Universidad Mariano Gálvez

Guatemala, C.A.

BS7799
British Estándar 07-07-1999

10º. Semestre
Redes

ISO 17799
Inicialmente desarrollado del BS7799-1, ISO 17799 es un estándar internacional que
establece los requerimientos de buenas prácticas para la gestión de seguridad de la
información.

ISO 27001
Define el listado de condiciones para un sistema de gestión de la seguridad de la
información (ISMS). Este fue desarrollado del BS7799 Parte 2:2002. El alcance de
todo ISMS incluye personas, procesos, sistemas y políticas de TI. La página web
proporciona los objetivos de las etapas involucradas e incluye los cambios hechos en
ISO 27701 (Basado en la revisión BS7799 Parte2, publicado en Septiembre 2002)

BS7799
La última versión de BS7799 es BS7799-3, guía de información para la gestión del
riesgo de la seguridad de la información. Esta se basa en ISO 27001, y cubre los
principales aspectos de la evaluación de riesgos.
ISO 17799

CICLO DE VIDA
Ciclo completo, consideraciones de los meritos y normas estándar hasta su aplicación
efectiva, se representa en la figura 1.

Figura 1. Ciclo ISO 17799

El ciclo representado en la figura 1 (arriba), muestra las etapas típicas que se seguirían
a la hora de adoptar la norma ISO 17799 como estándar interno. Estas etapas se
detallan en a continuación:
 - Los méritos de la norma se consideran, como la mejora de la seguridad de la
organización, así como la confianza de los nuevos y existentes clientes, así
como socios comerciales.
- Se toma una decisión para aplicar la norma ISO 17799. Puede darse el caso de
que la organización desea convertirse simplemente cumple mediante la
adhesión a la norma, o puede significar que la certificación se solicita.
- Recursos en términos de personas y el tiempo son asignados para el proyecto.
La ayuda puede ser solicitada, ante un experimentado consultor de ISO 17799
en esta etapa.
- El alcance del ISMS se determina. Esto significa que el área / s de la
organización que se mide con el estándar se seleccionan. Esta debe ser una
representación razonable de las actividades de las organizaciones.
- Una revisión de la documentación existente se lleva a cabo para evaluar el
alcance de las medidas ya existentes, como el manual de calidad ISO 9000 y las
políticas de seguridad.
- Un análisis de las lagunas se realiza para identificar las brechas existentes entre
los procesos y controles necesarios, y los procedimientos.
- Un inventario se toma todos los activos de la información pertinente.
- Una evaluación de riesgos se lleva a cabo con el fin de determinar el grado de
riesgo para el ISMS, a menudo comparar el impacto de los riesgos con la
probabilidad de que esos riesgos lleguen a producirse realmente. Un documento
de evaluación del riesgo es el producto resultante.
- Una vez que los riesgos se han identificado y establecido en el documento de
evaluación de riesgos, la organización debe decidir cómo estos riesgos se
gestionarán. A partir de estas decisiones, las responsabilidades de la gestión de
estos riesgos son determinados y documentados.
- los controles adecuados y objetivos que deberán realizarse son seleccionados,
ya sea de la norma, o no, según sea el caso. La norma no contiene una lista
exhaustiva y controles adicionales y objetivos pueden ser seleccionadas. Una
Declaración de Aplicabilidad (SOA) es el resultado de selección de entrega de
los controles siguientes.
- Las políticas se crea en base a la SOA. procedimientos pertinentes sobre la
base de las definiciones de políticas y directrices se crean y documentado.
- Un programa de capacitación se lleva a cabo para educar a todos los empleados
para asegurarse de que las buenas prácticas para la Seguridad de la
Información que se adopte en toda la empresa.
- Un programa de control del cumplimiento se aplica. Esto es para asegurar que el
buen trabajo logrado hasta la fecha se mantiene.
- Una vez que se ha logrado el cumplimiento, la certificación podrá solicitarse
opcionalmente un organismo acreditado. Para ello se requiere una auditoría, que
examinará la adhesión a las organizaciones de la norma. Un resultado exitoso
de auditoría se entenderá que la organización va a obtener la certificación.

ISO17799 – ISO27001 – BS7799

PLANEAR – HACER – VERIFICAR – ACTUAR

Como la figura 2 muestra, a continuación, el círculo comienza de nuevo en el punto

donde termina el alcance de ISMS. Un aspecto importante de la norma ISO 27001
(Ref. BS7799 2:2002) es la del modelo de planear-hacer-verificar-actuar, que debe
aplicarse a los ISMS. Este es el enfoque para el desarrollo, implementación y mejora
de la eficacia de un ISMS organizacional.

Figura 2: Modelo de PDCA

BS7799
COMO FUNCIONA

El estándar efectivamente viene en 2 partes:

- ISO/IEC17799:2000 (Parte 1) es el código estándar y que puede ser
considerado como un comprensivo catalogo de buena practicas de seguridad.

- BS7799-2:1999 (Parte 2) es la especificación estándar de los sistemas de

gestión de seguridad de la información (ISMS). Los ISMS es el medio por el cual
expertos en la administración revisan y controlan su seguridad, minimizando el
riesgo del negocio y aseguran el cumplimiento con los clientes corporativos.

Figura 3:
Pasos para el
Cumplimiento
De BS7799-2
EVALUACIÓN DE RIESGOS
Ahora ya sabes qué tipo de información está en el ámbito y cuál es su valor, su próximo
paso debe consistir en determinar el riesgo de perder ese valor.
Recuerde que debe considerar todo. En un extremo debe tener en cuenta las
complejidades de la tecnología y en el otro debe tener en cuenta las fuerzas de negocio
en términos de avance de la tecnología y la empresa, así como el lado feo de espionaje
industrial y la guerra de información.

LA GESTIÓN DE RIESGOS
A continuación, deberá decidir cómo gestionar ese riesgo. Su fuerzas sin duda incluyen
la tecnología, pero no se olvide la gente, los procedimientos administrativos y las cosas
físicas como las puertas y las cerraduras e incluso de CCTV. No se olvide de seguros.
Si no puede evitar que algo suceda, tal vez usted puede descubrir si lo hace pasar y
hacer algo para contener o reducir el peligro. Al final, puede, por supuesto, necesitan
un plan de continuidad efectiva.

ELIJA SU SALVAGUARDIAS
A continuación, tendrá que elegir su "salvaguardias", es decir, las maneras que usted
ha seleccionado para gestionar el riesgo. BS7799-2: 1999 enumera una amplia
variedad de tales medidas, pero la lista no es exhaustiva y es libre de determinar las
medidas adicionales que quieras. La lista se elabora 01:01 de la norma
ISO / IEC 17799:2000.

DECLARACIÓN DE APLICABILIDAD
Usted está obligado a identificar a todos los controles de seguridad de su elección y
justificar por qué usted cree que son adecuados, y demostrar por qué los controles de
BS7799 que no han sido elegidos no son relevantes. Es evidente que podría disminuir
todo el soporte BS7799 e inventar el suyo propio. Esto no es un problema - se permite.
Sin embargo, es necesario que lo justifique - tanto para su propio beneficio como
cualquier otra persona.

EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (ISMS)

La norma exige que la creación de un Sistema de Gestión de Seguridad de la
Información (ISMS) para que esto suceda. Usted realmente debe configurarlo, en
primer lugar, pero las normas no te dicen cómo hacer las cosas, simplemente lo que
usted debería alcanzar.

LOS ESQUEMAS DE CERTIFICACIÓN

Los esquemas de certificación se están estableciendo en muchas partes del mundo.
Por tanto, es útil para revelar quiénes son los actores son y lo que está pasando.

Figura 4: Relación entre el esquema y los actores

Figura 5: Torre Organizacional y responsabilidades

Figura 6: Niveles de documentación para Certificación

CONCLUSION

ISO 17799, ISO 27001 y BS7799: ayudan a identificar, administrar y reducir el rango de
amenazas a las que la información está continuamente expuesta. Una vez que se
respetan, estas proporcionan a la organización la seguridad y la satisfacción de saber
que están protegiendo su información usando controles de uso común por las
empresas bien gestionadas. Es un marco excelente para desarrollar o mejorar la
seguridad organizacional.