Conference PaperPDF Available

Building a Maturity Security Model Based on ISO 17799

Abstract and Figures

For enterprises to be able to properly use information and communications technologies, it is necessary to have guides, metrics and tools that allow us to always know the level of our security and the points in which we are not covering it. In small and medium-size enterprises, the application of security standards has an additional problem, that is, the fact that they do not have enough resources to perform an appropriate management. In this paper, we will present a new approach to manage security within this kind of enterprises, adapted to the size of the enterprise and its maturity level, using as a reference ISO/IEC 17799. This approach is being directly applied to real cases and it is obtaining a constant improvement in its application.
Content may be subject to copyright.
Building a Maturity Security Model Based on ISO 17799
Luís Enrique Sánchez
1
, Daniel Villafranca
1
, Eduardo Fernández-Medina
2
y Mario
Piattini
2
1
SICAMAN Nuevas Tecnologías. Departamento de I+D,
Juan José Rodrigo, 4. Tomelloso, Ciudad Real, España.
{dvillafranca, lesanchez} @sicaman-nt.com
2
ALARCOS Research Group Information Systems and Technologies Department
UCLM-Soluziona Research and Development Institute University of Castilla-La Mancha
Paseo de la Universidad, 4 – 13071 Ciudad Real, Spain
{Eduardo.FdezMedina, Mario.Piattini}@uclm.es
Abstract. For enterprises to be able to properly use information and
communications technologies, it is necessary to have guides, metrics and tools
that allow us to always know the level of our security and the points in which
we are not covering it. In small and medium-size enterprises, the application of
security standards has an additional problem, that is, the fact that they do not
have enough resources to perform an appropriate management. In this paper, we
will present a new approach to manage security within this kind of enterprises,
adapted to the size of the enterprise and its maturity level, using as a reference
ISO/IEC 17799. This approach is being directly applied to real cases and it is
obtaining a constant improvement in its application.
1 Introduction
In this paper, we will present an approximation to the implementation of security
management systems, based on ISO/IEC 17799 that we are developing and
continuously improving thanks to the feedback directly received from SICAMAN
customers.
Our paper continues with Section 2, we will introduce the management systems
implementation scheme including the news we are applying, at the methodological
and software levels. Finally, in section 3, we will put forward our conclusions and
future work.
2 Security Management Implementation Scheme
The most efficient model considered by SICAMAN customers has been that one
based on the creation of improvement cycles through the spiral model. This model
facilitates the realization of fast and cheap cycles that allow us to create a culture of
security within the organization in a constant and progressive way.
By using this model, we can estimate the maturity level of the enterprise in a
minimal period of time and identify the most suitable rules to it, planning short-term
realistic milestones of the evolution that the enterprise hopes to reach in each cycle of
the spiral. This model is based on three levels of protection that we will apply
according to both the maturity level and the size of the enterprise. Thus, an enterprise
considered small, according to the parameters of employees and turnover should only
apply the version of ISO17799-1, 100 rules to be compulsory fulfilled (see Fig. 1).
The other two versions of the rule (300 and 500 rules) would mean over-dimension
the security of the enterprise.
Fig. 1. Models proposed according to the type of enterprise and its maturity level
One of the main and most valuable conclusions obtained from the feedback of
SICAMAN customers in which these models have been analyzed is the following
one: The over-dimensioning of the security level of an enterprise with respect to its
size finishes generating a degradation of the over-dimensioned controls until they
reach their natural balance. The final consequence of this fact is that the enterprise
invests more resources than the strictly necessary ones that will not provide any value.
We are currently developing other models that include new factors that can have
influence at the time of deciding about the level of fulfillment that must be applied:
the type of activity of the enterprise, the dependency on departments (such as
Research and Development Department), and so on.
Fig. 2. Example of maturity levels by sections in the spiral model.
Our model does not associate protection levels with sections of the rule but
divides each section into three levels and we can evolve the rule over those levels.
Even when the method we propose allows us to evolve protection at the section
level, this application is not advisable. It would be perfect that the proposed
improvement plan could be adapted to the unification of the different sections before
performing a second level of evolution of the rule, in case it was necessary.
In Fig.2, we can see a maturity level represented through our “spiral model”. Even
when the different sections could improve independently, it is more logical that we
plan improving those aspects that have less security. In our example, we should
improve the “access control” section before improving any other section.
In addition, one of the market tendencies during ISMS implementation is the
development of a SCOREBOARD that allows the enterprise management board to
know immediately the failures and improvements produced in the enterprise systems.
The idea of this prototype is to be able to integrate all information coming from
the different security tools existing in enterprises into an only tool that, through the
development of security metrics, allows us to update. This will make possible that
enterprises know in every moment the state of their security, investing the minimum
possible resources. To obtain this, our prototype will face the challenge of making
decisions based on the incidences communicated by the staff, detected alerts and so
on.
3 Conclusions and Future Work
In this paper, we have presented, from the viewpoint of our practical experience, a
first approximation to the implementation of security management systems in small
and medium-size enterprises, taking as a basis or framework ISO/IEC 17799 and
adapting it to both the size and the maturity level of the enterprise in which it will be
implemented.
Given that this proposal is very preliminary, our medium and long term purpose is
to perform a research on the complete development of a methodology to implement
security management systems that allow an adequate adaptation depending on the
security needs and the enterprises characteristics, mainly oriented to small and
medium-size enterprises. This methodology will be based on the main security and
security management standards and it will be adapted to the social conditions, and
above all, to the legal conditions of the environment in which we develop our
professional activity.
This methodology will be complemented with a security systems management
tool, mainly oriented to the enterprise management board, to facilitate decision
making when planning security systems.
Acknowledgments
This research is part of the following projects: DIMENSIONS, partially financed by
FEDER and the Consejería de Educación y Ciencia de la Junta de Comunidades de
Castilla-La Mancha (PBC-05-012-1), CALIPO (TIC2003-07804-C05-03) and
RETISTIC (TIC2002-12487-E) financed by “Dirección General de Investigación del
Ministerio de Ciencia y Tecnología” (España).
... En este articulo seguimos profundizando en nuestra propuesta de modelo de madurez y gestión de la seguridad orientado a las PYMES [8][9][10][11][12][13] que pretende solucionar los Esta investigación es parte del proyecto MISTICO, parcialmente financiado por el FEDER y por la Consejería de Educación y Ciencia de la Junta de Comunidades de Castilla-La Mancha y el proyecto SCMM-PYME financiado por el PROFIT y concedido por Ministerio de Industria, Turismo y Comercio. 1 problemas detectados en los modelos clásicos, los cuales no se están mostrando eficientes a la hora de su implantación en las PYMES debido a su complejidad y otra serie de factores que han sido analizados en anteriores artículos [14,15]. En anteriores trabajos hemos presentado la situación actual de sistemas de gestión de la seguridad para los sistemas de información [14,15], distintas versiones de nuestro modelo de madurez a medida que este ha ido evolucionando, así como de la herramienta que se ha desarrollado para darle soporte automatizado [16] y las métricas que ayudan a mejorar su eficacia y reducir sus costes [17,18]. ...
... En artículos anteriores [8][9][10][11][12][13] se han presentado versiones previas del modelo, por lo que aquí se presenta de forma detalla la fase encargada de establecer y cuantificar la situación actual de la compañía, aportando mejoras obtenidas por la aplicación práctica del mismo a casos reales que consisten en la definición de esquemas predefinidos que posibilitan el desarrollo del plan director de seguridad en un periodo de tiempo muy reducido y con pocos recursos. Mostramos también los resultados obtenidos de su aplicación en 11 casos reales, aunque por motivos de confidencialidad y debido a que dichos resultados muestran puntos débiles en sus sistemas de gestión seguridad, se ha mantenido en el anonimato el nombre de algunos de ellos. ...
Conference Paper
Full-text available
Para garantizar la subsistencia de las empresas y la evolución de sus modelos empresariales, éstas deben poder garantizar la seguridad de sus sistemas de información, pero esto requiere que las empresas conozcan en todo momento el nivel de madurez de su seguridad y hasta qué punto esta debe evolucionar para ser adecuada. Actualmente las empresas requieren de auditorias periódicas para tener este conocimiento, lo que hace que muchas veces las medidas de seguridad se implanten tarde y tengan un coste que la empresa no pueda asumir. En este artículo mostramos los puntos principales del nuestra propuesta de modelo de madurez para la gestión de la seguridad en las PYMES, centrándonos en la fase que determina el estado de la compañía y en algunos de los mecanismos que permiten mantener actualizado el nivel de seguridad sin tener que realizar auditorias continuas. Este enfoque se está refinando de forma continua mediante su aplicación en casos reales, cuyos resultados mostramos en el artículo.
... En trabajos anteriores [11][12][13] se han mostrado versiones iniciales del modelo que presentamos de forma más detallada en este artículo. La principal aportación de este artículo con respecto a los anteriores es que aquí describimos una propuesta refinada [14,15] del modelo de madurez y gestión de la seguridad orientado a las PYMES que hemos desarrollado para solucionar los problemas de los modelos clásicos y la herramienta que lo hace viable tomando como nucleo esquemas predefinidos. El modelo desarrollado se está probando en clientes de la empresa tecnológica SICAMAN. ...
Conference Paper
Full-text available
Para que las empresas puedan utilizar las tecnologías de la información y las comunicaciones con garantías, es necesario disponer de un sistema de gestión de seguridad adecuado y herramientas que permitan gestionarlo. En las pequeñas y medianas empresas, la aplicación de normativas de seguridad cuenta con el problema adicional de no tener recursos suficientes para realizar una adecuada gestión. En este artículo mostramos las últimas normativas y modelos surgidos para la gestión de los sistemas de seguridad, así como los últimos avances realizados sobre nuestro modelo de gestión de seguridad orientado a las PYMES y sobre la herramienta que lo sustenta, la cual permite el desarrollo, implantación y mantenimiento de un sistema de gestión de seguridad adaptado a las necesidades y recursos de los que dispone una PYME. Así mismo mostramos cómo esta herramienta permite obtener razonables reducciones de costes y recursos con respecto a otros modelos, lo que permite que compañías con recursos limitados puedan gestionar de forma muy eficaz su sistema de seguridad utilizando nuestro modelo. Este enfoque está siendo aplicado directamente a casos reales, consiguiendo así una constante mejora en su aplicación.
ResearchGate has not been able to resolve any references for this publication.