ISO 17799:  "BUENAS PRÁCTICAS" EN LA GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN?

Qingxiong Ma Departamento de Sistemas de Información Computacional, Universidad Central del Estado de Missouri 

J. Michael Pearson jpearson@cba.siu.eduDepartamento de Gestión Southern Illinois University  RESUMEN

Para proteger los activos de información de las organizaciones, numerosas normas y directrices se han propuesto. Entre ellos, la norma internacional ISO 17799 es uno de los esfuerzos internacionales más importantes sobre la seguridad de la información. Esta norma proporciona una declaración autorizada sobre seguridad de la información y los procedimientos que deben adoptar las organizaciones para garantizar la seguridad de la información. Profesionales de la seguridad afirman que el ISO 17799 es un modelo adecuado de gestión de información de seguridad y un vehículo apropiado para abordar cuestiones de gestión de la información de seguridad en la organización moderna. Sin embargo, hasta donde sabemos, no hay estudios empíricos se hayan realizado para validar esta norma. Basado en una encuesta de profesionales de la seguridad de la información, encontramos que la norma ISO 17799 es completa, pero no parsimoniosa. 

Palabras claves: las mejores prácticas, la gestión de seguridad de la información, ISO 17799, análisis factorial, la seguridad profesionales certificados.

I. INTRODUCCIÓN

Con la creciente dependencia de la sociedad en la tecnología de la información (TI), las consecuencias de los delitos informáticos pueden ser graves [Rogers, 2001]. De acuerdo al Computer Security Institute (CSI) y el informe del FBI, aproximadamente el 74% de las empresas encuestadas mencionaron su conexión a Internet como un punto frecuente de ataque. Estos encuestados también reportaron pérdidas económicas de aproximadamente 456 millones dólares durante el año fiscal anterior. Aunque el 80% de los encuestados reconoció pérdidas financieras, sólo el 40% fueron capaces de cuantificar las pérdidas, lo que sugiere que las pérdidas reales pueden ser significativamente mayor a el reportado. El FBI estima que el costo de los delitos electrónicos es de aproximadamente $ 10 mil millones al año [CSIS, 2002].   Además de la pérdida monetaria, las violaciones de los sistemas de información pueden tener consecuencias no financieras para una empresa. Un ejemplo sería un fallo de seguridad que cause una interrupción de los procesos internos. Esta interrupción afectaría negativamente a la productividad y crear los costes indirectos, como la pérdida de potencial de ventas, pérdida de la ventaja competitiva, y un impacto negativo en la reputación de una empresa, la buena voluntad y confianza [Bruce, 2002].  

Con la integración de la World Wide Web en las organizaciones, los problemas de la seguridad de información han suscitado la atención de investigadores y profesionales. En noviembre de 2002, el Congreso de Estados Unidos aprobó una serie de proyectos de ley que asignar casi mil millones de

dólares para la investigación sobre la seguridad cibernética. Estos programas tienen por objeto garantizar que los Estados Unidos está mejor preparado para prevenir y combatir los ataques terroristas contra los sistemas informáticos privados y el gobierno. Tanto las organizaciones públicas y privadas dan cuenta de que la información es un tema complejo, que incluye tanto factores humanos y técnicos.   Para proteger los activos de información de las organizaciones, muchos marcos diferentes, las directrices y normas fueron propuestas por los investigadores, profesionales, consultores y organizaciones profesionales. Entre ellos, la norma internacional ISO 17799 es uno de los esfuerzos más importantes en la seguridad de la información. Este estándar ofrece una declaración oficial sobre la seguridad de la información y los procedimientos necesarios para lograr la seguridad de la información en la organización moderna. profesionales de la información de seguridad sugieren que la norma ISO 17799 proporciona las "mejores prácticas" en la gestión de la información de seguridad (IGS) y es un modelo apropiado para abordar las cuestiones de ISM.

Hasta donde sabemos, no existen estudios empíricos se han realizado para validar la norma ISO 17799 o las demás normas del ISM. Sin la validación de la adecuación de estas normas es difícil responder a preguntas tales como: • ¿Qué normas debería aplicar una organización para lograr sus objetivos de seguridad de la información? • ¿Qué prácticas de gestión se consideran esenciales por los profesionales de tecnología de la información?  Las respuestas a estas preguntas son de importancia práctica para la seguridad de la información. Por lo tanto, para comprender mejor la norma ISO 17799, se realizó una investigación empírica sobre la validez, fiabilidad y robustez de esta norma internacional.

II. REVISION DE LITERATURA

 ISO 17799 proporciona a los profesionales información de seguridad con una lista de objetivos y prácticas. El origen de la norma ISO 17799 se remonta a BS7799, publicado por la British Standards Institution en 1995. BS7799 tenía por objeto proporcionar una base común para el desarrollo de prácticas efectivas ISM [Peltier, 2003]. La norma ISO 17799 BS7799 extendida y ofrece una declaración oficial sobre la seguridad de la información y los procedimientos necesarios para establecer la seguridad de la información. La norma abarca diez dimensiones de seguridad que consiste en 36 prácticas de seguridad (anexo I). Proporciona la base para la auto-evaluación, reevaluación de las prácticas de seguridad de la información de los socios, y la evaluación independiente de la IGS en la organización empresarial. Li, et al. [2000] sostienen que la norma ISO 17799 es un modelo integral de ISM. Dhillon y [Backhouse 2001] describen esta norma como un vehículo de éxito para abordar las cuestiones del ISM en la organización moderna.

III. MÉTODO DE INVESTIGACIÓN

INSTRUMENTO DE DISEÑO

El desarrollo de elementos de la encuesta fue relativamente sencillo. Treinta y seis artículos que representan las diez dimensiones en la norma ISO 17799 se incluyeron en el instrumento de la encuesta. Debido a varios artículos en la norma ISO 17799 son elementos compuestos que representan múltiples

ideas y / o conceptos, es necesario dividirlas en varios elementos, concepto único en el instrumento de la encuesta.Por ejemplo, en la norma ISO 17799 la declaración inicial de la política de seguridad incluye dos conceptos: la dirección de gestión y apoyo a la gestión. Estos dos conceptos están estrechamente relacionados, pero siComunicaciones de la Asociación de Sistemas de Información (Volumen 15, 2005) 577-591 579 tratado como un tema en el instrumento de la encuesta, los encuestados podría ser confuso en cuanto al enfoque del tema. Por lo tanto, este punto se desglosa en dos partidas distintas. Como resultado, terminamos con cincuenta y seis artículos del instrumento de la encuesta. Los artículos fueron medidos con escalas de Likert de 5 puntos que van desde "no aplicable" a "cabal cumplimiento".

MUESTRA DE TEMAS

Los sujetos de este estudio son profesionales certificados en seguridad de la información. La información de contacto se obtuvo de la página web del Organismo Internacional de Sistemas de Información Certificado de Seguridad Consortium (ISC) 2, un consorcio sin fines de lucro y certificación organization1 Esta organización se encarga de mantener diversos órganos Común del Conocimiento (CBK) para los profesionales de seguridad de la información y para las personas que buscan diversas certificaciones (incluyendo CISSP y SSCP). El directorio en este sitio web se puede acceder a través de un motor de búsqueda con los criterios de búsqueda opciones como la certificación o la ubicación (país). Utilizando esta capacidad de búsqueda, se obtuvo información de contacto de profesionales certificados en seguridad de la información que residen en los Estados Unidos.La mayoría de los sujetos que participaron en este estudio son varones. 17,2 por ciento de los encuestados son menores de 30 años, mientras que un 46,4 por ciento de los encuestados son mayores de 40.Aproximadamente el 75 por ciento de los encuestados profesionales certificados seguridad de la información tienen seis o más años de experiencia laboral. Más de la mitad de los encuestados en este estudio se encuentran en puestos de dirección.

ESTUDIO PILOTO Y REVISIÓN DE INSTRUMENTOS

El instrumento de la encuesta fue previamente probado mediante un estudio piloto. Treinta profesionales certificados seguridad de la información proporcionan retroalimentación. La retroalimentación de los encuestados se centraron en varios puntos clave. Por ejemplo, algunos comentarios sugieren que el tema "La información debe ser completa" no era clara. Además, las dos declaraciones negativamente su enunciado se prestaban a confusión porque la balanza se convirtió en inadecuado. Basándose en la información proporcionada, se realizaron modificaciones en el instrumento. Los elementos de la versión final del cuestionario se proporcionan en el Apéndice II.

RECOLECCION DE DATOS

Este estudio se realizó con una encuesta basada en web para la recopilación de datos. Después de los primeros e-mail, dos recordatorio por correo electrónico se enviaron aproximadamente a intervalos de una semana. Cada e-mail que figura una solicitud de participación e información del investigador de contacto, incluyendo número de teléfono, dirección de correo electrónico y dirección postal, lo que permitió a la parte demandada en contacto con nosotros cuando se encontraron con problemas técnicos o tropezó con preguntas sobre la encuesta. En un esfuerzo por aumentar la tasa de respuestas, nos ofreció dos incentivos a los encuestados. En nuestro primer e-mail, indicó que los resultados de este estudio estará a disposición de los encuestados que lo soliciten, también indicó que el diez por ciento de los encuestados sería seleccionado al azar para recibir 25 dólares en efectivo por la participación. En total, tres mil profesionales de la seguridad de la información se estableció contacto, y 380 respuestas fueron recibidas.

Teniendo en cuenta la característica de anonimato de Internet, la validación de datos es una preocupación. Para resolver este problema, se utilizaron dos enfoques. La validación de datos inicial se ejecutarán cuando los participantes presentaron sus respuestas. Si la encuesta no se ha completado, un

mensaje recordatorio al parecer cuando trataban de enviar el formulario. La validación de datos secundarios se utilizó después de que el demandado ha presentado su encuesta. Es necesario diferenciar las encuestas de los encuestados diferentes en el caso que el demandado ha presentado su estudio varias veces. Así, la información adicional acerca de cada entrevistado se recogió, incluyendo su dirección IP, el nombre y versión de su navegador web, y el tiempo de presentación para cada formulario.Las respuestas fueron revisados antes de hacer el análisis. Si dos respuestas comparte la misma dirección IP y se presentaron con el navegador web misma, se supone que es de la misma persona. Sólo la primera respuesta se mantuvo y otros de esa dirección IP fueron retirados. Si el número de empleados de una organización era de cinco o menos, la respuesta fue considerada como no válida ya que la unidad de análisis de este estudio fue la organización.

Luego de examinar los datos removidos 26 "no válido" respuestas, 354 respuestas útiles permaneció en el conjunto de datos, lo que representó una tasa de respuesta del 11,8 por ciento (354/3000). Esta tasa de respuesta se consideró aceptable dada la naturaleza del estudio. sesgo de no respuesta se puso a prueba sobre la base de una comparación entre las respuestas temprana y tardía de la edad, la educación, y experiencia laboral. T-pruebas sobre estas variables indicaron que no existían diferencias sistemáticas. Por lo tanto, concluimos que no hubo sesgo de no respuesta en la muestra.

ANÁLISIS DEL FACTORES DE CONFIRMACIÓN

Cuando hacemos el análisis, el número de factores se fijó en diez a partir de diez dimensiones de seguridad identificadas en la norma ISO 17799. Una solución que cuente con el 70 por ciento de la variación total es considerada buena en el análisis para el factor de confirmación [Hair et al., 1998]. Observando la varianza de la Tabla 1, encontramos que la varianza total expuesta fue de 68,5 porciento, que está cerca del tope de 70% establecido por Hair et al. [1998] para el análisis del factor de confirmación

Componente Total % de

Varianza% Acumulado

Total

% de Varianza

% Acumulado

1 24.139

43.106 43.106 5.605

10.008 10.008

2 2.563 4.577 47.683 4.618

8.246 18.254

3 2.198 3.925 51.609 4.370

7.803 26.057

4 1.868 3.336 54.944 4.192

7.485 33.542

5 1.555 2.778 57.722 4.082

7.288 40.831

6 1.409 2.517 60.239 3.799

6.783 47.614

7 1.279 2.284 62.523 3.450

6.160 53.774

8 1.154 2.060 64.583 3.324

5.935 59.709

9 1.128 2.014 66.596 3.206

5.724 65.434

10 1.081 1.930 68.527 1.732

3.093 68.527

La tabla 2 nos muestra los resultados del análisis de factor de confirmación. A partir de esta tabla, vemos que la carga de quince puntos no excede de 0,5, lo que sugiere que estos temas no contribuyeron de forma significativa a una de las dimensiones subyacentes. Los ítems fueron obtenidos para sólo cuatro dimensiones (política de seguridad, el desarrollo y mantenimiento de sistemas, clasificación de activos y

control y planificación de la continuidad). Las otras seis dimensiones que figuran los artículos que no se colocó o artículos que cargan en sus diferentes dimensiones. La seguridad de organización es un ejemplo del primer caso donde seis puntos fueron especificados, pero sólo cuatro temas obtenidos de manera significativa.

Esta situación también se produjo durante tres otras dimensiones (seguridad física y ambiental,el cumplimiento y la seguridad personal). Dos dimensiones (control de los sistemas de acceso, las operaciones de gestión) cada división en dos sub-construcciones. Una revisión de los ítems que se separó de la intención de construir no mostraron una clara definición o una fundación para estas sub-construcciones.

Tabla 2. Obtención de Factores iníciales para la práctica de seguridad de Información

ANÁLISIS DE COMPONENTES PRINCIPALES

En este paso, pusimos el análisis sin restricción en el número de factores. Borramos todos loselementos con cargas factoriales inferiores a 0,50. Como resultado, se identificaron ocho factores. También hemos probado la confiabilidad para cada factor. Los resultados también se muestran en la Tabla 3. Nunnally [1978] sugiere que la fiabilidad de alfa sea por debajo de 0,6 es baja.

Tabla 3. Factores finales para Prácticas de Seguridad de la Información

Items Cargado αPolítica de Seguridad de Información

Especifica claramente la responsabilidad de seguridad de información de los empleados .771

.927Ilustra claramente la importancia de la seguridad de la organización .754

Tiene una persona que es responsable de la actualización y el .750

mantenimiento

indica claramente la intención de la administración para apoyar los programas de seguridad de la información. .722

Define claramente los objetivos de la seguridad de información .713

Se revisa periódicamente la eficacia e integridad .638Seguridad Organizacional

Autoriza al comité ISM para tomar las decisiones necesarias .812

.885

Cuenta con asesores de seguridad de información en cada unidad de negocio para coordinar ISM .796

Tiene un comité de dirección de seguridad dedicado, responsable de ISM .780

Tiene un foro de seguridad de información para dar orientación y apoyo de gestión. .743

Clasificación y Control de Activos

Están basados en el nivel de confiabilidad .854

.851Están clasificados basados en el nivel de confidencialidad .798

Están clasificados con un simple y efectivo sistema .743

Están grabados de acuerdo a su propiedad .608Plan de continuidad de Negocio

Es probado regularmente .784

.924Incluye un análisis de riesgo de los procesos críticos .755

Se evalúa mediante técnicas eficaces .754

Asegura una pronta reanudación de las operaciones esenciales después de un fallo del sistema o interrupción. .731Control de Acceso al Sistema

Monitorea y registra los accesos y el uso de los sistemas computacionales .691

.845

Cuenta con procedimientos para el control móvil de computadores .678

Emplea sistemas de administración de contraseñas .625

Requiere revisar los registros de auditoría de rutina .615

Requiere autenticación apropiada para conexiones externas .581

Audita todas las actividades relacionadas al trabajo de manera remota .575

Requiere que los usuarios sigan prácticas de seguridad en la selección y uso de passwords. .550Desarrollo y Mantenimiento de Sistemas

Cuenta con procedimientos formales para mantener la seguridad de las aplicaciones (Ej. Pruebas de la aplicación, cambio y reemplazo) .807

.886

Utiliza técnicas criptográficas para proteger la confidencialidad, autenticidad e integridad de la información .754

Protege los archivos del sistema controlando el código fuente del programa y las librerías involucradas en el proceso de desarrollo para limitar la posibilidad de corrupción o manipulación. .722

Cuenta con procedimientos formales para garantizar la seguridad sobre los sistemas operativos. .674

Sigue la evaluación del riesgo y gestión del riesgo para determinar los controles aceptables. .655

Comunicaciones y Gestión de Operaciones Tiene una copia de seguridad y proceso de recuperación para mantener la integridad y la disponibilidad de información esencial contra virus e intrusión. .786

.824Adopta medidas para proteger la integridad y seguridad de sus programas esenciales y la información contra virus e intrusión. .700

Cuenta con políticas que requieren el cumplimiento de licencias de software y prohíbe el uso de software no autorizado. .614

Adopte las medidas adecuadas de seguridad para los sistemas de acceso público como servidores web. .592Seguridad de negocios

Tiene acuerdos oficiales con los socios para el intercambio de información. .609

.623Toma las medidas adecuadas de seguridad para el comercio electrónico para garantizar el intercambio de información. .605

El porcentaje de la varianza extraída de estos ocho factores fue de 71 por ciento (Tabla 4), que fue considerada buena para un estudio exploratorio.

Tabla 4. Varianza total explicada en el Análisis de Componentes Principales.Componente Autovalores iniciales Rotación de sumas de cuadrados

  Total % de varianza Acumulada % Total % de varianza Acumulada %

1 16.891 43.311 43.311 4.45 11.411 11.411

2 2.363 6.059 49.37 3.832 9.825 21.235

3 1.924 4.932 54.302 3.422 8.775 30.01

4 1.614 4.137 58.439 3.347 8.581 38.591

5 1.397 3.581 62.021 3.294 8.447 47.038

6 1.304 3.343 65.364 3.233 8.29 55.328

7 1.078 2.765 68.129 3.204 8.216 63.543

8 1.045 2.68 70.809 2.834 7.266 70.809

Traducción grupo 9

Los resultados en la Tabla 3 se diferencian de aquellos en el instrumento en dos niveles. La Tabla 5 representa estos cambios. Primero, en el nivel de factor (concepto), se reduce el número de factores de 10 a 8. Los dos factores representando " Seguridad de Personal " y “Cumplimiento" fueron eliminados. Los factores "Seguridad Física y del Ambiente " y “Dirección de Comunicaciones y de Operaciones " se combinaron. En adición, un nuevo factor (Seguridad del Socio de Negocio) que consistió de dos artículos fue sacado.Además, en el nivel de artículo, el número total de artículos fue reducido de 56 a 36. El número de artículos en tres conceptos (la Seguridad de la Organización, el Control de Acceso al Sistema, y Dirección de Comunicaciones y de Operaciones) disminuyó. La dimensión más complicada y problemática era "Dirección de Comunicaciones y de Operaciones”. Al principio, este concepto consistió en 11 artículos. Como consecuencia del análisis, dos artículos se desprendieron como una nueva dimensión. "La Seguridad de Socio de negocio " y cinco otros fueron dejados debido a cargas de factor bajo.Tabla 5. Artículos y conceptos Cambiados para Practicas de la Seguridad de la Información

CONCEPTO Articulo original

Nuevo Articulo

Alfa Original

Nuevo Alfa

Concepto OriginalPolicía de la Seguridad de la InformaciónSeguridad OrganizacionalVentaja en Control y ClasificaciónPlaneamiento y Continuidad del NegocioControl de Acceso al SistemaSistema de Desarrollo y MantenimientoDirección de Comunicaciones y OperacionesSeguridad Física y del AmbienteSeguridad del PersonalCumplimiento

66448511453

6444754NingunoNingunoNinguno

.9269

.8845

.8511

.9241

.8597

.8859

.9072

.8094

.8290

.8330

.9269

.8851

.8511

.9241

.8452

.8859

.8241

Nuevo ConceptoSeguridad del Socio del Negocio Ninguno 2 .6229

V. DISCUSION Y CONCLUSIONAunque las listas de seguridad son ampliamente usadas, ellas son criticadas por Dhillon y Backhouse [2001] puesto que conllevan menos convicción que el trabajo basado en fundamentos teóricos. Ellos debatieron que las listas dan énfasis a eventos notables y enfocan la atención en procedimiento sin considerar la naturaleza social de los problemas y sin dirigir la tarea clave del entendiendo que las preguntas significativas son. Así, las prácticas deben ser consideradas como la parte del proceso entero. La seguridad de información no es un fenómeno de “permanecer solo”. ISO 17799 es ampliamente aceptado y reconocido como “las mejores prácticas” por profesionales de seguridad de la información. El análisis en este estudio indica que la mayoría de las dimensiones de seguridad y artículos respaldados por la ISO 17799 son altamente válidos. Siete de las diez dimensiones originales en la ISO 17799 son confirmadas. No se identificaron tres dimensiones en la ISO 17799 (“la seguridad del personal”, “física & seguridad medioambiental”, y “la complacencia”), y una nueva dimensión “Seguridad del Socio de Negocios” se derivó. Como resultado, ocho dimensiones de prácticas de seguridad de información se generaron. La nueva dimensión (“exterior” o “Seguridad del Socio de Negocios”) se derivó de la dimensión original de “Administración de comunicaciones y operaciones”. El modelo del factor de análisis exploratorio es más parsimonioso que el ISO 17799 original.La diferencia entre las dimensiones originales en la norma ISO 17799 y los de análisis se explica, en parte debido a la redundancia. Estas tres dimensiones son eliminadas relacionados con las políticas, operaciones o mantenimiento. En la práctica, para mejorar la eficacia de la seguridad de la información, quizá sea necesario para que todos los sistemas de información y, por tanto, las prácticas de seguridad redundantes entre organizaciones.  La dimensión más problemática es "la comunicación y las operaciones de gestión". Originalmente, 11 artículos fueron propuestos para medir esto. Como resultado del análisis, esta dimensión divide en dos dimensiones separadas, y cinco elementos dieron como resultado cargas bajas. Examinando los artículos, encontramos que tres de estos cinco artículos son ambiguos. Por ejemplo, el primer elemento es "Utiliza procedimientos formales para el tratamiento de la información, programación, control de errores, el apoyo y la recuperación. "Esta consecuencia el

resultado de  compleja naturaleza de las operaciones de gestión. Las declaraciones para las operaciones de gestión nunca son demasiado específicas y detalladas para ser entendidas.  Este hallazgo implica que cuando los profesionales definan la seguridad manejamos la información, la definición no puede ser demasiado general ni demasiado exhaustiva. La directriz es que deben ser específicas, pero aplicables. El hallazgo de la nueva dimensión, sugiere que los profesionales deben prestar más atención a seguridad de la información externa en la formación de asociaciones de información o la adopción de comercio electrónico.

V. DISCUSIÓN Y CONCLUSIONES

Aunque las listas de comprobación de seguridad son ampliamente utilizados, que fueron criticadas por Dhillon y Backhouse [2001] como llevar menos convicción que el trabajo sobre la base de fundamentos teóricos. Afirmaron hincapié en que las listas eventos observables y centrar la atención sobre el procedimiento sin teniendo en cuenta la naturaleza social de los problemas y sin abordar la tarea clave de comprender lo que las preguntas son importantes. Afirmaron , las prácticas deben considerarse como parte de todo el proceso. Seguridad de la información no es un "stand alone" o” independiente” fenómeno. ISO 17799 es ampliamente aceptado y reconocido como "mejores prácticas" por seguridad de la información y los profesionales. El análisis en este estudio indica que la mayoría de las dimensiones de seguridad y elementos cubiertos bajo la norma ISO 17799 son válidas. Siete de las diez dimensiones originales de la ISO 17799 fueron confirmados. Tres dimensiones en la norma ISO 17799 no se identificaron ("Seguridad personal", "La seguridad física y ambiental", y "cumplimiento") y una nueva dimensión "de negocios Comunicaciones de la Asociación de Sistemas de Información (Volumen 15, 2005) 577-591 585 De seguridad de socios”. Como resultado, ocho dimensiones de las prácticas de seguridad de la información. La nueva dimensión ("externos" o "seguridad socio de negocios") se deriva de la dimensión original de "comunicaciones y operaciones de gestión". El modelo del análisis factorial exploratorio es más parsimonioso que el original 17799 ISO. La diferencia entre las dimensiones originales en la norma ISO 17799 y los de análisis factorial es en parte debido a la redundancia. Estas tres dimensiones son eliminadas relacionados con las políticas, operaciones o mantenimiento. En la práctica, para mejorar la eficacia de la seguridad de la información, quizá necesaria para que todos los sistemas de información por tanto, las prácticas de seguridad para ser redundante en todas las organizaciones. La dimensión más problemática es "la comunicación y las operaciones de gestión". Originalmente, el artículo 11 fue propuesto para medir este constructo. Como resultado del análisis, esta dimensión divide en dos dimensiones separadas, y cinco elementos dieron como resultado cargas bajas.Examen de los puntos específicos, encontramos que tres de estos cinco artículos son ambiguos. Por ejemplo, el primer tema es "utiliza procedimientos formales para el tratamiento de la información, programación, control de errores, apoyo y recuperación." Esta consecuencia el resultado de la compleja naturaleza de las operaciones de gestión.Las declaraciones las operaciones de gestión nunca se es demasiado específica y detallada para ser entendido. Este hallazgo implica que cuando los profesionales de definir las prácticas de seguridad de la información, la definición no puede ser demasiado general ni demasiado exhaustiva. La directriz es que deben ser específicos, pero que se aplica. El hallazgo de la nueva dimensión " Seguridad para la empresa", sugiere que los médicos deberían prestar más atención a la seguridad de la información externa en la formación de asociaciones de información o la adopción de comercio electrónico.

CONTRIBUCIONES DEL ESTUDIO

Esta investigación es el primer intento empírico, a nuestro conocimiento, para validar las directrices de información y prácticas de seguridad sugeridas por los profesionales y organizaciones. Suele ser difícil para los estudiosos de sugerir directrices de seguridad de información o prácticas para los profesionales como la gestión de seguridad de la información tiende a ser específicos de cada organización. Sin

embargo, los académicos pueden ofrecer una perspectiva y herramientas que permiten a los profesionales para desarrollar o prácticas de referencia que garanticen la seguridad de la información dentro de sus organizaciones. En este estudio, la gestión de la seguridad la norma internacional ISO 17799 se verificó. Este estudio es un intento de construir escalas para medir las prácticas de seguridad de información. El desarrollo de alta validez y fiabilidad de las escalas es un paso importante en el desarrollo de futuros estudios de investigación. La práctica de ocho construcciones son mucho más corta que la original de 10 dimensiones en el 17799 de la ISO. Por lo tanto, las medidas de estos constructos son parsimoniosas y aplicables.Las escalas para las prácticas de seguridad de la información generada en este estudio pueden ser utilizados como base para la auto-VALUACIÓN, reevaluar la gestión de la seguridad de los socios, y una evaluación independiente de la eficacia de ISM. El marco de seguridad práctica se puede utilizar como una guía o lista de verificación para aplicar prácticas. Por ejemplo, en el instrumento, si dos escalas tipo Likert, fueron utilizados (se mide la práctica actual, las demás medidas prácticas para el futuro próximo), las organizaciones pueden identificar las fortalezas y debilidades de sus prácticas de seguridad. Las escalas para las prácticas de seguridad de la información generada en este estudio pueden ser utilizados como base para la auto-evalucion, reevaluar la gestión de la seguridad de los socios, y una evaluación independiente de la eficacia de ISM. El marco de seguridad práctica se puede utilizar como una guía o lista de verificación para aplicar prácticas. Por ejemplo, en el instrumento, si dos escalas tipo Likert, fueron utilizados (se mide la práctica actual, las demás medidas prácticas para el futuro próximo), las organizaciones pueden identificar las fortalezas y debilidades de sus prácticas de seguridad. El instrumento también puede ser utilizado para la evaluación comparativa. Si el instrumento se usa con regularidad, la comparación de los resultados puede identificar qué áreas se han mejorado y qué áreas necesitan de gestión para asignar los recursos necesarios para garantizar la eficacia de las iniciativas de seguridad.Los resultados de este estudio también se puede utilizar como guía para la revisión de las normas existentes de las organizaciones establecidas, como Organización Internacional de Normalización (ISO), Internet Engineering Task Force (IETF), EE.UU. Instituto Nacional de Estándares y Tecnología (NIST), así como del sector normas específicas y la industria. 586 Comunicaciones de la Asociación de Sistemas de Información (Volumen 15, 2005) 577-591

LIMITACIONES

Reconocemos tres limitaciones a este estudio1. Dado que los usuarios finales tener acceso al sistema todos los días, sus operaciones

apropiadas son vitales para la seguridad de los sistemas. Como resultado, sin excluir la opinión de los usuarios finales en el estudio de las prácticas de seguridad sólo se reduce la aplicabilidad y eficacia de las prácticas de seguridad, esta omisión también limita la generalización de los resultados de nuestra investigación. Por lo tanto, las futuras investigaciones deberían utilizar temas de grupos de enfoque y los métodos de puesta a tierra la teoría.

2. El estudio de las prácticas de seguridad se basa en la norma ISO 17799. Dado que la gestión de seguridad de información es un área emergente, las directrices pueden ser inestables y cambian rápidamente. Muchas guías están disponibles. Desafortunadamente, no hay estadísticas muestran que las normas son las más populares y ampliamente aceptadas. Por lo tanto, algunos factores pueden haber pasado por alto en nuestra investigación.

3. El alcance de las organizaciones que participan en este estudio fue amplia en términos de sector, tales como educación, gobierno, militares y empresariales. Los estudios que se centraron en un sector o industria específica sería identificar las prácticas que están más estrechamente relacionadas con las organizaciones de este sector o industria específica.

INSTRUCCIONES PARA EL FUTURO DE INVESTIGACIÓN

Para futuras investigaciones, la primera extensión de este estudio es validar el marco de seguridad la práctica de ocho dimensiones derivados de este estudio. Como tal, los estudios confirmatorios dirigidos a determinados sectores son necesarios. Clasificación por el código de cuatro dígitos de la industria no ayuda en el estudio de seguridad de la información ya que la calificación es demasiado complejo. los

posibles criterios de clasificación incluyen la intensidad de la información, la sensibilidad de la información, y / o confidencialidad de la informaciónLas relaciones entre los objetivos y prácticas de seguridad son complicadas, pero importante para los profesionales de entender [Dhillon y Torkzadeh 2001]. Algunas prácticas sólo contribuyen a un objetivo particular, la seguridad Byrnes [y Procter 2002]. Por lo tanto, es necesario explorar las interrelaciones entre las prácticas de gestión y los objetivos de seguridad para responder a preguntas tales como cómo las prácticas interactúan y se influyen los objetivos de seguridad de la información, que contribuye a la práctica que tiene como objetivo la seguridad de la información, y la cantidad de cada una de las prácticas de gestión contribuye a la objetivo de seguridad total. Tal conocimiento es importante para los gerentes en la asignación de recursos y de diagnóstico.La aplicación de iniciativas seguridad de la información necesita más estudio. Por un lado, como las prácticas de seguridad de información se puede definir a distintos niveles y tienen prioridad de aplicación diferente, es importante identificar las interrelaciones entre las prácticas de protección y dará vista a la estructura subyacente. De esta manera, es más fácil para los profesionales de asociar las prácticas de información de seguridad con los objetivos de seguridad e implementar las prácticas con mayor eficacia. Por otra parte, hay muchos factores que influyen en el éxito de la seguridad en prácticas. La identificación de estos factores (como el apoyo ejecutivo, la política de organización, cultura organizacional, de organización y la autoeficacia, y beneficios financieros) son de importancia práctica para la gestión de seguridad de la información.

LIMITACIONESNosotros reconocemos tres limitaciones para este estudio1.Dado que los usuarios finales pueden tener acceso al sistema todos los días, sus operaciones apropiadas son vitales para la seguridad de los sistemas. Como resultado, excluir la opinión de los usuarios finales en el estudio de las prácticas de seguridad sólo se reduce la aplicabilidad y eficacia de las prácticas de seguridad, esta omisión también limita la generalización de los resultados de nuestra investigación. Por lo tanto, las futuras investigaciones deberían utilizar temas de grupos de enfoque y los métodos de puesta a tierra la teoría.2.El estudio de las prácticas de seguridad se basa en la norma ISO 17799. Puesto que la seguridad de información de gestión es un área emergente, las directrices pueden ser inestables y cambian rápidamente. Muchos directrices están disponibles. Desafortunadamente, no hay estadísticas donde muestran que las normas son las más populares y ampliamente aceptadas. Por lo tanto, algunos factores pueden haber pasado por alto en nuestra investigación.3.El alcance de las organizaciones que participan en este estudio fue amplia en términos de sector, tales como educación, gobierno, militares y empresariales. Los estudios que se centraron en un sector o industria específica sería identificar las prácticas que están más estrechamente relacionadas con las organizaciones de este sector o industria específica.

INSTRUCCIONES PARA EL FUTURO DE INVESTIGACIÓNPara futuras investigaciones, la primera extensión de este estudio es validar el marco de seguridad la práctica de dimensión-ocho derivados de este estudio. Como tal, los estudios confirmatorios dirigidos a determinados sectores son necesarios. Clasificación por el código de

cuatro dígitos de la industria no ayuda en el estudio de seguridad de la información ya que la calificación es demasiado complejo. Los posibles criterios de clasificación incluyen la intensidad de la información, la sensibilidad de la información, y / o la confidencialidad de la información.Las relaciones entre los objetivos y prácticas de seguridad son complicadas, pero importante para los profesionales del entender [Dhillon y Torkzadeh 2001]. Algunas prácticas sólo contribuyen a un objetivo particular, la seguridad Byrnes [y Procter 2002]. Por lo tanto, es necesario explorar las interrelaciones entre las prácticas de gestión y los objetivos de seguridad para responder a preguntas tales como cómo las prácticas interactúan y se influyen los objetivos de seguridad de la información, que contribuye a la práctica que tiene como objetivo la seguridad de la información, y la cantidad de cada uno de los de gestión prácticas contribuye al objetivo de seguridad total. Tal conocimiento es importante para los gerentes en la asignación de recursos y de diagnóstico.La aplicación de iniciativas seguridad de la información necesita más estudio. Por un lado, como las prácticas de seguridad de información se puede definir a distintos niveles y tienen prioridad de aplicación diferentes, es importante identificar las interrelaciones entre las prácticas de protección y dará vista a la estructura subyacente. De esta manera, es más fácil para los profesionales de asociar las prácticas de información de seguridad con los objetivos de seguridad e implementar las prácticas con mayor eficacia. Por otra parte, hay muchos factores que influyen en el éxito de la seguridad en prácticas. La identificación de estos factores (como el apoyo ejecutivo, la política de organización, cultura organizacional, de organización y la autoeficacia, y beneficios financieros) son de importancia práctica para la gestión de seguridad de la información.

APENDICE I. ISO 17799 MARCO DE TRABAJOISO 17799 Marco de trabajo cubre un total de 10 áreas de control que consisten de 36 objetivos de control.Categorías/Ítems1. Póliza de seguridad – Dirección de manejo y de soporte de información.2. Seguridad organizacional – Para ayudarte a manejar seguridad de la información dentro de la organización.- Infraestructura de la seguridad de la información- Control de acceso a terceros- Compra de productos manufacturados en una empresa para economizar costes3. Activos de clasificación y control – Para ayudar a identificar los activos y para protegerlos de una manera apropiada- Conteo de activos- Clasificación de la información4. Seguridad de personal – Para reducir los riesgos de errores humanos, robos, fraudes, o mal uso de las facilidades- Seguridad en la definición del trabajo y en la adquisición de productos- Entrenamiento al usuario-Respondiendo a los incidentes de seguridad y malfuncionamientos5. Seguridad física y ambiental – Para prevenir acceso inautorizado, daños e interferencia a los permisos de negocio y de la información.- Áreas seguras- Seguridad del equipamento.- Control General6. Manejo de las comunicaciones y operaciones – Para asegurarse de operar correcta y seguramente la información y las instalaciones de procesos

- Procedimientos operacionales y responsabilidades- Planeo del sistema y aceptabilidad- Protección contra software malicioso- Cuidado del lugar- Manejo de la interconexión- Manejo de la información y de la seguridad- Intercambio de información y de los programas7. Control de acceso – Para el control de acceso de la informaciónRequerimiento del negocio para el control de accesoManipulación del acceso de usuarioResponsabilidades de usuarioControl de acceso de la interconexiónControl de acceso al Sistema OperativoAcceso al sistema de monitoreo y usoCómputos mobiles y trabajo a distancia8. Sistemas de desarrollo y de manutención – Para asegurarse de que la seguridad esta elaborada en sistemas de información- Requerimientos de seguridad para el sistema y la aplicaciónComunicaciones de la asociación de sistemas de información (volumen 15, 2005) 577-591589- Controles de cryptografia- Seguridad de archivos de sistema- Seguridad en el desarrollo y soporte de procesos9. Manipulación de la continuidad del negocio – Para contrarrestar interrupciones de las actividades del negocio y para proteger procesos críticos del negocio de efectos de mayor fracaso o desastre.10. Cumplimiento – Para evadIr brechas de cualquier ley criminal y civil, estatal, regulatoria u obligaciones contractuales, y cualquier requerimiento de seguridad. Una organización usando ISO17799 como la base para su ISMS, puede volverse registrada por la BSI, además demostrando a los accionistas o inversionistas que el ISMS cumple los requerimientos de lo normal.- Cumplimiento de requerimientos legales- Póliza de seguridad y revisión de cumplimientos técnicos- Consideraciones de auditoria de sistemas

APENCIDE IILa política de seguridad de la información en su organización

La política de seguridad de la información en su organizaciónDefine claramente los objetivos de seguridad de la información.Se revisa periódicamente la eficacia e integridad.Tiene claro quién es responsable de su actualización y mantenimiento.Indica claramente la intención de la administración para apoyar los programas de seguridad de la información.Especifica claramente la responsabilidad de seguridad de la información de los empleados.Ilustra claramente la importancia de la seguridad de la organización.

Su organización Tiene un comité de dirección de seguridad dedicada responsable de ISM.Cuenta con asesores de seguridad de información en cada unidad de negocio para coordinar ISM.Autoriza a la comisión ISM para tomar las decisiones necesarias.Tiene un foro de seguridad de la información para dar orientación y apoyo.Controla el acceso de terceros mediante la documentación de la política de seguridad de la organización en el contrato de terceros.Controla la externalización mediante la comunicación con los requisitos legales del prestador de servicios.

En su organización, los activos de tecnología de la información Se clasifican según el nivel de confidencialidad.Se indican claramente según el nivel de confidencialidad.

Se registran en base a la propiedad.Se clasifican con un sistema simple y eficaz.

En su organización, el plan de continuidad de negocio Asegura una pronta reanudación de las operaciones esenciales después de un fallo del sistema o interrupción.Se prueba con regularidad.Incluye un análisis de riesgos de los procesos críticos.Se evalúa mediante técnicas eficaces.

Cuando se trata de personal de seguridad Descripciones de puestos definen la responsabilidad de seguridad pertinente.Solicitudes de empleo son revisadas, controladas si el trabajo implica el acceso a las instalaciones de procesamiento de información.Los empleados reciben capacitación formal sobre seguridad de la información y las políticas de la organización.Los empleados son instruidos sobre cómo manejar los incidentes de seguridad informática.La empresa cuenta con procedimientos disciplinarios para tratar con los empleados que violan las políticas de seguridad de la información

Cuando se trata de la seguridad física y ambientalLas instalaciones de TI están garantizadas y deben estar supervisadas las entradas de los visitantes. El equipo de TI está bien ubicado y protegido para reducir los riesgos de las amenazas ambientales y peligros. Los equipos de TI no pueden ser removidos sin autorización. La organización cuenta con políticas para el manejo de información confidencial.

Cuando se trata de control de acceso al sistema, su organizaciónCuenta con procedimientos para el registro o cancelación del acceso a todos los sistemas de información. Emplea el sistema de contraseñas para la administración de usuario. Requiere una debida autenticación para las conexiones externas. Requiere que los usuarios sigan prácticas de seguridad en la selección y uso de contraseñas. Cuenta con procedimientos para el control de la informática móvil. Supervisa y registra el acceso y la utilización de sistemas informáticos. Requiere revisar de forma rutinario los registros de auditoría. Audita todas las actividades relacionadas con el trabajo de forma remota.

Cuando se trata de cumplimientoLos sistemas de información son revisados regularmente para asegurar que están de acuerdo con la empresa, las políticas y normas de seguridad. Todas las políticas y procedimientos se han aplicado para garantizar el cumplimiento de los requisitos legales, la protección de datos y privacidad de información personal. El acceso a las herramientas de auditoría del sistema se limita a prevenir el mal uso.

Cuando se trata de sistemas de desarrollo y mantenimiento, su organizaciónCuenta con procedimientos formales para garantizar la seguridad a los sistemas operativos.Sigue la evaluación del riesgo y gestión del riesgo para determinar los controles aceptable. Utiliza técnicas criptográficas para proteger la confidencialidad, autenticidad e integridad de la información. Cuenta con procedimientos formales para mantener la seguridad de software de aplicación (por ejemplo, pruebas de aplicaciones, cambiado, y sustitución). Protege los archivos del sistema restringiendo algunos procesos de los programas de control con posibles formas de corrupción o manipulación.

Cuando se trata de equipo y gestión de operaciones, su organizaciónUtiliza procedimientos formales para el tratamiento de la información, programación, control de errores, el apoyo y recuperación. Tiene un proceso documentado para una gestión de incidencias.

Documentación de las responsabilidades de gestión en el lugar para garantizar el control de todos los cambios de equipo, programas informáticos, y el procedimiento. Adopte medidas para proteger la integridad y seguridad de sus programas esenciales y la información contra virus e intrusiones. Tiene una copia de seguridad y proceso de recuperación para mantener la integridad y la disponibilidad esencial de procesamiento de la información y servicios de comunicación. Cuenta con políticas que requieren el cumplimiento de licencias de software y se prohíbe el uso no autorizado de software. Documentar los procedimientos para la gestión de medios extraíbles como CDs, discos e informes impresos. Firmado de acuerdos oficiales con los socios para el intercambio de información. Cuenta con procedimientos formales para minimizar el riesgo de fallo de los sistemas esenciales. Adopta las medidas adecuadas de seguridad para el comercio electrónico para garantizar el intercambio de información. Adopta las medidas adecuadas de seguridad para los sistemas de acceso público tales como servidores web.

ANEXO II. Artículos utilizados en el cuestionarioLa política de seguridad de la información en su organización... Define claramente los objetivos de seguridad de la información. Se revisa periódicamente la eficacia e integridad. Tiene un dueño claro quién es responsable de su actualización y mantenimiento. Indica claramente la intención de la administración para apoyar los programas de seguridad de la información. Especifica claramente la responsabilidad de seguridad de la información de los empleados. Ilustra claramente la importancia de la seguridad a la organización. De su organización ... Tiene un comité de dirección de seguridad dedicada responsable de ISM. Cuenta con asesores de seguridad de información en cada unidad de negocio para coordinar IGS. Autoriza a la comisión ISM para tomar las decisiones necesarias. Tiene un foro de seguridad de la información para dar orientación y apoyo de gestión. Controles de acceso de terceros mediante la documentación de la política de seguridad de la organización en el contrato de terceros. controles de la contratación externa comunicando los requisitos legales con el proveedor de servicio (s). En su organización, los activos de tecnología de la información ... Se clasifican según el nivel de confidencialidad. Se indican claramente basados en el nivel de confidencialidad. Se establecen en base a la propiedad. Se clasifican con un sistema simple y eficaz. En su organización, el plan de continuidad de negocio ... asegura una pronta reanudación de las operaciones esenciales después de un fallo o interrupción del sistema.Se prueba con regularidad. Incluye un análisis de riesgos de los procesos críticos. Se evalúa mediante técnicas eficaces. Cuando se trata de personal de seguridad ... Las descripciones de puestos definen la responsabilidad de seguridad pertinentes. Las solicitudes de empleo son revisadas si el trabajo implica el acceso a las instalaciones de procesamiento de información. Los empleados reciben capacitación formal sobre seguridad de la información y las políticas de la organización. A los empleados se les instruye sobre cómo tratar los incidentes de seguridad informática.

La empresa cuenta con procedimientos disciplinarios para tratar con empleados violando las políticas de seguridad de la información. Cuando se trata de la seguridad física y ambiental ... Instalaciones críticas de TI están garantizadas registrando y supervisando la entrada física de los visitantes. El equipo de TI está bien ubicado y protegido para reducir los riesgos de las amenazas y peligros ambientales. El equipo de TI no puede ser removido sin autorización. La organización cuenta con políticas para el manejo de información confidencial. Cuando se trata de control de acceso al sistema, su organización ... cuenta con procedimientos para el registro / cancelación de la matrícula para el acceso a todos los sistemas de información multi-usuario. emplea los sistemas de administración de contraseñas. requiere la debida autenticación para las conexiones externas. requiere que los usuarios siguan prácticas de seguridad en la selección y uso de contraseñas. cuenta con procedimientos para el control de la informática móvil. supervisa y registra el acceso y la utilización de sistemas informáticos. requiere rutinariamente revisar los registros de auditoría. audita todas las actividades relacionadas con el trabajo de forma remota. Cuando se trata de cumplimiento ... sistemas de información son revisados regularmente para asegurar que están de acuerdo con la empresa las políticas y normas de seguridad. todas las políticas y procedimientos se han aplicado para garantizar el cumplimiento de los requisitos legales, la protección de datos y privacidad de información personal. el acceso a las herramientas de auditoría del sistema se limita para prevenir el mal uso o el compromiso. Cuando se trata de sistemas de desarrollo y mantenimiento, su organización ... cuenta con procedimientos formales para garantizar la seguridad es inherente a los sistemas operativos. sigue la evaluación del riesgo y gestión del riesgo para determinar los controles aceptables. utiliza técnicas criptográficas para proteger la confidencialidad, autenticidad e integridad de la información. cuenta con procedimientos formales para mantener la seguridad de software de aplicación [por ejemplo, pruebas de aplicaciones, cambiando, y reemplazando). Protege los archivos controlando el sistema de las librerías fuente de programa en el proceso de desarrollo para limitar la posible corrupción o manipulación.Cuando se trata de equipo y gestión de operaciones, su organización ... utiliza procedimientos formales para el tratamiento de la información, programación, control de errores, el apoyo y recuperación. tiene un proceso documentado para una gestión de incidentes. ha documentado las responsabilidades de gestión para garantizar el control de todos los cambios de equipo, programas informáticos, y procedimiento. adopta medidas para proteger la integridad y seguridad de sus programas esenciales y la información contra virus e intrusiones. tiene una copia de seguridad y proceso de recuperación para mantener la integridad y la disponibilidad de procesos de información esenciales y servicios de comunicación. cuenta con políticas que requieren el cumplimiento de licencias de software y se prohíbe el uso no autorizado de software. ha documentado los procedimientos para la gestión de medios extraíbles como CDs, discos e informes impresos. ha firmado acuerdos oficiales con los socios para el intercambio de información. cuenta con procedimientos formales para minimizar el riesgo de fallo de los sistemas esenciales.

adopta las medidas adecuadas de seguridad para el comercio electrónico para garantizar el intercambio de información. adopta las medidas adecuadas de seguridad para los sistemas de acceso público tales como servidores web.