UNIVERSIDAD NACIONAL DEL CALLAO

FACULTAD DE INGENIERIA INDUSTRIAL Y DE SISTEMAS

ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS

TEMA:
ISO-17799

CURSO:
ADMINISTRACIN DE CENTROS DE INFORMACIN
ALUMNO:
TITO FERNANDEZ ERICK

CODIGO:
1315210283

2017
ISO-1799 Pgina 1
Contenido

INTRODUCCIN.........................................................................................2

Qu es ISO 17799?...............................................................................3

HISTORIA................................................................................................4

ESTRUCTURA DE LA NORMA.....................................................................5

Dominios de control...............................................................................5

AUDITORIA...........................................................................................13

Consultora...........................................................................................15

Implantacin........................................................................................17

VENTAJAS................................................................................................18

CONCLUSIN...........................................................................................19

INTRODUCCIN

La norma ISO 17799 (UNE-ISO/IEC 17799 en su versin espaola, y

actualmente re denominada a ISO 27002) es una norma internacional

ISO-1799 Pgina 2
que ofrece recomendaciones para realizar la gestin de la seguridad de

la informacin dirigidas a los responsables de iniciar, implantar o

mantener la seguridad de una organizacin. As, la norma define la

informacin como un activo de la organizacin, por lo que establece

como objetivo principal garantizar la seguridad de la informacin.

La seguridad de la informacin se define como la preservacin de tres

aspectos:

Confidencialidad: Aseguramiento de que la informacin slo es

accesible para los usuarios autorizados a tener acceso.

Integridad: Garanta de la exactitud y completitud de la

informacin y de los mtodos de su procesamiento.

Disponibilidad: Aseguramiento de que los usuarios autorizados

tendrn acceso a la informacin cuando as lo requieran.

El objetivo de ISO 17799 es proporcionar una base comn que permita

desarrollar normas de seguridad dentro de las organizaciones,

permitiendo satisfacer los tres objetivos anteriores.

La adopcin de ISO 17799 presenta una serie de ventajas para las

organizaciones:

Cdigo de buenas prcticas para la gestin de la seguridad de la

informacin. Norma UNE-ISO/IEC 17799

Aumento de la seguridad efectiva de los sistemas de informacin.

Correcta planificacin y gestin de la seguridad.

Garantas de continuidad del negocio.

ISO-1799 Pgina 3
 Mejora continua a travs del proceso de auditora interna.

Incremento de los niveles de confianza de clientes y partners.

Aumento del valor comercial y mejora de la imagen de la

organizacin.

Posibilidad de acceso a certificaciones (UNE 71502)

La norma 17799 no es certificable, si bien recoge una serie de controles

que s pueden ser objeto de certificacin para otras normas relacionadas

(como la UNE 71502).

Qu es ISO 17799?

ISO 17799 es una norma internacional que ofrece recomendaciones para

realizar la gestin de la seguridad de la informacin dirigidas a los

responsables de iniciar, implantar o mantener la seguridad de una

organizacin.

ISO 17799 define la informacin como un activo que posee valor para la

organizacin y requiere por tanto de una proteccin adecuada. El

objetivo de la seguridad de la informacin es proteger adecuadamente

este activo para asegurar la continuidad del negocio, minimizar los

daos a la organizacin y maximizar el retorno de las inversiones y las

oportunidades de negocio.

La seguridad de la informacin se define como la preservacin de:

Confidencialidad. Aseguramiento de que la informacin es

accesible slo para aquellos autorizados a tener acceso.

ISO-1799 Pgina 4
 Integridad. Garanta de la exactitud y completitud de la

informacin y de los mtodos de su procesamiento.

Disponibilidad. Aseguramiento de que los usuarios autorizados

tienen acceso cuando lo requieran a la informacin y sus activos

asociados.

El objetivo de la norma ISO 17799 es proporcionar una base comn para

desarrollar normas de seguridad dentro de las organizaciones y ser una

prctica eficaz de la gestin de la seguridad.

La adaptacin espaola de la norma se denomina UNE-ISO/IEC 17799.

Se trata de una norma NO CERTIFICABLE, pero que recoge la relacin de

controles a aplicar (o al menos, a evaluar) para establecer un Sistema de

Gestin de la Seguridad de la Informacin (SGSI) segn la norma UNE

71502, CERTIFICABLE.

ISO-1799 Pgina 5
ESTRUCTURA DE LA NORMA

Dominios de control

La norma ISO 17799 establece diez dominios de control que cubren por

completo la gestin de la seguridad de la informacin:

1. Poltica de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificacin y control de activos.
4. Seguridad ligada al personal.
5. Seguridad fsica y del entorno.
6. Gestin de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestin de continuidad del negocio.
10. Conformidad con la legislacin.

De estos 10 dominios se derivan una serie de objetivos de control

(resultados que se esperan alcanzar mediante la implementacin de

controles) y 127 controles (prcticas, procedimientos o mecanismos que

reducen el nivel de riesgo).

En el siguiente diagrama se muestra la jerarquizacin de los diferentes

dominios de control dentro de los diferentes aspectos de la seguridad:

ISO-1799 Pgina 6
OBJETIVOS DE CONTROL

A continuacin se muestran los objetivos de control distribuidos en los

diferentes dominios, as como una descripcin de los controles asociados

a los mismos.

Poltica de seguridad

El objetivo principal es dirigir y dar soporte a la gestin de la seguridad

de la informacin.

Es el dominio de ms alto nivel, y aqu es donde la alta direccin de la

organizacin debe definir las polticas de la organizacin referentes a la

seguridad. Tambin es funcin de la alta direccin publicitar las normas

de forma adecuada a todo el personal de la organizacin.

Las polticas de seguridad son la base de todo el sistema de seguridad

de la informacin.

Aspectos organizativos para la seguridad

ISO-1799 Pgina 7
Objetivos a este nivel:

Gestionar la seguridad de la informacin dentro de la organizacin.

Mantener la seguridad de los recursos de tratamiento de la

informacin y de los activos de informacin de la organizacin que

son accedidos por terceros.

Mantener la seguridad de la informacin cuando la responsabilidad

de su tratamiento se ha externalizado a otra organizacin.

As, debe disearse una estructura organizativa dentro de la compaa

que defina las responsabilidades que en materia de seguridad tiene

cada usuario o rea de trabajo relacionada con los sistemas de

informacin de cualquier forma.

Dicha estructura debe poseer un enfoque multidisciplinar, puesto que

los problemas de seguridad no son exclusivamente tcnicos.

Clasificacin y control de activos

Objetivos:

Mantener una proteccin adecuada sobre los activos de la

organizacin.
Asegurar un nivel de proteccin adecuado a los activos de

informacin.

Debe definirse una clasificacin de los activos relacionados con los

sistemas de informacin, manteniendo un inventario actualizado que

registre estos datos, y proporcionando a cada activo el nivel de

proteccin adecuado a su criticidad en la organizacin

ISO-1799 Pgina 8
Seguridad ligada al personal

Objetivos:

Reducir los riesgos de errores humanos, robos, fraudes o mal uso

de las instalaciones y los servicios.

Asegurar que los usuarios son conscientes de las amenazas y

riesgos en el mbito de la seguridad de la informacin, y que estn

preparados para sostener la poltica de seguridad de la

organizacin en el curso normal de su trabajo.

Minimizar los daos provocados por incidencias de seguridad y por

el mal funcionamiento, controlndolos y aprendiendo de ellos.

Las implicaciones del factor humano en la seguridad de la informacin

son muy elevadas. As, todo el personal, tanto interno como externo a la

organizacin, debe conocer tanto las lneas generales de la poltica de

seguridad corporativa como las implicaciones de su trabajo en el

mantenimiento de la seguridad global.

Tambin hay que tener en cuenta las diferentes relaciones con los

sistemas de informacin de los diferentes tipos de usuarios: operador,

administrador, guardia de seguridad, personal de servicios,

etc.

Deben existir procesos de notificacin de incidencias claros, giles y

conocidos por todos.

ISO-1799 Pgina 9
Seguridad fsica y del entorno

Objetivos:

Evitar accesos no autorizados, daos e interferencias contra los

locales y la informacin de la organizacin.

Evitar prdidas, daos o comprometer los activos as como la

interrupcin de las actividades de la organizacin.

Prevenir las exposiciones a riesgo o robos de informacin y de

recursos de tratamiento de informacin.

Las reas de trabajo de la organizacin y sus activos deben ser

clasificados y protegidos en funcin de su criticidad, siempre de una

forma adecuada y frente a cualquier riesgo factible de ndole fsica

(robo, inundacin, incendio, etc.).

Gestin de comunicaciones y operaciones

Objetivos:

Asegurar la operacin correcta y segura de los recursos de

tratamiento de informacin.
Minimizar el riesgo de fallos en los sistemas.
Proteger la integridad del software y de la informacin.
Mantener la integridad y la disponibilidad de los servicios de

tratamiento de informacin y comunicacin.

Asegurar la salvaguarda de la informacin en las redes y la

proteccin de su infraestructura de apoyo.

Evitar daos a los activos e interrupciones de actividades de la

organizacin.

ISO-1799 Pgina 10
 Prevenir la prdida, modificacin o mal uso de la informacin

intercambiada entre organizaciones.

Se debe garantizar la seguridad de las comunicaciones y de la operacin

de los sistemas crticos para el negocio.

Control de accesos

Objetivos:

Controlar los accesos a la informacin.

Evitar accesos no autorizados a los sistemas de informacin.
Evitar el acceso de usuarios no autorizados.
Proteccin de los servicios en red.
Evitar accesos no autorizados a ordenadores.
Evitar el acceso no autorizado a la informacin contenida en los

sistemas.
Detectar actividades no autorizadas.
Garantizar la seguridad de la informacin cuando se usan

dispositivos de informtica mvil y teletrabajo

Se deben establecer los controles de acceso adecuados para proteger

los sistemas de informacin crticos para el negocio, a diferentes niveles:

sistema operativo, aplicaciones, redes, etc.

Desarrollo y mantenimiento de sistemas

Asegurar que la seguridad est incluida dentro de los sistemas de

informacin.

ISO-1799 Pgina 11
 Evitar prdidas, modificaciones o mal uso de los datos de usuario

en las aplicaciones.
Proteger la confidencialidad, autenticidad e integridad de la

informacin.
Asegurar que los proyectos de Tecnologa de la Informacin y las

actividades complementarias son llevadas a cabo de una forma

segura.
Mantener la seguridad del software y la informacin de la

aplicacin del sistema.

Debe contemplarse la seguridad de la informacin en todas las etapas

del ciclo de vida del software en una organizacin: especificacin de

requisitos, desarrollo, explotacin, mantenimiento, etc.

Gestin de continuidad del negocio

El objetivo es reaccionar a la interrupcin de actividades del negocio,

protegiendo sus procesos crticos frente grandes fallos o desastres.

As, todas las situaciones que puedan provocar la interrupcin de las

actividades del negocio deben ser prevenidas y contrarrestadas

mediante los planes de contingencia adecuados, que debern ser

probados y revisados peridicamente.

Deben definirse equipos de recuperacin ante contingencias, en los que

se identifiquen claramente las funciones y responsabilidades de cada

miembro en caso de desastre.

ISO-1799 Pgina 12
Conformidad con la legislacin

Objetivos:

Evitar el incumplimiento de cualquier ley, estatuto, regulacin u

obligacin contractual y de cualquier requerimiento de seguridad.

Garantizar la alineacin de los sistemas con la poltica de

seguridad de la organizacin y con la normativa derivada de la

misma.
Maximizar la efectividad y minimizar la interferencia de o desde el

proceso de auditora de sistemas.

Se debe identificar convenientemente la legislacin aplicable a los

sistemas de informacin corporativos (en nuestro caso, LOPD, LPI,

LSSI...), integrndola en el sistema de seguridad de la informacin de la

compaa y garantizando su cumplimiento.

Se debe definir un plan de auditora interna y ser ejecutado

convenientemente, con el objetivo de garantizar la deteccin de

desviaciones con respecto a la poltica de seguridad de la informacin.

ISO-1799 Pgina 13
AUDITORIA

La auditora del nivel de adecuacin a ISO 17799 da una medida del

nivel de adecuacin, implantacin y gestin de cada control de la norma,

desde los diferentes puntos de vista:

Seguridad lgica
Seguridad fsica
Seguridad organizativa
Seguridad legal

La auditora de adecuacin a ISO 17799 es una medida estndar y

reconocida internacionalmente, que sirve tanto para evaluar el estado

actual de la seguridad de la informacin en una organizacin como para

planificar correctamente mejoras futuras o su mantenimiento.

Una auditora ISO 17799 consiste en una evaluacin del cumplimiento de

todos los aspectos de la norma, a diferentes niveles:

Global
Por dominios
Por objetivos
Por controles

Una vez se conoce el nivel de cumplimiento actual, el siguiente paso es

determinar dos niveles adicionales:

Nivel mnimo aceptable: Estado con las mnimas garantas de

seguridad necesarias para trabajar con la informacin corporativa

Nivel objetivo: Estado de referencia, que cumple todos o gran

parte de los requisitos de ISO 17799, y que supondr el objetivo a

alcanzar.

ISO-1799 Pgina 14
Por tanto, el plan de trabajo que definir la auditora consistir en dos

fases:

Corto plazo: Alcanzar el nivel mnimo aceptable, implantando los

controles que sean necesarios.

Medio/largo plazo: Alcanzar el nivel objetivo, integrndolo en el

Plan Director de Seguridad de la Organizacin. Es el paso previo

para la certificacin UNE 71502.

CONSULTORA

Conociendo el nivel de cumplimiento actual, es posible determinar

el nivel mnimo aceptable y el nivel objetivo en la organizacin:

ISO-1799 Pgina 15
 Nivel mnimo aceptable. Estado con las mnimas garantas de

seguridad necesarias para trabajar con la informacin

corporativa.

Nivel objetivo. Estado de seguridad de referencia para la

organizacin, con un alto grado de cumplimiento ISO 17799.

ISO-1799 Pgina 16
 A partir del nivel mnimo aceptable y el nivel objetivo, podemos

definir un plan de trabajo para alcanzar ambos a partir del estado

actual.

Nivel mnimo aceptable. Implantacin de los controles tcnicos

ms urgentes, a muy corto plazo.

Nivel objetivo. Se desarrolla en el tiempo dentro del Plan

Director de Seguridad corporativo, y es el paso previo a la

certificacin UNE 71502.

ISO-1799 Pgina 17
Implantacin

ISO 17799 no es una norma tecnolgica.

Ha sido redactada de forma flexible e independiente de

cualquier solucin de seguridad especfica.

Proporciona buenas prcticas neutrales con respecto a la

tecnologa y a las soluciones disponibles en el mercado.

Estas caractersticas posibilitan su implantacin en todo tipo de

organizaciones, sin importar su tamao o sector de negocio, pero

al mismo tiempo son un argumento para los detractores de la

norma.

Cmo traducir especificaciones de alto nivel a soluciones

concretas, para poder implantar ISO 17799?

Trabajo de consultora, interna o externa.

Dominio de control: Gestin de comunicaciones y operaciones

o Objetivo de control: proteger la integridad del software y

de la informacin.

Control: Controles contra software malicioso.

Se deberan implantar controles para detectar el software

malicioso y prevenirse contra l, junto a procedimientos

adecuados para concienciar a los usuarios.

ISO-1799 Pgina 18
 Consultora

Normativa de uso de software: definicin y publicitacin en la

Intranet.

Filtrado de contenidos: X - Content Filtering v3.4.

Antivirus de correo: Y Antivirus v2.0.

Antivirus personal: Z - Antivirus v4.5.

VENTAJAS

La adopcin de la norma ISO 17799 proporciona diferentes ventajas a

cualquier organizacin:

Aumento de la seguridad efectiva de los sistemas de informacin.

Correcta planificacin y gestin de la seguridad.

Garantas de continuidad del negocio.

Mejora continua a travs del proceso de auditora interna.

Incremento de los niveles de confianza de nuestros clientes y

partners.

Aumento del valor comercial y mejora de la imagen de la

organizacin.

ISO-1799 Pgina 19
CONCLUSIN

ISO 17799 es una norma internacional que ofrece

recomendaciones para realizar la gestin de la seguridad de la

informacin, adoptada en Espaa como norma UNE-ISO/IEC 17799.

La norma se estructura en diez dominios de control que cubren por

completo todos los aspectos relativos a la seguridad de la

informacin.

Implantar ISO 17799 requiere de un trabajo de consultora que

adapte los requerimientos de la norma a las necesidades de cada

organizacin concreta.

La adopcin de ISO 17799 presenta diferentes ventajas para la

organizacin, entre ellas el primer pas para la certificacin segn

UNE 71502.

ISO-1799 Pgina 20