Iso 27000

UIGV FISCT
II
Ingeniera de Software
Proyecto de Ingeniera de Software II Presencial
DELTRON
ISO/IEC 27,000
PROFESOR:
ING. HCTOR HENRQUEZ TABOADA
3A
ALUMNO :
ESCOBAR JIMNEZ RUBEN BRYAN
INDICE
Resumen
ndice
CAPITULO I: Introduccin a ISO/IEC 27000
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
1.1. Historia
1.2. Propsito de ISO/IEC 27000
1.3. Relacin con COBIT, 17799
CAPITULO II: Implementacin.
2.1.
Implementacin
incremental
de
NTP-ISO/IEC
27001:2008
2.2. Caso Prctico
CAPITULO III: Conclusiones y Recomendaciones
3.1 Conclusiones
3.2 Recomendaciones
Referencia Bibliografa
CAPITULO I: INTRODUCCIN A ISO/IEC 27000

La informacin es un activo vital para el xito y la continuidad en el mercado de
cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la
procesan es, por tanto, un objetivo de primer nivel para la organizacin.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un

sistema que aborde esta tarea de una forma metdica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission),
que proporcionan un marco de gestin de la seguridad de la informacin utilizable por
cualquier tipo de organizacin, pblica o privada, grande o pequea.
1.1
HISTORIA
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British
Standards Institution), la organizacin britnica equivalente a AENOR en Espaa) es
responsable de la publicacin de importantes normas como:
1979 Publicacin BS 5750 - ahora ISO 9001
1992 Publicacin BS 7750 - ahora ISO 14001
1996 Publicacin BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar
a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de
la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que
no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada
por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la
informacin (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt
por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas
de gestin.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public

por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta
ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el
contenido as como el ao de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public
la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.
Figura 1. Evolucin de la ISO/IEC 27000
1.2 PROPSITO DE ISO/IEC 27000

La norma NTE INEN-ISO/IEC 27000:2012 la conforman una serie de normas
denominadas familia de normas SGSI (Sistema de Gestin de la Seguridad de la
Informacin), cada una de ellas tiene un propsito especfico para la creacin y
mantenimiento de un SGSI dentro de una organizacin.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
El propsito de un sistema de gestin de la seguridad de la informacin no es garantizar

la seguridad que nunca podr ser absoluta- sino garantizar que los riesgos de la
seguridad de la informacin son conocidos, asumidos, gestionados y minimizados por la
organizacin de una forma documentada, sistemtica, estructurada, continua, repetible,
eficiente y adaptada a los cambios que se produzcan en la organizacin, los riesgos, el
entorno y las tecnologas.
Un SGSI ayuda a establecer estas polticas y procedimientos en relacin a los objetivos
de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre
menor al nivel de riesgo que la propia organizacin ha decidido asumir.
Con un SGSI, la organizacin conoce los riesgos a los que est sometida la informacin
y los asume, minimiza, transfiere o controla mediante una poltica definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
1.3 RELACIN CON COBIT, 17799

Los estndares ISO17799 e ISO 27000 son un conjunto de estndares desarrollados, o
en fase de desarrollo, por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de gestin de
la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o
privada, grande o pequea, mientras que COBIT es el marco aceptado
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
internacionalmente como una buena prctica para el control de la informacin, TI y los

riesgos que conllevan. COBIT se utiliza para implementar el gobierno de TI y mejorar
los controles de TI. Contiene objetivos de control, directivas de aseguramiento, medidas
de desempeo y resultados, factores crticos de xito y modelos de madurez, Por lo que
notamos una estrecha relacin entre ISO y COBIT, pues COBIT se trata de un marco
compatible con ISO 27002 (anterior ISO 17799:2005) que incorpora aspectos
fundamentales de otros estndares relacionados; por tanto, aquellas empresas y
organizaciones que hayan evolucionado segn las prcticas sealadas por COBIT estn
ms cerca de adaptarse y lograr la certificacin en ISO 27001.
En conclusin ISO17799 y ISO 27000 y COBIT van de la mano pues ambos velan por
la buena gestin de la informacin de las organizaciones.
COBIT
Los Objetivos de Control para la Informacin y la Tecnologas Relacionadas (COBIT)
es un marco de trabajo basado en procesos que rene buenas prcticas y estndares
internacionales (entre ellos la norma ISO/IEC 27000), dichos procesos estn enfocados
en la gestin de las tecnologas de la informacin de una organizacin, con el propsito
de alinear los objetivos de TI con los objetivos del negocio.
COBIT est compuesto por 4 dominios denominados:
Planear y Organizar (PO): este dominio establece directrices para asegurar que TI
contribuya al cumplimento de los objetivos del negocio, alineando las estrategias de TI
y las del negocio.
Adquirir e Implementar (AI): La identificacin, desarrollo o adquisicin de soluciones
de TI estn cubiertas por este dominio. Adems establece directrices para el cambio o
mantenimiento de los sistemas ya existentes.
Entregar y Dar Soporte (DS): La entrega de los servicios requeridos, administracin de
la seguridad y de la continuidad estn cubiertas por este dominio.
Monitorear y evaluar (ME): este dominio se encarga de la evaluacin del desempeo
de los procesos de TI y asegurar el cumplimiento de los requerimientos del negocio.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Los dominios de COBIT contienen 34 procesos genricos que administran los recursos
de TI y para cada proceso se define objetivos de control.
Una vez investigado el contenido de COBIT se pueden emitir algunos criterios sobre las
principales diferencias con la norma ISO/IEC 27000:
Enfoque: COBIT est orientado al negocio y al gobierno de TI, mientras que la norma
ISO/IEC 27000 se centra en el establecimiento de controles de seguridad seleccionados
a partir de un proceso de gestin del riesgo.
Objetivo: COBIT busca ser una solucin integrada que ayuda a las organizaciones a
establecer un gobierno de TI. La norma ISO/IEC 27000 permite a las organizaciones la
creacin, mantenimiento y mejora de un sistema de gestin de seguridad de la
informacin.
Estructura: COBIT posee 34 procesos agrupados en 4 dominios. La norma ISO/IEC
27000 posee 11 dominios, 39 objetivos de control y 133 controles.
La Tabla presenta un mapeo entre los objetivos de control definidos en COBIT versin
4.1 y la norma ISO/IEC 27001.
Proceso COBIT Versin 4.1
PO1 Definir un plan
Incluido en la Norma
Objetivos de control de COBIT no
ISO/IEC 27001
considerados en la Norma
(si/no/parcialmente)
No
ISO/IEC 27001
PO1.1 Administracin del Valor de TI
estratgico de TI
PO1.2 Alineacin de TI con el Negocio

PO1.3 Evaluacin del Desempeo y la
Capacidad Actual
PO1.4 Plan Estratgico de TI
PO1.5 Planes Tcticos de TI
PO2 Definir la arquitectura
Parcialmente
de informacin
PO1.6 Administracin del Portafolio de TI

PO2.1 Modelo de Arquitectura de
Informacin Empresarial
PO3 Determinar la
Parcialmente
PO2.4 Administracin de Integridad

PO3.2 Plan de Infraestructura Tecnolgica
orientacin tecnolgica
PO4 Definir los procesos,
Parcialmente
PO4.1 Marco de Trabajo de Procesos de
organizacin y relaciones
TI
de TI
PO4.2 Comit Estratgico de TI
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
PO4.7 Responsabilidad de Aseguramiento

de Calidad de TI
PO4.12 Personal de TI
PO5 Gestionar la inversin
Parcialmente
en TI
PO4.13 Personal Clave de TI

PO5.1 Marco de Trabajo para la
Administracin Financiera
PO5.2 Prioridades Dentro del Presupuesto
de TI
PO5.5 Administracin de Beneficios
PO6 Comunicar las
Si
aspiraciones y la direccin
de la gerencia
PO7 Gestin de los
Parcialmente
PO7.5 Dependencia Sobre los Individuos
recursos humanos de TI
PO8 Gestin de la calidad
Parcialmente
PO8.1 Sistema de Administracin de

Calidad
PO8.2 Estndares y Prcticas de Calidad
PO8.4 Enfoque en el Cliente de TI
PO8.5 Mejora Continua
PO8.6 Medicin, Monitoreo y Revisin
PO9 Evaluar y gestionar los
Parcialmente
riesgos de TI
PO10 Gestionar proyectos
de la Calidad
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un
No
Plan de Accin de Riesgos

Administracin de Programas
Administracin de Proyectos
PO10.3 Enfoque de Administracin de
Proyectos
PO10.4 Compromiso de los Interesados
PO10.5 Declaracin de Alcance del
Proyecto
PO10.6 Inicio de las Fases del Proyecto
PO10.7 Plan Integrado del Proyecto
PO10.8 Recursos del Proyecto
PO10.9 Administracin de Riesgos del
Proyecto
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
PO10.10 Plan de Calidad del Proyecto

PO10.11 Control de Cambios del
Proyecto
PO10.12 Planeacin del Proyecto y
Mtodos de Aseguramiento
PO10.13 Medicin del Desempeo,
Reporte y Monitoreo del Proyecto
AI1 Identificar soluciones
Parcialmente
automatizadas
AI2 Adquirir y mantener
PO10.14 Cierre del Proyecto

AI1.3 Estudio de Factibilidad y
Formulacin de Cursos de Accin
Parcialmente
software aplicativo
Alternativos
AI2.1 Diseo de Alto Nivel
AI2.2 Diseo Detallado
AI2.9 Administracin de los
Requerimientos de Aplicaciones
AI2.10 Mantenimiento de Software
AI3 Adquirir y mantener la
Parcialmente
Aplicativo
AI3.1 Plan de Adquisicin de
infraestructura tecnolgica
AI4 Facilitar la operacin y
Parcialmente
Infraestructura Tecnolgica
AI4.1 Plan para Soluciones de Operacin
el uso
AI4.2 Transferencia de Conocimiento a la

Gerencia del Negocio
AI4.3 Transferencia de Conocimiento a
AI5 Adquirir recursos de TI
Parcialmente
Usuarios Finales
AI5.3 Seleccin de Proveedores
AI5.4 Adquisicin de Recursos de TI
AI6 Gestionar cambios

AI7 Instalar y acreditar
Si
Parcialmente
soluciones y cambios
AI7.3 Plan de Implantacin

AI7.5 Conversin de Sistemas y Datos
AI7.8 Promocin a Produccin
AI7.9 Revisin Posterior a la
DS1 Definir y gestionar los
Parcialmente
niveles de servicio
Implantacin
DS1.4 Acuerdos de Niveles de Operacin
DS1.6 Revisin de los Acuerdos de
Niveles de Servicio y de los Contratos
DS2 Gestionar los servicios
Si
de terceros
DS3 Gestionar el
Parcialmente
desempeo y la capacidad
DS4 Garantizar la
Si
Semestre: 2015-II
DS3.4 Disponibilidad de Recursos de TI

DS3.5 Monitoreo y Reporte
ISO/IEC 27000
UIGV FISCT
II
continuidad del servicio

DS5 Garantizar la
Si
seguridad
de los sistemas
DS6 Identificar y asignar
No
costos
DS6.1 Definicin de Servicios

DS6.2 Contabilizacin de TI
DS6.3 Modelacin de Costos y Cargos
DS6.4 Mantenimiento del Modelo de
DS7 Educar y entrenar a los
Parcialmente
usuarios
DS8 Gestionar la mesa de
Si
servicios y los incidentes

DS9 Gestionar la
Si
configuracin
DS10 Gestionar problemas
Parcialmente
Costos
DS7.3 Evaluacin del Entrenamiento
Recibido
DS10.3 Cierre de Problemas

DS10.4 Integracin de las
Administraciones de Cambios,
Configuracin y Problemas
DS11 Gestionar datos

DS12 Gestionar el ambiente
Si
Si
fsico
DS13 Gestionar las
Parcialmente
operaciones
DS13.2 Programacin de Tareas

DS13.3 Monitoreo de la Infraestructura de
TI
DS13.4 Documentos Sensitivos y
ME1 Monitorear y evaluar
Parcialmente
el desempeo de TI
Dispositivos de Salida
ME1.1 Enfoque del Monitoreo
ME1.3 Mtodo de Monitoreo
ME1.4 Evaluacin del Desempeo
ME1.5 Reportes al Consejo Directivo y a
Ejecutivos
ME1.6 Acciones Correctivas
ME2 Monitorear y evaluar
Si
el control interno
ME3 Garantizar el
Parcialmente
cumplimiento de requisitos
externos
ME4 Proporcionar
gobierno de TI
Semestre: 2015-II
ME3.2 Optimizar la Respuesta a

Requerimientos Externos
Parcialmente
ME3.5 Reportes Integrados

ME4.1 Establecimiento de un Marco de
Gobierno de TI
ISO/IEC 27000
UIGV FISCT
II
ME4.2 Alineamiento Estratgico

ME4.3 Entrega de Valor
ME4.4 Administracin de Recursos
ME4.5 Administracin de Riesgos
ME4.6 Medicin del Desempeo
Tabla Mapeo entre los Objetivos de Control de COBIT y los Controles de la Norma
ISO/IEC 27001
Se puede apreciar en la Tabla que varios objetivos de control de COBIT no son
considerados por la norma ISO/IEC 27001, es decir que si se desea utilizar COBIT para
la gestin de la seguridad de la informacin, se estara implementando objetivos de
control que no necesariamente aportaran a la proteccin de los activos de informacin,
significando esto un gasto innecesario de recursos y tiempo.
Como ventaja sobre COBIT la norma ISO/IEC 27001 es certificable, lo que incrementa
el prestigio y la confianza de usuarios y clientes en la organizacin certificada. Adems,
si lo que se desea es especficamente crear un sistema de gestin de seguridad, la mejor
opcin sera la norma ISO/IEC 27001 debido a que define su propio proceso de gestin
del riesgo y un conjunto de controles de seguridad. En cambio COBIT se encuentra en
un nivel ms alto de gestin y aunque tambin abarca la seguridad de la informacin
utiliza un enfoque ms orientado a las necesidades del negocio que especficamente a
gestionar la seguridad de la informacin desde un enfoque ms procedimental y
orientado a gestin de riesgos.
ISO 17799
ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de
la seguridad de la informacin a todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestin de la seguridad de la informacin.
La versin de 2005 del estndar incluye las siguientes once secciones principales:
1. Poltica de Seguridad de la Informacin.
2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
4. Seguridad de los Recursos Humanos.

5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
La norma ISO/IEC 27001 (Information technology - Security techniques - Information
security management systems - Requirements), s es certificable y especifica los
requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de
Gestin de la Seguridad de la Informacin segn el famoso Crculo de Deming:
PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es
consistente con las mejores prcticas descritas en ISO/IEC 17799 y tiene su origen en la
norma britnica British Standard BS 7799-2 publicada por primera vez en 1998 y
elaborada con el propsito de poder certificar los Sistemas de Gestin de la Seguridad
de la Informacin implantados en las organizaciones y por medio de un proceso formal
de auditora realizado por un tercero.
En toda organizacin que haga uso de las tecnologas de informacin se recomienda
implementar buenas prcticas de seguridad, pues en muchas ocasiones el no seguir un
proceso de implementacin adecuado como el que establece el ISO 17799 puede
generar huecos por la misma complejidad de las organizaciones, en ese sentido,
aumenta la posibilidad de riesgos en la informacin.
Este estndar internacional de alto nivel para la administracin de la seguridad de la
informacin, fue publicado por la ISO (International Organization for Standardization)
en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual
trabajen las organizaciones.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
El ISO 17799, al definirse como una gua en la implementacin del sistema de

administracin de la seguridad de la informacin, se orienta a preservar los siguientes
principios de la seguridad informtica:
Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la
informacin.
Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por
entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la informacin
cuando la requieran.
Estos principios en la proteccin de los activos de informacin constituyen las normas
bsicas deseables en cualquier organizacin, sean instituciones de gobierno, educativas
e investigacin; no obstante, dependiendo de la naturaleza y metas de las
organizaciones, stas mostrarn especial nfasis en algn dominio o rea del estndar
ISO 17799.
El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de
la organizacin, reducir al mnimo los daos causados por una contingencia, as como
optimizar la inversin en tecnologas de seguridad.
Como todo buen estndar, el ISO 17799 da la pauta en la definicin sobre cules
metodologas, normas o estndares tcnicos pueden ser aplicados en el sistema de
administracin de la seguridad de la informacin, se puede entender que estos
estndares son auxiliares y sern aplicados en algn momento al implementar el mismo.
La aplicacin de un marco de referencia de seguridad basado en el ISO 17799
proporciona beneficios a toda organizacin que lo implemente, al garantizar la
existencia de una serie de procesos que permiten evaluar, mantener y administrar la
seguridad de la informacin.
Las polticas, estndares locales y los procedimientos se encuentran adaptados a las
necesidades de la organizacin debido a que el proceso mismo de su elaboracin integra
mecanismos de control y por ltimo, la certificacin permite a las organizaciones
demostrar el estado de la seguridad de la informacin, situacin que resulta muy
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
importante en aquellos convenios o contratos con terceras organizaciones que

establecen como requisito contractual la certificacin BS7799.
Es importante entender los principios y objetivos que dan vida al ISO 17799, as como
los beneficios que cualquier organizacin, incluyendo las instituciones pblicas,
privadas y ambientes educativos pueden adquirir al implementarlo en sus prcticas de
seguridad de la informacin.
El estndar de seguridad de la informacin ISO 17799, descendiente del BS 7799
Information Security Management Standard de la BSI (British Standard Institute) que
public su primera versin en Inglaterra en 1995, con actualizaciones realizadas en
1998 y 1999, consiste de dos partes:
Parte 1. Cdigo de prcticas.
Parte 2. Especificaciones del sistema de administracin de seguridad de la
informacin.
Por la necesidad generalizada de contar con un estndar de carcter internacional que
permitiera reconocer o validar el marco de referencia de seguridad aplicado por las
organizaciones, se elabor el estndar ISO17799:2000, basado principalmente en la
primera parte del BS 7799 conocida como Cdigo de Prcticas (BS 7799 Part 1: Code
of Practice).
El xito de la implementacin del estndar de seguridad ISO 17799 requiere de una
serie de procedimientos donde, inicialmente, el anlisis de riesgos identificar los
activos de la informacin y las amenazas a las cuales se encuentra expuesta.
El anlisis de riesgos guiar en la correcta seleccin de los controles que apliquen a la
organizacin; este proceso se conoce en la jerga del estndar como Statement of
Applicability, que es la definicin de los controles que aplican a la organizacin con
objeto de proporcionar niveles prcticos de seguridad de la informacin y medir el
cumplimiento de los mismos.
A continuacin, se describirn cada una de las diez reas de seguridad con el objeto de
esclarecer los objetivos de estos controles.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Polticas de seguridad. El estndar define como obligatorias las polticas de seguridad

documentadas y procedimientos internos de la organizacin que permitan su
actualizacin y revisin por parte de un Comit de Seguridad.
Seguridad organizacional. Establece el marco formal de seguridad que debe integrar
una organizacin, tales como un foro de administracin de la seguridad de la
informacin, un contacto oficial de seguridad (Information System Security Officer
ISSO), revisiones externas a la infraestructura de seguridad y controles a los servicios
de outsourcing, entre otros aspectos.
Clasificacin y control de activos. El anlisis de riesgos generar el inventario de
activos que deber ser administrado y controlado con base en ciertos criterios de
clasificacin y etiquetado de informacin, es decir, los activos sern etiquetados de
acuerdo con su nivel de confidencialidad.
Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la
seguridad del personal desde la ptica de proteccin civil, sino a proporcionar controles
a las acciones del personal que opera con los activos de informacin.
El objetivo de esta rea del estndar es contar con los elementos necesarios para mitigar
el riesgo inherente a la interaccin humana, es decir, establecer claras responsabilidades
por parte del personal en materia de seguridad de la informacin.
Seguridad fsica y de entorno. Identificar los permetros de seguridad, de forma que se
puedan establecer controles en el manejo de equipos, transferencia de informacin y
control de los accesos a las distintas reas con base en el tipo de seguridad establecida.
Comunicaciones y administracin de operaciones. Integrar los procedimientos de
operacin de la infraestructura tecnolgica y de controles de seguridad documentados,
que van desde el control de cambios en la configuracin de los equipos, manejo de
incidentes, administracin de aceptacin de sistemas, hasta el control de cdigo
malicioso.
Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los
activos de informacin, que incluyen los procedimientos de administracin de usuarios,
definicin de responsabilidades o perfiles de seguridad y el control de acceso a las
aplicaciones.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Desarrollo de sistemas y mantenimiento. La organizacin debe disponer de

procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para
tareas especficas de la organizacin.
Continuidad de las operaciones de la organizacin. El sistema de administracin de
la seguridad debe integrar los procedimientos de recuperacin en caso de contingencias,
los cuales debern ser revisados de manera constante y puestos a prueba con la finalidad
de determinar las limitaciones de los mismos.
Requerimientos legales. La organizacin establecer los requerimientos de seguridad
que deben cumplir todos sus proveedores, socios y usuarios; stos se encontrarn
formalizados en los contratos o convenios.
Cada una de las reas establece una serie de controles que sern seleccionados
dependiendo de los resultados obtenidos en el anlisis de riesgos, adems, existen
controles obligatorios para toda organizacin, como es el de las polticas de seguridad
cuyo nmero depender ms de la organizacin que del estndar, el cual no establece
este nivel de detalle.
CAPITULO II: IMPLEMENTACIN
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
FASE 1: ORGANIZACIN
Determinar el Alcance del Sistema de Gestin de Seguridad de la
Informacin:
La presente Metodologa para el Sistema de Gestin de Seguridad de la Informacin
cubrir los aspectos de seguridad de los activos de la empresa, adaptando los controles
de la norma ISO 27001 en base a la realidad existente en la organizacin, con un
anlisis de riesgos, identificacin de amenazas y vulnerabilidades de los activos fsicos,
lgicos y de servicios, incluyendo todo tipo de informacin de la empresa.
A continuacin presentamos los activos de la empresa:
#
1
Activos a proteger
Servidores Web (Memoria, Disco duro, Procesador, Monitor,
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
2
3
4
5
6
7
8
9
Mouse, Fuente de poder).

Bases de datos.(MySQL, SQL Server)
Servicios (Evaluacin Institucional, Sistema de recursos
Humanos, Sistema de autenticacin global E-mail).
Software (Software de aplicacin, programas fuente,
sistemas operativos).
Backup o respaldos
Dispositivos de red (Cableado, antenas, switch, hubs,
mdems, routers).
Personal (Usuarios o empleados).
Documentacin de programas,
hardware,
sistemas,
procedimientos administrativos, manuales, etc.

Insumos (cintas, cartuchos de tinta, tner,
papel,
formularios, etc.).
Determinar la declaracin de Polticas de Seguridad de la Informacin

y Objetivos:
1. Poltica de Manejo de Contraseas:
Objetivo:
Reglamentar la poltica de contraseas de acceso de los equipos informticos, correo y
sistemas de informacin.
Alcance:
Contraseas manejadas en todas las reas de la empresa.
Definiciones:
Contrasea: Sea secreta que permite el acceso
Aplicacin:
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
-No utilizar la misma contrasea para las cuentas utilizadas en su ambiente laboral que
en sus cuentas y accesos personales.

-Las contraseas deben tener un grado de creacin:
Debe tener una longitud mnima de 7 caracteres.
Deben contener tanto minsculas y maysculas.
Deben contener dgitos.
Se debe cambiar la contrasea por lo menos 3 meses.
2. Poltica de Proteccin contra virus:
Objetivo:
Establecer los requerimientos que deben cumplir todas las computadoras y servidores
conectados a la red de la empresa para asegurar la prevencin y deteccin efectiva de
virus.
Alcance:
Esta poltica aplica a todas las computadoras y servidores de la empresa.
Definiciones:
-Virus: Los virus informticos son programas de computadora que se reproducen a s
mismo e interfieren con el hardware de una computadora o con su sistema operativo.
-Antivirus: Son programas que se encargan de encontrar y en lo posible eliminar o dejar
sin efecto la accin de los virus informticos y otro tipo de programas malignos.
-Spam: Se llama spam o correo basura a los mensajes no solicitados, habitualmente de
tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican al
receptor.
Responsabilidades:
rea de Sistemas
-El rea de sistemas notificara a los empleados acerca de las amenazas.
-El rea de sistemas debe asegurarse que todas las computadoras y servidores de la
empresa, tengan instalado un antivirus y que se encuentre actualizado.
-Cada cierto tiempo se dar un mantenimiento para detectar algn tipo de virus.
Usuarios
-Cuando un empleado reciba un correo de fuente desconocida, sospechosa o no
confiable, no debe abrirlo y debe proceder a borrarlo.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
-Si el antivirus no se actualiza o no est instalado el empleado deber notificarlo al rea

de sistemas.
-Los empleados no debern descargar archivos de fuentes desconocidas o sospechosas.
No utilizar software sin autorizacin del rea de sistemas.
3. Poltica del control de acceso:
Objetivo:
Definir los lineamentos para que los diferentes accesos a las reas, informaciones y
sistemas de la organizacin se encuentren controlados y documentados.
Alcance:
-Acceso a las diferentes reas de la empresa.
-Acceso a la informacin almacenada en servidores.
Aplicacin:
-Cada empleado solo tendr acceso a aquellas reas, informacin y sistemas de la
empresa que son necesarias para el desempeo diario de sus labores.
-Se tendr instalado cmaras de seguridad que permitan monitores las
Instalaciones de la empresa y en caso se requiera ser visto por algn gerente.
-Se mantendr reportado el ingreso de personal externo a la empresa.
-Se mantendr registrado el ingreso y salida de aparatos informticos.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
4. Poltica de Clasificacin de la informacin:
Objetivo
Reglamentar la poltica de clasificacin de informacin de las distintas reas de la
empresa.
Alcance
Informacin manejada en toda la empresa.
Descripcin
Las reas de la empresa debern clasificar su informacin de acuerdo a su importancia.
Los documentos de confiabilidad debern ser de acceso restringido.
(Especificar las reas y sus archivos a clasificar).
5. Poltica de Disposicin de medios y equipos
Objetivo
Proveer los alineamientos para la disposicin de la mayora de los tipos de medios
incluyendo aquellos equipos que hayan cumplido su ciclo de vida.
Alcance
Esta poltica aplica a todos los empleados.
Aplicacin
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
-Los equipos que estn deteriorados u obsoletos debern seguir unos pasos para una
posterior eliminacin del dispositivo o donacin del mismo.
-Los discos duros debern ser borrados en su totalidad utilizando el formateado.
-Las memoras USB debern ser destruidas.
-Los discos de grabacin debern ser cortados o triturados.
-Los documentos confiables debern ser cortados o triturados.
-Se tomara alguna decisin final sobre el dispositivo como Donacin, venta, Reciclaje.
6. Poltica de Backup
Objetivo
El rea de sistemas se encargara de proteger y garantizar que la informacin almacenada
en la empresa se mantenga respaldada y sean recuperables en el momento que se
necesite.
Alcance
Esta poltica aplica al rea de sistemas.
Aplicacin
1. Determinar o identificar el nmero de aplicativos y/o bases de datos para respaldo.
2. Determinar los mecanismos de copias de respaldo segn la base de datos a respaldar:
manual o automtico.
3. Verificar si el Backup es automtico el sistema asigna fecha de creacin de la base de
datos, si no se debe cambiar la fecha de creacin de la misma.
4. Verificar los archivos log del servidor.
5. Comprimir los archivos en formato .zip o .rar si la copia se realiza correctamente.
6. Verificar las copias comprimidas, para verificar que se pueden descomprimir cuando
se necesiten.
7. Volver a realizar copia por segunda vez, si el archivo log del servidor indica un error
8. Grabar diaria, semanal y anualmente, en un dispositivo de almacenamiento (CD)
todas las copias y guardar en la Oficina de Informtica.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
9. Grabar mensualmente en un dispositivo de almacenamiento (CD) todas las copias se

guarda una en la oficina de Informtica y se enva otra a un ente externo.
FASE 2: PLANIFICACION
Realizar Evaluacin de Riesgos:

El presente anlisis de riesgos es desarrollado con el propsito de determinar cul o
cules de los activos pertenecientes a la empresa tienen mayor vulnerabilidad ante
factores externos o internos que puedan afectarlos, identificando las causas potenciales
que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su
ocurrencia, evaluando sus probables efectos, y considerando el grado en que el riesgo
pueda ser controlado, de esta manera se garantiza la adaptacin efectiva y real en la
integracin de los controles de la norma ISO 27001.
Para generar esta informacin se desempe las siguientes actividades:
Anlisis de los Activos y factores de riesgo
Presentamos los distintos activos reconocidos en la empresa, asignando un valor a la
importancia que tienen en la institucin, ponderada en una escala del 1 al 10. Esta
importancia es un valor subjetivo que refleja el nivel de impacto que puede tener en la
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
organizacin si un incidente afectara a los activos, sin considerar las medidas de

seguridad que existan sobre los mismos.
Importancia de 1 a10
#
1
2
3
4
5
6
7
8
9
Activos a proteger
Imp.
Servidores Web (Memoria, Disco duro. Procesador, Monitor, Mouse,

Fuente de poder).
Bases de datos.(MySQL, SQL Server)
10
Servicios (Evaluacin Institucional, Sistema de recursos Humanos,

Sistema de autenticacin global E-mail).
Software(Software de aplicacin, programas fuente, sistemas
operativos)
Backup o respaldos
Dispositivos de red(Cableado , antenas, switch, hubs, mdems, routers)
Personal(Usuarios o empleados)
9
9
8
9
7
6
Documentacin de programas, hardware, sistemas, procedimientos

administrativos, manuales, etc.
Insumos (cintas, cartuchos de tinta, tner, papel, formularios, etc.)
9
6
A continuacin se listan los factores de riesgo que pueden afectar a dichos activos,
indicando la probabilidad de que estas contingencias ocurran, en una escala del 1 al 3.
Esta probabilidad es evaluada teniendo en cuenta las medidas de segundad existentes en
la organizacin.
Probabilidad de 1 a 3
#
Factores de Riesgo
Probabilida
d
3
Acceso no autorizado a datos
Acceso no autorizado a los laboratorios
Aplicaciones sin licencia
Ausencia o falta de segmentacin
Complejidad en el diseo de las redes
Condiciones de trabajo adversas
Copia no autorizada de la informacin a un medio de datos
Corte de luz o variaciones de voltaje
Cracking de password
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
10
Dao o destruccin de cables
11
Destruccin negligente de datos
12
E- mail bombing y spamming
13
Error de configuracin en los servidores
14
Errores de software
15
Errores en las funciones de encriptacin
16
Falla de Base de datos
17
Falla del sistema
18
Falta de autenticacin
19
Falta de espacio de almacenamiento
20
Incendios
21
Ingreso de polvo
22
Interferencias
23
Inundaciones o filtracin de agua
24
Lmite de vida til de equipos
25
Mal mantenimiento de los servidores
26
Mala administracin de cuentas de usuario
27
Mala integridad de los datos resguardados
28
Suspensin de servicios Web
29
Perdida de backups
30
Riesgo por el personal de limpieza o personal externo
31
Robo de dispositivos o equipos
32
Rtulos inadecuados en los medios de datos
33
Sabotaje
34
Software desactualizado
35
Spoofing y sniffing
36
Transporte inseguro de archivos
37
Usurpacin de usuarios
38
Utilizacin de claves o password simples por los usuarios
39
Virus
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Conducir un Anlisis entre los Riesgos Identificados y las Medidas

Correctivas Existentes:
En el presente cuadro se listan los activos de la empresa, los factores de riesgos que los
afectan directamente y las consecuencias que puede acarrear la ocurrencia de estos
factores. Se agrega informacin referida a las medidas que ha tomado la empresa para
mitigar estas consecuencias. Por ltimo mediante un anlisis se ha evaluado estas
medidas, indicando si son deficientes, mejorables o eficientes.
Acti
vo
S
E
R
V
I
D
O
Factor de Riesgo
Consecuencias?
Acceso no
autorizado a los
laboratorios
Robo, modificacin de
la informacin
Seguridad fsica, puertas

protegidas
Corte de luz, o
variaciones de
voltaje.
Incendios
Dao de los equipos o

parte de ellos
Dao total o parcial de
los equipos por el fuego
o altas temperaturas
Dao total o parcial de
los equipos por el agua
UPS, estabilizador,
disposicin de un pozo a
tierra, generador de luz
Equipos contra incendio
(extintores, fuentes de agua)
capacitacin del personal.
Seguridad fsica y buen
diseo del edificio
Deterioro en la
performance del sistema
Equipamiento actual y
asesoramiento permanente
Inundaciones o
filtracin de
agua
Limite de vida
til, maquinas
obsoletas
Semestre: 2015-II
Como se protege?
Es efectiva
e
m
ISO/IEC 27000
UIGV FISCT
II
R
E
S
Activ
o
B
A
S
E
S
D
E
D
A
T
O
S
Mal
mantenimiento de
los servidores
Robo de
dispositivos o
equipos
Interrupciones en el
funcionamiento del
sistema
Perdida de equipamiento
o informacin
Factor de Riesgo
Acceso no
autorizado a los
datos
Copia no
autorizada de un
medio dededatos
Errores
software
Falla de base de
datos
Falta de espacio de
almacenamiento
Mala integridad de
los datos
Perdida de confidencialidad en datos
privados y de
Virus
sistema
Semestre: 2015-II
Mantenimiento interno y
permanente
Controles de accesos
fsicos, guardias de
seguridad,alarmas
Consecuencias?
Como se protege?
Robo, modificacin de
la informacin
Seguridad lgica y
firewall
Divulgacin de
informacin
Inconsistencias en los
datos
Inconsistencias en los
datos
Falla en la aplicacin
Desabilitacin de
puertos y controles
lgicos internos y
Controles
backup de los datos.
Controles internos y
backup de los datos.
Recursos abundantes de
almacenamiento
Controles en las
aplicaciones
Controles
desarrolladas fsicos
y controles
de accesos
Herramientas
lgicos a datosantivirus
crticos
y firewall
Inconsistencias y
redundancia de datos
Divulgacin de
informacin
Perdida, modificacin o
divulgacin de datos,
perdida de tiempo, y
productividad.
Es efectiva
m
m
m
e
e
m
ISO/IEC 27000
UIGV FISCT
II
Activ
o
S
E
R
V
I
C
Factor de Riesgo
Activ
o
S
O
F
T
W
Acti
vo
B
Como se protege?
Servicio inactivo
Craking de password
Transporte inseguro
de archivos
Modificacin o
divulgacin de
informacin
Divulgacin de
informacin
Factor de riesgo
Consecuencias?
Como se protege?
Acceso no
autorizado a los
servidores
Mala administracin en
las cuentas de usuario o
divulgacin de claves
Error de
configuracin en los
servidores
Falla del sistema
Mal funcionamiento de
los servidores
Permisos mnimos
necesarios para el
desempeo de sus
funciones
Existen herramientas
de anlisis y personal
de mantenimiento
Backup y sistemas de
respaldo
Controles
de
accesos lgicos,
reforzando en datos
crticos.
A
R
Consecuencias?
Negacin de servicio
Web
Utilizacin de claves
o password simples
por los usuarios
Usurpacin de
usuarios
I
O
Mala
administracin
de control de acceso.
Factor de riesgo
Fcil descubrimiento
de claves
Cambio o robo de
informacin
Posibles demoras en el
desarrollo de las
Divulgacin
y
funciones
modificacin de
informacin.
Consecuencias?
Copia
no Robo de informacin
autorizada a un
medio de datos
Semestre: 2015-II
Responsable por cada

servicio
Capacitacin a
los usuarios con
polticas de buenos
Capacitacin
en la
password
confidencialidad de la
informacion
Utilizacin de
algoritmos complejos
Chequeo permanente
de puertos,
herramientas de
monitoreo de datos
Como se protege?
Controles de seguridad
fsica y controles de
accesos lgicos a los
servidores
Es efectiva
m
m
Es efectiva
m
e
Es
efectiva
e
ISO/IEC 27000
UIGV FISCT
II
A
C
K
U
P
Falta de
espacio
Perdida
backups
Rtulos
inadecuados
los medios
Activo
D
O
C
U
M
E
N
T
A
C
I
O
N
Falla en la generacin del

de backup
de Falta de datos, incapacidad
de
restaurarlos y divulgacin
Errores
durante
la
de la informacin
en restauracin de datos
de
Factor de riesgo
Consecuencias?
Borrado, modificacin o Documentacin

revelacin desautorizada incorrecta
de informacin
Existencia
de discos
redundantes para la copia
Backups redundantes
d
Rtulos
capaces
de
diferenciar cada medio de
datos como nico.
Como se protege?
Actualizacin
permanente
de
polticas
de
seguridad
Descripcin de archivos Documentacin
Formatos
bien
inadecuada
incorrecta
estructurados para
las
diferentes
Documentacin
Entorpecimiento de Actualizacin
insuficiente o faltante, la administracin y permanente
de la
funciones
no
uso del sistema
documentacin de
documentadas
los procesos
Robo de documentos
Divulgacin
de Controles de acceso
informacin
fsico a datos
Semestre: 2015-II
Es
efectiva
m
ISO/IEC 27000
UIGV FISCT
II
Desarrollar un Plan de Tratamiento de Riesgos:
Seguridad fsica y del Entorno:

Responde a la necesidad de proteger las reas, el equipo y los controles generales.
1. rea Administracin:
o Los componentes de computacin (Pantalla, CPU, mouse, teclado,
cables) debern estar bien conectados y unidos con alguna cinta.
o El acceso a la informacin deber estar definida por usuario y contrasea
o
o
o
o
o
personalizada.
Se deber tener un mximo de personas segn sea el espacio fsico.
Se tendr instalado 01 extintor en la entrada.
Deber instalarse 01 cmara de seguridad.
Se instalar detector de humo.
Se configurar el computador cuando tenga 10 minutos de inactividad se
bloquee y requiera ingresar usuario y contrasea personalizada.

o Los documentos estarn debidamente archivados.
o Se crear un registro de personas externas ingresadas a la empresa.
2. rea de Sistemas:
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II

personalizada.
o Se deber tener un mximo de personas segn sea el espacio fsico. Solo
o
o
o
o
personal de sistemas podr ingresar.


o Solo el rea de sistemas maneja clave de administrador y de servidores.
o Se deber administrar el uso de contraseas con fecha de caducidad (3
meses) y el uso de una contrasea con mnimo de 6 caracteres. (letras,
nmeros, Mayscula, minscula, etc.).
o Se dar mantenimiento cada 3 meses a las computadoras.
3. rea de Servidores:
o Se deber instalar aire acondicionado dentro del rea.
o
o
o
o
personalizada.(solo administrador)
Se tendr instalado extintores en la entrada y en el centro del rea.
4. rea de Investigacin:
o Se deber instalar aire acondicionado dentro del rea.
o
o
o
o
personalizada.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
o Los documentos estarn debidamente archivados.
CONCLUSIONES
1. El estudio realizado de polticas y reglamentos para la seguridad de la
informacin permite visualizar con mayor claridad la importancia y el valor de
la informacin para la Organizacin adaptados a la necesidad de proteccin de
datos.
2. Mediante la recopilacin de la informacin de los activos involucrados en los
sistemas de informacin pertenecientes al a empresa, se pudo constatar los
problemas actuales de falencias en el mantenimiento, organizacin y la falta de
una metodologa de seguridad de la informacin basadas en normas que
garanticen su seguridad.
3. El estudio de la Norma ISO 27001 ha permitido mejorar el conocimiento de los
sistemas de seguridad de la informacin, sus problemas y los medios de
proteccin adems cubre el vaco que ha generado la inexistencia de un mtodo
documentado, sobre cmo proceder a implantar un Sistema de Gestin de
Seguridad de la Informacin.
4. Al aplicar el ciclo (Plan, Do, Check, Act) en la elaboracin inicial de la
metodologa se obtiene eficiencia en sus contenidos y se ha logrado determinar
espacios de desarrollo para cada una de las actividades involucradas en la
gestin de un SGSI, es decir que la metodologa elaborada cubre estos aspectos
durante todo el proceso de desarrollo.
5. A travs de la creacin de la metodologa para un SGSI usando la norma ISO
27001, se pretende gestionar y concienciar el cumplimiento de la misma al
personal de la empresa para mejorar su compromiso con la seguridad de la
informacin en toda la organizacin.
6. Por medio de la aplicacin desarrollada se podr analizar el cumplimiento de los
elementos involucrados en la metodologa elaborada segn la norma ISO 27001,
para la toma correcta de decisiones por parte de los gestores de un SGSI.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
RECOMENDACIONES
1. Para llevar a cabo una buena gestin de la informacin es recomendable el
compromiso de todo el personal involucrado en el funcionamiento y
mantenimiento de los activos de la informacin en la organizacin.
2. Toda organizacin grande o pequea requiere de una metodologa de Seguridad
de Informacin acorde a sus necesidades para garantizar su confidencialidad,
integridad y disponibilidad.
3. La puesta en prctica de la metodologa requiere la autorizacin y colaboracin
de todas unidades operativas de las mismas sin diferenciar sean grandes o
pequeas.
4. Se recomienda poner en prctica el contenido de la metodologa y los aspectos
all descritos para la gestin de la seguridad de la informacin, de esta manera se
respalda el objetivo del trabajo que se convierte en los inicios del camino de
certificacin para la empresa bajo la Norma ISO 27001.
5. Es recomendable que una vez evaluada la gestin de seguridad de la empresa se
implemente las medidas necesarias para subir el nivel de eficiencia del mismo y
mantener altos niveles de seguridad de la informacin, este aspecto es motivo de
una nueva investigacin.
6. Se recomienda que la empresa dentro de su Organizacin Funcional, defina un
rea para la gestin de seguridades y pruebas del mantenimiento de la
informacin.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Semestre: 2015-II
ISO/IEC 27000

Iso 27000

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 27000

Cargado por

Copyright:

Formatos disponibles

UIGV FISCT

Proyecto de Ingeniera de Software II Presencial

CAPITULO I: INTRODUCCIN A ISO/IEC 27000

Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un

En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public

Figura 1. Evolucin de la ISO/IEC 27000

1.2 PROPSITO DE ISO/IEC 27000

El propsito de un sistema de gestin de la seguridad de la informacin no es garantizar

1.3 RELACIN CON COBIT, 17799

internacionalmente como una buena prctica para el control de la informacin, TI y los

PO1 Definir un plan

Objetivos de control de COBIT no

PO1.2 Alineacin de TI con el Negocio

PO2 Definir la arquitectura

PO1.6 Administracin del Portafolio de TI

PO2.4 Administracin de Integridad

PO4.1 Marco de Trabajo de Procesos de

PO4.2 Comit Estratgico de TI

PO4.7 Responsabilidad de Aseguramiento

PO4.13 Personal Clave de TI

PO6 Comunicar las

PO7.5 Dependencia Sobre los Individuos

PO8.1 Sistema de Administracin de

PO9 Evaluar y gestionar los

Plan de Accin de Riesgos

PO10.10 Plan de Calidad del Proyecto

PO10.14 Cierre del Proyecto

AI3 Adquirir y mantener la

AI4.2 Transferencia de Conocimiento a la

AI5 Adquirir recursos de TI

AI6 Gestionar cambios

AI7.3 Plan de Implantacin

DS1 Definir y gestionar los

DS2 Gestionar los servicios

DS3.4 Disponibilidad de Recursos de TI

continuidad del servicio

DS6.1 Definicin de Servicios

DS7 Educar y entrenar a los

servicios y los incidentes

DS10.3 Cierre de Problemas

DS11 Gestionar datos

DS13.2 Programacin de Tareas

ME1 Monitorear y evaluar

ME2 Monitorear y evaluar

ME3.2 Optimizar la Respuesta a

ME3.5 Reportes Integrados

ME4.2 Alineamiento Estratgico

4. Seguridad de los Recursos Humanos.

El ISO 17799, al definirse como una gua en la implementacin del sistema de

importante en aquellos convenios o contratos con terceras organizaciones que

Polticas de seguridad. El estndar define como obligatorias las polticas de seguridad

Desarrollo de sistemas y mantenimiento. La organizacin debe disponer de

CAPITULO II: IMPLEMENTACIN

Mouse, Fuente de poder).

procedimientos administrativos, manuales, etc.

Determinar la declaracin de Polticas de Seguridad de la Informacin

1. Poltica de Manejo de Contraseas:

en sus cuentas y accesos personales.

2. Poltica de Proteccin contra virus:

-Si el antivirus no se actualiza o no est instalado el empleado deber notificarlo al rea

4. Poltica de Clasificacin de la informacin:

5. Poltica de Disposicin de medios y equipos

9. Grabar mensualmente en un dispositivo de almacenamiento (CD) todas las copias se

Realizar Evaluacin de Riesgos: