PR5 CL/LOPD: PR1, PR2 CL/LPI: PR2 TI/IIS: PR2, PR3 SF/AS: PR01 CL/LPIPR3 CL/LPI: PR4 SF/SE: PR1 CO/PORPR2 CO/PSM: PR1 SF/SE: PR2 GI/ISFIPR1 GI/ISFIPR2 OS/ATPR1 OS/ISIPR1 OS/ISIPR2 OS/OE: PR1, PR2 OS/SIPR1 OS/UCIIPR1 SF/SE: PR1, PR3 SP/DPTPR1 SP/DPTPR2 SP/DPT: PR3 SP/FU: PR1 GI/ISFIPR3 X X X X X X X X X X X X X
GDS X X X
DS
PS
PA
GD
RD
RE
RM
RR
X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
Tabla 4.70. Tabla resumen de la asociacin entre perfiles y procedimientos.
4.6. Conclusiones. _________________________________________________________ 233
4.6. Conclusiones.
En este captulo se ha presentado la propuesta de una nueva metodologa para la gestin de la seguridad y su madurez en las PYMES, y un modelo desarrollado sobre la misma. Esta metodologa permite a las PYMES desarrollar y mantener un SGSI con un coste en recursos aceptable para este tipo de compaas. Para demostrar la validez de la metodologa se ha definido un modelo (esquema base) que permite soportar los resultados generados durante la investigacin y que cumple con los objetivos perseguidos. La metodologa y el modelo desarrollado, cumplen con los objetivos propuestos, as como con los principios que segn la OCDE (OECD, 2002) debe seguir toda metodologa de implantacin y mantenimiento de un SGSI para que cuente con una correcta cultura de la seguridad de la informacin, garantizando el xito del SGSI en la compaa. A continuacin se muestran estos principios y cmo la metodologa MGSM PYME los cumple en su totalidad, lo que es otra muestra de la validez de la misma: Concienciacin, responsabilidad, respuesta, tica: Mediante un sistema de cursos basados en sencillas preguntas de tipo test, y un sistema de premios y sanciones, se va creando de forma progresiva la conciencia de cultura de la seguridad entre los usuarios del sistema de informacin. La actividad A3.1 est basada en sencillos cuestionarios. Democracia: El sistema debe proteger los puestos de trabajo de los usuarios y a la compaa, a la vez que no les suponga impedimento alguno para realizar su trabajo con eficiencia. El principal objetivo de la actividad A3.1 es permitir el acceso slo de aquellos usuarios que tengan constancia de la importancia de la seguridad en el sistema de informacin. Evaluacin del riesgo: El sistema debe tener la capacidad de autoevaluar su riesgo de forma continuada en el tiempo, proponiendo medidas. Gracias a la nota obtenida en la actividad A3.1 se tiene una constancia del nivel de conocimiento con respecto al reglamento de los usuarios, y esta medida se ve completada con la evaluacin de riesgos y el plan de mejora de la actividad A2.3. Diseo y realizacin de la seguridad: La metodologa est pensada para integrarse dentro del marco de trabajo como una pieza ms, orientando a organizar la forma de trabajo con respecto a la seguridad sin ser una carga para los trabajadores. La actividad A3.1 est totalmente integrada dentro del trabajo diario con el SGSI como una actividad ms. Gestin de la seguridad: La metodologa debe permitir gestionar la seguridad de una forma cmoda. Toda la metodologa MGSMPYME ha sido enfocada pensando en la sencillez a la hora de trabajar con ella. Reevaluacin: La metodologa debe contar con mtricas que permitan que el sistema pueda reevaluarse de forma peridica con bajo coste y recomendar las medidas adecuadas. La metodologa MGSMPYME cuenta con mtricas de carcter general y otras de carcter especfico que permiten mantener, con un coste muy bajo, actualizado en todo momento el cuadro de mandos de seguridad, lo que posibilita conocer el nivel de cumplimiento de los controles de seguridad en todo momento.
234 ____________ Metodologa para la gestin de la seguridad y su madurez en las PYMES. Se ha definido de forma clara cmo se debe utilizar esta metodologa y las mejoras que ofrece con respecto a otras metodologas que afrontan el problema de forma parcial, o de manera demasiado costosa para las PYMES. Adems, se han mostrado ejemplos ilustrativos mediante los cules se explica la forma en que debe utilizarse el modelo en un caso real. Las caractersticas ofrecidas por la nueva metodologa y su orientacin a las PYMES ha sido muy bien recibida, y su aplicacin est resultando muy positiva ya que permite acceder a este tipo de empresas al uso de sistemas de gestin de seguridad de la informacin, algo que hasta ahora haba estado reservado a grandes compaas. Adems, con esta metodologa se obtienen resultados a corto plazo y se reducen los costes que supone el uso de otras metodologas, consiguiendo un mayor grado de satisfaccin de la empresa. Actualmente se est analizando la posibilidad de complementar el modelo desarrollado sobre la metodologa con otro tipo de estndares y recomendaciones en materia de seguridad y de gestin de seguridad, que puedan solucionar carencias detectadas, con la gua que se utiliz de base para el desarrollo del modelo (la ISO/IEC27002), como son la LOPD (LOPD, 1999) o la HIPAA (HIPAA, 1996), aprovechando la facilidad de la metodologa desarrollada para incorporar nuevos elementos (ms controles, procedimientos, estndares, etc). Finalmente, se considera que el trabajo realizado debe ser ampliado con nuevas especificaciones, nuevos esquemas, ampliando el conjunto de artefactos de la biblioteca y profundizando en el modelo con nuevos casos de ejemplo. Todas las mejoras futuras de la metodologa y el modelo se estn orientando a mejorar la precisin del mismo, pero siempre respetando el principio de coste de recursos, es decir, se busca mejorar el modelo sin incurrir en costes de generacin y mantenimiento del SGSI.
C a p t ul o 5 MGSMTOOL: Herramienta
para gestionar la seguridad en las PYMES
5.- MGSMTOOL: Herramienta para gestionar la seguridad en las PYMES.

En este captulo se analiza cmo el modelo desarrollado a partir de la metodologa MGSMPYME ha sido implementado, dando lugar al desarrollo de una herramienta capaz de soportarlo y que permite cumplir los objetivos propuestos en el mismo. La herramienta MGSMTOOL apoya las tareas relacionadas con la construccin y el mantenimiento de un sistema de gestin de seguridad para el sistema de informacin de las PYMES y ha sido construido con una arquitectura de tres capas. Para su descripcin se ha organizado este captulo en cuatro secciones: En la seccin 1 se describe el entorno tecnolgico en que se ha desarrollado la herramienta; en la seccin 2 se describe en detalle la capa de presentacin; en la seccin 3 se analiza la capa de aplicacin y en la ltima seccin se describe la capa de almacenamiento.
5.1. Entorno tecnolgico.

Para la eleccin del entorno tecnolgico en el cual se ha desarrollado la herramienta MGSMTOOL se han tenido en cuenta tres criterios bsicos. El primero de ellos se refiere a la representacin visual y de accesibilidad del SGSI. Debido a que esto es un aspecto fundamental para el xito del proyecto y que requiere del acceso de todos los usuarios del sistema de informacin, se ha tenido que utilizar tecnologa Web con el objetivo de permitir el acceso remoto de los usuarios. El segundo criterio se refiere a la adaptabilidad del entorno. Este criterio es muy importante puesto que debe ser posible modificar el entorno de manera que se adapte a las circunstancias cambiantes de cada caso de uso. El tercer y ltimo criterio tiene que ver con la disponibilidad del software. Esto se refiere a la facilidad con que el software puede ser adquirido e instalado en el entorno del usuario. Para cumplir este criterio, MGSMTOOL ha sido desarrollado mediante tecnologa Web de forma que se puede ofertar a las PYMES el acceso a travs de Internet siguiendo el modelo de negocio ASP (Figura 5.1).
SGSIs Clientes
Internet
Figura 5.1. Arquitectura del modelo de negocio ASP.
237
238 ______________ MGSMTOOL: Herramienta para Gestionar la Seguridad en las PYMES Se ha elegido este modelo porque presenta varias ventajas frente a los modelos tradicionales: Eliminacin del coste de instalacin de la aplicacin en el cliente. Acceso a nuevas versiones sin costes adicionales. Elimina la necesidad de infraestructura. Facilita la existencia de auditores externos.
De esta forma, por un bajo coste de configuracin inicial y una pequea cuota mensual, las PYMES tienen acceso a un sistema completo de gestin de su sistema de seguridad, sin necesidad de disponer de una infraestructura costosa y con la ventaja de poder disponer de datos estadsticos online para mejorar el modelo de forma continua. Para la construccin de la herramienta se han tenido en cuenta estos criterios. Por ello se ha elegido un entorno compuesto por ASP.NET para la capa de presentacin, C# para la capa de aplicacin y SQL Server 2005 para la capa de almacenamiento. En la Figura 5.2 se muestran las capas que componen MGSMTOOL.
Capa 1 Presentacin
Capa 2 Negocio
Capa 3 Datos
Usuarios Pyme 1
Internet Servidor Web ASP.NET XML Barra de tareas, mens, gestin, ... Serv. Aplicaciones .DLL .NET Framework Base de Datos SQL2005
Algoritmos de generacin del plan director, reglas de negocio, ...
Repositorio de esquemas y planes directores de seguridad
Figura 5.2. Esquema de capas de MGSMTOOL. La herramienta ha sido orientada al modelo de negocio planteado, que intenta aunar el potencial de los modelos ASP (proveedor de servicios de aplicaciones) y las franquicias orientndolo al mundo de los servicios profesionales y a la gestin de la seguridad de los sistemas de la informacin. La idea del modelo de negocio est basada en tomar una compaa base (en este caso el grupo SNT) que gestionar los esquemas automatizados de gestin de seguridad de los sistemas de la informacin para perfiles de empresa parecidos, en este caso asociados por sectores, partiendo de la premisa de que compaas del mismo sector y
5.2. Capa de presentacin. __________________________________________________ 239
tamao tienen requerimientos muy parecidos a la hora de gestionar la seguridad de sus sistemas de informacin. Por lo tanto partiendo de esquemas generalizados se pueden obtener reducciones de tiempo de entre el 7590% en los casos que anteriormente eran inviables, hacindolos viables. Los consultores de seguridad contratarn el servicio o derecho de poder utilizar la herramienta, y tendrn acceso a los diferentes esquemas que le posibilitarn poder realizar auditoras en sus clientes a precios mucho ms razonables que los actuales. Una vez finalizada la labor del consultor en la compaa, sta tendr un SGSI parametrizado con el que poder trabajar soportado en la aplicacin. El director de sistemas o el responsable de seguridad podrn contar adems con un perfil de administracin para seguir la evolucin de su sistema y tomar decisiones lo antes posible. Por ltimo, todos los usuarios del sistema de informacin tendrn acceso a una zona de la aplicacin con la que podrn trabajar y seguir los procedimientos, as como realimentar el SGSI de la compaa de forma continua. De esta forma queda cerrado el ciclo de trabajo, con beneficios para todas las personas y entidades involucradas en el mismo.
5.2. Capa de presentacin.

En esta capa se renen todos los aspectos de la herramienta que tienen relacin con las interfaces y la interaccin. Esto incluye ventanas, mens y grficos. La herramienta sobre el que se sustenta la metodologa y el modelo de madurez para la gestin de la seguridad de la informacin est orientado principalmente a las PYMES, y permite desarrollar modelos de gestin de seguridad sencillos, econmicos, rpidos, automatizados, progresivos y sostenibles, que son los principales requerimientos que tienen este tipo de compaas a la hora de implantar estos modelos. Desde el punto de vista de usuario la herramienta presenta dos ventajas claras: Simplicidad: Todas las actividades del SGSI se han orientado a reducir la complejidad del proceso de construccin y mantenimiento de un SGSI, pensando en organizaciones (PYMES) cuyas estructuras organizativas son muy sencillas. Automatizacin: Todo el sistema utiliza un concepto denominado esquemas para poder automatizar los pasos necesarios para construir y mantener el SGSI de la compaa.
La herramienta se compone de tres partes claramente diferenciadas (Figura 5.3) que se corresponden con los subprocesos de la metodologa: Generador de Esquemas (GEGS): Esta zona de la herramienta es slo accesible por el arquitecto de gestin de la seguridad (AGS) y el grupo de expertos del dominio (GED), y desde ella pueden realizar tres operaciones bsicas: o Crear nuevos esquemas. o Clonar esquemas a partir de un esquema existente. o Modificar esquemas para mejorar la generacin del SGSI. Generador del SGSI (GSGS): Esta zona de la herramienta es slo accesible por el consultor de seguridad (CoS) y su objetivo es generar el SGSI para la compaa.
239
240 ______________ MGSMTOOL: Herramienta para Gestionar la Seguridad en las PYMES Soporte del SGSI (MSGS): Esta zona de la herramienta es accesible por los usuarios del sistema de informacin. El perfil que ms relevancia tiene dentro de esta zona es el responsable de seguridad (RS). Desde ella se pueden realizar tres operaciones bsicas: o Gestin de los certificados de cultura de la seguridad. o Gestin de procedimientos. o Gestin del cuadro de mandos.
Figura 5.3. Principales zonas de la aplicacin. Los esquemas son el ncleo sobre el que se desarrolla la herramienta, ya que permiten la automatizacin de los SGSIs. Estos esquemas estn formados por un conjunto de elementos y asociaciones entre ellos, definidos a partir del conocimiento adquirido por los clientes. En las siguientes subsecciones se muestran de forma resumida las principales zonas que componen la capa de presentacin de la herramienta.
5.2.1. Subproceso P1: GEGS Generacin de esquemas.

Esta zona permite generar esquemas para los diferentes modelos de la metodologa. Esta subseccin se ha dividido en las cuatros actividades de las que se compone el subproceso GEGS en la metodologa, de forma que se pueda asociar fcilmente la metodologa con el funcionamiento de la herramienta. La generacin de esquemas empieza con la creacin de un esquema (Figura 5.4), bien desde cero, o bien mediante la clonacin de otro esquema que seleccionemos.
240
Figura 5.4. Pantallas de seleccin de esquemas2. 5.2.1.1. Actividad A1.1: Generacin de tablas maestras. Dentro de la zona de gestin de esquemas de la aplicacin se encuentra la zona de objetos generales, la cual permitir configurar las tablas maestras del esquema (Figura 5.5). Esta zona se corresponde con la actividad A1.1 del subproceso GEGS de la metodologa.
Figura 5.5. A1.1 Pantalla de seleccin de sectores, perfiles y nivel madurez.
En las capturas de pantallas de la herramienta, aparecen las siglas SCMM-PYME, que se corresponden con el titulo del proyecto Profit que dio lugar a la construccin de la herramienta.
241
242 ______________ MGSMTOOL: Herramienta para Gestionar la Seguridad en las PYMES Adicionalmente a las tareas propuestas en la actividad A1.1, la versin actual de la herramienta incluye tambin la opcin de poder segregar las empresas por su tipo (Figura 5.6).
Figura 5.6. A1.1 Pantalla de seleccin de tipos de empresa. 5.2.1.2. Actividad A1.2: Generacin de tablas del nivel de madurez. Dentro de la zona de gestin de esquemas de la aplicacin se encuentra la zona de objetos generales. A su vez dentro de esta zona se encuentra la gestin de niveles de madurez, que permitir configurar las tablas de reglas y subreglas de madurez (Figura 5.7) aadiendo o eliminado reglas que podrn ser luego seleccionadas por el esquema. Esta zona se corresponde con la actividad A1.2 del subproceso GEGS de la metodologa.
Figura 5.7. A1.2 Pantalla de reglas de madurez.

242
Dentro de la zona de objetos generales tambin se encuentra la zona de controles (Figura 5.8), desde la que se puede definir toda la estructura de dominios, objetivos de control, controles y subcontroles de la aplicacin.
Figura 5.8. A1.2 Pantalla de controles. La herramienta desarrollada permite generar controles asociados a diferentes normas, estndares y guas de buenas prcticas y utilizarlos dentro del mismo esquema. 5.2.1.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos. Dentro de la zona de gestin de esquemas de la aplicacin se encuentra la zona de objetos generales. A su vez, dentro de esta zona se encuentra la gestin de anlisis de riesgos, que permitir configurar los diferentes componentes bsicos del anlisis de riesgos (Figura 5.9) aadiendo o eliminado nuevos elementos a estos componentes. Esta zona se corresponde con la actividad A1.3 del subproceso GEGS de la metodologa.
243
244 ______________ MGSMTOOL: Herramienta para Gestionar la Seguridad en las PYMES
Figura 5.9. A1.3 Pantalla de artefactos bsicos del AR. En la Figura 5.10 se puede ver cmo se asocian los componentes bsicos del anlisis de riesgos para establecer las relaciones entre ellos, que permitirn reducir los tiempos de generacin del anlisis de riesgos.
Figura 5.10. A1.3 Pantalla de matrices del AR.
244
5.2.1.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos. Dentro de la zona de gestin de esquemas de la aplicacin se encuentra la zona de objetos generales. A su vez, dentro de esta zona se encuentra la gestin de objetos del esquema, que permitir configurar los diferentes componentes bsicos del SGSI (Figura 5.11), los cuales se encuentran divididos en dominios y secciones para facilitar su gestin. Esta zona se corresponde con la actividad A1.3 del subproceso GEGS de la metodologa.
Figura 5.11. A1.4 Pantallas de artefactos del esquema.
245
246 ______________ MGSMTOOL: Herramienta para Gestionar la Seguridad en las PYMES Dentro de los artefactos de la generacin del SGSI los ms importantes son los procedimientos (Figura 5.12), que se componen de fases, las cuales tienen perfiles asociados.
Figura 5.12. A1.4 Pantalla de procedimientos del esquema. Por ltimo, se deben asociar todos estos elementos del SGSI entre si mediante matrices que contienen sus relaciones (Figura 5.13).
Figura 5.13. A1.4 Pantalla de matrices del SGSI.
246
5.2.2. Subproceso P2: GSGS Generacin del SGSI.

Esta zona de la herramienta es slo accesible por el consultor de seguridad (CoS), y su misin bsica es la de generar el SGSI para la compaa mediante la recogida de informacin de sta y la seleccin del SGSI ms adecuado para la misma. Para poder realizar un SGSI para una compaa, la herramienta requiere de tres pasos (Figura 5.14): Creacin de la empresa: Se introduce el nombre de la empresa y unas caractersticas bsicas. Creacin del SGSI: Se crea un SGSI sobre el que trabajar. Instancia del SGSI: Dentro de un SGSI se pueden tener diferentes instancias del mismo que permitan analizar diferentes configuraciones de un mismo SGSI para una misma compaa, aunque slo una instancia estar activa para la empresa en cada momento. Este sistema de instancias permite almacenar SGSI histricos que se han ido generando y que posteriormente se han cambiado por otros ms eficientes.
Figura 5.14. Pantalla de generacin de empresa e instancias del SGSI. 5.2.2.1. Actividad A2.1: Establecimiento del marco de trabajo del SGSI. Una vez seleccionada la instancia del SGSI se determinarn los usuarios que tendrn acceso al sistema de informacin de la compaa y qu roles podrn desempear dentro de ste (Figura 5.15).
247
Figura 5.15. A2.1 Pantalla asignacin de perfiles x usuarios al SGSI. Es importante asignar todos los roles que puedan desempear los usuarios del sistema de informacin, ya que estos son los que dan acceso a los procedimientos del SGSI. Esta zona se corresponde con la actividad A2.1 del subproceso GSGS de la metodologa. 5.2.2.2. Actividad A2.2: Establecimiento del nivel de madurez. Una vez seleccionada la instancia del SGSI se establecer el nivel de madurez de la seguridad de la compaa (Figura 5.16) mediante la realizacin de dos listas de verificacin de tipo test. Esta zona se corresponde con la actividad A2.2 del subproceso GSGS de la metodologa.
248
Figura 5.16. A2.2 Pantalla de establecimiento del nivel de madurez. 5.2.2.3. Actividad A2.3: Realizacin del anlisis de riesgos. La realizacin del anlisis de riesgos, al estar basada en la metodologa desarrollada, tiene como nica tarea destacable la introduccin de los activos del sistema de informacin de la compaa (Figura 5.17), los cuales debern cuantificarse. Esta zona se corresponde con la actividad A2.3 del subproceso GSGS de la metodologa.
Figura 5.17. A2.3 Pantalla de realizacin del AR. 5.2.2.4. Actividad A2.4: Generacin del SGSI La ltima actividad de este proceso es la generacin del SGSI a partir de toda la informacin recogida en las actividades anteriores. El resultado de esta actividad ser el
249
250 ______________ MGSMTOOL: Herramienta para Gestionar la Seguridad en las PYMES conjunto de artefactos seleccionados para formar parte del SGSI (Figura 5.18). Esta zona se corresponde con la actividad A2.4 del subproceso GSGS de la metodologa.
Figura 5.18. A2.4 Pantalla de generacin del SGSI.
5.2.3. Subproceso P3: MSGS Mantenimiento del SGSI.

Esta zona de la herramienta es slo accesible por los usuarios del sistema de informacin de la compaa, y su principal objetivo es dar soporte a estos para que puedan interactuar con el sistema de informacin de la empresa de forma correcta, manteniendo el nivel adecuado de seguridad. A continuacin se detallan las actividades de este subproceso. 5.2.3.1. Actividad A3.1: Obtener o renovar el certificado de CS. Esta actividad se encarga de determinar si los usuarios del sistema de informacin de la compaa tienen un conocimiento que les permita cumplir y respetar las normas del mismo. El resultado de esta actividad ser una calificacin respecto a la cultura de la seguridad de los usuarios, obtenida mediante la realizacin de un test generado por el sistema de cultura de seguridad (Figura 5.19) asociado al SGSI. Esta zona se corresponde con la actividad A3.1 del subproceso MSGS de la metodologa.
Figura 5.19. A3.1 Pantalla de test de cultura de seguridad. Cuando el certificado de cultura de seguridad es revocado por reiteradas violaciones de seguridad, o caduca, deber ser renovado siguiendo las mismas premisas enunciadas en la subseccin anterior. Esta zona se corresponde con la actividad A3.2 del subproceso MSGS de la metodologa.
250
5.2.3.2. Actividad A3.2: Ejecutar procedimiento del SGSI. La zona de procedimientos (Figura 5.20) permite a los usuarios del sistema de informacin realizar dos operaciones bsicas:
Figura 5.20. A3.2 Pantalla de procedimientos del SGSI. Iniciar un procedimiento para realizar una operacin sobre el sistema de informacin de la compaa.
Continuar un procedimiento: Un usuario lanza un procedimiento en su fase inicial, siendo otro usuario del sistema de informacin el receptor designado por ste para la siguiente fase del procedimiento. Esta zona se corresponde con la actividad A3.3 del subproceso MSGS de la metodologa. Por otro lado, la herramienta permite gestionar un procedimiento especial denominado procedimiento de denuncia (Figura 5.21), que se utilizar para gestionar las denuncias de los usuarios del sistema de informacin respecto a violaciones de seguridad detectadas por ellos.
251
Figura 5.21. A3.2 Pantalla de procedimiento de denuncia del SGSI. Esta zona se corresponde con la actividad A3.2 del subproceso MSGS de la metodologa. 5.2.3.3. Actividad A3.3: Seguimiento del cumplimiento del SGSI. Esta zona de la herramienta permite gestionar el cuadro de mandos de seguridad de la compaa, permitiendo conocer en todo momento el estado de seguridad de los controles de la misma. Esta zona se corresponde con la actividad A3.3 del subproceso MSGS de la metodologa.
Figura 5.22. A3.3 Pantalla de cuadro de mandos del SGSI.

252
5.4. Capa de datos. ________________________________________________________ 253
5.3. Capa de negocio.

En la capa de negocio se implementan las tareas que apoyan la realizacin de los subprocesos contemplados en la metodologa MGSMPYME. Las tareas que se resuelven en esta capa son las siguientes: Algoritmo de establecimiento del nivel de madurez de la compaa: Permite establecer el nivel de madurez de la compaa. Se alimenta con los datos obtenidos en las actividades A2.1, A2.2 y el esquema seleccionado. Se corresponde con la tarea T2.2.3. El algoritmo se puede ver en la Tabla 4.43 y Tabla 4.44. Algoritmo de creacin de la matriz de riesgos: Permite obtener una matriz con los riesgos cuantificados respecto a la seguridad del sistema de gestin de la informacin de la compaa. Se obtiene a partir de las actividades A2.1, A2.2, A2.3 y el esquema seleccionado. Se corresponde con la tarea T2.3.2. El algoritmo se puede ver en la Tabla 4.48. Algoritmo de generacin del plan de mejora: Obtiene un informe de aquellos controles susceptibles de mejora, teniendo en cuenta aspectos como el nivel de seguridad actual y los riesgos que se mitigaran al acometer mejoras en el nivel de cumplimiento de dichos controles. Este informe se organiza en base a la prioridad con que deberan afrontarse las mejoras. Se obtiene a partir de las actividades A2.1, A2.2, A2.3 y el esquema seleccionado. Se corresponde con la tarea T2.3.2. El algoritmo se puede ver en la Tabla 4.49. Algoritmo de generacin del SGSI: Selecciona los elementos de la biblioteca de objetos del sistema que deben formar el SGSI adecuado para la compaa seleccionada en base a toda la informacin recolectada por el consultor, el clculo de los algoritmos anteriormente descritos y un esquema. Se obtiene a partir de las actividades A2.1, A2.2, A2.3 y el esquema seleccionado. Se corresponde con la tarea T2.4.1. El algoritmo se puede ver en la Tabla 4.52. Gestin de certificados de cultura de seguridad: Permite a los usuarios obtener un certificado en base a las respuesta de una lista de verificacin seleccionada a partir de los artefactos del SGSI. Se corresponde con las tareas T3.1.1 y T3.2.1. Gestin de procedimientos del SGSI: Permite a los usuarios seguir los procedimientos de forma sencilla, construyendo las rutas del diagrama de flujo y los destinatarios de cada fase de los procedimientos. Se corresponde con las tareas T3.3.1 y T3.4.1. Procedimiento de creacin y mantenimiento del cuadro de mandos de seguridad: Permite generar y mantener actualizado un cuadro de mandos de la seguridad global del sistema de informacin de la compaa, teniendo en cuenta aspectos como el nivel en cultura de la seguridad, denuncias de violaciones de seguridad, etc. Se corresponde con la actividad A3.5.
5.4. Capa de datos.

Para el funcionamiento y la consistencia de la aplicacin se han diseado varios repositorios, que almacenarn toda la informacin relacionada con la generacin de esquemas fruto de las investigaciones, y los resultados obtenidos del desarrollo de los SGSIs de los casos de uso.
254 ______________ MGSMTOOL: Herramienta para Gestionar la Seguridad en las PYMES Para el diseo de los repositorios se ha usado el patrn de diseo software denominado clase una tabla, consistente en derivar una tabla de la base de datos a partir de cada una de las entidades identificadas en el dominio. Esto permite hacer un tratamiento eficaz de la informacin, ya que cuando se tiene una estructura similar al modelo de objetos de la aplicacin resulta ms sencillo realizar las correspondencias entre ambos dominios. Para las relaciones entre las tablas de la base de datos se han adoptado dos medidas: i) para las relaciones uno a uno y uno a muchos se han utilizado restricciones de claves ajenas que comuniquen ambas tablas; y ii) para las relaciones muchos a muchos se implementan tablas intermedias que representan esta asociacin. Los repositorios se han dividido en dos partes: i) la primera se ocupa del almacenamiento de la informacin de los esquemas predefinidos para la compaa y se corresponde con el repositorio de esquemas definido en la metodologa; ii) la segunda contiene los elementos del SGSI y los valores obtenidos del funcionamiento del mismo, y se corresponde con el repositorio de SGSIs y de informacin de los SGSIs de la metodologa. En las siguientes subsecciones se detallan las tablas de estos repositorios.
5.4.1. Tablas relacionadas con la definicin de esquemas.

En esta seccin se describen las tablas que permiten almacenar la informacin relacionada con la definicin de los esquemas necesarios para la creacin del SGSI. Se ha preferido poner aqu la representacin en el modelo relacional en lugar del modelo entidad/interrelacin, al ser el modelo lgico y escogido para el diseo de la base de datos. 5.4.1.1. Tablas relacionadas con el establecimiento del nivel de madurez. En esta subseccin se describen las tablas del esquema que permiten determinar el nivel de madurez de la compaa (Figura 5.23).
ESQM_Esquemas PK IdEsquema Codigo Nombre Descripcion ENMD_ReglasMadurez_Esquemas PK FK2 FK1 IdReglasEsquema IdEsquema IdRegla ENMD_ReglasMadurez PK IdRegla Descripcion ENMD_SubReglasMadurez PK FK1 IdSubRegla IdRegla Descripcion Valoracion
ENMD_PesosSectores PK,FK1 PK,FK2 IdSector IdReglasEsquema Peso
Adm_NivelesMadurez PK FK1 IdNivelMadurez IdEsquemaMadurez NivelMadurez Nombre Descripcion
Ctr_SubControles_Esquemas PK,FK3 PK,FK2 FK1 IdEsquema IdSubControl IdNivelMadurez
Adm_Sectores PK IdSector Nombre IdCnae PK
Adm_Empresas IdEmpresa Empresa Ubicacion IdSector IdTipoEmpresa
Adm_TiposEmpresas PK IdTipoEmpresa Tipo Descripcion MinEmpleados MaxEmpleados MinFacturacion MaxFacturacion
FK1 FK2
Ctr_SubControles PK FK1 IdSubControl IdControl Codigo Nombre
Ctr_Controles PK FK1 IdControl IdObjControl Codigo Nombre
Ctr_ObjetivosControl PK FK1 IdObjControl IdDominio Codigo Nombre
Ctr_Dominios PK FK1 IdDominios IdNormativa Codigo Nombre
Ctr_Normativas PK IdNormativa Codigo Nombre
Figura 5.23. Repositorio de esquemas nivel de madurez.
254
5.4. Capa de datos. ________________________________________________________ 255
La descripcin de las tablas es la siguiente: Tabla ESQM_Esquemas: Esta tabla contiene la definicin de los diferentes esquemas que contiene la herramienta. Tabla ENMD_ReglasMadurez: Esta tabla contiene una lista de reglas de madurez para determinar el nivel de madurez deseable para la compaa. Tabla ENMD_SubReglasMadurez: Esta tabla contiene los diferentes valores que puede tomar cada regla de madurez. Tabla ENMD_ReglasMadurez_Esquemas: Mediante esta tabla se puede asociar un conjunto de reglas de madurez a un esquema concreto. Tabla ENMD_PesosSectores: Esta tabla contiene la matriz de pesos asociados a los sectores. Tabla Adm_NivelesMadurez: Esta tabla contiene los diferentes niveles de madurez del esquema, de forma que se podrn investigar esquemas con diferentes niveles de madurez. Tabla Adm_Sectores: Esta tabla contiene los diferentes sectores a los que pueden pertenecer las empresas, asociados a los CNAE definidos por el gobierno espaol. Tabla Adm_Empresas: Esta tabla contiene la lista de empresas dadas de alta en la herramienta. Tabla Adm_TiposEmpresas: Esta tabla contiene los diferentes tipos de empresas segn su tamao. Tabla Ctr_SubControles: Esta tabla contiene los subcontroles necesarios para la realizacin de la lista de verificacin de establecimiento del nivel de seguridad actual. Tabla Ctr_Controles: Esta tabla contiene los controles para establecer el nivel de seguridad actual. Tabla Ctr_ObjetivosControl: Esta tabla contiene los objetivos de control perseguidos para establecer el nivel de seguridad actual. Tabla Ctr_Dominios: Esta tabla contiene los dominios perseguidos para establecer el nivel de seguridad actual. Tabla Ctr_Normativas: Esta tabla contiene la descripcin de las diferentes normativas en las que estn basadas los dominios.
5.4.1.2. Tablas relacionadas con el anlisis de riesgos. En esta seccin se describen las tablas del esquema que contienen los elementos necesarios para realizar el anlisis de riesgos de la compaa (Figura 5.24). La descripcin de las tablas es la siguiente: Tabla AR_Amenazas: Esta tabla contiene la lista de amenazas necesaria para el clculo del anlisis de riesgos. Tabla AR_TiposAmenazas: Esta tabla contiene los tipos de amenazas. Tabla AR_TiposActivos: Esta tabla contiene los tipos de activos.
255
256 ______________ MGSMTOOL: Herramienta para Gestionar la Seguridad en las PYMES Tabla AR_CriteriosRiesgo: Esta tabla contiene los criterios de riesgo con los que se puede valorar el riesgo.
ESQM_Esquemas PK IdEsquema Codigo Nombre Descripcion
AR_Matriz_TiposActivosAmenazasCriteriosRiesgo PK,FK3 PK,FK1 PK,FK4 PK,FK2 IdTipoActivo IdAmenaza IdEsquema IdCriterioRiesgo
AR_Matriz_AmenazasVulnerabilidades PK,FK1 PK,FK2 PK,FK3 IdAmenaza IdVulnerabilidad IdEsquema
AR_Matriz_AmenazasControles PK,FK1 PK,FK2 PK,FK3 IdAmenaza IdControl IdEsquema
AR_CriteriosRiesgo PK IdCriterioRiesgo Codigo CriterioRiesgo Descripcion
AR_Matriz_TiposActivosVulnerabilidades PK,FK1 PK,FK2 PK,FK3 IdTipoActivo IdVulnerabilidad IdEsquema
Ctr_Controles PK IdControl IdObjControl Codigo Nombre
AR_TiposActivos PK IdTipoActivo TipoActivo
AR_Vulnerabilidades PK IdVulnerabilidad Vulnerabilidad
AR_Amenazas PK FK1 IdAmenaza Amenaza IdTipoAmenaza
AR_TiposAmenazas PK IdTipoAmenaza TipoAmenaza
Figura 5.24. Repositorio de esquemas anlisis de riesgos. Tabla AR_Vulnerabilidades: Esta tabla contiene la lista de vulnerabilidades del anlisis de riesgos. Tabla AR_Matriz_AmenazasControles: Esta matriz permite relacionar la lista de amenazas con los controles asociados a ellas. Tabla AR_Matriz_AmenazasVulnerabilidades: Esta matriz permite relacionar la lista de amenazas con la lista de vulnerabilidades. Tabla AR_Matriz_TiposActivosVulnerabilidades: Esta matriz permite relacionar la lista de tipos de activos con la lista de vulnerabilidades. Tabla AR_Matriz_TiposActivosAmenazasCriteriosRiesgo: Esta matriz permite relacionar la lista de tipos de activos con las amenazas y los criterios de riesgo.
5.4.1.3. Tablas relacionadas con la biblioteca de artefactos. En esta seccin se describen las tablas del esquema que contienen los artefactos que formarn el SGSI de la compaa (Figura 5.25).
256
5.4. Capa de datos. ________________________________________________________ 257

ESGSI_Matriz_ObjetosControles PK,FK1 PK PK,FK2 IdObjeto IdControl IdEsquema
ESGSI_Objetos_Esquemas PK,FK2 PK,FK1 IdEsquema IdObjeto
ESGSI_Matriz_NormasControles PK,FK1 PK PK,FK2 IdNorma IdControl IdEsquema
ESGSI_Matriz_ProcedimientosObjetos PK,FK1,FK3 PK,FK3 PK,FK2 PK,FK4 IdProcedimiento IdNivel IdObjeto IdEsquema Codigo PK FK2 FK1
ESGSI_Objetos IdObjeto Codigo IdTipoObjeto IdSeccion Nombre PeriodicidadEstimada
ESGSI_Normas PK FK1 IdNorma IdObjeto Codigo Norma Descripcion
ESGSI_Matriz_NormasObjetos PK,FK1 PK,FK2 PK,FK3 IdNorma IdObjeto IdEsquema
ESGSI_TiposObjetos PK IdTipoObjeto Codigo TipoObjeto ESGSI_Procedimientos PK,FK1 PK IdProcedimiento IdNivel Nombre ESGSI_Dominios PK ESGSI_Procedimientos_Fases PK FK1 FK1 FK2 IdFase IdProcedimiento IdNivel IdPasoFase IdTipoFase Fase Operativa Esquema IdDominio Codigo Dominio ESGSI_Secciones PK FK1 IdSeccion IdDominio Codigo Seccion
ESGSI_TiposFases PK IdTipoFase Codigo TipoFase
ESGSI_Procedimientos_Fases_Perfiles PK,FK1 PK IdFase IdPerfil
ESGSI_Procedimientos_Fases_Rutas PK,FK1 PK,FK2 IdFaseOrigen IdFaseDestino Opcion
Figura 5.25. Repositorio de esquemas biblioteca de objetos del SGSI. La descripcin de las tablas es la siguiente: Tabla ESGSI_Dominios: Esta tabla contiene la lista de dominios en que se divide el SGSI del modelo. Tabla ESGSI_Secciones: Esta tabla contiene la lista de secciones derivadas de los dominios del SGSI del modelo.
257
258 ______________ MGSMTOOL: Herramienta para Gestionar la Seguridad en las PYMES Tabla ESGSI_TiposObjetos: Esta tabla contiene los diferentes tipos de objetos del modelo (procedimientos, plantillas, registros, ). Tabla ESGSI_Objetos: Esta tabla contiene la lista de objetos del modelo. Tabla ESGSI_Objetos_Esquemas: Esta tabla permite asociar los objetos del modelo con el esquema seleccionado. Tabla ESGSI_Normas: Esta tabla contiene las diferentes normas del modelo. Tabla ESGSI_TiposFases: Esta tabla contiene los diferentes tipos de fases del modelo. Tabla ESGSI_Procedimientos: Esta tabla contiene los procedimientos del modelo. Tabla ESGSI_Procedimientos_Fases: Esta tabla contiene las fases que conforman cada procedimiento del modelo y que se extraen del diagrama de flujo del procedimiento. Tabla ESGSI_Procedimientos_Fases_Perfiles: Esta tabla contiene la relacin entre cada fase del procedimiento y el perfil de usuarios del sistema de informacin que es responsable de su realizacin. Tabla ESGSI_Procedimientos_Fases_Rutas: Esta tabla contiene las rutas que puede seguir una fase, es decir, las siguientes fases que son alcanzables desde ella. Tabla ESGSI_Matriz_ObjetosControles: Esta matriz relaciona los objetos del modelo con los controles del esquema seleccionado. Tabla ESGSI_Matriz_NormasControles: Esta matriz relaciona las normas del modelo con los controles del esquema seleccionado. Tabla ESGSI_Matriz_ProcedimientosObjetos: Esta matriz relaciona los procedimientos con los objetos del modelo. Tabla ESGSI_Matriz_NormasObjetos: Esta matriz relaciona las normas con los objetos del modelo.
5.4.2. Tablas relacionadas con casos de uso.

En esta seccin se describen las tablas que permiten almacenar la informacin relacionada con los casos de uso (Figura 5.26). La descripcin de las tablas es la siguiente: Tabla USR_Perfiles: Esta tabla contiene los perfiles de los diferentes usuarios del sistema de informacin. Tabla USR_Usuarios: Esta tabla contiene los datos de los usuarios deque podrn acceder al sistema de informacin de una empresa. Tabla SGSI_Descripcion: Esta tabla contiene los diferentes proyectos de las empresas. Tabla SGSI_InstanciaSGSI: Esta tabla contiene las diferentes instancias de los proyectos de las empresas. Tabla SGSI_InstanciaDenuncias: Esta tabla contiene las denuncias realizadas por violaciones de una normativa de seguridad para una instancia de un proyecto.
258
5.4. Capa de datos. ________________________________________________________ 259
USR_Perfiles PK IdPerfil Nombre TipoPerfil
USR_Usuarios PK IdUsr Nombre login password email IdPerfil IdEmpresa
Adm_Empresas PK IdEmpresa Empresa Ubicacion IdSector IdTipoEmpresa
FK2 FK1
SGSI_Descripcion PK SGSI_InstanciaProcedimientos PK IdInstanciaProcedimiento IdProcedimiento IdNivel IdInstanciaSGSI IdUsrInstancia FechaInstancia Estado FK2 FK1 IdSGSI Codigo SGSI Descripcion IdEsquema IdEmpresa
FK1
SGSI_InstanciaSGSI PK FK1 FK2 IdInstanciaSGSI IdSGSI IdUsr Fecha Observaciones SGSI_Normas SGSI_Objetos PK PK,FK1 IdObjeto IdInstanciaSGSI NivelCriticidad NivelCumplimiento SGSI_Activos PK SGSI_Procedimientos_Fases PK PK,FK1 IdFase IdInstanciaSGSI NivelCumplimiento NivelCriticidad SGSI_PerfilEmpresas SGSI_InstanciaDenuncias FK1 IdActivo IdInstanciaSGSI Nombre Descripcion Ubicacion Propietario Coste IdTipoActivo ValorEstrategico SGSI_SubControles PK PK,FK1 IdSubControl IdInstanciaSGSI Valor Justificacion SGSI_Procedimientos PK PK PK,FK1 IdProcedimiento IdNivel IdInstanciaSGSI PK,FK1 PK IdInstanciaSGSI IdNorma
SGSI_InstanciaProcedimientosFases PK FK1 IdInstanciaFase IdInstanciaProcedimiento IdFase FechaInicio FechaFin Estado
SGSI_InstanciaProcedimientosFases_Objetos PK,FK1 PK FK2 IdInstanciaFase IdObjeto IdUsr Fecha RutaFichero Estado
SGSI_InstanciaProcedimientosFases_Usuarios PK,FK1 PK,FK2 IdInstanciaFase IdUsr Estado
PK FK1 FK2 FK3
IdDenuncia IdInstanciaSGSI IdUsrDenunciante IdUsrDenunciado IdNorma Denuncia Evidencias Estado Fecha IdUsrDestino EstadoFinal IdUsrInsertaDenuncia
PK,FK1 PK
IdInstanciaSGSI IdReglaEsquema Valoracion ValoracionMax
SGSI_Controles PK PK PK,FK1 IdControl Fecha IdInstanciaSGSI NivelControl
Figura 5.26. Repositorio de casos de uso. Tabla SGSI_Objetos: Esta tabla contiene los objetos que han sido seleccionados para una instancia de un proyecto. Tabla SGSI_Procedimientos: Esta tabla contiene seleccionados para una instancia de un proyecto. los procedimientos
Tabla SGSI_Procedimientos_Fases: Esta tabla contiene las fases de los procedimientos seleccionados. Tabla SGSI_PerfilEmpresas: Esta tabla contiene los diferentes perfiles de las empresas para las se realizan los SGSIs. Tabla SGSI_Controles: Esta tabla contiene los controles que contiene la instancia de un proyecto.
259
260 ______________ MGSMTOOL: Herramienta para Gestionar la Seguridad en las PYMES Tabla SGSI_SubControles: Esta tabla contiene los subcontroles que contiene la instancia de un proyecto. Tabla SGSI_Normas: Esta tabla contiene el reglamento de cada instancia de un proyecto. Tabla SGSI_Activos: Esta tabla contiene la lista de activos de una instancia concreta. Tabla SGSI_InstanciaProcedimientos: Esta tabla contiene el resultado de la ejecucin de un procedimiento seleccionado de una instancia de un proyecto. Tabla SGSI_InstanciaProcedimientosFases: Esta tabla contiene los datos de las fases ejecutadas en un procedimiento seleccionado de una instancia de un proyecto. Tabla SGSI_InstanciaProcedimientosFases_Objetos: Esta tabla contiene los datos de los objetos utilizados en la fase ejecutada en un procedimiento seleccionado de una instancia de un proyecto. Tabla SGSI_InstanciaProcedimientosFases_Usuarios: Esta tabla contiene los usuarios que han realizado cada fase de un procedimiento seleccionado de una instancia de un proyecto.
5.5. Aportaciones de la herramienta y futuras mejoras.

La herramienta MGSMTOOL ha permitido cumplir con los objetivos propuestos en relacin con la necesidad de contar con una herramienta que facilitara la aplicacin de la propuesta principal de esta tesis doctoral. La versin final de MGSMTOOL permite a las compaas generar los elementos de un SGSI adecuado con un mnimo coste, garantizando la seguridad y estabilidad de su sistema de informacin. La herramienta ha permitido reducir los costes de implantacin de los sistemas y supone un mayor porcentaje de xito de las implantaciones en las PYMES. Por estas razones, se considera que los resultados de esta tesis doctoral pueden ser muy positivos para las PYMES, ya que les permite acceder al uso de sistemas de gestin de la seguridad con un coste de recursos razonable para su tamao. Adems, con este modelo se permite obtener resultados a corto plazo y reducir los costes que supone el uso de otros modelos, consiguiendo un mayor grado de satisfaccin de la empresa. Adicionalmente, la herramienta permite mantener repositorios con informacin acerca de las especificaciones de los esquemas necesarios para construir los SGSI y con informacin de los resultados obtenidos en los diferentes casos de uso, lo que permite mejorar constantemente la metodologa y los modelos. En cuanto a las versiones futuras, en stas se debern incorporar mejoras en el modelo y se tendr que hacer un manejo ms completo de la informacin histrica que se mantiene en el repositorio. Entre las mejoras del modelo sobre las que se est trabajando de cara al futuro destacan: Incluir una nueva matriz de relaciones que permita obtener el nivel de madurez deseable a nivel de control, para poder compararlos con los niveles de seguridad actual de cada control.
260
5.5. Aportaciones de la herramienta y futuras mejoras. ____________________________ 261
Mejorar los algoritmos del sistema para maximizar su eficacia en la toma de decisiones. Incluir un planificador de los recursos que la compaa est dispuesta a invertir en un periodo de tiempo, para que el sistema sea capaz aplicarlos en el plan de mejora. Incluir a la biblioteca de artefactos de la actividad 1.4 la lista de subproyectos que se deben afrontar para mejorar de formar global el sistema de gestin de seguridad. Incluir en la actividad 1.4 nuevos artefactos que permita seguir ajustando el modelo. Incluir sistemas de mtricas avanzados basados en tcnicas informticas avanzadas (redes bayesianas, sistemas difusos). Obtencin de nuevos informes estadsticos de los desfases producidos entre dos auditoras, utilizando el modelo para sincronizar los mecanismos de reajuste de los cuadros de mando. Incluir en el modelo nuevas normativas de seguridad que ayuden a mejorar la gestin de la seguridad, como la LOPD Espaola o la HIPPA Americana.
C a p t ul o 6 C a s o de e s t udi o
6.- Caso de estudio.

El caso de estudio fue desarrollado con la colaboracin de la empresa SNT y participaron en el mismo todos los miembros de la empresa con acceso al sistema de informacin. El estudio se centr en desarrollar e implantar un sistema de gestin integral de seguridad de la informacin en la compaa, con el objetivo de mejorar su nivel de seguridad y consolidar su modelo de negocio, dado que la garanta de seguridad del sistema de informacin es una de las principales exigencias del cliente. El resultado fue la especificacin, diseo e implantacin de un SGSI utilizando para ello recursos limitados, adaptados a la compaa. Para llevar a cabo este caso de estudio se aplic la metodologa MGSMPYME en todas sus etapas, se refinaron las especificaciones y se obtuvieron conclusiones que permitieran apoyar y refinar el modelo de SGSI obtenido para la compaa. Para su descripcin se ha organizado este captulo en cuatro secciones: En la seccin 1 se describe la compaa sobre la que se ha realizado el caso de estudio; en la seccin 2 se describe en detalle su problemtica actual; en la seccin 3 se muestran los resultados obtenidos al aplicar la metodologa MGSM-PYME sobre el caso de estudio; y en la seccin 4 se muestran los principales resultados y conclusiones extrados.
6.1. Descripcin de la organizacin.

Sicaman Nuevas Tecnologas S.L. (SNT) fue creada en el ao 1998, constituida por ingenieros en informtica, y con el objetivo de contribuir a la mejora competitiva de las empresas a travs de la automatizacin de procesos y la incorporacin de las nuevas tecnologas. Actualmente, SNT desarrolla su actividad en seis reas principales: desarrollo de software a medida, consultora tecnolgica, peritaje y auditora informtica, servicios integrales a empresas, formacin e I+D+i. En total cuenta con unos 30 trabajadores. Desde el punto de vista organizacional (Figura 6.1), la compaa est compuesta por la direccin general, un comit de calidad, un rea de I+D+i, un rea de servicios centrales y un rea de produccin.
Figura 6.1. Organigrama de la compaa SNT
265
266 ___________________________________________________________ Caso de estudio El rea de servicios centrales se compone a su vez de los departamentos de calidad, financiero, comercial y marketing, explotacin y compras. El rea de produccin tiene los departamentos de servicios profesionales y sistemas, y control sobre reas de produccin externalizadas a otras compaas como son las de desarrollo, formacin y consultora. Con ms de 10 aos de experiencia en el mbito de la consultora y el desarrollo de software, y con el objetivo constante de estar a la vanguardia de la tecnologa, SNT cuenta actualmente con un personal altamente cualificado, es uno de los principales Microsoft Certified Partner en CastillaLa Mancha y ha desarrollado hasta la fecha, importantes proyectos para empresas de mbito nacional e internacional. SNT espera afrontar un ambicioso plan de expansin a corto plazo, para lo que requiere garantizar la seguridad de su sistema de informacin, ya que todo su modelo de negocio se asienta sobre l.
6.2. Descripcin del problema.

SNT, como la mayora de las PYMES Espaolas, cuenta con recursos muy limitados para afrontar proyectos de gestin y calidad. Esta limitacin de recursos es tanto econmica como de personal, pero principalmente este ltimo factor es determinante para el xito de este tipo de proyectos. Durante el periodo de 2004 a 2007, SNT afront la implantacin de la norma de calidad ISO9001 con un alcance muy limitado (solo para el departamento de sistemas). La implantacin dur varios aos y tuvo un coste enorme, aportando poco a la mejora de la calidad de la compaa y siendo visto como un problema y no un beneficio por los trabajadores de la misma. Adems del enorme coste de implantacin del proyecto, y los pocos beneficios recogidos hasta el momento, el mantenimiento de este sistema es tremendamente costoso y no ha conseguido la inercia necesaria para introducirse en la cultura de la compaa. SNT ha decidido afrontar un proyecto de implantacin de un SGSI (para poder certificar despus la norma ISO/IEC27001), para lo que utilizar la metodologa MGSMPYME, y el modelo y la aplicacin desarrollados sobre ella. El alcance del sistema, al ir orientado a PYMES, ha sido todo el mbito del sistema de informacin de la compaa. En el caso de SNT se ha considerado fuera del alcance del proyecto las compaas en que tiene participacin, habindose realizado estudios paralelos de implantacin del SGSI en cada una de ellas.
6.3. Caso de estudio: Desarrollo del SGSI para SNT.

En esta seccin se ver en detalle el proceso seguido en la compaa matriz SNT para el desarrollo de un SGSI adecuado para ella de una forma rpida y econmica, mediante la metodologa MGSMPYME y el modelo generado con ella.
6.3.1. Subproceso P1: GEGS Generacin de esquemas.

Este subproceso detalla la seleccin de los artefactos que compondrn el esquema base (EB) que se utilizar para la generacin del SGSI de la compaa.
266
6.3. Caso de estudio: Desarrollo del SGSI para SNT. _____________________________ 267
La elaboracin de un esquema es una labor costosa, pero una vez generado el esquema puede ser reutilizado en compaas que compartan caractersticas similares, por lo que su coste no debe ser tenido en cuenta a la hora de cuantificar el esfuerzo de generacin e implantacin de un SGSI, ya que el repositorio de esquemas se considera como una parte del producto final ofrecido a los clientes. 6.3.1.1. Actividad A1.1: Generacin de tablas maestras.
6.3.1.1.1. T1.1.1: Establecimiento de los roles del esquema. En esta subseccin se seleccionan los roles que formarn parte del SGSI final de la compaa (Tabla 6.1).
Id Nombre Tipo Especial Especial Especial Cliente Cliente Id Nombre Tipo Cliente Cliente Cliente Cliente Cliente Id Nombre Tipo Cliente Cliente Cliente Cliente Cliente
Generador de 1 esquemas 2 Consultor 3 Administrador Responsable de 4 seguridad Gerente de 5 sistemas
Departamento 6 de sistemas Responsable 7 desarrollo Responsable 8 explotacin Responsable 9 RRHH Responsable 10 marketing
Propietario de 11 activos 12 Gerente Proveedor de 13 servicios 14 Terceros 15 Usuarios S.I.
Tabla 6.1. Perfiles del esquema. En la subseccin A.1.1 y la Tabla B.1 del anexo B se puede encontrar mayor informacin sobre esta subseccin.
6.3.1.1.2. T1.1.2: Establecimiento de los sectores empresariales. Se establecen los sectores empresariales para los que ser vlido el esquema que se ha generando (Tabla 6.2). En la subseccin A.1.2 y la Tabla B.2 del anexo B se puede encontrar mayor informacin sobre esta subseccin.
IdSector Nombre IdCnae
18 28 32 45 70 72 73 74
18 Industria de la confeccin y de la peletera 28 Fabricacin de productos metlicos, excepto maquinara y equipo 32 Fabricacin de material electrnico. 45 Construccin 70 Actividades inmobiliarias 72 Actividades informticas 73 Investigacin y desarrollo 74 Otras actividades empresariales
Tabla 6.2. Sectores empresariales.

267
268 ___________________________________________________________ Caso de estudio 6.3.1.1.3. T1.1.3: Establecimiento de los niveles de madurez. Se seleccionan los niveles de madurez que tendr dicho esquema (Tabla 6.3).
Modelo
Modelo1 Modelo1 Modelo1
Nivel
Nivel 1 Nivel 2 Nivel 3
Tabla 6.3. Niveles de madurez del esquema. En la subseccin A.1.3 y la Tabla B.3 del anexo B, se puede encontrar mayor informacin sobre esta subseccin. 6.3.1.2. Actividad A1.2: Generacin de tablas del nivel de madurez.
6.3.1.2.1. T1.2.1: Establecimiento de las reglas de madurez. Se seleccionan las reglas de madurez del esquema. La tabla que contiene las reglas de madurez del esquema se puede ver con detalle en la subseccin A.2.1 y la Tabla B.4 del anexo B. Para este esquema se han incluido todas las reglas de madurez existentes en el repositorio.
6.3.1.2.2. T1.2.2: Establecimiento de los controles del modelo. Se seleccionan los controles del modelo que se incluirn en el esquema. La tabla que contiene los controles del esquema se puede ver con detalle en la subseccin A.2.2 y las tablas A.5A.15 del anexo B. Para este esquema se han incluido todos los controles existentes en el repositorio. 6.3.1.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos. Se generan los artefactos necesarios para realizar el anlisis de riesgos.
6.3.1.3.1. T1.3.1: Seleccin de tipos de activos. Se seleccionan los tipos de activos que se incluirn en el esquema. La tabla que contiene los tipos de activos del esquema se puede ver con detalle en la subseccin A.3.1 y la Tabla B.16 del anexo B. Para este esquema se han incluido todas los tipos de activos existentes en el repositorio.
6.3.1.3.2. T1.3.2: Seleccin de amenazas. Se seleccionan las amenazas que se incluirn en el esquema. La tabla que contiene las amenazas del esquema se puede ver con detalle en la subseccin A.3.2 y la Tabla B.17 del anexo B. Para este esquema se han incluido todas las amenazas existentes en el repositorio.
268
6.3.1.3.3. T1.3.3: Seleccin de vulnerabilidades. Se seleccionan las vulnerabilidades que se incluirn en el esquema. La tabla que contiene las vulnerabilidades del esquema se puede ver con detalle en la subseccin A.3.3 y la Tabla B.18 del anexo B. Para este esquema se han incluido todas las vulnerabilidades existentes en el repositorio.
6.3.1.3.4. T1.3.4: Seleccin de criterios de riesgo. Se seleccionan los criterios de riesgo que se incluirn en el esquema. La tabla que contiene los criterios de riesgo del esquema se puede ver con detalle en la subseccin A.3.4 y la Tabla B.19 del anexo B. Para este esquema se han incluido todos los criterios de riesgo existentes en el repositorio.
6.3.1.3.5. T1.3.5: Establec. de relaciones entre tipos de activos y vulner. La tabla que contiene las relaciones entre los tipos de activos y las vulnerabilidades del esquema se puede ver con detalle en la subseccin A.3.5 y la Tabla B.20 del anexo B.
6.3.1.3.6. T1.3.6: Establec. de relaciones entre amenazas y vulnerab. La tabla que contiene las relaciones entre las amenazas y las vulnerabilidades del esquema se puede ver con detalle en la subseccin A.3.6 y la Tabla B.21 del anexo B.
6.3.1.3.7. T1.3.7: Establec. de relaciones entre amenazas y controles. La tabla que contiene las relaciones entre las amenazas y los controles del esquema se puede ver con detalle en la subseccin A.3.7 y la Tabla B.22 del anexo B.
6.3.1.3.8. T1.3.8: Establec. relaciones entre t.activos, vulner. y c.riesgo. La tabla que contiene las relaciones entre los tipos de activos, las vulnerabilidades y los criterios de riesgo del esquema se puede ver con detalle en la subseccin A.3.8 y la Tabla B.23 del anexo B. 6.3.1.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos. En esta subseccin se determinarn los artefactos que formarn el SGSI final. La seleccin de un artefacto para el esquema no implica que sea luego seleccionado para la configuracin final del SGSI, ya que esto depende de otros muchos factores (ej: el nivel de madurez actual de la compaa).
6.3.1.4.1. T1.4.1: Seleccin de reglamentos. Se seleccionan los reglamentos que se incluirn en el esquema. La tabla que contiene los reglamentos del esquema se puede ver con detalle en la subseccin A.4.1 y la Tabla
269
270 ___________________________________________________________ Caso de estudio B.24 del anexo B. Para este esquema se han incluido todos los reglamentos existentes en el repositorio.
6.3.1.4.2. T1.4.2: Seleccin de procedimientos. Se seleccionan los procedimientos que se incluirn en el esquema. La tabla que contiene los procedimientos del esquema se puede ver con detalle en la subseccin A.4.2 y la Tabla B.25 del anexo B. Para este esquema se han incluido todos los procedimientos existentes en el repositorio.
6.3.1.4.3. T1.4.3: Seleccin de registros. Se seleccionan los registros que se incluirn en el esquema. La tabla que contiene los registros del esquema se puede ver con detalle en la subseccin A.4.3 y la Tabla B.26 del anexo B. Para este esquema se han incluido todos los registros existentes en el repositorio.
6.3.1.4.4. T1.4.4: Seleccin de plantillas. Se seleccionan las plantillas que se incluirn en el esquema. La tabla que contiene las plantillas del esquema se puede ver con detalle en la subseccin A.4.4 y la Tabla B.27 del anexo B. Para este esquema se han incluido todas las plantillas existentes en el repositorio.
6.3.1.4.5. T1.4.5: Seleccin de instrucciones tcnicas. Se seleccionan las instrucciones tcnicas que se incluirn en el esquema. La tabla que contiene las instrucciones tcnicas del esquema se puede ver con detalle en la subseccin A.4.5 y la Tabla B.28 del anexo B. Para este esquema se han incluido todas las instrucciones tcnicas existentes en el repositorio.
6.3.1.4.6. T1.4.6: Seleccin de mtricas. Se seleccionan mtricas que se incluirn en el esquema. La tabla que contiene las mtricas bsicas del esquema seleccionado se pueden ver en la subseccin A.4.6 y la Tabla B.29 del anexo B.
6.3.1.4.7. T1.4.7: Establec. de relaciones entre reglamentos y artefactos. La tabla que contiene las relaciones entre los reglamentos y los artefactos del esquema se puede ver con detalle en la subseccin A.4.7 y la Tabla B.30 del anexo B.
6.3.1.4.8. T1.4.8: Establec. de relaciones entre reglamentos y controles. La tabla que contiene las relaciones entre los reglamentos y los controles del esquema se puede ver con detalle en la subseccin A.4.8 y la Tabla B.31 del anexo B.
270
6.3.1.4.9. T1.4.9: Establec. de relaciones entre artefactos y controles. La tabla que contiene las relaciones entre los artefactos y los controles del esquema se puede ver con detalle en la subseccin A.4.9 y la Tabla B.32 del anexo B.
6.3.1.4.10. T1.4.10: Establec. de relaciones entre procedim. y artefactos. La tabla que contiene las relaciones entre los procedimientos y los artefactos del esquema se puede ver con detalle en la subseccin A.4.10 y la Tabla B.33 del anexo B.
6.3.2. Subproceso P2: GSGS Generacin del SGSI.

Este subproceso detalla la generacin del SGSI de la compaa a partir de los artefactos que componen el esquema seleccionado, que en este caso es el esquema base (EB). 6.3.2.1. Actividad A2.1: Establecimiento del marco de trabajo del SGSI. Inicialmente, para establecer el marco de trabajo del SGSI de SNT se identifica el interlocutor vlido de la compaa, para posteriormente solicitarle el organigrama de la compaa (ver Figura 6.1) y la lista de trabajadores y roles de la misma.
6.3.2.1.1. T2.1.1: Solicitud del interlocutor vlido. Para poder comenzar a generar el SGSI de la compaa, se debe identificar al interlocutor (Int) que acompaar al consultor de seguridad (CoS) durante todo el proceso de consultora y generacin del SGSI. En condiciones normales, si la compaa tiene departamento de informtica este puesto ser ocupado por el director de informtica, y en caso contrario por la persona ms afn al sistema de informacin de la compaa. SNT nombr interlocutor vlido a Carlos Ruiz Carrasco (CRC), como responsable del departamento de sistemas.
6.3.2.1.2. T2.1.2: Solicitud del organigrama de la compaa. Se solicita el organigrama de la compaa a Carlos Ruiz Carrasco (CRC). El organigrama solicitado se puede ver en la Figura 6.1.
6.3.2.1.3. T2.1.3: Obtencin de la lista de usuarios del S.I. y sus roles. Una vez identificado el interlocutor se le pide la lista de trabajadores con su roles (Tabla 6.4). Por motivos de espacio se ha reducido el nmero de personas a 17 desde los 30 reales, incluyendo todos los perfiles posibles. Hasta el momento, para todo este proceso se ha invertido unas 4 horas de trabajo, incluyendo las reuniones previas de toma de contacto.
271
272 ___________________________________________________________ Caso de estudio

Nombre Alfonso Nava Morales Usuarios S.I. Administrador, consultor, departamento de sistemas, gerente, gerente de sistemas, propietario de activos, responsable desarrollo, responsable RRHH, usuarios S.I. Administrador, consultor, departamento de sistemas, generador de esquemas, gerente, propietario de activos, responsable explotacin, usuarios S.I. Usuarios S.I. Proveedor de servicios Departamento de sistemas, usuarios S.I. Usuarios S.I. Departamento de sistemas, usuarios S.I. Departamento de sistemas, usuarios S.I. Administrador, consultor, generador de esquemas, gerente, propietario de activos, responsable de seguridad, usuarios S.I. Responsable marketing, usuarios S.I. Proveedor de servicios Usuarios S.I. Usuarios S.I. Roles asociados al sistema de informacin
Antonio SantosOlmo Parra Administrador, consultor, gerente, propietario de activos, usuarios S.I. Carlos Ruiz Carrasco
Daniel Villafranca Alberca Esteban Ponce Sebastin Ferca Network Francisco Jos Miano Mrquez Ivn Ruiz Javier Zazo Rodrguez Jos Vicente Carretero Luis Enrique Snchez Crespo Mara del Mar Ramrez MC Consultores Nieves Lpez Trivio Oscar Guillermo de la Fuente Snchez
Tabla 6.4. Lista de trabajadores de SNT y roles asociado al S.I. 6.3.2.2. Actividad A2.2: Establecimiento del nivel de madurez. En esta fase, mediante dos reuniones con el interlocutor seleccionado CRC, se identifica el nivel de madurez de la seguridad de la compaa actual y deseable.
6.3.2.2.1. T2.2.1: Recogida de informacin empresarial. Para establecer el perfil de la compaa se introducen en el sistema los datos de la misma, incluyendo el CNAE al que pertenece, y posteriormente se realiza una pequea lista de verificacin con el objetivo de determinar el nivel de seguridad que es recomendable que alcance (Tabla 6.5). La compaa SNT pertenece al CNAE 73 (investigacin y desarrollo). El resultado de aplicar el algoritmo es de 0.64, lo que implica que la compaa debe evolucionar hasta el nivel 2 de seguridad, pero le costara mucho mantener un nivel 3, por lo que se aconseja no alcanzarlo salvo que la compaa tenga alguna razn de peso.
272
Regla Nmero de empleados. Facturacin anual. Departamento I+D: alta, bajo, medio, nulo. Nmero de empleados que utilizan el sistema de informacin. Nmero de personas asociadas directamente al departamento de sistemas. Nivel de dependencia de la compaa del outsourcing del S.I
Valor 25 250 Empleados 1 100 Millones Medio >50% total empleados > 5 empleados Bajo
Valoracin 1 1 2 2 2 1
Valoracin Max 2 2 3 2 2 3
Peso 1 1 1 1 1 1
Tabla 6.5. Reglas para establecer el nivel de seguridad deseable para la compaa.
6.3.2.2.2. T2.2.2: Recogida de informacin tcnica del S.I. En la Tabla 6.6 se muestran a modo de ejemplo, algunos resultados de esta tarea. El resultado completo del informe con los datos tcnicos obtenidos, se encuentra en la subseccin C.1.1 y la Tabla D.1 del anexo D.
Control 5.1.1.1 5.1.1.2 5.1.2.1 5.1.2.10 Valor Si Si Parcial. No
Tabla 6.6. Ejemplo del resultado de la lista de verificacin tcnica de SNT. Para determinar con el mayor detalle posible el punto donde se encuentra la seguridad de la compaa se aplica una lista de verificacin de 896 preguntas valoradas como [no aplica, si, no, parcialmente]. El resultado obtenido de aplicar esta lista de verificacin a la compaa SNT fue que su nivel de madurez actual es el nivel 1, dado que es el nivel ms bajo cuyo cumplimiento es menor del 90%. Los resultados del nivel de madurez de cada nivel son: nivel1 = 60%, nivel2 = 62%, nivel3 = 55%. No es raro que el nivel 2 tenga mayor nivel de cumplimiento que el nivel 1, ya que es debido a que la empresa ha invertido ms tiempo en los controles del nivel 2 que en los del nivel 1, lo que produce tensiones y baja productividad en el SGSI. En la Tabla 6.7 se puede ver el nivel de cumplimiento de cada dominio de la norma utilizando el modelo MGSMPYME. Hasta que la seguridad global del nivel 1 no est por encima del 90%, no se podr acometer el nivel 2 de seguridad, pero dado que ya se ha realizado un esfuerzo considerable en el nivel 2, el modelo analiza este esfuerzo determinando aquellos controles que es interesante mantener durante un tiempo hasta que se alcance dicho nivel. Por el contrario, dado que el modelo ha determinado que la compaa no tiene el tamao suficiente para mantener un nivel 3 de seguridad, el consultor de seguridad (CoS) aconsejar dejar de invertir esfuerzo en los controles de nivel 3 y dejar que vayan degradndose progresivamente.
273
274 ___________________________________________________________ Caso de estudio

Cod 5 Poltica de seguridad. 6 Aspectos organizativos de la seguridad de la informacin. 7 Gestin de activos. 8 Seguridad ligada a los recursos humanos. 9 Seguridad fsica y ambiental. 10 Gestin de comunicaciones y operaciones 11 Control de acceso Adquisicin, desarrollo y mantenimiento de los sistemas de 12 informacin. 13 Gestin de incidentes en la seguridad de la informacin. 14 Gestin de la continuidad del negocio. 15 Cumplimiento Media: 59.00% 60.00% 68.00% 61.00% 38.00% 21.00% 76.00% 83.00% 93.00% Nombre Dominio N1 17.00% 59.00% 62.00% 69.00% 63.00% 64.00% 64.00% 67.00% 40.00% 27.00% 45.00% 42.00% 62.00% N2 N3
Tabla 6.7. Resultados por dominio y nivel de madurez para SNT ISO/IEC27002.
6.3.2.2.3. T2.2.3: Obtencin del nivel de madurez de la seguridad. El resultado de las entrevistas anteriores ha determinado que la compaa tiene que alcanzar un nivel de seguridad nivel 2, y actualmente se encuentra en un nivel 1 con un nivel de cumplimiento del 60%. La realizacin de las tareas T2.2.1T2.2.3 ha supuesto unas 8 horas de trabajo para el interlocutor (Int) y el consultor de seguridad (CoS). 6.3.2.3. Actividad A2.3: Realizacin del anlisis de riesgos. En esta fase se realizar un sencillo anlisis de riesgos que permitir determinar un plan para acometer y mejorar lo ms rpido posible la seguridad de la compaa. El anlisis de riesgos desarrollado para el modelo MGSMPYME utiliza activos de grano grueso y prioriza la simplicidad frente a la exactitud de modelos mucho ms complejos como el aportado por la herramienta EAR. La nueva metodologa aporta este sencillo mecanismo de anlisis de riesgos, pero en caso de que el cliente est dispuesto a invertir tiempo y dinero es aconsejable realizar un anlisis de riesgos mucho ms preciso como el que se puede obtener mediante la herramienta EAR.
6.3.2.3.1. T2.3.1: Identificacin de activos. La identificacin de activos de la compaa se realiza entre el consultor (LESC) y la persona asignada por la compaa (CRC) para el SGSI. Es muy complicado para la estructura de una PYME tener que ir usuario por usuario revisando la propiedad del activo, y resulta muy ineficaz intentar seleccionar activos de grano muy fino (activos en detalle). Por eso el modelo MGSMPYME busca que la definicin de todos los activos y la propiedad de los mismos se puedan obtener por medio del interlocutor designado por la empresa, y que adems se agrupen lo mximo posible de forma que la gestin de los mismos sea muy sencilla.
274
Como se puede ver (Tabla 6.8), en el caso de SNT se han identificado 18 activos de grano grueso repartidos entre 4 responsables, los cuales han cuantificado el coste que tendra la prdida de uno de esos activos para la compaa y el valor estratgico (valorados de 1 al 7, representando el 7 el valor mximo) que tienen.
Valor Estratgico 3 2 2 1 1 3 2 1 3 1 2 1 2 3 2 1 3 1
Nombre Activo Documento electrnico Documento en papel Equipamiento Equipamiento de proteccin del edificio Equipo de proteccin informtico Hardware Infraestructuras Instalaciones Medios de soporte Mobiliario y equipamiento Servicio externo Servicio interno Software comercial Software desarrollado internamente Telecomunicaciones Utilidades Personal Servicio externo
Descripcin Activo Informacin de la intranet, facturacin y sistema de ficheros de la compaa Facturas y gastos contabilizados. Mquinas de los trabajadores Extintores y sistemas de alarmas. SAIs. Servidores Sistema de red y cableado Local de Tomelloso. Copias de seguridad. Mobiliario y equipamiento Hosting Departamento de explotacin Licencias de Microsoft y otros programas. Software desarrollado internamente Telecomunicaciones Utilidades (herramientas varias). Conocimiento y pasivo de indemnizacin. Asesora contable
Propietario
Coste
Luis Enrique 400,000 Snchez Crespo Antonio SantosOlmo Carlos Ruiz Carrasco Daniel Villafranca Alberca Carlos Ruiz Carrasco Carlos Ruiz Carrasco Carlos Ruiz Carrasco Antonio SantosOlmo Carlos Ruiz Carrasco Daniel Villafranca Carlos Ruiz Carrasco Carlos Ruiz Carrasco Carlos Ruiz Carrasco 10,000 15,000 6,000 2,000 50,000 10,000 300,000 100,000 8,000 30,000 10,000 125,000
Luis Enrique 500,000 Snchez Crespo Carlos Ruiz Carrasco Daniel Villafranca Carlos Ruiz Carrasco Antonio SantosOlmo 10,000 1,000 150,000 20,000
Tabla 6.8. Lista de activos de SNT. La identificacin de los activos, sus propietarios y la valoracin de los mismos se ha realizado mediante una entrevista con una duracin de 4 horas.
275
276 ___________________________________________________________ Caso de estudio 6.3.2.3.2. T2.3.2: Generacin de la matriz de riesgos y el plan de mejora. A partir de los activos y los resultados obtenidos del nivel de cumplimiento de los controles de la ISO/IEC27002, el modelo genera una completa matriz de los riesgos de la compaa de forma totalmente automtica, para que el responsable de seguridad pueda tener un mapa completo de los riesgos, vulnerabilidades, amenazas y el nivel de cobertura de cada uno de los activos que componen el sistema de informacin de la compaa. La matriz generada por el modelo MGSMPYME para el caso de SNT consta de 711 registros, pero por motivos de tamao aqu se presentan slo los 10 primeros. Como se puede ver en la Tabla 6.9, la matriz de riesgos contiene una informacin muy completa sobre el sistema de informacin de la compaa, que puede ser de gran utilidad para el responsable del departamento de informtica y para el responsable de seguridad de cara a tomar decisiones. El resultado completo se puede ver en la subseccin C.1.2 y la Tabla D.2 del anexo D. La matriz de riesgos contiene informacin detallada de los activos para cada nivel de madurez, y de cmo se ven afectados stos segn: el tipo del activo, las amenazas a la que estn sometidos dichos activos, las vulnerabilidades existentes y los criterios de riesgos que se han tomado en cuenta para este activo. A partir de toda esta informacin se valora el impacto de cada amenaza sobre un activo, y la probabilidad de ocurrencia de cada vulnerabilidad, lo que permite establecer un nivel de riesgo que se asociar al nivel de control de la compaa para determinar cmo acometer posteriormente un plan de mejora.
Valor Estratgico
N1
Hw
Servidor
Hw
Fallo del hardware (soporte fsico) Accin industrial
Servicio de mantenimiento inadecuado Servicio de mantenimiento inadecuado Controles de acceso fsico a las instalaciones inadecuados o inexistentes Formacin en materia de seguridad insuficiente
50,000
50,000
N1
Hw
Servidor
Hw
50,000
N1
Hw
Servidor
Hw
Dao premeditado
50,000
N1
Hw
Servidor
Hw
Fallo/error de mantenimiento
Tabla 6.9. Matriz de riesgos para SNT. A partir de la matriz de riesgos, el sistema es capaz de proponer una serie de pasos para aumentar el nivel de seguridad de la compaa en el menor tiempo posible,
276
0.68
0.65
0.69
0.21
Nivel de Control
Nivel de Riesgo
Vulnerabilidad
Vulnerabilidad
Tipo de Activo
Criterios de Riesgo
Descripcin
Amenaza
Coste ()
Impacto
Nombre
Nivel
incluidos en un plan de mejora (Tabla 6.10). Para ello, y mediante un algoritmo recursivo basado en los riesgos de los activos, analiza los controles que deben acometerse en cada momento para llegar a un nivel de riesgo aceptable. Para el caso de SNT, el sistema requiere de 48 pasos para alcanzar un nivel de riesgo aceptable para el S.I. de la compaa. Por motivos de espacio se muestran solo los primeros pasos del plan de mejora (Tabla 6.10). El resultado completo se puede ver en la subseccin C.1.3 y la Tabla D.3 del anexo D.
Paso 1: El nivel actual de la compaa es nivel1 con un riesgo mximo en este nivel de 6. El activo ms afectado por este riesgo es: hardware (servidores) cuya prdida tendra un coste para la organizacin de 50.000 y cuyo valor estratgico para la compaa es de 3 sobre 7, siendo el tipo del activo "hardware". El nivel de riesgo de este activo para la amenaza "fallo del hardware (soporte fsico)" es de 6 contando actualmente el sistema con un nivel de cobertura de controles de 0.21, por lo que se recomienda acometer la activacin del control [10.7.2] (retirada de soportes.). Paso 2: El nivel actual de la compaa es nivel 1 con un riesgo mximo en este nivel de 6. El activo ms afectado por este riesgo es: hardware (servidores) cuya prdida tendra un coste para la organizacin de 50.000 y cuyo valor estratgico para la compaa es de 3 sobre 7, siendo el tipo del activo "hardware". El nivel de riesgo de este activo para la amenaza "fallo del hardware (soporte fsico)" es de 6 contando actualmente el sistema con un nivel de cobertura de controles de 0.21, por lo que se recomienda acometer la activacin del control [10.5.1] (copias de seguridad de la informacin.). Paso 3: El nivel actual de la compaa es nivel 1 con un riesgo mximo en este nivel de 5. El activo ms afectado por este riesgo es: medios de soporte (copias de seguridad.) cuya prdida tendra un coste para la organizacin de 100.000 y cuyo valor estratgico para la compaa es de 3 sobre 7, siendo el tipo del activo "medios de soporte". El nivel de riesgo de este activo para la amenaza "fallo en la ruta de los mensajes" es de 5 contando actualmente el sistema con un nivel de cobertura de controles de 0.50, por lo que se recomienda acometer la activacin del control [12.3.1] (poltica de uso de los controles criptogrficos.). Paso 4: El Nivel actual de la compaa es nivel 1 con un riesgo mximo en este nivel de 5. El activo ms afectado por este riesgo es: medios de soporte (copias de seguridad.) cuya prdida tendra un coste para la organizacin de 100.000 y cuyo valor estratgico para la compaa es de 3 sobre 7, siendo el tipo del activo "medios de soporte". El nivel de riesgo de este activo para la amenaza "fallo en la ruta de los mensajes" es de 5 contando actualmente el sistema con un nivel de cobertura de controles de 0.50, por lo que se recomienda acometer la activacin del control [12.2.3] (integridad de los mensajes.).
Tabla 6.10. Plan de mejora para SNT. 6.3.2.4. Actividad A2.4: Generacin del SGSI. Una vez que se ha recogido toda la informacin del sistema necesaria para el SGSI, se puede proceder a generar de forma automtica el SGSI ms adaptado y favorable para la compaa. Este proceso es totalmente automtico, utilizando para ello la informacin recogida a lo largo de las actividades anteriores.
6.3.2.4.1. T2.4.1: Generacin de los objetos del SGSI. En la Tabla 6.11 se pueden ver de forma resumida los artefactos que tendr el SGSI de la compaa SNT para el nivel 1 de madurez. Cuando la compaa evolucione a un nivel 2 de madurez el sistema aadir nuevos objetos de forma automtica. Parte de los objetos incluidos no pertenecen al nivel 1, sino al nivel 2, pero se incluyen al tener un
277
278 ___________________________________________________________ Caso de estudio nivel de cumplimiento de los controles asociados superior al 75% y pertenecer a un nivel alcanzable. Este proceso es totalmente automtico y no consume tiempo. La descripcin de cada uno de los artefactos de la Tabla 6.11 se puede ver en el anexo F.
Ficheros de normativas: CA/CIN01, CL/LOPDN01, CL/LPIN01, CO/GRN01, CO/PORN01, GI/ISFIN01, OS/ATN01, OS/ISIN01, OS/SIN01, SF/ASN01, SF/SEN01, SP/DPTN01, SP/FUN01, TI/CSN01, TI/IISN01, TI/USN01 o Normativas: N/AS02, N/AS03, N/AS04, N/AS05, N/AS06, N/AS07, N/AS 08, N/AT01, N/AT02, N/AT03, N/AT04, N/AT05, N/AT06, N/AT07, N/CAR05, N/CAR06, N/CAR07, N/CAR08, N/CAR09, N/CI01, N/CI02, N/CI03, N/CI04, N/CI05, N/CI06, N/CI07, N/CI08, N/CI09, N/CS01, N/CS 02, N/CS03, N/CS04, N/CS05, N/CS06, N/CS07, N/CS08, N/DPT01, N/DPT02, N/DPT03, N/DPT04, N/DPT05, N/DPT06, N/DPT07, N/DPT08, N/DPT09, N/DPT10, N/FU01, N/FU02, N/FU03, N/GAU01, N/GAU02, N/GAU03, N/GAU04, N/GAU05, N/GAU06, N/GAU07, N/GAU08, N/GAU 09, N/GAU10, N/GAU11, N/GAU12, N/GAU13, N/GAU14, N/GAU15, N/GR13, N/GR14, N/IIS01, N/IIS02, N/IIS03, N/IIS04, N/IIS10, N/IIS11, N/IIS12, N/IIS13, N/IIS14, N/IIS15, N/IIS16, N/ISFI01, N/ISFI03, N/ISFI 04, N/ISFI05, N/ISFI06, N/ISFI07, N/ISFI08, N/ISFI09, N/ISFI10, N/ISFI14, N/ISFI15, N/ISFI16, N/ISFI17, N/ISI01, N/ISI02, N/ISI03, N/ISI04, N/ISI 05, N/ISI06, N/ISI07, N/ISI08, N/LOPD01, N/LOPD02, N/LOPD03 Procedimientos: AC/GAUPR01, AC/GAUPR02, AC/GAUPR03, AC/RNCAPR03, CA/CIPR01, CA/CIPR02, CA/CIPR03, CA/CIPR04, CA/CIPR05, CL/LOPD PR01, CL/LOPDPR02, CL/LPIPR01, CL/LPIPR02, CL/LPIPR03, CL/LPIPR04, CO/GRPR01, CO/GRPR02, CO/PORPR02, CO/PSMPR01, GI/ISFIPR01, GI/ISFI PR02, OS/ATPR01, OS/ISIPR01, OS/ISIPR02, OS/OEPR01, OS/SIPR01, OS/UCIIPR01, SF/ASPR01, SF/SEPR04, SP/DPTPR01, SP/DPTPR02, SP/DPT PR03, SP/FUPR01, TI/CSPR01, TI/CSPR02, TI/CSPR03, TI/IISPR01, TI/IIS PR02, TI/IISPR03 o Instrucciones tcnicas: GI/ISFIIT01, OS/SIIT01, OS/UCIIIT01, SF/SEIT01 o Ficheros de plantillas: AC/GAUP01, AC/RNCAP03, AC/RNCAP04, CA/CI P01, CA/CIP02, CA/CIP03, CA/CIP04, CA/CIP05, CL/LOPDP01, CL/LOPD P02, CL/LPIP01, CL/LPIP02, CL/LPIP03, CL/LPIP04, CO/GRP01, GI/ISFI P01, GI/ISFIP03, OS/ISIP01, OS/ISIP02, OS/ISIP03, OS/ISIP04, OS/OEP01, OS/OEP02, OS/OEP03, OS/SIP01, OS/SIP02, OS/SIP03, OS/UCIIP01, SF/SEP07, SP/DPTP01, SP/DPTP02, SP/DPTP03, TI/CSP01, TI/CSP02, TI/IISP02, TI/IISP03, TI/IISP04, TI/IISP05, TI/IISP06 o Ficheros de registros: AC/GAUR01, AC/GAUR02, AC/GAUR03, CA/CIR01, CA/CIR02, CA/CIR03, CA/CIR04, CL/LOPDR01, CL/LOPDR02, GI/ISFI R01, GI/ISFIR02, GI/ISFIR03, GI/ISFIR04, GI/ISFIR05, GI/ISFIR06, OS/ISI R01, OS/ISIR02, OS/OER01, OS/OER02, OS/OER03, SF/ASR02, SF/ASR03, SF/ASR04, SF/ASR05, SP/DPTR01, TI/CSR01, TI/IISR01 Controles (ISO/IEC27002): [5.1.1], [5.1.2], [6.1.1], [6.1.2], [6.1.3], [6.1.4], [6.1.5], [6.2.1], [6.2.3], [7.1.1], [7.1.2], [7.2.1], [7.2.2], [8.1.1], [8.1.2], [8.1.3], [8.2.1], [8.2.2], [8.2.3], [8.3.1], [8.3.2], [8.3.3], [9.1.1], [9.1.2], [9.1.3], [9.1.4], [9.1.5], [9.2.6], [10.1.4], [10.2.1], [10.2.3], [10.4.1], [10.5.1], [10.6.1], [10.6.2], [10.7.3], [10.8.1], [10.8.2], [10.8.3], [10.8.4], [10.8.5], [10.9.3], [10.10.3], [11.2.1], [11.2.2], [11.2.3], [11.2.4], [11.4.3], [11.4.4], [11.4.6], [11.4.7], [11.5.3], [11.7.2], [12.5.4], [12.6.1], [13.1.1], [13.1.2], [13.2.1], [15.1.1], [15.1.2], [15.1.3], [15.1.4]
Tabla 6.11. Generacin del SGSI para SNT.
278
6.3.2.4.2. T2.4.2: Presentacin de resultados al interlocutor. Una vez finalizado todo el proceso, se presenta al interlocutor un informe resumen que incluye toda la informacin obtenida a lo largo del proceso: i) datos de la compaa, organigrama, usuarios y perfiles; ii) nivel de madurez actual y deseable; iii) listado de activos, matriz de riesgos y plan de mejora; iv) objetos del SGSI generado. El interlocutor de la empresa deber verificar la informacin y aprobar los resultados obtenidos para que los usuarios puedan empezar a trabajar con el sistema. Por ltimo, el interlocutor con la colaboracin del consultor puede realizar un proceso de adaptacin de las plantillas y registros activados para adecuarlos a la casustica de la compaa. Este proceso de parametrizacin es totalmente optativo, y muchas de las compaas han decidido afrontarlo ellas con una supervisin mnima del consultor.
6.3.3. Subproceso P3: MSGS Mantenimiento del SGSI.

Este subproceso detalla el mantenimiento del SGSI de la compaa, a partir de los artefactos generados por el modelo. En esta subseccin se mostrarn ejemplos del funcionamiento de cada una de las tareas que componen el subproceso. 6.3.3.1. Actividad A3.1: Obtener o renovar el certificado de CS. 6.3.3.1.1. T3.1.1: Realizacin del test de cultura de seguridad. Todo usuario que quiera acceder al sistema de informacin de la compaa deber obtener antes su certificado de cultura de seguridad para poder hacerlo. En la Tabla 6.12 se puede ver la simulacin de un examen realizado por un usuario del sistema para obtener el acceso al mismo.
Realizacin de test para obtencin del certificado de cultura de seguridad Usuario: Daniel Villafranca Alberca. Fecha: 12/08/2008
Parte 1: Responda V/F a la pregunta El reglamento es de obligado cumplimiento para el SGSI de su compaa?. Cdigo N/AS 03 N/AS 06 Reglamento
Control de acceso Registro de accesos fsicos Registro
Descripcin
Todos los accesos al permetro de seguridad deben ser supervisados e inspeccionados y la fecha y hora de su ingreso y regreso deben quedar registradas. La organizacin debe guardar un registro de visitas cada vez que un empleado o un visitante entre o abandone reas restringidas.
Respuest Usuario
Respuest Correcta
Calificac
F V V V V V
V V F V V V
0 1 0 1 1 1
N/SE09 mantenimiento N/CS 01 N/CS 03
de Se debe mantener un registro de todos los fallos detectados y del mantenimiento preventivo y correctivo. Las copias de seguridad del sistema de informacin de la compaa se realizarn de forma diaria. Las copias de seguridad se deben mantener en una localizacin que tenga un nivel de seguridad acorde al valor de la informacin que guardan.
Copias de seguridad Premisas para almacenar copias de seguridad
N/ISI08 Revisin
La poltica de seguridad debe ser revisada peridicamente independiente de la por el dpto. de auditora interna para garantizar que las
279
280 ___________________________________________________________ Caso de estudio

poltica de seguridad prcticas de la organizacin reflejan adecuadamente la poltica, y que sta es viable y eficaz.
N/AT 01 N/OE 03
Tipo de acceso Clusulas contratos servicios de
Cuando un tercero debe acceder a las instalaciones, se debe notificar si el tipo de acceso (fsico, lgico). Todos los contratos de servicios asociados al sistema de los informacin, debe incluir clusulas de responsabilidad, de confidencialidad de la informacin, tratamiento de datos y derechos de auditora.
N/ISFI 05 N/ISFI 15
Cualquier empleado o contratado ha de conocer los distintos tipos de incidencias de seguridad existentes y proceder a la Tipos de incidentes comunicacin de la misma, segn indica el procedimiento de de seguridad comunicacin de incidentes, bajo ocurrencia de amenaza, debilidad o fallo de alguno de los activos de la compaa. Incumplimiento las polticas de La organizacin aplicara medidas disciplinarias cuando las polticas o los procedimientos de la seguridad de la informacin no se cumplan.
N/CI03
Inventario activos
Se debe realizar una revisin anual del inventario de los activos del sistema de informacin, el cual deber ser de verificado por la persona responsable del mismo, para determinar que contiene todos los activos importantes del sistema de informacin de la organizacin y que las clasificaciones son las adecuadas. de Toda la informacin debe ser considerada confidencial a de menos que se haya aprobado y se haya etiquetado para el acceso pblico. Los empleados contratados debern firmar las clusulas de de confidencialidad, propiedad intelectual, buen uso de los sistemas, etc. Las clusulas debern ser firmadas por los usuarios cada dos aos. Cuando se despide a un empleado, se debe comunicar previamente el despido al departamento de sistemas para que proceda a anular sus privilegios. Slo estar permitido el acceso a zonas crticas al personal expresamente autorizado.
N/CI04 N/DPT 07 N/DPT 08 N/AS 02
Clasificacin activos informacin Clusula seguridad
Despido Zonas crticas
V F
V V
1 0
Parte 2: Responda V/F a la pregunta El procedimiento forma parte del SGSI de su compaa? Cdigo OS/SIPR01 OS/ISIPR02 SP/DPTPR01 SF/ASPR01 CO/GRPR01 Procedimiento Procedimiento de revisin y evaluacin peridica de la poltica de seguridad Procedimiento para autorizacin de acceso al sistema de informacin desde instalaciones personales. Procedimiento previo a la contratacin Control de acceso fsico. Procedimiento de revisin peridica de controles de red.
Respuest Usuario Respuest Correcta Calificac
V F F V F
V F V V F
1 1 0 1 1
Tabla 6.12. Examen de obtencin del certificado de c.seguridad. Una vez finalizado el examen, el sistema analizar el resultado obtenido para determinar si debe o no repetirse. En caso de aprobar, el usuario obtiene su certificado por un periodo de tiempo dado, y con dicho certificado obtiene el acceso al sistema de informacin (Tabla 6.13).
La calificacin obtenida por el usuario Daniel Villafranca Alberca el da 12/08/2008 ha sido de 6.5 puntos (13/20), lo que le autoriza la concesin del certificado de cultura de la seguridad y con ello el acceso al sistema de informacin de la compaa. La validez de dicho certificado ser hasta el 12/08/2009, salvo que sea retirado antes por violaciones de seguridad.
Tabla 6.13. Resultado del examen de certificado de seguridad.

280
Un mes antes de finalizar el periodo de caducidad del certificado de cultura de seguridad, el usuario comenzar a recibir notificaciones de que tiene que volver a realizar el examen (Tabla 6.12). Pasado el periodo, se le bloquear al usuario el acceso al sistema de informacin hasta que obtenga un nuevo certificado. 6.3.3.2. Actividad A3.2: Ejecutar procedimientos del SGSI. 6.3.3.2.1. T3.2.1: Activar procedimiento general. Luis Enrique Snchez Crespo (LESC), en calidad de responsable de seguridad (RS) de la compaa SNT, decide iniciar el procedimiento de revisin peridica de Controles de Red (CO/GRPR01), que involucra tambin al director de informtica, cargo que en este caso ocupa Carlos Ruiz Carrasco (CRC). En la Tabla 6.14 se puede ver cmo se ejecutan las diferentes fases del procedimiento, que permite incluir ficheros para guardar en los repositorios, y tomar decisiones, las cuales determinarn la siguiente fase del procedimiento.
Hora inicio Usuar Origen Usuar Destin
LESC LESC Almacenar informe en CO/GRP01
Fase
Decis
Observac
Procedimiento
Revisin peridica 12/08/2008 LESC de controles de red 12:00 Obtener informe de herramienta de red Existen violaciones graves? Enviar informe al gerente de sistema 12/08/2008 LESC 13:00 12/08/2008 LESC 13:10 12/08/2008 CRC 16:10
CRC Si CRC CRC
Fin revisin 12/08/2008 CRC peridica controles 17:10
Tabla 6.14. Ejemplo de procedimiento general.
6.3.3.2.1. T3.2.2: Activar procedimiento de denuncia. A continuacin se muestra un ejemplo de funcionamiento del procedimiento de denuncia: un usuario con acceso al sistema de informacin de SNT detecta una violacin de la normativa N/PSM01 que regula el "uso de software legal" y cuya definicin detallada es "Est terminantemente prohibido el uso de software sin licencia dentro de las instalaciones del sistema de informacin de la compaa. La instalacin del software en los terminales ser realizada por el personal del departamento de sistemas una vez se haya verificado que se cumple con todos los requerimientos necesarios". El usuario que ha detectado la violacin de seguridad, inserta la denuncia en la herramienta de gestin de seguridad MGSMTOOL (Figura 6.2).
281
282 ___________________________________________________________ Caso de estudio
Figura 6.2. Introduccin de una violacin de una norma por un usuario del S.I. El responsable de seguridad recibe la denuncia y analiza si existen evidencias suficientes para tenerlas en cuenta. En caso de encontrar la evidencia requerida localizar software ilegal en el equipo denunciado, aprobar la denuncia al tener sta una base slida (Figura 6.3).
Figura 6.3. Validacin y aprobacin de una violacin del S.I por el RS. Al aprobar la denuncia el sistema, iniciar automticamente el proceso de sancin (ver subseccin 6.3.3.5.3). 6.3.3.3. Actividad A3.3: Seguimiento del cumplimiento del SGSI. 6.3.3.3.1. T3.3.1: Gestionar el cuadro de mandos de seguridad. El cuadro de mandos de la empresa muestra los niveles de seguridad en que se encuentra cada control del sistema de informacin. Existen distintos niveles por los que se puede mover el responsable de seguridad (RS) para determinar dnde debe aplicar mayor esfuerzo de seguridad. En la Tabla 6.15 se puede ver un ejemplo del cuadro de mandos de seguridad de SNT a nivel de dominio.
282
Nivel cumplimiento 17.39 60.00 61.76 69.35 57.78 42.58 67.39 61.06 50.00 26.72 59.23
Dominio Poltica de seguridad. Aspectos organizativos de la seguridad de la informacin. Gestin de activos. Seguridad ligada a los recursos humanos. Seguridad fsica y ambiental. Gestin de comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de los sistemas de informacin. Gestin de incidentes en la seguridad de la informacin. Gestin de la continuidad del negocio. Cumplimiento
Tabla 6.15. Ejemplo de mtricas generales.
6.3.3.3.2. T3.3.2: Gestionar la periodicidad de los procedimientos. Los procedimientos del sistema de informacin tienen asignada una periodicidad que marcar cada cunto tiempo tienen que ejecutarse. En caso de que este tiempo se supere, el sistema lo comunicar al responsable de seguridad, que determinar si ha sido un fallo de seguridad y el procedimiento debi ejecutarse con anterioridad, en cuyo caso tomar las medidas necesarias. En la Tabla 6.16 se puede ver un ejemplo de activacin del procedimiento CO/GRPR01 por la mtrica de periodicidad de procedimientos y los pasos siguientes que se realizan.
Paso Procedimiento = CO/GRPR01, Paso 0 Paso 1 Paso 2 Paso 3 Paso 4 Paso 5 Paso 6 Tiempo establecido = 180 das Tiempo ltima ejecucin = 180 das Periodo de ejecucin = 90 das Descripcin
Se detecta una superacin del tiempo de espera del procedimiento CO/GRPR01. El responsable de seguridad determina si el procedimiento tena que haberse ejecutado realmente. Dado que efectivamente tena que haberse ejecutado se realizan los siguientes pasos: Se detectan los controles asociados al CO/GRPR01: 10.6.1, 10.6.2, 11.4.4, 11.4.6, 11.4.7, 12.5.4 Se reduce un 1% el nivel de cumplimiento actual de todos los controles afectados. Se reduce un 10% el tiempo de periodicidad del objeto, de 180 das a 162 das.
Tabla 6.16. Ejemplo de mtricas de periodicidad de procedimientos.
283
284 ___________________________________________________________ Caso de estudio
6.3.3.3.3. T3.3.3: Gestionar las violaciones de seguridad. Al aprobar una denuncia sobre el reglamento N/PSM01 (ver subseccin 6.3.3.4.1), automticamente el sistema busca en la matriz que asocia la normativa y los controles, descubriendo que la normativa N/PSM01 est directamente vinculada a un control (podran estarlo con varios controles): el 8.3.1 en la ISO/IEC17799:2000 (ISO/IEC17799, 2000) 10.4.1 en la ISO/IEC27002 denominado, "Control contra software malicioso", que tiene un nivel de cumplimiento actual del 45,45%, y lo sanciona con un 1% de cumplimiento y un periodo de sancin de 1 ao. Es decir, desde ese momento el nivel de cumplimiento pasar del 45,45% al 44,45% y la sancin se mantendr 1 ao siempre y cuando no exista una nueva violacin de seguridad sobre ese control, en cuyo caso el contador se inicializara de nuevo.
6.3.3.3.4. T3.3.4: Gestionar los certificados de cultura de la seguridad. Si se produce una violacin de seguridad (ver subseccin 6.3.3.3.2), adems de verse afectado el nivel de los controles asociados se ve afectado el certificado de cultura de seguridad, retirando 1 punto por sancin. Por lo tanto, siguiendo el caso expuesto en las subsecciones 6.3.3.2.1 y 6.3.3.3.3, el siguiente paso del proceso de sancin es retirar un punto de sancin del certificado de cultura de seguridad del usuario denunciado, que actualmente est con 6.5 (ver subseccin 6.3.3.1.1), dejndolo en 5.5 puntos. En el caso de que el usuario hubiera bajado de 5 puntos, el sistema revocara sus permisos de acceso al sistema de informacin de la empresa y le obligara a obtener un nuevo certificado de cultura de seguridad. Por ltimo, cuando el usuario realiza el examen, las preguntas contestadas correctamente sirven para incrementar (+0.1%) y las incorrectas para disminuir (0.1%) en una pequea proporcin los controles asociados a los reglamentos y procedimientos que formaron parte de las preguntas del examen (Tabla 6.17).
Reglamento N/AS03 N/AS06 N/SE09 N/CS01 N/CS03 N/ISI08 N/AT01 N/OE03 N/ISFI05 N/ISFI15 N/CI03 N/CI04 N/DPT07 N/DPT08 N/AS02 8.3.3, 9.1.2 8.3.3, 9.1.2 9.2.4 10.5.1 10.5.1 6.1.8 6.2.1 6.2.2, 10.2.2 13.1.1, 13.1.2, 13.2.1 8.2.3 7.1.1, 7.1.2 7.2.1 6.1.5 8.1.3, 8.3.1, 8.3.2 8.3.3, 9.1.2 Controles asociados Cambio nivel
0.1 +0.1 0.1 +0.1 +0.1 +0.1 0.1 0.1 +0.1 +0.1 +0.1 +0.1 0.1 +0.1 0.1
284
Reglamento OS/SIPR01 OS/ISIPR02 SP/DPTPR01 SF/ASPR01 CO/GRPR01 5.1.2 6.1.4 6.1.5, 8.1.1 8.3.3, 9.1.1, 9.1.2, 9.1.3, 9.1.4, 9.1.5 10.6.1, 10.6.2, 11.4.4, 11.4.6, 11.4.7, 12.5.4 Controles asociados Cambio nivel
+0.1 +0.1 0.1 +0.1 +0.1
Tabla 6.17. Ejemplo de penalizacin de controles por examen de CS..
6.3.3.3.5. T3.3.5: Realizacin de auditoras peridicas. La realizacin de una auditora peridica por parte de un auditor externo consiste en volver a realizar el test de valoracin tcnica de los controles de seguridad, de la tarea T2.2.2 y compararlo con la situacin actual, determinando los desequilibrios que se han producido en el sistema desde la ltima vez, reajustando el cuadro de mandos y analizando como mejorar las mtricas. En la Tabla 6.18 se muestra un ejemplo de auditora externa. Las diferencias existentes entre el nivel de seguridad actual mostrado en el cuadro de mandos y el detectado por el auditor pueden ser debidos a diferentes causas (mal funcionamiento de las mtricas de seguridad o mala valoracin por parte del auditor).
N. Cuadro mandos (%) 50.00 50.00 50.00 0.00 0.00 0.00 0.00 50.00 0.00 30.00 33.33 0.00 50.00 16.67 0.00 50.00 12.50 33.33 37.50 75.00 0.00 40.00 N. Auditor externo (%) 40.00 50.00 50.00 0.00 25.00 25.00 0.00 50.00 0.00 30.00 33.33 0.00 50.00 16.67 0.00 50.00 50.00 33.33 37.50 75.00 0.00 60.00 Desfase N. Cuadro Cdigo (%) mandos (%) 10.00 9.2.2 0.00 9.2.3 0.00 9.2.4 0.00 9.3.1 25.00 9.3.2 25.00 9.4.1 0.00 9.4.2 0.00 9.4.3 0.00 9.4.4 0.00 9.4.5 0.00 9.4.6 0.00 9.4.7 0.00 9.4.8 0.00 9.4.9 0.00 9.5.1 0.00 9.5.2 37.50 9.5.3 0.00 9.5.4 0.00 9.5.5 0.00 9.5.6 0.00 9.5.7 20.00 9.5.8 50.00 18.75 16.67 18.75 37.50 0.00 75.00 100.00 100.00 100.00 16.67 20.00 100.00 0.00 75.00 70.00 33.33 40.00 37.50 100.00 50.00 50.00 N. Auditor Desfase externo (%) (%) 50.00 18.75 16.67 18.75 37.50 25.00 75.00 100.00 75.00 100.00 16.67 20.00 100.00 0.00 75.00 70.00 33.33 40.00 37.50 100.00 50.00 50.00 0.00 0.00 0.00 0.00 0.00 25.00 0.00 0.00 25.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Cdigo 3.1.1 3.1.2 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6 4.1.7 4.2.1 4.2.2 4.3.1 5.1.1 5.2.1 5.2.2 6.1.1 6.1.2 6.1.3 6.1.4 6.2.1 6.3.1 6.3.2
285
286 ___________________________________________________________ Caso de estudio

6.3.3 6.3.4 6.3.5 7.1.1 7.1.2 7.1.3 7.1.4 7.1.5 7.2.1 7.2.2 7.2.3 7.2.4 7.2.5 7.2.6 7.3.1 7.3.2 8.1.1 8.1.2 8.1.3 8.1.4 8.1.5 8.1.6 8.2.1 8.2.2 8.3.1 8.4.1 8.4.2 8.4.3 8.5.1 8.6.1 8.6.2 8.6.3 8.6.4 8.7.1 8.7.2 8.7.3 8.7.4 8.7.5 8.7.6 8.7.7 9.1.1 9.2.1 0.00 0.00 0.00 25.00 5.56 46.43 28.57 60.00 41.67 32.14 58.33 75.00 37.50 62.50 50.00 33.33 0.00 40.00 14.71 0.00 45.45 41.67 40.00 31.25 45.45 18.75 25.00 20.00 50.00 25.00 15.38 27.27 33.33 5.00 80.00 0.00 34.62 37.50 83.33 0.00 18.18 37.50 0.00 10.00 0.00 25.00 5.56 46.43 28.57 60.00 41.67 32.14 58.33 60.00 37.50 62.50 50.00 33.33 0.00 6.00 50.00 0.00 45.45 41.67 40.00 31.25 45.45 18.75 25.00 20.00 50.00 25.00 15.38 27.27 33.33 5.00 80.00 0.00 34.62 37.50 90.00 0.00 18.18 37.50 0.00 9.6.1 10.00 9.6.2 0.00 9.7.1 0.00 9.7.2 0.00 9.7.3 0.00 9.8.1 0.00 9.8.2 0.00 10.1.1 0.00 10.2.1 0.00 10.2.2 0.00 10.2.3 15.00 10.2.4 0.00 10.3.1 0.00 10.3.2 0.00 10.3.3 0.00 10.3.4 0.00 10.3.5 34.00 10.4.1 35.29 10.4.2 0.00 10.4.3 0.00 10.5.1 0.00 10.5.2 0.00 10.5.3 0.00 10.5.4 0.00 10.5.5 0.00 11.1.1 0.00 11.1.2 0.00 11.1.3 0.00 11.1.4 0.00 11.1.5 0.00 12.1.1 0.00 12.1.2 0.00 12.1.3 0.00 12.1.4 0.00 12.1.5 0.00 12.1.6 0.00 12.1.7 0.00 12.2.1 6.67 12.2.2 0.00 12.3.1 0.00 12.3.2 0.00 75.00 25.00 0.00 6.67 75.00 8.33 16.67 50.00 100.00 25.00 0.00 50.00 0.00 0.00 0.00 0.00 0.00 46.43 16.67 15.00 43.75 37.50 62.50 66.67 16.67 0.00 10.00 0.00 0.00 0.00 0.00 21.43 18.75 33.33 43.75 0.00 3.33 20.00 0.00 5.56 16.67 75.00 25.00 25.00 6.67 75.00 8.33 16.67 50.00 100.00 25.00 0.00 50.00 0.00 0.00 0.00 0.00 0.00 46.43 16.67 15.00 43.75 37.50 62.50 66.67 16.67 0.00 10.00 0.00 0.00 0.00 0.00 21.43 18.75 33.33 43.75 0.00 3.33 20.00 0.00 5.56 16.67 0.00 0.00 25.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
286
6.4. Resultados y conclusiones. _______________________________________________ 287
El cuadro de mandos se vuelve a nivelar con los resultados obtenidos por el auditor de seguridad, y las diferencias se envan al arquitecto en gestin de la seguridad (AGS) y el grupo de expertos del dominio (GED) para que determinen qu est fallando en el sistema y aporten mtricas ms eficientes, o incluso analicen la necesidad de cambiar el SGSI utilizando un nuevo esquema ms preciso y eficiente que el actual.
6.3.3.3.6. T3.3.6: Realizacin de mtricas generales. Existe un conjunto de mtricas generales que pueden determinar el estado de ciertos controles. Cuando se produce una violacin de seguridad se mide el tiempo medio de respuesta (Tmr) entre que se comunica la violacin y sta es resuelta (Tabla 6.19). Segn los valores definidos en la Figura 4.22 para el indicador Tmr, se puede concluir que la velocidad de respuesta de la compaa frente a violaciones de seguridad es buena.
Fecha 23/01/2008 12/02/2008 24/03/2008 14/05/2008 Tmr= Tr (horas) 6 8 23 12 12.25
6.3.3.3.7. T3.3.7: Gestionar el sistema de alertas. El sistema de alertas est asociado al sistema de mtricas y al cuadro de mandos del SGSI. Si, por ejemplo, se activa una alerta por cumplirse la periodicidad de revisin de un objeto, se generar un evento que llegar al responsable de seguridad (Tabla 6.20).
Se comunica al responsable de seguridad, para que tome las medidas que considere oportunas, que el da 28/08/2008 se ha producido la activacin de una alerta por caducidad de periodicidad del procedimiento CA/CIPR02, sin que nadie lo haya utilizado en el periodo de tiempo establecido de 3 meses.
Tabla 6.20. Alerta de seguridad.
6.4. Resultados y conclusiones.

El desarrollo del caso de estudio ha permitido aplicar MGSMPYME en un entorno real y verificar en la prctica que el mtodo permite especificar y disear sistemas de gestin de seguridad vlidos para las PYMES. Las lecciones aprendidas a partir de la aplicacin de este mtodo en el caso de estudio que se ha descrito son las siguientes: La utilizacin del mtodo de investigacin en accin se ha mostrado muy beneficiosa para la investigacin, permitiendo refinar la metodologa hasta obtener sus tres subprocesos y el esquema base.
287
288 ___________________________________________________________ Caso de estudio La organizacin ha valorado muy positivamente el modelo presentado, al haber tenido un coste de tiempo y dinero muy bajo para la organizacin y sus departamentos. As mismo, la facilidad de uso ha evitado que lo vean como una carga para su trabajo, y ms bien lo han visto como un ejemplo a seguir para otros procesos como el control de calidad. La curva de aprendizaje asociada a la aplicacin del mtodo ha sido aceptable, gracias principalmente al conocimiento que tena la compaa SNT sobre la materia de estudio. La utilizacin de una potente herramienta para apoyar la aplicacin del mtodo MGSMPYME ha favorecido el desarrollo de la investigacin y del caso de estudio, ya que ha facilitado tanto el trabajo de los consultores a la hora de definir el SGSI como el de los usuarios del sistema de informacin a la hora de trabajar con l. As mismo, ha permitido la elaboracin de diferentes SGSI de cara a ir refinando el modelo adecuado para este tipo de compaas. Se pudieron detectar aspectos mejorables en la herramienta. Las principales mejoras se hicieron en la capa de presentacin, en relacin con el refinamiento del esquema seleccionado y de los objetos que conformar en SGSI final. As mismo, la enorme flexibilidad mostrada por la herramienta al permitir modificar, almacenar y analizar diferentes modelos y esquemas ha sido fundamental para el xito de la investigacin. La capacidad de la herramienta de mantener diferentes esquemas permite que al aumentar el nmero de casos de estudio, se pueda obtener un nmero elevado de esquemas funcionales adaptados a PYMES de diferentes sectores, lo que implica un enorme potencial. El tiempo medio de generacin de SGSI para PYMES una vez seleccionado el esquema fue de 5 das, cuyos tiempos se repartieron como se puede ver en la Tabla 6.21. La mayor parte de las personas designadas por las compaas se sentan capaces de realizar la generacin del SGSI con una ayuda mnima del consultor, por lo que muchas de ellas optaron por adaptar ellas mismas sus plantillas y registros. El coste de generacin e implantacin de este modelo es totalmente asequible para la compaa.
Tiempo estimado de realizacin (horas) 4 8 4 0 0 0 4 20 40
Fase Establecimiento del marco de trabajo Establecimiento del nivel de seguridad Identificacin de activos Generacin matriz de riesgos Generacin plan de mejora Generacin SGSI Revisin del modelo generado Adaptacin de plantillas y registros TOTAL:
Tabla 6.21. Tiempo medio de implantacin de un SGSI con MGSMPYME
288
C a p t ul o 7 Conclusiones
7.- Conclusiones.
En este captulo se analiza la consecucin de los objetivos planeados para esta tesis doctoral. Tambin se presentan las principales aportaciones contrastndolas con las publicaciones obtenidas. Finalmente, se muestran las lneas abiertas y la investigacin futura.
7.1. Anlisis de la consecucin de los objetivos.

La finalidad principal de esta tesis doctoral qued expuesta en el captulo 1 cuando se especific el objetivo Definir una metodologa y un modelo que haga viable la implantacin y el mantenimiento de sistemas de gestin de la seguridad en las PYMES, junto con el cul se establecieron una serie de objetivos parciales. A continuacin se presenta una valoracin de la consecucin de los diferentes objetivos parciales definidos en la seccin 1.3: Objetivo 1: Estudiar los distintos modelos para la gestin de la seguridad en las empresas, as como los modelos de madurez de la seguridad en las TIC y las normas y estndares destacables en esas materias, y analizar su adecuacin para las PYMES. En el captulo 3 se ha llevado a cabo un estudio detallado de las principales propuestas relacionadas con los modelos, metodologas y estndares de gestin de la seguridad que existen en la actualidad, as como algunas de las propuestas ms prometedoras que se estn desarrollando. Se ha comprobado que estos modelos han tenido poco xito en su aplicacin en PYMES y tampoco se han enfocado especficamente hacia ellas. As mismo, se han analizando otras investigaciones que han llegado a las mismas conclusiones, detectando tambin la carencia de modelos adecuados para las PYMES, las cuales estn desarrollando propuestas para intentar subsanar las deficiencias de los modelos actuales, aunque afrontndolas de una forma parcial, centrndose en aspectos concretos de los SGSIs. Por ltimo se han analizado algunas de las herramientas existentes para la gestin de la seguridad, llegando a la conclusin de que se suelen centrar en parte del problema y no estn orientadas a PYMES. Por lo tanto, de este anlisis se infiere que se ha alcanzado el objetivo propuesto para este punto, aunque se deber seguir realizando un trabajo continuo de otros modelos o mejoras de los modelos actuales que puedan surgir. Objetivo 2: Definicin de una metodologa y un modelo de gestin de la seguridad especialmente adaptado a las caractersticas de las PYMES, y basado en las normas, estndares y modelos de gestin de la seguridad existentes. La metodologa y el modelo desarrollado sobre ella, permitir conocer la "madurez de seguridad de las empresas, y ofrecer guas de seguridad para alcanzar y mantener la seguridad deseable, utilizando para ello unos recursos razonables, dimensionados para este tipo de compaas. En el captulo 4 se ha presentado una propuesta de una metodologa y un modelo de gestin de seguridad orientado a las PYMES definiendo sus principales 291
292 ______________________________________________________________ Conclusiones aportaciones. La metodologa y el modelo se han diseado para que sean dinmicos, de tal forma que puedan adaptarse a las circunstancias cambiantes de las PYMES, y siempre buscando el mayor automatismo posible, con el objetivo de reducir los costes de implantacin y mantenimiento de un SGSI. El objetivo principal definir una metodologa y un modelo para la gestin de la seguridad valido para las PYMES ha sido logrado. Las etapas desarrolladas y los resultados obtenidos permiten ser optimistas respecto del camino que se ha trazado. Objetivo 3: Construccin de una herramienta que d soporte automatizado a la utilizacin del modelo construido a partir de la metodologa. Esta herramienta permitir desarrollar un sistema de gestin de seguridad para una PYME en un tiempo y costes mnimos. As mismo, permitir que la compaa pueda mantener este sistema con unos recursos adecuados al tamao de la misma. Se ha construido una herramienta que da soporte a las tareas relacionadas con la construccin de prototipos para la generacin y el posterior mantenimiento de un sistema de gestin de seguridad del sistema de informacin para las PYMES. Esta herramienta, llamada MGSMTOOL, se encuentra descrita en detalle en el captulo 5. Desde el punto de vista tecnolgico, MGSMTOOL se ha implementado como una arquitectura de tres capas en que la capa de presentacin se construy con Microsoft Visual Studio, la capa de aplicacin con C# y la capa de almacenamiento con Microsoft SQL Server 2005. As mismo, se ha desarrollado con tecnologa Web para facilitar su accesibilidad por Internet a las PYMES de forma que se mantengan los principios de sencillez y precio, al reducir los costes de la instalacin y el mantenimiento del software. Por tanto, pensamos que se ha cumplido satisfactoriamente el objetivo tercero. Objetivo 4: Validar el modelo construido con casos de estudio reales. Esto permitir, mediante el mtodo de investigacin "InvestigacinAccin", refinar el modelo y hacerlo utilizable en la prctica. La propuesta fue validada en un entorno real mediante su aplicacin y refinamiento en diversos casos de estudio. El caso de estudio principal fue desarrollado en la empresa SNT con la colaboracin del equipo de direccin y sistemas de la compaa. Se llev a cabo un estudio relacionado con la implementacin de un sistema de gestin del sistema de informacin de la compaa, partiendo de los limitados recursos con los que sta contaba. El desarrollo del caso de estudio ha permitido aplicar MGSMPYME en un entorno real y verificar, en la prctica, que el mtodo permite especificar, disear, implementar y mantener sistemas de gestin de seguridad con garantas de xito y continuidad. Adicionalmente, todos los datos que se fueron obteniendo durante la investigacin sirvieron para ir refinando el modelo. Esto nos permite afirmar que el objetivo 4 ha sido alcanzado. Considerando que los objetivos parciales se han cumplido, el objetivo principal: "Definir una metodologa y un modelo que haga viable la implantacin y el
292
7.2. Aportaciones. _________________________________________________________ 293
mantenimiento de sistemas de gestin de la seguridad en las PYMES", tambin ha sido cumplido. De esta manera se puede asegurar que la hiptesis de trabajo planteada "Es factible desarrollar una metodologa y un modelo para la gestin de la seguridad en las PYMES que les permita conocer la situacin real de seguridad en las TICs y definir una estrategia para alcanzar y mantener la seguridad adecuada" es verdadera.
7.2. Aportaciones.
Como principales aportaciones de esta tesis doctoral se pueden mencionar las siguientes: En el captulo 3 se ha realizado un anlisis de las aproximaciones ms relevantes en el campo de la gestin de la seguridad y su madurez para los sistemas de informacin, analizando las ltimas aportaciones realizadas para PYMES y algunas de las herramientas existentes en el mercado para la gestin de la seguridad. En el captulo 4 se ha definido una metodologa de desarrollo, implantacin y medicin de sistemas de gestin de la seguridad para los sistemas de informacin de las PYMES, adecuada para el tamao de estas compaas, y un modelo basado en dicha metodologa. Esta metodologa abarca: o El subproceso GEGS (generacin de esquemas); que permite la generacin, almacenamiento y tratamiento de los esquemas del sistema de informacin, que son la base para la construccin de modelos del SGSI (ver seccin 4.2). o El subproceso GSGS (generacin del SGSI), que permite la generacin de un SGSI a partir de un esquema generado en el subproceso GEGS (ver seccin 4.3). o El subproceso MSGS (mantenimiento del SGSI), que permite el mantenimiento de un SGSI generado por el subproceso GSGS (ver seccin 4.4). En el captulo 4 tambin se ha definido un modelo denominado esquema base (EB) que servir de soporte o punto de partida para el facilitar el desarrollo de nuevos modelos con menor esfuerzo (ver seccin 4.5, anexo B y anexo C). Este modelo incluye: o Un conjunto de niveles de madurez asociados a los controles de seguridad (ver subseccin 4.5.1) en la compaa. o Un conjunto de matrices que establecen relaciones entre los elementos que componen el SGSI (ver anexo B). o Un conjunto de procedimientos de gestin de seguridad (ver subseccin 4.5.2 y anexo C) y los perfiles de usuarios asociados a estos (ver subseccin 4.5.3). En el captulo 4 tambin se han definido un conjunto de tcnicas y algoritmos: o Un repositorio de esquemas del subproceso GEGS en el que se almacena el conjunto de elementos que componen el esquema y que servirn de base para la generacin del SGSI. o Un repositorio de SGSIs del subproceso GSGS en el que se almacenan los diferentes componentes de los SGSI generados para las compaas.
293
294 ______________________________________________________________ Conclusiones o Un repositorio de informacin del SGSI del subproceso MSGS en el que se almacenan los resultados y estadsticas obtenidos durante el uso diario, por parte de los usuarios del SGSI. o Un algoritmo para el establecimiento del nivel de madurez de la compaa, que permite determinar el nivel de madurez actual y deseable. o Un algoritmo para la generacin de una matriz de los riesgos a los que estn sometidos los activos del sistema de gestin de la informacin de la compaa. o Un algoritmo para la generacin del plan de mejora, que permite obtener un informe de aquellos controles susceptibles de mejora, teniendo en cuenta aspectos como el nivel de seguridad actual y los riesgos que se mitigaran al acometer mejoras en el nivel de cumplimiento de dichos controles. o Un algoritmo para la generacin del SGSI, que selecciona los elementos de la biblioteca de objetos del sistema que deben formar el SGSI adecuado para la compaa seleccionada en base a toda la informacin recolectada por el consultor, el clculo de los algoritmos anteriormente descritos y un esquema. o Un sistema para la gestin de certificados de cultura de seguridad que posibilita la creacin y medicin de una cultura de seguridad de la informacin progresiva. o Un sistema de gestin de procedimientos del SGSI que permite a los usuarios seguir los procedimientos de forma sencilla, construyendo las rutas del diagrama de flujo y los destinatarios de cada fase de los procedimientos. o Un conjunto de tcnicas para la creacin y el mantenimiento de un cuadro de mandos de seguridad, que permite generar y mantener actualizado un cuadro de mandos de la seguridad global del sistema de informacin de la compaa, teniendo en cuenta aspectos como el nivel en cultura de la seguridad, denuncias de violaciones de seguridad, etc (ver subseccin 4.4.4.3). En el captulo 5 se ha presentado el prototipo de una herramienta capaz de: o Generar modelos basados en la metodologa MGSMPYME, permitiendo llevar a cabo cada una de las tareas de las actividades definidas en el subproceso GEGS. o Generar SGSIs a partir de los esquemas almacenados en el subproceso GEGS. o Mantener los SGSIs generados por el subproceso MSGS. En el captulo 6 se ha presentado un caso de estudio completo realizado en una PYME, que nos ha permitido validar las propuestas, y cuya informacin es til para la generacin y refinamiento de nuevos modelos de generacin de SGSIs (ver anexo E). Los casos de estudio suponen el principal mecanismo de elaboracin de los esquemas sobre los que se asientan los modelos. En los anexos B y C se ha presentado en detalle el esquema base obtenido a partir de las implantaciones y sucesivos refinamientos en clientes.
7.3. Contraste de resultados. ________________________________________________ 295
En el anexo D se ha presentado en detalle los resultados obtenidos de la aplicacin de la metodologa en la compaa SNT. En el anexo E se han mostrado algunos de los resultados obtenidos de la aplicacin de la metodologa en diversas compaas.
7.3. Contraste de resultados.

A continuacin se detallan las publicaciones conseguidas hasta el momento. Dichas publicaciones se dividen en seis grupos; conferencias nacionales, conferencias iberoamericanas, conferencias internacionales, revistas nacionales, revistas internacionales y captulos de libro.
7.3.1. Resumen general de publicaciones.

Con el objetivo de contrastar los resultados obtenidos en esta investigacin, han sido presentados en diversos foros cientficos. En la Tabla 7.1 se muestra una estadstica de las publicaciones realizadas en distintas conferencias, revistas y libros, que estn enmarcadas dentro del mbito de la tesis doctoral. Tipo
Conferencias nacionales Conferencias iberoamericanos Conferencias internacionales Revistas nacionales Revistas internacionales Captulos de libros
Total
4 2 8 1 1 1
TOTAL:
17
Tabla 7.1. Estadstica de las publicaciones. En la Tabla 7.2 se resumen las publicaciones, clasificadas en funcin de la temtica, dentro de la tesis doctoral realizada. Dentro de cada categora se han ordenado por orden cronolgico de redaccin del artculo. Tipo
Estado del arte de los sistemas de gestin de seguridad y modelos de madurez Metodologa de gestin de seguridad y su madurez en las PYMES (MGSMPYME) Etapas de MGSMPYME Herramienta MGSMTOOL Casos de estudio
Total
2005JISBD, 2005CIBSI, 2005CIASI, 2006Base Informtica 2005IJCSNS, 2006ICCSA, 2006ARES 2006WOSIS, 2006RECSI, 2006RAMA, 2007CEDI, 2007WOSIS, 2007SECRYPT 2007ICSOFT, 2007CIBSI 2008RECSI, 2008SECRYPT
Tabla 7.2. Lista de publicaciones clasificadas por temas.
295
296 ______________________________________________________________ Conclusiones
7.3.2. Conferencias nacionales.

Villafranca, D., Snchez, L.E., FernndezMedina, E. y Piattini, M. La Norma ISO/IEC17799 como base para Gestionar la Seguridad de la Informacin. Tercer Taller de Seguridad en Ingeniera del Software y Bases de Datos (JISBD05). Septiembre, Granada. (2005). Pp. 1321 En este primer trabajo se abordaron desde una perspectiva amplia los aspectos ms relevantes en relacin a los sistemas de gestin de seguridad clsicos. Se consideraron las definiciones asociadas a los SGSI y los anlisis de riesgos. Se mostraron las fases que componen los sistemas clsicos de gestin de la seguridad y, de forma muy resumida, la problemtica que presentan en las PYMES. Snchez, L.E., Villafranca, D., FernndezMedina, E. y Piattini, M.; Desarrollando un Modelo de Madurez para la Gestin de la Seguridad de los Sistemas de Informacin en las PYMES., IX Reunin Espaola sobre Criptologa y Seguridad de la Informacin (RECSI06). Barcelona, Espaa. Septiembre (2006). Pp. 338348. En este trabajo se presentaron los aspectos asociados a los niveles de madurez en la seguridad. Se mostr la problemtica presentada por los modelos de madurez clsicos de forma resumida y se analizaron de forma detallada algunos de los modelos de madurez que ms xito est teniendo, mostrando sus problemas y por qu no son apropiados para las PYMES. Por ltimo, se present de forma muy resumida el modelo de madurez en espiral. Snchez, L.E., SantosOlmo, A., Villafranca, D., FernndezMedina, E. y Piattini, M.; Modelo de Madurez para la Gestin de la Seguridad en las PYMES basado en Esquemas predeterminados, Simposio de Seguridad Informtica, dentro del congreso Espaol de Informtica (CEDI07). ZaragozaEspaa (2007). Pp. 175190. En este artculo se presentaron las fases que componen el modelo de madurez en espiral para la gestin de la seguridad, mostrando algunos avances producidos desde la ltima versin, como la mejora de algunas de las matrices que forman los esquemas de gestin de la seguridad. Estas mejoras permiten obtener mejores resultados a la hora de gestionar la seguridad, sin incurrir en mayores costes para la compaa. Snchez, L.E., Villafranca, D., SantosOlmo, A., FernndezMedina, E. y Piattini, M.; Establecimiento del Nivel de Gestin de la Seguridad utilizando un modelo basado en Esquemas Predefinidos, X Reunin Espaola sobre Criptologa y Seguridad de la Informacin (RECSI08). SalamancaEspaa (2008). Pp. 449 459. En este artculo se presentan los resultados obtenidos de la aplicacin del modelo de madurez de gestin de la seguridad basado en esquemas predeterminados sobre 11 compaas, y la comparativa de sus niveles de seguridad medidos sobre un modelo que toma como base la ISO/IEC17799:2000 frente a un nuevo modelo que toma como base la ISO/IEC27002. Por ltimo, se present una de las mtricas utilizadas para mantener actualizado de forma dinmica el nivel de seguridad de la compaa.
296
7.3. Contraste de resultados. ________________________________________________ 297
7.3.3. Conferencias iberoamericanas.

Villafranca, D., Snchez, L.E., FernndezMedina, E. y Piattini, M. Hacia un Modelo de Gestin de Seguridad de la Informacin para Pequeas y Mediana Empresa con la ISO/IEC17799. III Congreso Iberoamericano de Seguridad Informtica (CIBSI05), Oct, (2005). Valparaso, Chile. Pp. 415428. Ratio: 58,33% (60 artculos recibidos, 35 aceptados). En este trabajo se abordaron desde una perspectiva amplia los aspectos ms relevantes en relacin a las nuevas propuestas de sistemas de gestin de seguridad orientas a las PYMES. Posteriormente, se analizaron los aspectos de seguridad frente al modelo de gestin de seguridad propuesto para solucionar los problemas detectados en los modelos clsicos, mostrando algunas de las soluciones propuestas por el nuevo modelo para eliminar los problemas de los sistemas clsicos. Snchez, L.E., SantosOlmo, A., Villafranca, D., FernndezMedina, E. y Piattini, M.; MGSMPYME: Desarrollando una herramienta para gestionar la seguridad de los sistemas de informacin en las PYMES basada en Esquemas predefinidos, IV Congreso Iberoamericano de Seguridad Informtica (CIBSI07). Mar de PlataArgentina (2007). Pp. 501515. En este artculo se presentaron las ltimas mejoras de la aplicacin sobre la que se estn poniendo en prctica los resultados de la investigacin, centrndose en mostrar los algoritmos que representan el motor de la aplicacin, cmo interactan con los datos, cmo obtienen informacin y cmo utilizan los esquemas para ahorrar tiempo.
7.3.4. Conferencias internacionales.

Snchez, L.E., Villafranca, D., FernndezMedina, E. y Piattini, M. Gestin de la seguridad de los sistemas de informacin en las empresas desde la perspectiva de su tamao y nivel de madurez, tomando como base la ISO/IEC17799. IV Congreso Internacional de Auditora y Seguridad de la Informacin (CIASI05), Dic, (2005). Pp. 3952. Ratio: 51,16% (43 artculos recibidos, 22 aceptados). En este trabajo se presentaron los aspectos de seguridad partiendo del anlisis de dos modelos de madurez para la gestin de la seguridad que estn teniendo xito en el mercado, y comparndolos con el modelo que se est desarrollando. Por ltimo, se mostr la importancia que los cuadros de mando y las mtricas tienen en el modelo desarrollado. Snchez, L.E., Villafranca, D., FernndezMedina, E. y Piattini, M; Building a Maturity Security Model Based on ISO/IEC17799, The 2006 International Conference on Computational Science and its Applications (ICCSA06). Glasgow, Reino Unido, Mayo (2006). LNCS 3982 Springer 2006. Pp. 173175. (Artculo corto) En este trabajo se presentaron de forma muy reducida los principales aspectos que componen el modelo de gestin de la seguridad presentado, centrndonos en el modelo de madurez en seguridad que se ha desarrollado y las principales ventajas detectadas hasta el momento.
297
298 ______________________________________________________________ Conclusiones Snchez, L.E., Villafranca, D., FernndezMedina, E. y Piattini, M; Security Management in corporative IT systems using maturity models, taking as base ISO/IEC17799, International Symposium on Frontiers in Availability, Reliability and Security (FARES06) in conjunction with ARES, IEEE Computer Society. Viena, Austria. (2006). Pp. 585592. En este trabajo se presentaron los principales problemas que tienen los sistemas y normativas actuales de gestin de la seguridad y su imposibilidad de implantarse en las PYMES. Se analizaron dos nuevas propuestas de modelos de madurez, comparndolos con el modelo desarrollado. Por ltimo se analizaron las conclusiones obtenidas, mostrando por qu el modelo desarrollado es ms eficiente en las PYMES que los actuales. Snchez, L.E., Villafranca, D., FernndezMedina, E. y Piattini, M.; Developing a maturity model for information system security management within small and medium size enterprises. 8th International Conference on Enterprise Information Systems (WOSIS06). Paphos, Chipre, March (2006). Pp. 256265. Ratio: 48,14% (54 artculos recibidos, 26 aceptados). En este trabajo se analizaron las interrelaciones entre los diferentes estndares y modelos de gestin de seguridad existentes, mostrando cuadros que demuestran la enorme interrelacin que existe entre ellos. Por ltimo, se compararon estos modelos con el modelo de madurez que se ha desarrollado, analizando sus ventajas. Snchez, L.E., Villafranca, D., Piattini, M.; MMISSSME Practical Development: Maturity Model for Information Systems Security Management in SMEs. 9th International Conference on Enterprise Information Systems (WOSIS07), INSTICC Press. Funchal, Madeira Portugal, June (2007). Pp. 233244. Ratio: 45,71% (35 artculos recibidos, 16 aceptados). En este artculo se presentaron las tres fases que componen el modelo para la gestin de la seguridad desarrollado, denominado modelo de madurez en espiral. Se analiz cada una de las fases mostrando sus principales ventajas y los objetivos perseguidos. Por ltimo, se mostraron algunas de las conclusiones obtenidas, algunas de las soluciones propuestas y los siguientes pasos a dar. Snchez, L.E., Villafranca, D., FernndezMedina, E. y Piattini, M.; Developing a model and a tool to manage the information security in Small and Medium Enterprises, International Conference on Security and Cryptography (SECRYPT07). Barcelona Espaa (2007). Pp. 355362. Ratio: 41%. En este artculo se propuso una extensin (mejorada) de los diagramas que componen el nuevo modelo de madurez, con algunas modificaciones en las frmulas de establecimiento del nivel de madurez que permitan obtener resultados ms exactos. Snchez, L.E., Villafranca, D., FernndezMedina, E. y Piattini, M.; MGSMPYME: Tool for computer automation of the Information Security Management Systems, 2nd International conference on Software and Data Technologies (ICSOFT07). Barcelona Espaa (2007). Pp. 311318. Ratio: 39%
298
7.4. Lneas abiertas e investigacin futura. _____________________________________ 299
En este artculo se present el modelo de madurez para la seguridad desde la perspectiva prctica de la aplicacin que se est desarrollando y de cmo est funcionando en casos reales. Se analizaron las diferentes fases en que se divide el sistema y se mostraron los conceptos que hacen que sea tan fcil de mantener el sistema. Por ltimo, se mostraron los trabajos que se estn desarrollando actualmente y los siguientes pasos que se realizarn. Snchez, L.E., Villafranca, D., FernndezMedina, E. y Piattini, M.; Practical Application of a Security Management Maturity Model for SMEs Based on Predefined Schemas, International Conference on Security and Cryptography (SECRYPT08). PortoPortugal (2008). Pp. 391398. En este artculo se mostraron algunos de los resultados y conclusiones ms relevantes obtenidos durante la investigacin del proyecto, as como la evolucin que han sufrido los casos de prueba desde la normativa ISO/IEC17799:2000 a la ISO/IEC27002.
7.3.5. Revistas nacionales.

Snchez, L.E. La gestin de la seguridad de los sistemas de informacin: pasado, presente y futuro. Revista Base Informtica, n Enero (2006). Madrid, Espaa. Pp. 54 62. En este artculo se present un anlisis de los principales problemas con los que se ha encontrado la gestin de la seguridad en Espaa y que han propiciado una situacin de caos en los departamentos de informtica. Se analizaron las medidas que se estn tomando en el presente para corregir la tendencia actual. Por ltimo, se mostr el nuevo modelo como una solucin futura a los problemas actuales.
7.3.6. Revistas internacionales.

Snchez, L.E., Villafranca, D., FernndezMedina, E. y Piattini, M. Towards a Model of Information Security Management for Small and MediumSize Enterprises with ISO/IEC17799. IJCSNS International Journal of Computer Science and Network Security, Vol. 5 No.11, November 2005. Pp. 111117. En este trabajo se profundiz en los principales problemas que tienen los sistemas y normativas actuales de gestin de la seguridad y su imposibilidad de implantarse en las PYMES. Se analizaron los sistemas de gestin de seguridad clsicos, centrndose en los modelos existentes para la gestin del riesgo y las fases de estos modelos. Por ltimo, se mostraron de forma muy general las bases sobre las que se sustenta el nuevo modelo.
7.3.7. Captulos de libros.

Snchez, L.E., Villafranca, D. y FernndezMedina, E. Captulo 9. Modelo de Madurez para SGSI desde un enfoque prctico. Titulo: Gobierno de las Tecnologas y los Sistemas de Informacin. Autores: Mario Gerardo Piattini y Fernando Hervada. Editoral: RAMA. (2006). Madrid, Espaa. Editores: M. Piattini y F.Hervada. Pp. 175 209
299
300 ______________________________________________________________ Conclusiones En este captulo se present un completo anlisis del estado actual de los sistemas de gestin de la seguridad y sus problemas. Se analizaron en detalle los modelos de madurez existentes en la actualidad, comparndolos entre ellos y analizando los problemas que tiene cada uno de ellos. Se analiz el modelo de madurez en espiral propuesto, mostrando de forma general su estructura y sus ventajas con respecto a los sistemas actuales. Se analizaron algunas de las mtricas de seguridad desarrolladas y su importancia de cara a la obtencin de cuadros de mandos que permitan a la gerencia la toma adecuada de decisiones.
7.4. Lneas abiertas e investigacin futura.

La lnea de investigacin metodologas y modelos de gestin de la seguridad para las PYMES presentada en esta tesis doctoral tiene continuidad futura en los siguientes aspectos: Mejoras asociadas al subproceso GEGS: Adaptacin de los esquemas predefinidos para PYMES con las nuevas normas y estndares que surjan asociados a la gestin de la seguridad. Aqu se consideran tres lneas de trabajo que sern abordadas como trabajo futuro: o La primera lnea tiene como objetivo adaptar el esquema base actual a un conjunto de esquemas para cada sector empresarial ms preciso que el actual. o La segunda lnea de trabajo tiene como objetivo mejorar los esquemas mediante la adaptacin de las nuevas normas de carcter especfico que surjan (LOPD, LSSI, etc). o La tercera lnea de trabajo tiene como objetivo mejorar la precisin de la actividad A1.2 (generacin de tablas del nivel de madurez), mediante la obtencin de nuevas reglas a partir de la informacin del INE que permitan determinar con mayor precisin qu controles tienen que utilizarse en cada tipo de compaa segn su tamao y CNAE. El resultado de este estudio permitir obtener perfiles ms precisos sin aumentar la complejidad de la metodologa. Mejoras asociadas al subproceso GSGS: Revisar aspectos relacionados con la generacin del SGSI. Aqu se consideran tres lneas de trabajo que sern abordadas como trabajo futuro: o La primera lnea est orientada a mejorar el algoritmo de establecimiento del nivel de madurez deseable para una compaa, aumentando el nmero de parmetros necesarios para establecerlo y aplicando los resultados sobre conjuntos amplios de empresas, a partir de datos obtenidos de bases de datos oficiales. o La segunda lnea de trabajo tiene como objetivo mejorar el algoritmo de valoracin de los riesgos a los que estn sometidos los activos, mediante la utilizacin de la matriz generada en la tarea T1.3.8 (establecimiento de relaciones entre tipos de activos, vulnerabilidades y criterios de riesgo). o La cuarta lnea de trabajo est orientada a la generacin de los elementos que componen el SGSI, con el objetivo de que los procedimientos puedan cumplirse parcialmente. Cuando un procedimiento tenga que cumplirse slo parcialmente implicar que tan solo las partes afectadas
300
7.4. Lneas abiertas e investigacin futura. _____________________________________ 301
por los controles de seguridad sern de obligado cumplimiento para el nivel de madurez actual. Mejoras asociadas al subproceso MSGS: Mejorar y aumentar los mecanismos de medicin y autoevaluacin de la seguridad introduciendo nuevas mtricas en el modelo que permitan conocer en todo momento el nivel de la seguridad, minimizando el nmero de auditoras de autoajuste necesarias para mantener actualizado dicho nivel de seguridad. Mejoras de la herramienta MGSM-TOOL: Gestin de histricos, anlisis de datos, planificacin de proyectos, etc. Refinamientos de la metodologa y de la herramienta que sean sugeridos al aplicar en la prctica esta propuesta en clientes de SNT. Desarrollo de un nuevo conjunto de mtricas, que permita medir diferentes aspectos de los controles definidos para el SGSI y aportar mayor informacin para la toma de decisiones sobre gestin de la seguridad.
301
Bibliografa
Bibliografa
ABS (2001). "1321.0 - Small Business in Australia." Australian Bureau of Statistics. ABS (2003). "8129.0 Business Use of Information Technology (2001 - 02)." Canberra: Australian Bureau of Statistics. ACMM (2003). US Department of Commerce. IT Architecture Capability Maturity Model (ACMM). The Open Group. Burlington MA. C. J. Alberts y A. J. Dorofee (2002). Managing Information Security Risks: The OCTAVE Approach. M. Alvesson (2004). Knowledge Work and Knowledge-Intensive Firms. O. U. Press. New York, USA: 271. C. Anderson (2006). The Long Tail: How Endless Choice is Creating Unlimited Demand. Random House Business Books, London, UK. R. Anderson (2001). Security Engineering: A Guide to Building Dependable Distributed Systems, John Wiley & Sons, Inc. R. J. Anderson (2001b). Why Information Security is Hard An Economic Perspective. Seventeenth Computer Security Applications Conference. W. Applehans, A. Globe y G. Laugero (1999). Managing Knowledge. A practical web-based approach. A. April, J. Huffman, A. Abran y R. Dumke (2005). "Software Maintenance Maturity Model: the software maintenance process model. Journal of Software Maintenance and Evolution." Research and Practice 17: 197-223. K. A. Areiza, A. M. Barrientos, R. Rincn y J. G. Lalinde-Pulido (2005a). "Hacia un modelo de madurez para la seguridad de la informacin." 3er Congreso Iberoamericano de seguridad Informtica Nov, (2005): 429 - 442. K. A. Areiza, A. M. Barrientos, R. Rincn y J. G. Lalinde-Pulido (2005b). "Hacia un modelo de madurez para la seguridad de la informacin." IV Congreso Internacional de Auditora y Seguridad de la Informacin Dic (2005). AS/NZS-ISO/IEC17799 (2006). AS/NZS ISO/IEC 17799, Information technology Code of practice for information security management. T. A. Standars.
305
306 _______________________________________________________________ Bibliografa

G. Ashish, J. Curtis y H. Halper (2003). "Quantifying the financial impact of IT security breaches." Information Management & Computer Security 11(2): 74-83. AusCERT (2005). "Australian Computer Crime and Security Survey." AusCERT. D. Avison, F. Lan, M. Myers y A. Nielsen (1999). "Action Research." Communications of the ACM 42(1): 94-97. E. Awad y H. Ghaziri (2003). Knowledge Management. Y. Barlette y V. Vladislav (2008). Exploring the Suitability of IS Security Management Standards for SMEs. Hawaii International Conference on System Sciences, Proceedings of the 41st Annual, Waikoloa, HI, USA. A. M. Barrientos y K. A. Areiza (2005). Integracin de un sistema de gestin de seguridad de la informacin conun sistema de gestin de calidad. Masters thesis, Universidad EAFIT. R. Baskerville (1992). "The development duality of information systems security." Journal of Management Systems 4(1): 1-12. R. Baskerville (1999). Investigating Information Systems with Communications of the Association for Information Systems. 2: 19. Action Research.
R. Baskerville y T. Wood-Harper (1996). "A critical perspective on action research as a method for information systems research." Journal of Information Tecnology. 11: 235-246. J. Batista y A. Figueiredo (2000). "SPI in very small team: a case with CMM." Software Process Improvement and Practice 5(4): 243-250. D. Besnard y B. Arief (2004). "Computer Security Impaired by Legitimate Users." Computers & Security 23: 253-264. N. Bevans (2000). Introduction to usability maturity assessment. Serco Usability Services. Serco, Ltd. London. C. Biever (2005). Revealed: the true cost of computer crime. Computer Crime Research Center. B. Blakely (2002). "Consultants Can Offer Remedies to Lax SME Security." TechRepublic. W. Bohemer (2008). Appraisal of the Effectiveness and Efficiency of an Information Security Management System Based on ISO 27001. SECURWARE '08: Proceedings of the 2008 Second International Conference on Emerging Security Information, Systems and Technologies. P. Bouvier y R. Longeon (2003). Le tableau de bord de la scurit du systme d'information. Scurit Informatique. J. Brake (2003). "Small Business Security Needs for the Changing Face of Small Business." Micro and Home Business Association. A. Briney y F. Prince (2002). "Information Security Magazine Survey, does size matter?" Information Security Magazine. D. Brinkley y R. Schell (1995). What Is There to Worry About? An Introduction to the Computer Security Problem. Information Security, An Integrated Collection of Essays. M. Abrams, S. Jajodia, et al. California, IEEE Computer Society.
306
Bibliografa _______________________________________________________________ 307 BS7799 (2002). BS 7799: Information security management systems. , British Standards Institute (BSI). BS25999 (2006). BS25999 - Standard for Business Continuity Management., British Standards Institute (BSI). B. Burke (2002). Evolving Architecture Maturity, Enterprise Plannign and Architecture Strategies. EPAS Meta Practices 67, Meta Group. A. Burns, A. Davies y P. Beynon Davies (2006). A study of the uptake of Information Security Policies by small and medium sized businesses in Wales. Global Conference on Emergent Business Phenomena in the Digital Economy, Tampere, Finland, November 28th - December 2nd. J. A. Calvo-Manzano (2000). Mtodo de Mejora del Proceso de desarrollo de sistemas de informacin en la pequea y mediana empresa (Tesis Doctoral). Universidad de Vigo. J. A. Calvo-Manzano y A. De las Heras (2007). "La Ingeniera de Seguridad como ayuda al desarrollo de los SGSI." SIC 75: 80-84. M. T. Carey-Smith, K. J. Nelson y L. J. May (2007). Improving Information Security Management in Nonprofit Organisations with Action Research. Proceedings of The 5th Australian Information Security Management Conference, Perth, Western Australia, School of Computer and Information Science. Edith Cowan University. H. Cavusoglu, B. Mishra y S. Raghunathan (2004). "The effect of internet security breach announcements on market value: Capital market reactions for breached firms and internet security developers." International Journal of Electronic Commerce 9: 69-104. CERT. (2008). from http://www.cert.org/stats/cert_stats.html. CMM (1995). The Capability Maturity Model: Guidelines for Improving the Software Process., Software Engineering Institute (SEI). CMMI (2006). Capability Maturity Model Integration (CMMI). , Software Engineeting Institute (SEI). COBITv4.0 (2006). Cobit Guidelines, Information Security Audit and Control Association. E. Coles-Kemp y R. E. Overill (2007). The Design of Information Security Management Systems for Small-to-Medium Size Enterprises. ECIW - The 6th European Conference on Information Warfare and Security., Shrivenham, UK, Defence College of Management and Technology. Computerworld (2005). "Viruses: The New Weapon of Choice for Workplace Violence Offenders." Computerworld August 22. M. E. Corti, G. Betarte y R. De la Fuente (2005). "Hacia una implementacin Exitosa de un SGSI." IV Congreso Internacional de Auditora y Seguridad de la Informacin. CRAMMv5.0 (2003). CRAMM v5.0, CCTA Risk Analysis and Management Method. J. Crawford (2002). Project Management Maturity Model Providing a Proven Path to Project Management Excellence. Publisher Marcel Dekker/Center for Business Practices. CSI (2002). Computer Security Institute, Computer Crime and Security Survey. 307
308 _______________________________________________________________ Bibliografa

CSI/FBI (2005). Tenth Annual CSI/FBI Computer Crime and Security Survey. USA. S. E. Chang y C. B. Ho, Eds. (2006). Organizational factors to the effectiveness of implementing information security management. Industrial Management & Data Systems. D. Chapman y L. Smalov (2004). On Information Security Guidelines for Small/Medium Enterprises. Information Systems analysis and specification (ICEIS 2004), Porto, Portugal. D. Charles y E. Lakin (2005). Hasta las Pymes son Hacheadas. Exposicin en el Congreso Internacional en Seguridad TI Informtica H@cker Halted. I. Chein, S. W. Cook y J. Harding (1948). "The Field of Action Research." The American Psychologist 3: 43-50. Y. Chen, P. Chong y B. Zhang (2004). "Cyber security management and egovernment, Electronic Government." International Journal 2004 1(3): 316-327. M. Chesher y W. Skok (2000). Roadmap for Successful Information Technology Transfer for Small Businesses. 2000 ACM SIGCPR Conference. P. A. Chia, S. B. Maynard y A. B. Ruighaver (2002). Exploring Organisational Security Culture: Developing A Comprehensive Research Model. IS ONE World Conference, Las Vegas, USA. P. A. Chia, A. B. Ruighaver y S. B. Maynard (2002b). Understanding Organizational Security Culture. Security Culture. Proc. of PACIS2002, Japan. L. Chung, B. Nixon, E. Yu y J. Mylopoulos (2000). Non-functional requirements in software engineering. Boston/Dordrecht/London, Kluwer Academic Publishers. P. Darke, G. Shanks y M. Broadbent (1998). "Successfully Completing Case Study Research: Combining rigour, relevance and pragmatism." Information Systems Journal 8(4): 273-289. E. D. Denning (1976). "A lattice model of secure information flow." Commun. ACM 19(5): 236-243. J. Detert, R. Schroeder y A. J. Mauriel (2000). "A Framework For Linking Culture and Improvement Initiatives in Organisations." The Academy of Management Review 25(4): 850863. P. T. Devanbu y S. Stubblebine (2000). Software Engineering for Security: a Roadmap. The Future of Software Engineering, Special Volume published in conjuction with ICSE 2000, Limerick, Ireland. R. Dhamija, J. D. Tygar y M. Hearst (2006). Why phishing works. ACM Conference on Human Factors in Computing Systems (SIGCHI'06), Montral, Qubec, Canada, ACM Press. G. Dhillon (1997). Managing Information System Security. Great Britain. G. Dhillon (2001). Information Security Management: Global challenges in the new millennium, Idea Group Publishing. G. Dhillon (2001b). "Violation of Safeguards by Trusted Personnel and Understanding Related Information Security Concerns." Computers & Security 20(2): 165-172.
308
Bibliografa _______________________________________________________________ 309 G. Dhillon y J. Backhouse (2000). "Information System Security Management in the New Millennium." Communications of the ACM 43(7): 125-128. G. Dhillon y J. Backhouse (2001c). "Current Directions in Information Systems Security Research: Toward Socio-Organizational Perspectives." Information Systems Journal 11(2): 127153. B. Dick (2000). "Applications. Sessions of Areol." Action research and evaluation. V. Dimopoulos, S. Furnell, I. Barlow y B. Lines (2004). Factors affecting the adoption of IT risk analysis. Proceedings of 3rd European Conference on Information Warfare and Security, Royal Holloway, University of London, 28-29 June 2004. V. Dimopoulos, S. Furnell, M. Jennex y I. Kritharas (2004b). Approaches to IT Security in Small and Medium Enterprises. 2nd Australian Information Security Management Conference, Securing the Future, Perth, Western Australia, 73-82. N. F. Doherty y H. Fulford (2006). "Aligning the Information Security Policy with the Strategic Information Systems Plan." Computers & Security 25(2): 55-63. S. Dojkovski, S. Lichtenstein y M. J. Warren (2006). Challenges in Fostering an Information Security Culture in Australian Small and Medium Sized Enterprises. 5th European Conference on Information Warfare and Security, Helsinki, Finland, 1-2 June. S. Dojkovski, M. J. Warren y S. Lichtenstein (2005). Information Security Culture in Small and Medium Size Enterprises: a Socio-cultural Framework. 6th Australian Conference on Information Warfare and Security, Deakin University, Melbourne, Australia. J. Donovan (2003). "Small Business Security Identifying Gaps And Providing Solutions." Symantec Security. www.dti.gov.uk/iese/ DTI. (2005, "The_Empirical_Economics_of_Standards." The_Empirical_Economics_of_Standards.pdf).
A. Dutta y K. McCrohan (2002). "Management's Role in Information Security in a Cyber Economy." California Management Review 45(1): 67-87. EA-7/03 (2000). Guidelines for the accreditation of bodies operating certification / Registration of Information Security Management Systems. E. c.-o. f. accreditation. J. Earthy (1997). Usability Maturity Model: Processes. INUSE/D5.1.4(p), EC INUSE (IE 2016) final deliverable (version 0.2). London, Lloyd's Register. M. Egan y T. Mather (2005). "The executive guide to information security threats, challenges and solutions." Indiana, Addison-Wesley: 268. K. Eisenhardt (1998). "Building Theories from Case Study Research." Academy of Management Review 14(2): 532-550. J. Eloff y M. Eloff (2003). "Information Security Management - A New Paradigm." Annual research conference of the South African institute of computer scientists and information technologists on Enablement through technology SAICSIT03: 130-136. C. Ellison, B. Frantz, B. Lampson, R. Rivest, B. Thomas y T. Ylonen. (1999). "SPKI Certificate Theory." from http://www.ietf.org/rfc/rfc2692.txt.
309
310 _______________________________________________________________ Bibliografa

C. Endorf (2004). "Outsourcing Security: The Nedd, the Risks, the Providers, and the Process." Information Security Management: 17-23. Ernst&Young (2006). "2006 Global Information Security Survey." Ernst & Young. C. Estay y J. Pastor (2000). Towards a project structure for Action-Research in Information Systems. En 10th Annual Bussiness and Information Technology Conference (BIT), Manchester, United Kingdom. C. Estay y J. Pastor (2001). Un Modelo de Madurez para Investigacin-Accin en Sistemas de Informacin. En VI Jornadas de Ingeniera del Software y Bases de Datos. (JISBD), Ciudad Real. Espaa. J. Fenton y J. Wolfe (2004). Organizing for Success: Some Human Resources Issues in Information Security. Information Security Management Handbook. 5th edition. H. K. Tipton, M. Boca Raton, CRC Press: 887-898. D. G. Firesmith (2003). "Engineering Security Requirements." Journal of Object Technology 2(1): 53-68. V. V. Fomin y H. Vries (2008). ISO/IEC 27001 Information Systems Security Management Standard: Exploring the reasons for low adoption. EuroMOT 2008 - The Third European Conference on Management of Technology, Nice, France. A. Fontana y J. Frey (2005). The Interview. The SAGE Handbook of Qualitative Research. 3rd edition. N. L. Denzin, Y. Thousand Oaks, SAGE Publication: 695-727. R. Fredriksen, M. Kristiansen, B. A. Gran, K. Stlen, T. A. Opperud y T. Dimitrakos (2002). The CORAS framework for a model-based risk management process. 21st International Conference on Computer Safety, Reliability and Security (Safecomp 2002), Springer, LNCS 2434. W. L. French y C. H. Bell (1996). Organizational Development: Behavioral Science Interventions for Organization Improvement. . P. Hall. London. S. Furnell, A. Warren y P. S. Dowland (2004). Improving security awareness and training through computer-based training. 3rd World Conference on Information Security Education (WISE 2004), Monterey, California. S. M. Furnell y N. L. Clarke (2005). Organisational Security Culture: Embedding Security Awareness, Education and Training. 4th World Conference on Information Security Education (WISE 2005), Moscow, URSS. S. M. Furnell, M. Gennatou y P. S. Dowland (2000). Promoting Security Awareness and Training within Small Organisations. 1st Australian Information Security Management Workshop, Deakin University, Geelong, Australia. D. F. Galletta y P. Polak (2003). An Empirical Investigation of Antecedents of Internet Abuse in the Workplace. AIS SIG-HCI Workshop, Seattle, December, 2003. R. D. Galliers (1992). Information Systems Research: Issues, Methods and Practical Guidelines. Blackwell Scientific Publications, Oxford, England. R. Garigue y M. Stefaniu (2003). "Information Security Governance Reporting." Information Systems Security sept/oct: 36-40.
310
Bibliografa _______________________________________________________________ 311 Gartner (2002). Architecture Maturity Assessment Evaluation, Gartner, Inc. B. T. Geffert (2004). "Incorporating HIPAA Security Requirements into an Enterprise Security Program." Law, Investigation and Ethics nov/dec: 21-28. M. Gerber y R. Von Solms (2005). "Management of risk in the information age." Computers & Security 24(1): 16-30. A. Ghosh, C. Howell y J. Whittaker (2002). "Building Software Securely from the Ground Up." IEEE Software 19(1): 14-16. A. Goldfarb (2006). "The medium-term effects of unavailability " Journal Quantitative Marketing and Economics 4(2): 143-171 A. Gupta y R. Hammond (2005). "Information systems security issues and decisions for small businesses." Information Management & Computer Security 13(4): 297-310. A. Hall y R. Chapman (2002). "Correctness by Construction: Developing a Commercial Secure System." IEEE Software 19(1): 18-25. T. Hallett (2004). SMEs increasingly techsavvy. ZDNet, Australia, 21 September. L. Hareton y Y. Terence (2001). "A Process Framework for Small Projects." Software Process Improvement and Practice 6: 67-83. T. Helokunnas y L. Iivonen (2003). Information Security Culture in Small and Medium Size Enterprises. e-Business Research Forum eBRF 2003, Tampere, Finland, Tampere University of Technology. T. Helokunnas y R. Kuusisto (2003b). Information security culture in a value net. 2003 IEEE International Engineering Management Conference (IEMC 2003), Albany, New York, USA, 24 November 2003. HIPAA (1996). Health Insurance Portability and Accountability Act., Electronic Transaction Standards. 74 Federal Register 3295-3328. J. Holappa y T. Wiander (2006). Practical Implementation of ISO 17799. Compliant Information Security Management System Using Novel ASD Method. Technical Report. V. T. R. C. o. Finland. J. Holappa y T. Wiander (2006b). Practical implementation of ISO 17799 compliant information security management system using novel ASD method. IAEA Technical Meeting on Cyber Security of Nuclear Power Plant Instrumentation, Control, and Information Systems, Idaho Falls, Idaho USA, October 17-20, 2006. J. Holappa y T. Wiander (2006c). Implementation experiences of ISMS - case study. Proceedings of the 2006 IT Governance International Conference, Auckland, New Zealand, 13 15 Nov. 2006. J. Holappa y T. Wiander (2006d). Risk Management - Creation of key controls. Using agile documentation method. Proceedings of the 2006 IT Governance International Conference, Auckland, New Zealand, 13 - 15 Nov. 2006. K. S. Hong, Y. P. Chi, L. R. Chao y J. H. Tang (2006). An empirical study of information security policy on information security elevation in Taiwan. Information Management & Computer Security. 14: 104-115. 311
312 _______________________________________________________________ Bibliografa

A. Householder, K. Houle y C. Dougherty (2002). "Computer attack trends challenge Internet security." IEEE Computer 35(4): 5-7. E. Humphrey (2008). Information security management standards: Compliance, governance and risk management. Information Security Tech. Report. D. Hutchinson y M. Warren (2003). Australian SMES and e-Security Guides on Trusting the Internet. Fourth Annual Global Information Technology Management World Conference, Global Information Technology Management Association (GITMA), USA D. Hutchinson y M. Warren (2006). E-Business Security Management for Australian Micro SMEs - a Case Study. Seventh Annual Global Information Technology Management World Conference, Global Information Technology Management Association, United States. D. Hutchinson y M. Warren (2006c). e-Business Security Management for Australian Small SMEs - A Case Study. e-Business: how far have we come? Proceedings of the 7th International We-B (Working for E-Business) Conference, Electronic Commerce Research Unit ECRU, Australia. G. Iachello (2003). Protecting Personal Data: Can IT Security Mangement Standars Help? Proceedings of the 19th Annual Computer Security Applications Conference (ACSAC). C. W. Ibbs y Y. H. Kwak (2000). "Assessing Project Management Maturity." Project Management Journal 31: 32-43. ISBS (2006). Information Security Breaches Survey 2006. UK. ISM3 (2007). Information security management matury model (ISM3 v.2.0), ISM3 Consortium. ISO9001 (2000). ISO 9001, Quality management systems - Requirements. ISO/IEC9000 (2000). Quality management systems - Fundamentals and vocabulary. ISO 9000:2000. International Organization for Standardization. ISO/IEC13335-3 (1998). ISO/IEC TR 13335-3, Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the management of IT Security. ISO/IEC13335-4 (2000). ISO/IEC TR 13335-4, Information technology -- Guidelines for the management of IT Security -- Part 4: Selection of safeguards. ISO/IEC13335-5 (2001). ISO/IEC TR 13335-5, Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security. ISO/IEC15443-1 (2005). ISO/IEC TR 15443-1, Information technology -- Security techniques - A framework for IT security assurance -- Part 1: Overview and framework. ISO/IEC15443-2 (2005). ISO/IEC TR 15443-2, Information technology -- Security techniques - A framework for IT security assurance -- Part 2: Assurance methods. ISO/IEC15443-3 (2007). ISO/IEC TR 15443-3, Information technology -- Security techniques - A framework for IT security assurance -- Part 3: Analysis of assurance methods. ISO/IEC15504-1 (2006). ISO/IEC 15504-1:2003, Information technology - Process assessment - Part 1: Concepts and vocabulary. International Standards Organization. Geneva, Switzerland.
312
Bibliografa _______________________________________________________________ 313 ISO/IEC15504-2 (2006). ISO/IEC 15504-2:2003, Information technology - Process assessment - Part 2: Performing an assessment. International Standards Organization. Geneva, Switzerland. ISO/IEC15504-3 (2006). ISO/IEC 15504-3:2003, Information technology - Process assessment - Part 3: Guidance on performing an assessment. International Standards Organization. Geneva, Switzerland. ISO/IEC15504-4 (2006). ISO/IEC 15504-4:2003, Information technology - Process assessment - Part 4: Guidance on use for process improvement and process capability determination. International Standards Organization. Geneva, Switzerland. ISO/IEC15504-5 (2006). ISO/IEC 15504-5:2003, Information technology - Process assessment - Part 5: An exemplar Process Assessment Model. International Standards Organization. Geneva, Switzerland. ISO/IEC17021 (2006). ISO/IEC 17021, Conformity assessment - Requirements for bodies providing audit and certification of management systems. ISO/IEC17799 (2000). ISO/IEC 17799, Information Technology - Security Techniques - Code of practice for information security management. ISO/IEC17799 (2005). ISO/IEC 17799, Information Technology - Security Techniques - Code of practice for information security management. ISO/IEC17799 (2005). ISO/IEC 17799. Information Technology - Security techniques - Code of practice for information security management. ISO/IEC18028-1 (2006). ISO/IEC 18028-1, Information technology - Security techniques - IT network security - Part 1: Network security management. ISO/IEC18028-2 (2006). ISO/IEC 18028-2, Information technology - Security techniques - IT network security - Part 2: Network security architecture. ISO/IEC18028-3 (2005). ISO/IEC 18028-3, Information technology - Security techniques - IT network security - Part 3: Securing communications between networks using security gateways. ISO/IEC18028-4 (2005). ISO/IEC 18028-4, Information technology - Security techniques - IT network security - Part 4: Securing remote access. ISO/IEC18028-5 (2006). ISO/IEC 18028-5, Information technology - Security techniques - IT network security - Part 5: Securing communications across networks using virtual private networks. ISO/IEC20000-1 (2005). ISO/IEC 20000-1, Information technology - Service management Part 1: Specification. ISO/IEC20000-2 (2005). ISO/IEC 20000-2, Information technology - Service management Part 2: Code of practice. ISO/IEC20000 (2005). ISO/IEC20000, Service Management IT. ISO/IEC27000 (2009). ISO/IEC FDIS 27000, Information Technology - Security Techniques Information security management systems. ISO/IEC27001 (2005). ISO/IEC 27001, Information Technology - Security Techniques Information security management systemys - Requirements. 313
314 _______________________________________________________________ Bibliografa

ISO/IEC27002 (2007). ISO/IEC 27002, Information Technology - Security Techniques - The international standard Code of Practice for Information Security Management. ISO/IEC27003 (2009). ISO/IEC FCD 27003, Information Technology - Security Techniques Information security management system implementation guidance (under development). ISO/IEC27004 (2006). ISO/IEC 27004. Information Technology - Security Techniques Information Security Metrics and Measurement. ISO/IEC27004 (2009). ISO/IEC FCD 27004, Information Technology - Security Techniques Information Security Metrics and Measurement (under development). ISO/IEC27005 (2008). ISO/IEC 27005, Information Technology - Security Techniques Information Security Risk Management Standard (under development). ISO/IEC27006 (2007). ISO/IEC 27006, Information Technology - Security Techniques Requirements for bodies providing audit and certification of information security management systems. ISO/IEC27007 (2009). ISO/IEC WD 27007, Information Technology - Security Techniques Guidelines for information security management systems auditing (under development). ISO/IEC27011 (2009). ISO/IEC 27011, Information technology - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. ISO/IEC27012 (2009). ISO/IEC27012, Information technology - Security techniques - ISM guidelines for e-government services. ISO/IEC27031 (2009). ISO/IEC NP 27031, Gua de continuidad de negocio. ISO/IEC27032 (2009). ISO/IEC NP 27032, Guidelines for cybersecurity. ISO/IEC27033 (2009). ISO/IEC NP 27033, Information technology - IT Network security. ISO/IEC27034 (2009). ISO/IEC NP 27034, Guidelines for application security. ISO/IEC27799 (2008). ISO/IEC 27799, Health informatics - Information security management in health using ISO/IEC27002. ISO/IEC-CCv3.1 (2007). Common Criteria for Information Technology Security Evaluation. ISO/IEC-CEMv3.1 (2007). Common Methodology for Information Technology Security Evaluation: 466. ITILv3.0 (2007). ITIL, Information Technology Infrastructure Library. C. C. a. T. A. (CCTA). H. L. James (1996). Managing information systems security: a soft approach. Information Systems Conference of New Zealand. M. E. Jennex y T. Addo (2004). SMEs and Knowledge Requirements for Operating Hacker and Security Tools. IRMA 2004 Conference, , New Orleans, Louisiana, 23-26 May 2004. C. Jimmy Heschl, CISM. (2006). "COBIT Mapping: Mapping of ISO/IEC 17799:2005 with COBIT." IT Governance Institute, from http://www.itgi.org.
314
Bibliografa _______________________________________________________________ 315 D. W. Johnson y H. Koch (2006). Computer Security Risks in the Internet Era: Are Small Business Owners Aware and Proactive? 39th Annual Hawaii International Conference on System Sciences (HICSS'06). H. Jones (2002). "Small Firms Warned Over Hackers." British Broadcasting Company, BBC News. J. Jrjens (2001). Towards Development of Secure Systems using UML. International Conference on the Fundamental Approaches to Software Engineering (FASEiTAPS), Springer. S. Kairab (2005). A Practical Guide to Security Assessments. C. KcKinney (2005). "Capability Maturity Model and Outsourcing: A Case for Sourcing Risk Management." Information Systems Control 5. R. A. Kemmerer (2003). Cybersecurity. Proceedings of the 25th International Conference on Software Engineering, Portland, Oregon, IEEE Computer Society. S. Kim y I. Choi (2005). Cost-Benefit Anlisis of Security Investments: Methodology and Case Study. ICCSA 2005, LNCS 3482. O. Klopper (2003). "Introducing the SME, and understanding their IT." SME Survey 1 Feb. D. Kluge (2008). Formal Information Security Standards in German Medium Enterprises. CONISAR: The Conference on Information Systems Applied Research. K. J. Knapp, T. E. Marshall, R. K. Rainer y F. N. Ford (2006). "Information Security: Management's effect on culture and policy." Information Management & Computer Security 14(1): 24-36. N. Kock (2004). The threee threats of action research: a discussion of methodological antidotes in the context of an information systems study. . Decision Support Systems. 37: 265-286. M. Krause (1994). "Software: A maturity model for automated software testing." Medical Devices and Diagnostic Industry Magazine. 16(12): 103-108. T. Kuusisto y I. Ilvonen (2003). Information security culture in small and medium size enterprises. Frontiers of e-business research 2003. L. Labuschagne y J. H. P. Eloff (2000). "Electronic Commerce: The Information-Security Challenge." Information Management & Computer Security 8(3): 154-157. B. Lampson (1974). "Protection." ACM Operating Systems Rev. 8(1): 18-24. B. W. Lampson (2000). Computer Security in the Real World. Annual Computer Security Applications Conference. B. W. Lampson (2004). Computer Security in the Real World. IEEE Computer. 37: 37-46. F. Lau (1997). A Review on the Use of Action Research in Information Systems Studies. Information Systems and Qualitative Research, London. J. Lee, J. Lee, S. Lee y B. Choi (2003). A CC-based Security Engineering Process Evaluation Model. Proceedings of the 27th Annual International Computer Software and Applications Conference (COMPSAC).
315
316 _______________________________________________________________ Bibliografa

S. Lichtenstein (2001). Internet security policy for organisations. Melbourne, Australia. S. Lichtenstein y P. M. C. Swatman (2001b). Effective Management and Policy in E-business Security. Fourteenth Bled Electronic Commerce Conference, Bled, Slovenia. S. Lichtenstein y P. M. C. Swatman (2003). The Potentialities of Focus Groups in e-Business Research: Theory Validation, in Seeking Success in e-Business: a Multi-disciplinary Approach. IFIP TC8/WG 8.4 Second Working Conference on E-business: Multidisciplinary Research and Practice, Copenhagen, Denmark, Kluwer Academic Publishers. S. Lichtenstein y K. Williamson (2006). "Understanding Consumer Adoption of Internet Banking: An Interpretive Study in the Australian Banking Context." Electronic Commerce Research 7(2): 50-66. S. Linares y I. Paredes (2007) "IS2ME: Seguridad de la Informacin a la Mediana Empresa. Un Mtodo para Acercar e Implementar la Seguridad de la Informacin en las Pequeas y Medianas Empresas." DOI: B. A. Lobree (2002). "Impact of legislation and information security management.". Security Management Practices (CISSP) November/December. LOPD (1999). Ley Orgnica de Proteccin de Datos de Carcter Personal. . 15/1999. J. Lopez, J. A. Montenegro, J. L. Vivas, E. Okamoto y E. Dawson (2005). Specification and design of advanced authentication and authorization services. Computer Standars and Interfaces. 27: 467-478. J. N. Luftman (2000). "Assessing Business-IT Alignment Maturity." Communication of AIS 4(14). M. S. Lund, F. d. Braber y K. Stolen (2003). "Proceedings of the Seventh European Conference On Software Maintenance And Reengineering (CSMR03)." IEEE. L. Llvonen (2006). Information Security Management in Finnish SMEs. 5th European Conference on Information Warfare and Security National Defence College, Helsinki, Finlan, 12 June 2006. MageritV2 (2005). Metodologa de Anlisis y Gestin de Riesgos para las Tecnologas de la Informacin, V2, Ministerio de Administraciones Pblicas. G. Magklaras y S. Furnell (2004). The Insider Misuse Threat Survey: Investigating IT misuse from legitimate users. International Information Warfare Conference, Perth, Australia. S. Markku (2007). VTTs Research Programme 2002-2006. VTT PUBLICATIONS 629. E. 2007. A. Martins y J. H. P. Eloff (2003). Information Security Culture. IFIP TC11 17th International Conference on Information Security (SEC2002), Cairo, Egipt. F. Masacci, M. Prest y N. Zannone (2005). "Using a security requirements engineering methodology in practice: The complanse with the Italian data protection legislation." Computer Standards & Interfaces 27: 445-455. McAfee (2005). The Threats Within.
316
Bibliografa _______________________________________________________________ 317 T. McBride, B. Henderson-Sellers y D. Zowghi (2004). Project Management Capability Levels: An Empirical Study. 11th Asia-Pacific Software Engineering Conference (APSEC04), IEEE Computer Society. J. McDermott y C. Fox (1999). Using Abuse Case Models for Security Requirements Analysis. 15th Annual Computer Security Applications Conference, Phoenix, Arizona, IEEE Computer Society. R. McTaggart (1991). "Principles of Participatory Action Research." Adult Education Quarterly 41(3). D. Mekelburg (2005). "Sustaining Best Practices: How Real-World Software Organizations Improve Quality Processes." Software Quality Professional 7(3): 4-13. R. T. Mercuri (2003). "Analyzing security costs." Communication of the ACM 46: 15-18. L. Michalson (2003). "Information security and the law: threats and how to manage them." Convergence 4(3): 34-38. C. Mullins (2002). The capability maturity model from a data perspective. The Data Administration Newsletter. Robert Seiner. Pittsburgh PA. NASCIO (2003). National Association of State Chief Financial Officers. Enterprise Architecture Maturity Model, Version 1.3. National Association of State Chief Financial Officers. Lexington KY. P. Neumann (1999). The challenges of insider misuse. Preventing, Detecting and Responding to Malicious Insider Misuse, August, Retrieved 9 February 2006. F. Nielsen (2000). Approahes of security metrics. Technical report, NIST-CSSPAB. F. Niessink, V. Clerc y H. van Vliet (2002). The It Service Capability Maturity Model, Release L2+3-0.3 Draft. Software Engineering Research Centre. Utrecht, The Netherlands. J. Nosworthy (2000). "Implementing Information Security in the 21st Century - Do You Have the Balancing Factors." Computers and Security 19(4): 337-347. R. OBrien (1998). "An overview of the methodological approach of Action Research." On line. J. OHalloran (2003). "ICT business management for SMEs." Computer Weekly December 11. OECD (2002). OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security. O. f. E. C.-o. a. D. (OECD). Paris. K. Olsen y P. Staal (1998). Testing Maturity Model. EPIC meeting on Software Improvement and Quality Testing. OMB (2004). OMB Enterprise Architecture Assessment v 1.0. The Office of Management and Budget, The Executive Office of the President. N. Padak y G. Padak (1994) "Guidelines for Planning Action Research Projects." DOI: A. Papazafeiropoulou y A. Pouloudi (2000). The Governments Role in Improving Electronic Commerce Adoption. Proceedings of the European Conference on Information Systems 2000 Vienna, Austria, July 3-5.
317
318 _______________________________________________________________ Bibliografa

M. C. Paulk, B. Curtis, M. B. Chrissis y C. V. Weber (1985). The Capability Maturity Model. Software Engineering Project Management. E. Thayer, IEEE Computer Society: 48-59. S. C. Payne (2001). A guide to security metrics. Technical report, SANS Institute. T. R. Pertier (2003). "Preparing for ISO 17799." Security Management Practices jan/feb: 21-28. PMI (2004). Project Management Institute. An Executive Guide To OPM3. Project Management Institute. Brussels, Belgium. E. M. Power y R. L. Trope (2005). "Adverting Security Missteps in Outsourcing." IEEE Security & Privacy marzo/abril: 70-73. M. J. Power y K. C. Desouza (2005). "Developing Superior Outsourcing Programs." IT Professional. Technology solutions for the enterprise. IEEE Computer Society July/August: 3238. W. Raffoul (2002). The Outsourcing Maturity Model. Meta Group: Stamford CT. N. Ramasubbu, M. S. Krihsnan y P. Kompalli (2005). "Leveraging Global Resources: A Process Maturity Framework for Managing Distributed Development." IEEE Software: 80-86. G. Robins (2001). E-government, Information Warfare and Risks Management: an Australia Case Study. Second Australian Information Warfare and Security Conference 2001, Australian. J. M. Rosanas y M. Velilla (2005). "The Ethics of Management Control Systems: Developing Technical and Moral Values." Business Ethics 53: 87-96. F. Ruiz, M. Polo y M. Piattini (2002). Utilizacin del Investigacin-Accin en la definicin de un Entorno para la Gestin del Proceso de Mantenimiento de Software. I Workshop en Mtodos de Investigacin y Fundamentos Filosficos en la Ingeniera del Software y Sistemas de Informacin (MIFISIS), El Escorial (Espaa). SABS-ISO/IEC17799 (2000). SABS ISO/IEC 17799, Information technology Code of practice for information security management. T. S. A. B. o. Standards. J. H. Saltzer (1974). "Protection and the Control of Information Sharing in MulticsQ." Communications of the ACM 17(7): 388-402. R. Sandhu, E. Coyne, H. Feinstein y C. Youman (1996). "Role-Based Access Control Models." IEEE Computer 29(2): 38-47. R. Savola, J. Anttila, A. Sademies, J. Kajava y J. Holappa (2005). Measurement of information security in processes and products. Proceedings of the IFIP TC-11 WG 11.1 and WG 11.5 Joint Working Conference on Security Management, Integrity and Internal Control in Information Systems. E. H. Schein (1992). Organizational Culture and Leadership 2nd. San Francisco, USA. J. Schekkerman (2003). Extended Enterprise Architecture Maturity Model. Institute for Enterprise Architecture Developments (IFEAD). Amersfoort, The Netherlands. T. Schlienger y S. Teufel (2002). Information Security Culture: The Socio-cultural Dimension in Information Security Management. IFIP TC11 17th International Conference on Information Security (SEC2002), Kluwer Academic Publishers, USA.
318
Bibliografa _______________________________________________________________ 319 T. Schlienger y S. Teufel (2003). Information Security Culture - From Analysis to Change. 3rd Annual IS South Africa Conference, Johannesburg, South Africa. B. Schneier (2005). "Attack Trends: 2004 and 2005." ACM Queue 3(5): 2-3. E. Schultz (2005). "The Human Factor in Security." Computers & Security 24: 425-426. M. Schumacher (2003). Security Engineering with Patterns, Springer-Verlag. C. B. Seaman (1999). "Qualitative Methods in Empirical Studies of Software Engineering." IEEE Transactions on Software Engineering 25(4): 557-572. M. Shaw (2002). "What makes good research in software engineering?" International Journal on Software Tools for Technology Transfer (STTT) 4(1): 1-7. C. A. Siegel, T. R. Sagalow y P. Serritella (2002). "Cyber-Risk Management: Technical and Insurance Controls for Enterprise-Level Security." Security Management Practices sept/oct: 3349. M. T. Siponen (2000). "A conceptual foundation for organizational information security awareness." Information Management & Computer Security 8(1): 31-41. M. T. Siponen (2006). Information Security Standards Focus on the Existence of Process, Not Its Content? C. o. t. ACM. 49: 97-100. D. Sneza, L. Sharman y W. Matthew John (2007). Fostering information security culture in small and medium size enterprises: An interpretive study in australia. the Fifteenth European Conference on Information Systems, University of St. Gallen, St. Gallen. I. Sommerville y J. Ransom (2005). "An Empirical Study of Industrial Requirements Engineering Process Assessment and Improvement." ACM Transactions on Software Engieering and Methodology 14(1): 85-117. D. Spinellis y D. Gritzalis (1999). nformation Security Best Practise Dissemination: The ISAEUNET Approach. WISE 1:First World Conference on Information Security Education. SSE-CMM (2003). Systems Security Engineering Capability Maturity Model (SSE-CMM), Version 3.0. Department of Defense. Arlington VA. 326. J. M. Stanton, K. Stam, P. R. Mastrangelo y J. Jolton (2004). "Analysis of end-user security behaviors." Computers & Security 24: 124-133. P. Stephenson (2004). "Forensic Anlisis of Risks in Enterprise Systems." Law, Investigation and Ethics sep/oct: 20-21. D. Straub, K. Loch, R. Evaristo, E. Karahanna y M. Strite (2002). "Toward a Theory-Based Measurement of Culture." Global Information Management 10(1): 13-23. H. Suppiah-Shandre (2002). Security - Top Priority For All. SME IT Guide, International Data Group, Singapore. M. Swanson, N. Bartol, J. Sabato, J. Hash y L. Graffo (2003). Security metrics guide for information technology systems. Technical Report NIST 800-55, National Institute of Standards and Technology.
319
320 _______________________________________________________________ Bibliografa

M. Swanson, A. Wohl, L. Pope, T. Grance, J. Hash y R. Thomas (2002). "Contingency Planning Guide for Information Technology Systems." NIST. A. Tawileh, J. Hilton y S. McIntosh (2007). Managing Information Security in Small and Medium Sized Enterprises: A Holistic Approach. ISSE/SECURE 2007 Securing Electronic Business Processes. Vieweg. 4: 331-339. M. Taylor y A. Murphy (2004). "SMEs and eBusiness." Small Business and Enterprise Development 11(3): 280-289. R. Telang y S. Wattal (2005). Impact of Vulnerability Disclosure on Market Value of Software Vendors: An Empirical Analysis. 4h Workshop on Economics and Information Security, Boston. H. Tipton y M. Krause (2004). Information security management handbook. 5th edition. N. Topaloglu (1998). Assessment of Reuse Maturity. Computer Engineering Department, Ege University. Bornova-Izmir, Turkey. S. Tsujii (2004). Paradigm of Information Security as Interdisciplinary Comprehensive Science. International Conference on Cyberworlds (CW'04), IEEE Computer Society. A. Tuffley, B. Grove y M. G (2004). "SPICE For Small Organisations." Software Process Improvement and Practice 9: 23-31. UNE71502 (2004). UNE 71502:2004 - Tecnologa de la Informacin. Especificaciones para los sistemas de gestin de seguridad de la informacin. Aenor. C. T. Upfold y D. A. Sewry (2005). An Investigation of Information Security in Small and Medium Enterprises (SMEs) in the Eastern Cape. 5th Annual Information Security South Africa (ISSA), Johannesburg, South Africa. B. Van der Raadt, J. F. Hoorn y H. Van Vliet (2005). Alignment and Maturity are siblings in architecture assesment. Caise 2005. J. C. Van Niekerk y R. Von Solms (2003). Establishing an Information Security Culture in Organisations: an Outcomes-based Education Approach. ISSA 2003:3rd Annual IS South Africa Conference, , Johannesburg, South Africa, 9-11 July 2003. J. Vaughn, R. Henning y A. Siraj (2003). Information assurance measures and metrics - state of practice and proposed taxonomy. 36th Hawaii International Conference on Systems Sciences. N. Velsquez y M. Estayno (2007). Desarrollo y Mantenimiento Seguro de Software para Pyme: MoProSoft alienado a ISO/IEC 17799:2005. IV Congreso Iberoamericano de Seguridad Informtica (CIBSI07). Mar de Plata. Argentina., Noviembre. L. Volonino y S. Robinson (2004). Principles and Practice of Information Security. 1 edition, Anderson, Natalie E, New Jersey, EEUU. B. Von Solms (2000). "Information Security - The Third Wave?" Computers and Security 19(7): 615-620. B. Von Solms (2005). "Information Security governance: COBIT or ISO 17799 or both?" Computers & Security . 24: 99-104.
320
Bibliografa _______________________________________________________________ 321 B. Von Solms y R. Von Solms (2001). "Incremental Information Security Certification." Computers & Security 20: 308-310. R. Von Solms y B. Von Solms (2004). "From policies to culture." Computers & Security 23(4). C. Vroom y R. Von Solms (2004). "Towards information security behavioural compliance." Computers & Security 23(3): 191-198. Y. Wadsworth (1998). "What is participatory Action Research?" Action Research International paper 2. E. Walker (2005). "Software Development Security: A Risk Management Perspective." The DoD Software Tech. Secure Software Engineering 8(2): 15-18. J. P. Walton (2002). Developing an Enterprise Information Security Policy. 30th annual ACM SIGUCCS conference on User services. M. J. Warren (2003). Australias Agenda for E-Security Education and Research. TC11/WG11.8 Third Annual World Conference on Information Security Education (WISE3), Naval Post Graduate School, Monterey, California, USA. M. Whitman y H. Mattord (2003). Principles of Information Security. Course Technology, Boston, EEUU. T. Wiander (2008). Implementing the ISO/IEC 17799 standard in practice experiences on audit phases. AISC '08: Proceedings of the sixth Australasian conference on Information security., Wollongong, Australia. T. Wiander y J. Holappa (2006). Theoretical Framework of ISO 17799 Compliant Information Security Management System Using Novel ASD Method. Technical Report. V. T. R. C. o. Finland. T. Wiander y J. Holappa (2007). Managing Information Security in Small and Medium-sized Organization. Handbook of Research on Information Security and Assurancence. C. Widdows y F. Duijnhouwer (2003). Open Source Maturity Model. Cap Gemini Ernst & Young. New York NY. M. Wilson y J. Hash (2003). "Building and Information Technology Security Awareness and Training Program." NIST Special Publication 800-50. C. C. Wood (2000). Researchers Must Disclose All Sponsors And Potential Conflicts. Computer Security Alert, San Francisco, CA, Computer Security Institute. V. Yegneswaran, P. Barford y J. Ullrich (2003). Internet intrusions: global characteristics and prevalence. ACMSIGMETRICS 03. O. Zakaria y A. Gani (2003). A Conceptual Checklist of Information Security Culture. 2nd European Conference on Information Warfare and Security, University of Reading, UK, 30 June 1 July. O. Zakaria, P. Jarupunphol y A. Gani (2003b). Paradigm Mapping for Information Security Culture Approach. 4th Australian Conference on Information Warfare and IT Security, Adelaide, Australia.
321
A ne x o s
Anexos. A.- Acrnimos.

En el presente anexo se muestran la descripcin de los principales acrnimos usados durante la elaboracin del documento de tesis doctoral.
A.1. Acrnimos generales.

Acrnimo AGPD AI ASD ASP.NET BBDD BP BSI CATWOE CBA CC CCF CE CEO CERT CMM CMMI CNAE COBIT COIICLM CRAMM DTI EAR EIN GP HIPAA I+D IA IASAP IEC INE Activos de Informacin. Agile Security Development Lenguaje de programacin. Bases de Datos. Prcticas base British Standards Institution Customer, Actors, Transformation Process, Weltanshauung, Owner/s Environmental Constraints Anlisis de CosteBeneficio Common Criteria Common Criteria Framework Comercio Electrnico Chief executive officer Computer Emergency Response Team Capability Maturity Model Capability Maturity Model Integrated Cdigo Nacional de Actividades Econmicas. Control Objectives for Information and related Technology Colegio de Ingenieros de Informtica de CLM CCTA Risk Analysis and Management Method Grupo de Polticas de Seguridad de la Informacin Herramienta de Anlisis de Riesgos. Efectos de la actividad innovadora de las empresas Prcticas genricas. Health Insurance Portability and Accountability Act Investigacin ms Desarrollo InvestigacinAccin Plan de Accin de Seguridad y Proteccin de la Informacin. International Electrotechnical Commission Instituto Nacional de Estadstica Espaol Nombre Agencia de Proteccin de Datos Personales.
325
326 _____________________________________________________________ Anexos

IS2ME ISF ISIZA ISM3 ISO LOPD LPI MAGERIT NIST OCDE OCTAVE PA PMBOK PMI PROFIT PYME RRHH S.F. S.I. SEIS SGBD SGSI SII SNT SSECMM SSM TI TIC UCLM UNE Information Security to the Medium Enterprise Information Security Forum Information Security Institute of South Africa Information Security Management Maturity Model. International Organization for Standardization Ley Orgnica de Proteccin de Datos Personales. Ley de Propiedad Intelectual Metodologa de Anlisis y Gestin de Riesgos National Institute of Standards and Technology Organizacin para la Cooperacin y el Desarrollo Econmico Operationally Critical Threat, Asset, and Vulnerability Evaluation. rea de proceso (modelo CC_SSECMM). Project Management Body of Knowledge Project Management Institute Programa de Fomento de la Investigacin Tcnica Pequea y Mediana Empresa Recursos Humanos. Sistema de Ficheros Sistema de Informacin Estado de la Seguridad de la Informacin de la Compaa. Sistema de Gestin de Base de Datos. Sistemas de Gestin de Seguridad de la Informacin Sistema Integral de Informacin. Sicaman Nuevas Tecnologas Systems Security Engineering Capability Maturity Model Soft Systems Methodology Tecnologas de la Informacin Tecnologas de la Informacin y las Comunicaciones. Universidad de CastillaLaMancha Una Norma Espaola.
Tabla A.1. Acrnimos generales.
A.2. Acrnimos del modelo MGSMPYME.

Acrnimo A AC AGS Ait Am Artefactos. Control de accesos. Arquitecto en Gestin de la Seguridad Artefactos del Tipo Instruccin Tcnica. Amenazas. Nombre
326
Anexo A Acrnimos _________________________________________________ 327 aMR

Ap
Algoritmo de Matriz de Riesgos.

Artefactos del Tipo Plantilla.
aPM
Ar AS ASO AT AuS C CA CAR cCS CE CI Cl CL CMs CO CoS CR CS DFP DPT DS E EB EC ESGSI FU GAU GD GDS GED GEGS GI GR GSGS Int IIS InfAct
Algoritmo de Plan de Mejora.

Artefactos del Tipo Registro. rea de Seguridad. Control de acceso a Sistemas Operativos. Acceso de terceros. Auditor de Seguridad Controles. Clasificacin y Control de Activos. Control de acceso en red. SubProceso P3: Certificado de Cultura de la Seguridad. Clonar Esquema Clasificacin de la informacin. Cliente Requisitos legales y normativas. SubProceso P3: Cuadro de Mandos de Seguridad. Comunicaciones y operaciones. Consultor de Seguridad Criterios de Riesgo. Copias de Seguridad. Diagrama de Flujo del Procedimiento. Seguridad en la definicin de los puestos de trabajo. Usuarios del Departamento de Sistemas. Esquema Esquema Base Esquema Clonado Esquemas del Sistema de Gestin de Seguridad de la Informacin. Formacin de los usuarios. Gestin de accesos de usuario. Gerente de Departamento. Gerente del Departamento de Sistemas. Grupo de Expertos del Dominio Generacin de Esquemas para Gestin de Seguridad. Deteccin y Gestin de Incidentes. Gestin de la red. Generacin de Sistema de Gestin de Seguridad. Interlocutor Intercambio de Informacin y Software. SubProceso P2: Informe de Activos.
327
328 _____________________________________________________________ Anexos

InfAle InfAud InfEmp InfMR InfNM InfPM InfSGSI InfTec ISFI ISI LOPD LPI lUxR M mCS mGS MGSM mPP MSGS mVS NA NAA NC NCAA NCAM NCCAA NCn NCS NMA NMR NNM NR SubProceso P3: Informe de Alertas. SubProceso P3: Informe de Auditora. SubProceso P2: Informe Empresarial. SubProceso P2: Informe de Matriz de Riesgos. SubProceso P2: Informe Nivel de Madurez. SubProceso P2: Informe del Plan de Mejora. SubProceso P2: Informe Artefactos que componen el SGSI. SubProceso P2: Informe Tcnico. Infraestructura de Seguridad de la Informacin. Infraestructura de Seguridad de la Informacin. Ley Orgnica de Proteccin de Datos Personales. Ley de Propiedad Intelectual. SubProceso P2: Tabla de Usuarios del S.I y Roles asociados. Mtricas. SubProceso P3: Mtricas de Cultura de la Seguridad. SubProceso P3: Mtricas Generales de Seguridad. Metodologa de Gestin de Seguridad y Madurez. SubProceso P3: Mtricas de Periodicidad de los Procedimientos. Mantenimiento del Sistema de Gestin de Seguridad. SubProceso P3: Mtricas de Violaciones de Seguridad. Nivel de la amenaza. Siendo NAA el nmero de amenazas que afectan al activo. Nmero de controles. Nivel de Cobertura que ofrecen los controles actuales ubicados en el sistema Nmero de controles afectados por la amenaza para ese Nivel. Nivel de Cobertura que ofrecen los controles actuales Nmero de controles del nivel. Nivel de Cultura de Seguridad. Nivel de Madurez Actual Nivel de Madurez Recomendado Nmero de Niveles del modelo de Madurez. Nivel de Riesgo.
NRA NRR
NSC NSCn NSE NSEn NSn OE
Nivel de Riesgo Aceptable. Nivel de Riesgo Residual.

Nivel de seguridad de un control. Nivel de seguridad de un control para un nivel dado. Nivel de seguridad de la empresa. Nivel de seguridad de la empresa para un nivel. Nmero de subcontroles para un control y para un nivel dado. Outsourcing (Externalizacin).
328
Anexo A Acrnimos _________________________________________________ 329

Org OS P PA pDen pGen PM POR PR Prc PS PSM R RD RS RE RESGSI RISGSI RM RNCA RR RS RSGSI RU sCM SE SF SGSI SI SP T TA TcR TI UCII US V VACAM VS SubProceso P2: Organigrama de la Compaa. Organizacin de la Seguridad. Probabilidad de ocurrencia de las vulnerabilidades. Propietario de Activos. SubProceso P3: Procedimiento de Denuncia. SubProceso P3: Procedimiento General. Perfiles del Modelo. Procedimientos operativos y responsabilidades. Planes de Recuperacin. Procedimientos. Proveedor de Servicios. Proteccin contra software malicioso. Reglamentos. Responsable de Desarrollo. Responsable de Seguridad. Responsable de Explotacin. Repositorio de Esquemas de SGSIs. Repositorio de Informacin de SGSIs. Responsable de Marketing. Requisitos de negocio para el control de acceso. Responsable de RRHH. Responsable de Seguridad. Repositorio de SGSIs. Responsabilidades del usuario. SubProceso P3: Seguimiento del Cuadro de Mandos. Seguridad de Equipamiento. Seguridad Fsica. Sistema de Gestin de Seguridad de la Informacin. Seguridad de la Informacin. Seguridad del personal. Terceros. Tipos de Activos. Tiempo consumido por Recurso Tratamiento de la informacin. Uso correcto de las Infraestructuras de la Informacin. Uso de Soportes. Vulnerabilidades. Valor actual del control afectado por la amenaza Valor del Subcontrol.
Tabla A.2. Acrnimos del modelo MGSMPYME.
329

ISO 27001 Implantación

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

ISO 27001 Implantación

Hochgeladen von

Copyright:

Verfügbare Formate

Departamento de Tecnologas y Sistemas de Informacin Universidad de CastillaLa Mancha Tesis Doctoral

MGSMPYME Metodologa para la Gestin de la Seguridad y su Madurez en las PYMES

Departamento de Tecnologas y Sistemas de Informacin Universidad de CastillaLa Mancha Tesis Doctoral

MGSMPYME Metodologa para la Gestin de la Seguridad y su Madurez en las PYMES

Ciudad Real (Espaa), Marzo de 2009

Mtodo de trabajo ..........................................................................39

Estado del arte ................................................................................51

4.- MGSMPYME: Metodologa para la gestin de la seguridad y su madurez en las PYMES.....................................................................103

5.- MGSMTOOL: Herramienta para gestionar la seguridad en las PYMES. ...................................................................................................237

Caso de estudio. ............................................................................265

1.1. La seguridad en las organizaciones actuales.

1.1.1. Introduccin a los SGSI.

1.1.2. Estado de la seguridad en las PYMES.

Figura 1.2. Controles en las PYMES de Europa (Dimopoulos, et al., 2004b)

Existe una persona especfica responsable de la seguridad en la empresa?

Figura 1.4. Existencia de un RS en las PYMES (Dimopoulos, et al., 2004b)

Quin es el responsable de la seguridad del sistema de informacin de la compaa?

1.1. La seguridad en las organizaciones actuales. ____________________________ 19

El Departamento de Sistemas cuenta con un sistema de evaluacin de riesgos?

Razones de las PYMES para no realizar Anlisis de Riesgos?

Controles de Seguridad en las PYMES (Europa)

60,00% 50% 40% 40,00% 31% 30,00% 50% 50%

47% 41% 32%

19% 16% 12%

Figura 1.8. Controles de seguridad PYMES de Europa (Dimopoulos, et al., 2004b)

1.1. La seguridad en las organizaciones actuales. ____________________________ 21

1.1. La seguridad en las organizaciones actuales. ____________________________ 23

Figura 1.11. Vulnerabilidades de seguridad reportadas por el CERT (19952008).

1.1.3. El coste de la falta de seguridad.

1.1.4. Marcos de trabajo de seguridad.

1.2. Marco de la tesis doctoral.

1.3. Hiptesis y objetivos

1.4. Organizacin de la tesis doctoral

2.- Mtodo de trabajo

2.1. Investigacin cualitativa: Investigacinaccin.

2.1.2. Roles y modalidades en la investigacinaccin.

2.1. Investigacin cualitativa: investigacinaccin. _______________________________ 41

2.1.3. Etapas de la investigacinaccin.

42 ____________________________________________________ Mtodo de trabajo

Soluciones refinadas Identificar cuestiones relevantes que guen la investigacin

Compartir y analizar los resultados, planteando nuevas cuestiones relevantes

Variacin de la prctica mediante una simulacin o prueba de la solucin

Recoger informacin, tomar datos, documentar lo que ocurre

Figura 2.2. Carcter iterativo de la IA, adaptado de (Kock, 2004)

2.1. Investigacin cualitativa: investigacinaccin. _______________________________ 43

2.1.4. Problemas de la investigacinaccin y alternativas.

2.1.5. Ciclos en la investigacinaccin.

I Gestin de proyecto de sistemas de informacin

II Gestin de proyecto de investigacin

III Construccin proyecto sistemas de informacin

IV Construccin proyecto de investigacin

Proyecto de sistemas de informacin

Figura 2.3. Dos dimensiones en investigacinaccin en sistemas de informacin

2.2. Aplicacin del mtodo de investigacin en este trabajo. _________________________ 45

2.2. Aplicacin del mtodo de investigacin en este trabajo.

PYMES (Beneficiarios Stakeholders) Resultados de la aplicacin

Mejora de la seguridad en las tecnologas de la informacin (Objeto Investigado)

Figura 2.4. Aplicacin de IA en la tesis doctoral.

2.2. Aplicacin del mtodo de investigacin en este trabajo. _________________________ 47

C a p t ul o 3 Estado del arte

3.- Estado del arte

3.1. SGSIs: Aspectos tcnicos y culturales.

3.1.1. Implantacin del sistema de gestin de seguridad.