Código de Buenas Prácticas para la

Gestión de la Seguridad de la
Información
NTP-ISO/IEC 17799 2004 EDI
Seguridad informática
Ing. Karina Cruz Oscanoa
Emisión de la Norma Técnica Peruana sobre
Seguridad de la Información
Con fecha 23 de julio del 2004 la Presidencia del
Consejo de Ministros a través de la Oficina
Nacional de Gobierno Electrónico, dispone el uso
obligatorio de la Norma Técnica Peruana “NTP –
ISO/IEC 17799:2004 EDI. Tecnología de la
Información: Código de Buenas Prácticas para la
Gestión de la Seguridad de la Información” en
entidades del Sistema Nacional de Informática.

2
Marco de las recomendaciones
La ISO 17799 es una compilación de recomendaciones para
las prácticas exitosas de seguridad que toda organización
puede aplicar independientemente de su tamaño o sector.
La norma técnica fue redactada para que fuera flexible y no
induce a las organizaciones que la cumplan al pie de la
letra, se deja a estas dar una solución de seguridad de
acuerdo a sus necesidades.
Las recomendaciones de la norma técnica ISO 17799 son
neutrales en cuanto a la tecnología.
Así, la norma discute la necesidad de contar con
cortafuegos, pero no profundiza sobre los tipos de
cortafuegos y cómo se utilizan.

3
En este sentido La Norma
Técnica Peruana ISO – 17799, se
emite para ser considerada en la
implementación de los planes de
seguridad de la información de
las Entidades Públicas.
La Norma Técnica Peruana no
exige la certificación, pero si la
consideración y evaluación de los
principales dominios al momento
de elaborar los planes de
seguridad de la información, en
cada una de las Entidades
Publicas.
4
Las diez áreas de control de ISO 17799:
1. Política de seguridad: Se necesita
una política que refleje las
expectativas de la organización en
materia de seguridad, a fin de
suministrar administración con
dirección y soporte. La política
también se puede utilizar como base
para el estudio y evaluación en curso.
2. Organización de la seguridad:
Sugiere diseñar una estructura de
administración dentro la
organización, que establezca la
responsabilidad de los grupos en
ciertas áreas de la seguridad y un
proceso para el manejo de respuesta a
incidentes.
5
3. Control y clasificación de los
recursos de información: Necesita
un inventario de los recursos de
información de la organización y con
base en este conocimiento, debe
asegurar que se brinde un nivel
adecuado de protección.
4. Seguridad del personal: Establece la
necesidad de educar e informar a los
empleados actuales y potenciales sobre
lo que se espera de ellos en materia de
seguridad y asuntos de
confidencialidad. También determina
cómo incide el papel que desempeñan
los empleados en materia de seguridad
en el funcionamiento general de la
compañía. Se debe implementar un
plan para reportar los incidentes.
5. Seguridad física y ambiental:
Responde a la necesidad de proteger las
áreas, el equipo y los controles
generales.
6
6. Manejo de las comunicaciones y las
operaciones: Los objetivos de esta sección
son:
 Asegurar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la información.
 Minimizar el riesgo de falla de los sistemas.
 Proteger la integridad del software y la
información.
 Conservar la integridad y disponibilidad del
procesamiento y la comunicación de la
información.
 Garantizar la protección de la información en las
redes y de la infraestructura de soporte.
 Evitar daños a los recursos de información e
interrupciones en las actividades de la compañía.
 Evitar la pérdida, modificación o uso indebido de la
información que intercambian las organizaciones.

7
7. Control de acceso: Establece la importancia de
monitorear y controlar el acceso a la red y los
recursos de aplicación como protección contra
los abusos internos e intrusos externos.
8. Desarrollo y mantenimiento de los sistemas:
Recuerda que en toda labor de la tecnología de la
información, se debe implementar y mantener la
seguridad mediante el uso de controles de
seguridad en todas las etapas del proceso.

8
9. Manejo de la continuidad de la empresa: Aconseja estar
preparado para contrarrestar las interrupciones en las
actividades de la empresa y para proteger los procesos
importantes de la empresa en caso de una falla grave o
desastre.
10. Cumplimiento: Imparte instrucciones a las organizaciones
para que verifiquen si el cumplimiento con la norma técnica
ISO 17799 concuerda con otros requisitos jurídicos, como la
Directiva de la Unión Europea que concierne la Privacidad, la
Ley de Responsabilidad y Transferibilidad del Seguro Médico
(HIPAA por su sigla en Inglés) y la Ley Gramm-Leach-Billey
(GLBA por su sigla en inglés). Esta sección también requiere
una revisión a las políticas de seguridad, al cumplimiento y
consideraciones técnicas que se deben hacer en relación con el
proceso de auditoría del sistema a fin de garantizar que las
empresas obtengan el máximo beneficio.

9
Beneficios de la norma técnica ISO 17799
Una organización que adopte la Norma Técnica
Peruana ISO 17799 tiene mayores ventajas frente a
los que no la adopten:
Mayor seguridad en la organización.
Planeación y manejo de la seguridad más efectivos.
Alianzas comerciales y e-commerce más seguras.
Mayor confianza en el cliente.
Auditorías de seguridad más precisas y confiables.
Menor Responsabilidad civil

10