Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Definicin
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. ISO 17799 define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada. El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.
Versin 1.1
ITIL V3 FOUNDATION
La seguridad de la informacin se define como la preservacin de: Confidencialidad: Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso. Integridad: Garanta de la exactitud y completitud de la informacin y de los mtodos de su procesamiento. Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados.
El objetivo de la norma ISO 17799 es proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin de la seguridad. La norma ISO 17799 no incluye la segunda parte de BS 7799, que se refiere a la implementacin. ISO 17799 hoy en da es una compilacin de recomendaciones para las prcticas exitosas de seguridad que toda organizacin puede aplicar independientemente de su tamao o sector. La norma tcnica fue redactada intencionalmente para que fuera flexible y nunca indujo a las personas que la cumplan para que prefirieran una solucin de seguridad especfica. Las recomendaciones de la norma tcnica ISO 17799 son neutrales en cuanto a la tecnologa y no ayudan a evaluar y entender las medidas de seguridad existentes. As, la norma discute la necesidad de contar con cortafuegos, pero no profundiza sobre los tipos de cortafuegos y cmo se utilizan, lo que conlleva a que algunos detractores de la norma digan que ISO 17799 es muy general y que tiene una estructura muy imprecisa y sin valor real. La flexibilidad e imprecisin de ISO 17799 es intencional por cuanto es difcil contar con una norma que funcione en una variedad de entornos de tecnologa de la informacin y que sea capaz de desarrollarse con el cambiante mundo de la tecnologa. ISO 17799 simplemente ofrece un conjunto de reglas a un sector donde no existan. La adaptacin espaola de la norma se denomina UNE 71502, que ser explicada posteriormente.
Estructura
La norma ISO 17799:2000 establece 10 captulos de actuacin que cubren por completo la gestin de la seguridad de la informacin. Incluye 129 controles de seguridad de posible aplicacin. La norma ISO 17799:2005, actualizacin de la anterior, establece 11 captulos de actuacin, Incidentes de seguridad es captulo propio. Incluye 137 controles seguridad.
Versin 1.1
ITIL V3 FOUNDATION
2. Estructura Organizativa para la Seguridad. Gestionan la seguridad de la informacin dentro de la organizacin. Mantienen la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin que son accedidos por terceros. Mantienen tambin la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin. Debe disearse una estructura organizativa dentro de la compaa que defina las responsabilidades que en materia de seguridad tiene cada usuario o rea de trabajo relacionada con los sistemas de informacin de cualquier forma. Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente tcnicos.
3. Clasificacin y Control de Activos. Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel de proteccin adecuado a los activos de informacin. Debe definirse una clasificacin de los activos relacionados con los sistemas de informacin, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de proteccin adecuado a su criticidad en la organizacin.
4. Seguridad en el Personal. Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el mbito de la seguridad de la informacin, y que estn preparados para sostener la poltica de seguridad de la organizacin en el curso normal de su trabajo. Minimizar los daos provocados por incidencias de seguridad y por el mal funcionamiento, controlndolos y aprendiendo de ellos. Las implicaciones del factor humano en la seguridad de la informacin son muy elevadas. Todo el personal, tanto interno como externo a la organizacin, debe conocer tanto las lneas generales de la poltica de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. Debe haber diferentes relaciones con los sistemas de informacin: operador, administrador, guardia de seguridad, personal de servicios, etc., y procesos de notificacin de incidencias claros, giles y conocidos por todos.
Versin 1.1
ITIL V3 FOUNDATION
5. Seguridad Fsica y del Entorno. Evitar accesos no autorizados, daos e interferencias contra los locales y la informacin de la organizacin. Evitar prdidas, daos o comprometer los activos as como la interrupcin de las actividades de la organizacin. Prevenir las exposiciones a riesgo o robos de informacin y de recursos de tratamiento de informacin. Las reas de trabajo de la organizacin y sus activos deben ser clasificadas y protegidas en funcin de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de ndole fsica (robo, inundacin, incendio...).
6. Gestin de Comunicaciones y Operaciones. Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y comunicacin. Asegurar la salvaguarda de la informacin en las redes y la proteccin de su infraestructura de apoyo. Evitar daos a los activos e interrupciones de actividades de la organizacin. Prevenir la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones. Se debe garantizar la seguridad de las comunicaciones y de la operacin de los sistemas crticos para el negocio.
7. Control de Accesos. Controlar los accesos a la informacin, evitar accesos no autorizados a los sistemas de informacin, evitar el acceso de usuarios no autorizados, proteger los servicios en red. Evitar accesos no autorizados a ordenadores, el acceso no autorizado a la informacin contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. Se deben establecer los controles de acceso adecuados para proteger los sistemas de informacin crticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc.
8. Desarrollo y mantenimiento de sistemas. Asegurar que la seguridad est incluida dentro de los sistemas de informacin. Evitar prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Proteger la confidencialidad, autenticidad e integridad de la informacin. Asegurar que los proyectos de Tecnologa de la Informacin y las actividades complementarias son llevadas a cabo de una forma segura. Mantener la seguridad del software y la informacin de la aplicacin del sistema. Debe contemplarse la seguridad de la informacin en todas las etapas del ciclo de vida del software en una organizacin: especificacin de requisitos, desarrollo, explotacin, mantenimiento, etc.
Versin 1.1
ITIL V3 FOUNDATION
9. Gestin de continuidad del negocio. Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente a grandes fallos o desastres. Todas las situaciones que puedan provocar la interrupcin de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados. Los planes de contingencia deben ser probados y revisados peridicamente. Se deben definir equipos de recuperacin ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miembro en caso de desastre.
10. Cumplimiento legal. Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requerimiento de seguridad. Garantizar la alineacin de los sistemas con la poltica de seguridad de la organizacin y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditora de sistemas. Se debe identificar convenientemente la legislacin aplicable a los sistemas de informacin corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrndola en el sistema de seguridad de la informacin de la compaa y garantizando su cumplimiento. Se debe definir un plan de auditora interna y ser ejecutado convenientemente, para garantizar la deteccin de desviaciones con respecto a la poltica de seguridad de la informacin.
Niveles de seguridad