Ing.

Paúl Moro Palomino

 DEFINICIÓN

ISO/IEC 17799 es un estándar internacional publicado por:

la Organización
la Comisión Internacional
Internacional de
Electrotécnica
Estándares

con el fin de proveer un esquema estándar y un conjunto de recomendaciones que sirvan de guía a los
responsables de la iniciación, implementación, mantenimiento y mejora de la gestión de la seguridad de
la información
Es la normativa técnica
de seguridad de la
Su objetivo principal es proteger
información más
adecuadamente los activos de
reconocida a nivel
información de una organización
internacional.
PUBLICACIÓN DE LA NORMA EN DIVERSOS
PAÍSES
“Código de buenas prácticas para la
En
Gestión de la Seguridad de la
España
Información”

"Norma técnica sobre seguridad y

En Chile confidencialidad del documento
electrónico".
 la ISO/IEC 17799:2000 es de uso
En Perú obligatorio en todas las
instituciones públicas desde
agosto del 2004
NORMA TECNICA PERUANA

• Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el

uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC
17799:2004 EDI.

Se Actualizó el 25
de Agosto del 2007
con la Norma
Técnica Peruana
“NTP – ISO/IEC
17799:2007 EDI.
 Marco de las recomendaciones

La NTP-ISO 17799 La NTP fue redactada

es una compilación para que fuera Las recomendaciones
de flexible y no induce a de la NTP-ISO 17799
recomendaciones las organizaciones son neutrales en
para las prácticas que la cumplan al cuanto a la tecnología.
exitosas de pie La norma discute la
seguridad, que de la letra, se deja a necesidad de contar
toda organización estas dar una con Firewalls, pero
puede aplicar solución de no profundiza sobre los
independientement seguridad de tipos de Firewalls y
e de su tamaño o acuerdo a sus cómo se utilizan.
sector. necesidades.
Acciones de la ONGEI
Actualmente la ONGEI apoya a las entidades públicas en los
siguientes principales servicios:

Análisis de vulnerabilidades de los servidores

Web de las Entidades Publicas.

Boletines de Seguridad de la información

Boletines de Alertas de Antivirus.

Presentaciones técnicas sobre seguridad.

Consultorías y apoyo en recomendaciones

técnicas.
En este sentido La Norma
Técnica Peruana ISO– 17799, se
emite para ser considerada en la
implementación de estrategias y
planes de
seguridad de la información de
las Entidades Públicas.

La NTP NO exige la certificación, pero si

la consideración y evaluación de los
principales dominios de acuerdo a la
realidad de cada organización.
 ¿Cómo establecer los requerimientos de
seguridad?

Se identifican las amenazas a

los activos
Evaluar los riesgos
que enfrenta la Se evalúan las vulnerabilidades y
organización probabilidades de ocurrencia

Se estima el impacto potencial

 La organización
Tener en cuenta los requisitos
legales, normativos, Sus socios comerciales
reglamentarios y
contractuales que deben Los contratistas
cumplir:
Los prestadores de
servicios

Establecer un conjunto específico de principios, objetivos y

requisitos para el procesamiento de la información
Dominios a considerar
dentro de NTP
POLÍTICA DE SEGURIDAD
Política de seguridad de la información
• La gerencia debería establecer de forma clara
las líneas de la política de actuación y
manifestar su apoyo y compromiso a la
seguridad de la información, publicando y
manteniendo una política de seguridad en toda
la organización
 Documento de política de seguridad de la
información

• Aprobar, publicar y comunicar a todos los

empleados un documento de política de
seguridad de la información
• El documento debería contener
1. Una definición de seguridad de la información y sus
objetivos globales
2. Gerencia como soporte de los objetivos y principios de la
seguridad de la información
3. Un marco para colocar los objetivos de control y mandos,
evaluación de riesgo y gestión del riesgo.
4. Explicación de las políticas, principios, normas y requisitos
importantes para la organización
Revisión y evaluación

• La política de seguridad debe ser revisada en intervalos

planificados o si cambios significantes ocurren con el fin
de asegurar su uso continuo, adecuación y efectividad.
• La política debería tener un propietario que sea
responsable del desarrollo, revisión y evaluación de la
política de seguridad
• La revisión debe incluir oportunidades de evaluación
para mejorar la política de seguridad de información
 ASPECTOS ORGANIZATIVOS
PARA LA SEGURIDAD
Organización interna

• Organizar foros de gestión adecuados con las

gerencias para aprobar la política de seguridad de la
información
• Asignar roles de seguridad y coordinar la
implantación de la seguridad en toda la
organización.
• Acceso dentro de la organización a un equipo de
consultores especializados en seguridad de la
información
• Contactos con especialistas externos en
seguridad para mantenerse al día en las
tendencias de la industria, la evolución de las
normas y los métodos de evaluación
 Comité de gestión de
seguridad de la información
• La gerencia debe apoyar activamente en la seguridad
demostrando compromiso, asignaciones explicitas y
reconocimiento de las responsabilidades
Este comité debería realizar las siguientes funciones:
a) asegurar que las metas de la seguridad de información sean identificadas,
relacionarlas con las exigencias organizacionales y que sean integradas en
procesos relevantes
b) formular, revisar y aprobar la política de seguridad de información
c) revisión de la efectividad en la implementación de la política de información
 Coordinación de la
seguridad de la información
• La información de las actividades de seguridad deben ser coordinadas por
representantes de diferentes partes de la organización con roles relevantes
y funciones de trabajo.
• La coordinación de la seguridad de información debe implicar la cooperación y la
colaboración de gerentes, usuarios, administradores, diseñadores de la
aplicación, personal de auditoria y seguridad, y habilidades especiales en áreas
como seguros, trámites legales, recursos humanos, tecnología de la información
o gestión del riesgo.
 Asignación de responsabilidades sobre seguridad de
la información

• Esta asignación, debería completarse, dónde sea necesario, con una

guía más detallada para ubicaciones, sistemas o servicios
específicos. Deberían definirse claramente las responsabilidades
locales para activos físicos y de información individualizada y los
procesos de seguridad como, por ejemplo, el plan de continuidad
del negocio.
Es esencial que se establezcan claramente las áreas de las que cada
directivo es responsable; en particular deberían establecerse las
siguientes:
a) deberían identificarse claramente los activos y los procesos de seguridad asociados
con cada sistema específico;
b) debería nombrarse al responsable de cada activo o proceso de seguridad, y deberían
documentarse los detalles de esta responsabilidad
c) deberían definirse y documentarse claramente los niveles de autorización
Actividad : Investigar

• Los 11 dominios de la NTP